美文网首页
从入门到遗忘:double free —— 2015 0CTF

从入门到遗忘:double free —— 2015 0CTF

作者: BJChangAn | 来源:发表于2018-02-04 16:05 被阅读0次

    emmmm之前一直在入门windows,好久都没怎么碰linux了,逛大神博客碰到了这道题的wp,拿来复习下。

    好像是2015 0CTF的freenote这道题。

    先拿来扔进IDA,改好函数名,大致了解程序流程和note结构体。大致是一开始先申请了一个大只堆块用来作为目录,然后每个note占24字节:

    +0        inuse

    +8        note length

    +16      point to note buffer

    其中会note的长度经过对齐后作为malloc的参数,用脚本模拟了对齐的逻辑,0对齐还是0,0~0x80对齐为0x80。

    漏洞点主要在free的时候没有清掉目录中的项尤其是堆地址。

    这样如果申请三个堆块,然后释放掉,这三个堆块将合并为一个大堆块。倘若再申请一个大堆块(大小为三个小堆块之和),大堆块将从原本0号堆块的位置开始,且可以通过目录中的堆地址进行访问,从而可以伪造堆块并进行dword shoot。

    0x00 泄露堆地址 & libc

    en其实libc基址也可以后面搞,这里有点忘就直接用uaf泄露main_arena然后换算得到libc基址。

    堆地址也差不多,创建4个堆然后释放0、2号(其实好像3个也可以,遗忘太可怕),这时候0号堆块fd和bk将指向2号堆块构成双向链表,再用uaf把0号拿回来:

    0号堆块被从链表中拆掉后,2号堆块的fd和bk都会指向main_arena+88的位置,再uaf,然后拿到一个堆地址和main_arena+88的地址,相应换算后得到指向0号chunk_list的地址和libc基址。

    0x01 伪造chunk & 覆写GOT表

    伪造chunk,都是套路,相应的presize和size要写对。

    free了2号堆块没问题之后基本就ok了,可以gdb attach一下看目录中原本0号堆块的位置变成了chunk list的地址,接下来对0号note进行edit,用户输入将写入该地址,从而覆盖0号note的指针,继而可以实现任意地址写。

    还有一个要注意的也是卡了很久的地方,double free之后目录中chunk0的指针已经被覆盖了,这时如果remalloc的话会出错终止,所以edit的时候必须在后面填充paddings使得长度与create的时候一样,才不会去调用remalloc。

    以及第一次edit覆盖的起始位置还要在chunk0指针往前一点,会覆盖掉inuse位和length,要确保inuse仍然是1,然后length可以在第一次edit的时候改小一点,比如emmm,8,接着覆盖掉chunk0指针为atoi的got表地址,然后第二次edit,即向atoi的got表项写入system的实际地址。

    回到main函数,我的choice?,输入/bin/sh就好,然后atoi(buff)实际上就是system('/bin/sh')。

    遗忘真的是个可怕的朋友。emmm故作帅气的这么说着。

    ========================================================================

    《大明妖孽》很好看,机械键盘深似海。

    多陪陪家人很重要。不要总是自作聪明的 “我以为是这样的”。

    新年快乐。

    相关文章

      网友评论

          本文标题:从入门到遗忘:double free —— 2015 0CTF

          本文链接:https://www.haomeiwen.com/subject/fsymzxtx.html