Malloc Hook
今天看CTF-Wiki学到的一种利用方法,就是将malloc_hook函数指针修改成gadget地址,之后再调用malloc就执行了gadget的指令。
关于malloc_hook更详细介绍可以看这里:Linux进程内存管理(一)
查看malloc_hook
先找到main_arena的地址,将其减16就是malloc_hook。
利用pwndbg的find_fake_fast 可以找到malloc_hook附近的合法size,这样就能将chunk劫持到此处,然后覆盖malloc_hook地址。
one_gadget
我们可以将箭头指向的地址改成one_gadget:
这些地址是libc中的偏移,需要通过漏洞leak处libc基地址,然后加上它们,将其写入到malloc_hook,之后再调用malloc就会call到execve。
但是这里有一个坑,这些gadget不是每一个都能用,我今天就遇到了,使用前三个虽然/bin/sh确实创建了进程,但是pwntools无法交互,后来用的最后一个就正常了。