本文详细介绍了在HITB Dubai 2019比赛中遇到的一个WebAssembly(WASM)漏洞,涉及了一个名为polyfill.wasm的程序。比赛过程中,通过分析发现了Use-After-Free(UAF)漏洞,但由于对堆不熟悉,未能成功构造利用。文章提到了漏洞存在于`del_if_unused`函数中,修复尝试未达到预期效果,并揭示了另一个绕过检查的方法,涉及到第22个poly槽的反向检查。作者分享了利用思路和修复后的分析,以及如何通过修改WAT代码来解决此问题。
Polyfill
写作dubai-ctf,然而在阿布扎比举办233
风格迥异,被毛子吊锤一百遍啊一百遍
第二天主要在看一个wasm的pwn,发现了UAF的漏洞但是由于对heap没了解所以没写利用。队里的pwn手觉得没法用所以没写,最后偷了流量重发爽了一天。赛中修复了题目,但是并没有起效。事后分析了一下确实是那个UAF的洞。
http是一个web演示接口,可以通过html+js+engine.wasm来加载polyfill.wasm
tcp则可以通过wasmtime直接执行它
wasmtime --dir=flags polyfill.wasm
可以登录或者注册,每个服务器上会由check上传flag,所以目标就是越权读取其他账户
总的来说是一个画图的功能,有frame、poly、point三层结构
10个frame,每个Frame上有25个poly的槽,这些是在全局变量中
每次申请new_poly时则会malloc(0x64),将指针填入frame的槽中
然后每个point占用2个字节,存在poly里
所以每个poly里最多有50个point
类似于菜单题,所以可以任意读写、malloc、free
漏洞点在del_if_unused中
在del之前会直接将该槽置0,然后检查其他地方是否有该指针的拷贝,如果没有则Free
但是当判断到0的时候会直接跳过整个frame,所以存在check的bypass
(此处应有图,但是迪拜好像上传不上csdn的图床2333)
具体利用就不搞了,对堆不熟悉_(:」∠)<
最低0.47元/天 解锁文章
扫一扫
6万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
