【CTF解题】BCTF2018-houseofatum-Writeup题解

最新推荐文章于 2022-12-19 01:30:00 发布

IT老涵

最新推荐文章于 2022-12-19 01:30:00 发布

阅读量443

点赞数

分类专栏：安全网络 CTF 文章标签： ubuntu 网络安全计算机网络

本文链接：https://blog.csdn.net/HBohan/article/details/120766607

版权

本文详细介绍了BCTF2018-houseofatum题目的解题思路，包括程序分析、漏洞利用、泄露Chunk的fd地址、伪造chunk和泄露libc地址等步骤。通过分析chunk结构和利用堆内存管理的漏洞，最终实现动态获取libc基地址并执行system('/bin/sh')，获取shell。文章还提及了one-gadget的安装和知识点复习，适合网络安全学习者参考。

摘要由CSDN通过智能技术生成

在这里插入图片描述
先把ld和Libc给换成题目给的

patchelf --set-interpreter ./glibc-all-in-one/libs/2.26-0ubuntu2_amd64/ld-2.26.so  --replace-needed 
./glibc-all-in-one/libs/2.27-3ubuntu1_amd64/libc.so.6 ./glibc-all-in-one/libs/2.26-
0ubuntu2_amd64/libc-2.26.so houseofAtum

程序分析

这里只进行一些简单的分析，其他的博客分析的很详细了

bigeast@ubuntu:~/Desktop/ctf$ ./houseofAtum
1. new
2. edit
3. delete
4. show

int __cdecl __noreturn main(int argc, const char **argv, const char **envp)
{
   
  int v3; // eax
 
  initialize(argc, argv, envp);
  while ( 1 )
  {
   
    while ( 1 )
    {
   
      while ( 1 )
      {
   
        v3 = menu();
        if ( v3 != 2 )
          break;
        edit();
      }
      if ( v3 > 2 )
        break;
      if ( v3 != 1 )
        goto LABEL_13;
      alloc();
    }
    if ( v3 == 3 )
    {
   
      del();
    }
    else
    {
   
      if ( v3 != 4 )
LABEL_13:
        exit(0);
      show();
    }
  }
}

int alloc()
{
   
  int i; // [rsp+Ch] [rbp-4h]
 
  for ( i = 0; i <= 1 && notes[i]; ++i )
    ;
  if ( i == 2 )
    return puts("Too many notes!");
  printf("Input the content:");
  notes[i] = malloc(0x48uLL);
  readn(notes[i], 72LL);
  return puts("Done!");
}

这里ull表示无符号长整形，ll表示长整型，就是8字节。
这里72=0x48,72LL表示用8字节来存储72。没有在字符串末尾添加/x00，而且没有初始化，可能存在泄漏。利用visit或者show函数打印的时候就能泄漏了。

unsigned __int64 del()
{
   
  int v1; // [rsp+0h] [rbp-10h]
  char v2[2]; // [rsp+6h] [rbp-Ah] BYREF
  unsigned __int64 v3; // [rsp+8h] [rbp-8h]
 
  v3 = __readfsqword(0x28u);
  printf("Input the idx:");
  v1 = getint();
  if ( v1 >= 0 && v1 <= 1 && notes[v1] )
  {
   
    free((void *)notes[v1]);
    printf("Clear?(y/n):");
    readn(v2, 2uLL);
    if ( v2[0] == 121 )
      notes[v1] = 0LL;
    puts("Done!");
  }
  else
  {
   
    puts("No such note!");
  }
  return __readfsqword(0x28u) ^ v3;
}

当clear选择n的时候，不会清空note数组的指针，而edit和show都是通过这个来判断一个note是否存在。

漏洞利用的参考程序

参考链接，https://changochen.github.io/2018-11-26-bctf-2018.html
受上文的启发，虽然他的图画错了（头节点不应该指向其fd而应该指向chunk头）

实验该参考程序过程发现了一个小现象：

当malloc(0x20)，分配的chunk的size为0x21
当malloc(0x28)，分配的chunk的size为0x21
当malloc(0x29)，分配的chunk的size为0x41
0x20=32字节，是分配一个chunk的最小空间=presize+size+fd+bk=32字节。size后面多1表示上一个chunk的状态。可以看到当malloc(28)，显示的size仍然为0x21，肯定是和后一个chunk的presize复用了。

#include <unistd.h>
#include <stdlib.h>
#include <malloc.h>
void main(){
   
void *a = malloc(0x28);
void *b = malloc(0x28);
// fill the tcache
for(int i=0; i<7 ;i++){
   
    free(a);
}
sleep(0);
free(b);//fast bin
 
//What will happen with this:
free(a);// fast bin
}