首页
论坛
专栏
课程

[原创]第四题设计思路

ReeHY 2017-6-9 12:28 635

考点:

malloc_consolidate+unlink+rop

运行环境:

1. amd64(作者本地测试为kali,远程测试环境为ubuntu16.04),无libc要求,已经上传远程测试libc

2. 开启aslr

编译方式:gcc -no-pie main.c -o main ; strip main

题目说明:

1. 题目可以给出bin与libc供下载,也可以仅给出bin文件,通过查找libc-db的方式找到对应libc版本号(作为一只pwn狗,建议给出libc,省去大家查libc的浪费的生命。。QAQ都是血泪史)


设计思路:

1. 首先给用户输入姓名,此时以malloc一个chunk的方式存储用户的输入

2. 给了4个功能,create、delete、edit、show,其中show功能无效

3. create函数可以申请一个小于4096字节的chunk,并往里面写入数据,然后置flag位为1,同时用一个全局变量number来记录已申请的chunk个数,number不得大于4.

4. delete函数可以free一个指针并置flag位为0,但是不检查是否已经free这个指针

5. edit检查flag位,只能修改已经flag为1的chunk

6. 数据结构如下


漏洞点:

1. uaf,在dele一个指针后没有清零,可以再次free这个freed的指针

2. 漏洞什么的。。应该没了吧。。


漏洞利用:

1. 主要利用fastbin的malloc_consolidate这个函数来造成unlink,后面再布置栈构造ropchain即可。

2. 在申请large bin的时候,会将freed fastbin的inuse位清零,同时进行合并,将合并后的堆块放入unsortbins中。然后遍历unsortbins,按照大小分别放入smallbins和largebins中。

3. 这时利用uaf,free一个fastbin,也就是我们刚才申请的0x30大小的块,将它链入fastbins的单向链表中。因为当我们从fastbins中分配不会置后一个chunk的inuse位为1,但是由于之前的malloc_consolidate已经使得该fastbin的后一个chunk的inuse位为0,所以造成一个矛盾,是的我们能够unlink

4. 分配一个0x20大小的chunk,置后一个chunk的presize位为我们刚才分配的fastbin的大小,为unlink做准备,0x20会从之前合并的smallbins中切割,然后该smallbins移到unsortbins中,并成为last_remainder。

5. 修改0x30的fastbin,并填充unlink的payload,再在之后分配一个smallbin大小的chunk,使得unsortbin中的chunk移到smallbins(因为unsortbins有一个check,会检查第一个chunk的bk是否指向unsortbin的头),最后delete触发unlink。

6. 接下来的事情就简单了,修改fflush的got表为add rsp 8; ret的gadget,然后用rop泄露libc基址,最后修改free_got为system即可。

7. free一个事先写好/bin/sh\0的chunk拿shell即可。


PS:

因为可以malloc任意大小,还有uaf,漏洞略大,但已经尽力避免未预料解法了。。选中的话希望不要被师傅们秒掉。。

PPS:

好像国内的CTF还没见过考malloc_consolidate的。。也可能我比赛打的少了XD




[防守篇]2018看雪.TSRC CTF 挑战赛(团队赛)11月1日征题开启!

最新回复 (0)
返回