[pwnable.kr]Dragon

0x00: dragon 是一个UAF漏洞的利用。

  • UseAfterFree 是堆的漏洞利用的一种 简单介绍 https://www.owasp.org/index.php/Using_freed_memory
  • 简单的来说就是 再次使用了 free 掉的内存

0x01:简单看一下

运行起来看一下

 

是一个RPG游戏,有两种角色,每个角色的技能不一样(战士法师之类的吧...)

在进IDA分析的时候,发现龙是分两种的 baby_dragon 和 mommy_dragon,两种的血量和攻击力也各不相同。

而且龙的结构体是通过动态分配,填充数据,在龙死亡之后这部分内存free掉,再次游戏就会再分配内存...如此循环

此外,发现一个神秘关卡

看着很美好,但是没什么x用,读取字符串限定长度,所以从这里拿不到shell的~

 

0x02:分析

还是要从内存分配上下手,只有先打赢dragon才可以free内存,再次分配,才会有机会玩。

会去看看龙的结构体
在dragon结构体中,表示血量的数据存储在 eax+8 的地方,还是 1 byte 的大小,范围应该是 0~127
龙种类有两种,我们需要出现mama dragon(血多,打的少)

 

龙的血量在小于零的时候就会死亡!这点很关键。

RPG游戏的角色有两个,knight和priest。每个角色技能不一样。
priest 的 3 可以 使用mp 使得 dragon攻击无效,这时候dragon血量会恢复。那就可以使用priest,耗到dragon血量 溢出,一旦小于零(溢出),那么dragon就死了,也就是让它加血加到溢出。
 
0x03:控制流程
IDA里查看流程,在胜利之后,free() 之后又重新malloc分配了龙的结构体,这时候 在输入名字的时候,我们可以控制4字节。(call eax)
 
也就是:先死亡一次,再利用priest角色的技能使龙加血加到溢出 死亡后有控制4字节的机会,把那4字节填充成system("/bin/sh")的地址,就可以拿到shell了。
 
0x04:怎么操作
 
大概流程:
  1. 故意死亡一次
  2. 选择priest角色  332 的操作3轮
  3. 最后程序会有输入,这时候写入4字节到eax,之后程序会call eax
 
验证漏洞
 
写出exp打远程服务器
 
打一发之后
 
 
 
哈哈哈 搞定了
 
结束语: UAF 挺有意思~ 顺便把pwnable.kr的UAF那个关卡也给秒了~挺简单的 就不写了
 
 

 

posted @ 2015-11-05 19:26 何沐 阅读(...) 评论(...) 编辑 收藏