铁人三项2018 pwn [heapmain] Writeup

这个题目的原题是RHME3，直接拿来二进制修改，去掉网络函数，使用socat部署。这波操作可还行

分析

废话不多说，题目漏洞比较明显，在于使用函数delete_player后没有置空selected导致UAF。那么，我们能用这个UAF干什么呢？

程序中player的数据结构是这样的

struct player{
    int32 attack;
    int32 defense;
    int32 speed;
    int32 precision;
    char* name;
}

这块就有个关键点edit_player中的set_name函数，用来修改name字段的时候用到了realloc函数。这个函数比较特殊，可以在制定地址上重新分配一个堆，即可以对给定的指针所指的空间进行扩大或者缩小 。当然，扩大的时候会破坏其他内存则类似malloc重新分配一个指针指向的内存空间。

泄露堆地址（貌似没啥用）

首先，我们可以通过以下方法泄露堆的地址：

1.分配一个player 1，name的长度为23，则name会分配24字节。

2.选中这个player 1

3.释放这个player 1

4.显示这个player 1，这时候1->name中的fd指向player 1的地址。打印name的时候就会把player的地址打印出来。

泄露libc地址

接着，我们可以通过以下方法泄露libc的地址：

1.分配一个player 1，name的长度为23，则name会分配24字节。

2.选中这个player 1

3.释放这个player 1

4.分配一个player 2，这块内存其实是1->name。2->name长度为23，这块内存为1->player。

5.编辑player 1，1->name长度扩展为0x90。

6.再创建一个player 3（作用是隔开0x90的内存和top chunk，防止free后合并到top chunk）

7.然后释放palyer 2，也就是把1->name的内存释放，此时这块内存被放入unsorted bin里，link到main_arena上

8.show player1 会泄露出libc上的main_arena的地址，就可以计算出libc的基址，由于给了libc就可以求出system的地址

GOT劫持

接下来是控制执行流程（realloc分配内存到got上，覆盖aoit的got为system）：

1.分配player 1，name长度80

2.分配player 2，name长度80

3.选中1

4.释放player 1，释放player 2

5.分配一个player 3，name的长度为23，内容为'a'*16 + atoi_got。此时player3 的内存为player2，player3->name为player1。

6.修改player->name为system，此时会将atoi_got分配给我们，然后system的地址会填入atoi。

7.最后输入sh即可

EXPLOIT

最后的利用脚本点击https://blog.formsec.cn/2018/06/05/%E9%93%81%E4%BA%BA%E4%B8%89%E9%A1%B92018-pwn-heapmain-Writeup/

查看

往期精彩回顾

DedeCMS任意用户密码重置漏洞

从CPU漏洞Meltdown&Spectre看侧信道攻击

渗透技巧 | Windows上传并执行恶意代码的N种姿势