HTB Auth-or-not PWN题解：自定义堆管理漏洞分析与利用<\/h1>

题目概述<\/h2>
这是一个来自Hack The Box的PWN挑战，名为"Auth-or-not"，主要考察对自定义堆管理器的漏洞分析和利用能力。题目实现了一个自定义的内存管理机制，通过分析其内存布局和操作逻辑，我们可以发现并利用其中的漏洞。<\/p>

逆向分析<\/h2>

主要结构体<\/h3>
题目保留了符号信息，关键结构体定义如下：<\/p>
struct<\/span> Author {
<\/span><\/span>    char<\/span> Name[16<\/span>];
<\/span><\/span>    char<\/span> Surname[16<\/span>];
<\/span><\/span>    char<\/span> *<\/span>Note;         \/\/ 通过ta_alloc分配
<\/span><\/span><\/span><\/span>    size_t NoteSize;    \/\/ 用户可控
<\/span><\/span><\/span><\/span>    void<\/span> (*<\/span>Print)(char<\/span>*<\/span>); \/\/ 函数指针，可用于RCE
<\/span><\/span><\/span><\/span>};
<\/span><\/span><\/code><\/pre>功能函数<\/h3>


add_author<\/strong>:<\/p>

使用ta_alloc<\/code>自定义分配器申请内存<\/li>
NoteSize<\/code>完全由用户控制<\/li>
当输入-1<\/code>时，会返回无符号的-1<\/code>，实际上分配0字节内存但仍可写入数据，导致堆溢出<\/li>
<\/ul>
<\/li>

get_from_user<\/strong>:<\/p>

读取用户输入时没有NULL终止符<\/li>
结合%s<\/code>打印操作可泄露后续内存内容<\/li>
<\/ul>
<\/li>

print_author<\/strong>:<\/p>

通过结构体调用Print<\/code>函数指针<\/li>
关键利用点，可用于RCE<\/li>
<\/ul>
<\/li>

delete_author<\/strong>:<\/p>

只清空结构体指针，不清理Note<\/code>指针<\/li>
存在UAF(Use After Free)隐患<\/li>
<\/ul>
<\/li>
<\/ol>
漏洞分析<\/h2>
主要漏洞点<\/h3>


整数溢出导致堆溢出<\/strong>:<\/p>

当NoteSize<\/code>输入为-1<\/code>时，NoteSize+1<\/code>变为0<\/code><\/li>
但仍能写入数据，造成堆溢出<\/li>
<\/ul>
<\/li>

信息泄露<\/strong>:<\/p>

get_from_user<\/code>不添加NULL终止符<\/li>
通过精心构造可泄露栈地址、PIE地址和libc地址<\/li>
<\/ul>
<\/li>

UAF问题<\/strong>:<\/p>

delete_author<\/code>不清理Note<\/code>指针<\/li>
结合堆布局可实现内存重用<\/li>
<\/ul>
<\/li>
<\/ol>
堆布局观察<\/h3>
申请两个author后的栈上模拟堆布局：<\/p>
第一次申请:
- 大小: -1 (实际0)
- 地址: 0x7fff30589f18 (可控)
- 内容被第二次申请覆盖
<\/code><\/pre>
这种布局意味着：<\/p>

释放第一次申请<\/li>
重新申请并覆盖第二次申请的部分内容<\/li>
通过精心构造可泄露地址信息<\/li>
<\/ol>
利用策略<\/h2>
利用步骤<\/h3>


泄露栈和PIE地址<\/strong>:<\/p>

完全覆盖Name<\/code>和Surname<\/code>字段<\/li>
相邻的Note<\/code>指针会被Print<\/code>打印出来<\/li>
调整指针指向可泄露PrintNote<\/code>函数地址，计算PIE基址<\/li>
<\/ul>
<\/li>

泄露libc地址<\/strong>:<\/p>

题目未提供libc文件<\/li>
需要泄露libc符号地址并通过libc database查询<\/li>
实验确定具体libc版本<\/li>
<\/ul>
<\/li>

实现RCE<\/strong>:<\/p>

覆盖Print<\/code>函数指针为system<\/code><\/li>
Print<\/code>调用时传入Note<\/code>指针作为参数<\/li>
将Note<\/code>内容设置为\/bin\/sh<\/code>即可获取shell<\/li>
<\/ul>
<\/li>
<\/ol>
关键技巧<\/h3>


堆风水(Heap Feng Shui)<\/strong>:<\/p>

通过控制分配和释放顺序操纵内存布局<\/li>
实现内存重用和覆盖<\/li>
<\/ul>
<\/li>

地址计算<\/strong>:<\/p>

通过泄露的地址计算关键函数地址<\/li>
包括PIE基址、libc基址等<\/li>
<\/ul>
<\/li>

函数指针劫持<\/strong>:<\/p>

利用自定义堆管理器的缺陷覆盖函数指针<\/li>
将控制流导向system<\/code>等危险函数<\/li>
<\/ul>
<\/li>
<\/ol>
EXP编写要点<\/h2>
辅助函数<\/h3>


泄露地址函数<\/strong>:<\/p>
def<\/span> leak_address<\/span>():
<\/span><\/span>    # 构造特定布局<\/span>
<\/span><\/span>    # 触发信息泄露<\/span>
<\/span><\/span>    # 解析返回数据获取地址<\/span>
<\/span><\/span>    return<\/span> address
<\/span><\/span><\/code><\/pre><\/li>

计算偏移<\/strong>:<\/p>
def<\/span> calculate_offsets<\/span>(leaked_addr):
<\/span><\/span>    pie_base =<\/span> leaked_addr -<\/span> 0x1234<\/span>  # 根据实际偏移调整<\/span>
<\/span><\/span>    libc_base =<\/span> leaked_libc_addr -<\/span> 0x5678<\/span>
<\/span><\/span>    return<\/span> pie_base, libc_base
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
完整利用流程<\/h3>

泄露PIE地址<\/li>
泄露libc地址并确定版本<\/li>
计算system<\/code>地址<\/li>
构造内存布局覆盖Print<\/code>指针<\/li>
设置Note<\/code>内容为\/bin\/sh<\/code><\/li>
触发Print<\/code>调用获取shell<\/li>
<\/ol>
总结<\/h2>
这道题目展示了自定义堆管理器的常见漏洞模式：<\/p>

整数处理不当导致的溢出<\/li>
内存管理不严谨导致的UAF<\/li>
函数指针缺乏保护<\/li>
<\/ol>
通过分析内存布局而非深入堆管理细节，可以更高效地发现和利用漏洞。关键点在于：<\/p>

观察内存实际布局而非陷入实现细节<\/li>
利用信息泄露构建完整的内存图景<\/li>
通过堆操作控制关键数据结构的覆盖<\/li>
<\/ul>
这种思路适用于大多数自定义内存管理的PWN题目。<\/p>