本文通过分析bookwriter题目,深入探讨了如何利用top chunk的溢出、unsort_bin攻击以及_IO_FILE结构来控制程序流程。首先,通过溢出获取堆地址,接着利用Edit函数重写size数组,借助Read函数的漏洞进行off-by-one攻击。然后,通过调整堆块大小泄露libc地址。最后,详细阐述了如何利用malloc错误处理机制,通过劫持_IO_FILE结构调用system函数执行shell。
前一段时间研究了著名的house_of_orange,于是趁热打铁赶紧做了一道类似的题目bookwriter以巩固姿势。
0x01题目分析
程序行为:
输入作者名字、添加、查看书页内容、编辑、查看信息。
Add函数如下,作用是为每个page分配内存并将堆地址存放在全局数组heap_address,同时全局数组size存放了对应page的大小,size控制着每次edit输入内容的大小,因此要成功溢出必须覆盖size内容。heap_address与size数组相邻。
Edit函数,作用是修改page内容,重写size数组。读取的内容长度受到size的控制。
Read函数存在漏洞,只有当最后一位为换行符则转换为截断符,如果是别的字符则起不到截断作用,这个特点在后面可以用来绕过长度检测。
0x02利用点
- Author_name数组、heap_address、size三个数组在bss段上相邻,可以将Author_name写到heap_address边界,再用Show函数将heap_address第一个元素泄露出来由此得到堆地址。
- heap_address大小为8,但是Add函数处理不当,导致可以写入9个page覆盖到了size数组第一个元素,造成可以对page[0]写入任意长度内容。
- 利用Read函数漏洞可以实现类似off-by-one攻击,重写top chunk大小。
0x03泄露libc地址
因为程序中有堆的越界写,可以修改top chunk的大小。在malloc源码里面如果申请的堆块大小超过了
最低0.47元/天 解锁文章
450
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
