emmmm之前一直在入门windows,好久都没怎么碰linux了,逛大神博客碰到了这道题的wp,拿来复习下。
好像是2015 0CTF的freenote这道题。
先拿来扔进IDA,改好函数名,大致了解程序流程和note结构体。大致是一开始先申请了一个大只堆块用来作为目录,然后每个note占24字节:
+0 inuse
+8 note length
+16 point to note buffer
其中会note的长度经过对齐后作为malloc的参数,用脚本模拟了对齐的逻辑,0对齐还是0,0~0x80对齐为0x80。
漏洞点主要在free的时候没有清掉目录中的项尤其是堆地址。
这样如果申请三个堆块,然后释放掉,这三个堆块将合并为一个大堆块。倘若再申请一个大堆块(大小为三个小堆块之和),大堆块将从原本0号堆块的位置开始,且可以通过目录中的堆地址进行访问,从而可以伪造堆块并进行dword shoot。
0x00 泄露堆地址 & libc
en其实libc基址也可以后面搞,这里有点忘就直接用uaf泄露main_arena然后换算得到libc基址。
堆地址也差不多,创建4个堆然后释放0、2号(其实好像3个也可以,遗忘太可怕),这时候0号堆块fd和bk将指向2号堆块构成双向链表,再用uaf把0号拿回来:
0号堆块被从链表中拆掉后,2号堆块的fd和bk都会指向main_arena+88的位置,再uaf,然后拿到一个堆地址和main_arena+88的地址,相应换算后得到指向0号chunk_list的地址和libc基址。
0x01 伪造chunk & 覆写GOT表
伪造chunk,都是套路,相应的presize和size要写对。
free了2号堆块没问题之后基本就ok了,可以gdb attach一下看目录中原本0号堆块的位置变成了chunk list的地址,接下来对0号note进行edit,用户输入将写入该地址,从而覆盖0号note的指针,继而可以实现任意地址写。
还有一个要注意的也是卡了很久的地方,double free之后目录中chunk0的指针已经被覆盖了,这时如果remalloc的话会出错终止,所以edit的时候必须在后面填充paddings使得长度与create的时候一样,才不会去调用remalloc。
以及第一次edit覆盖的起始位置还要在chunk0指针往前一点,会覆盖掉inuse位和length,要确保inuse仍然是1,然后length可以在第一次edit的时候改小一点,比如emmm,8,接着覆盖掉chunk0指针为atoi的got表地址,然后第二次edit,即向atoi的got表项写入system的实际地址。
回到main函数,我的choice?,输入/bin/sh就好,然后atoi(buff)实际上就是system('/bin/sh')。
遗忘真的是个可怕的朋友。emmm故作帅气的这么说着。
========================================================================
《大明妖孽》很好看,机械键盘深似海。
多陪陪家人很重要。不要总是自作聪明的 “我以为是这样的”。
新年快乐。
