一道堆方向的pwn(堆溢出、堆拼接)
这道题是17年0ctf的一道题,从里面还是能学到许多东西的
babyheap
这里我就直接记录我的做题过程
在此之前,查看保护信息,发现保护全开,emmmm
Arch: amd64-64-little
RELRO: Full RELRO
Stack: Canary found
NX: NX enabled
PIE: PIE enabled
代码分析
先来看看伪代码
main函数就不做介绍了
第一个函数,分配一块空间,存放结构体,这个结构体的结构待会再看
然后是第二个函数,就一个菜单
接着是第三个函数,输入自己的选项
紧接着的四个函数就分别对应菜单四个选项的函数依次认为是add、fill、free、show
- add函数
需要输入该结构体中content字段大小,函数根据大小开辟空间并返回堆地址,得到结构体
结构体大致为
struct
{
flag; //flag=0表示该结构体处于空闲,反之就是非空闲
size; //content的大小
*content; //字符串指针,它指向的是一个堆的地址
//这三个字段都占8字节,flag字段需要八字节对齐,所以也占了8字节,这不用太在意
}
- fill函数
如下
fill函数,首先输入需要写的编号,然后给出需要写的大小,最后输入字符串
这里没有对size的大小进行限制,因此存在堆溢出
- Free函数
该函数不仅仅对堆进行free操作,同时还将结构体也进行了初始化操作
将flag=0
size = 0
*content = NULL
那么传统的double free就行不通了,需要想起他办法
- show函数
这个就不多说了
解题过程
我一开始想到的思路是利用double free来解题
但是,看到Free函数的构造后,发现行不通了
接着在fill函数,size没有大小限制,我就想,我先构造几个堆,然后释放一个较大的堆,让他进如unsorted bins中,然后在通过fill函数写第一个堆,同时将size设置到刚好覆盖到被释放的那个堆的开始,这样我打印第一个堆的内容就可以打印出main_arena+88的地址了
如下
add(0x10)
add(0x80)
add(0x10)
free(1)
fill(0, b'a' * 0x20)
show(0)
print(p.recvline())
print(p.recvline())
但是,show函数中,输出字符并不是遇到/00截断,它即便是/00也会输出,它是通过结构体中size字段进行判断的,使用在这里输入虽然存在溢出,但是输出却不会溢出,所以只输出了0x10个字符
那么只能想办法改掉结构体中size这个字段了
首先,size字段只能在指向add函数时进行,那么需要先释放掉这个结构体然后重新申请更大空间,并且这个空间包含了之后被释放进入unsorted bins的那个堆
大致过程如下(灰色表示处于free状态)
结合下面的代码来看
add(0x10)
add