CISCN&CCB25半决赛PWN题解 - 堆溢出漏洞分析与利用<\/h1>

题目概述<\/h2>
这是一道来自CISCN&CCB25半决赛的PWN题目，主要考察堆溢出漏洞的利用。题目实现了一个基于protobuf协议的程序，提供了增删查改四个功能，存在堆溢出漏洞，最终目标是获取shell。<\/p>

漏洞分析<\/h2>

1. 程序交互与protobuf结构<\/h3>

程序使用protobuf协议进行通信，关键结构定义如下：<\/p>

syntax =<\/span> "proto2"<\/span>;
<\/span><\/span><\/span><\/span>message<\/span> devicemsg<\/span>{
<\/span><\/span><\/span><\/span>    required<\/span> int32<\/span> option<\/span> =<\/span> 1<\/span>;      \/\/ 功能选项
<\/span><\/span><\/span><\/span>    required<\/span> int32<\/span> chunk_sizes =<\/span> 2<\/span>; \/\/ 堆块大小
<\/span><\/span><\/span><\/span>    required<\/span> int32<\/span> heap_chunks_id =<\/span> 3<\/span>; \/\/ 堆块ID
<\/span><\/span><\/span><\/span>    required<\/span> bytes<\/span> heap_content =<\/span> 4<\/span>;  \/\/ 堆内容
<\/span><\/span><\/span><\/span>}
<\/span><\/span><\/span><\/code><\/pre>交互注意事项<\/strong>：<\/p>

程序首先读取4字节作为payload长度<\/li>
后续payload会被解析为protobuf结构<\/li>
需要特别注意chunk_sizes<\/code>和实际堆块大小的区别<\/li>
<\/ul>
2. 漏洞点定位<\/h3>
主要漏洞存在于edit功能中：<\/p>
v2 =<\/span> **<\/span>((_QWORD **<\/span>)&<\/span>heaplist +<\/span> v1);       \/\/ 获取堆块size
<\/span><\/span><\/span><\/span>read(0<\/span>, s, 0x100uLL<\/span>); 
<\/span><\/span>snprintf(*<\/span>((char<\/span> **<\/span>)&<\/span>heaplist +<\/span> v1), (size_t)"%lu"<\/span>, s, 8LL<\/span>); \/\/ 溢出点
<\/span><\/span><\/span><\/code><\/pre>漏洞细节<\/strong>：<\/p>

可以写入0x100字节数据到堆上<\/li>
能够覆盖相邻堆块的元数据，特别是size字段<\/li>
通过控制size字段可以实施后续攻击<\/li>
<\/ul>
3. 功能分析<\/h3>
程序提供四个主要功能：<\/p>

add<\/strong> - 分配堆块<\/li>
delete<\/strong> - 释放堆块<\/li>
edit<\/strong> - 编辑堆块（存在溢出）<\/li>
show<\/strong> - 显示堆块内容<\/li>
<\/ol>
漏洞利用步骤<\/h2>
1. 泄露libc地址<\/h3>

分配两个相邻堆块<\/li>
使用edit功能溢出第一个堆块，覆盖第二个堆块的size字段<\/li>
释放被修改size的堆块，使其进入unsorted bin<\/li>
通过show功能泄露unsorted bin中的fd指针（指向main_arena）<\/li>
<\/ol>
2. 泄露堆地址<\/h3>

再次利用堆溢出修改unsorted bin的fd指针<\/li>
通过特定布局使堆地址被包含在可读内存中<\/li>
使用show功能泄露堆地址<\/li>
<\/ol>
3. Tcache攻击<\/h3>

使用堆溢出修改tcache的fd指针<\/li>
通过tcache poisoning攻击tcache perthread结构<\/li>
控制tcache的counters来操纵堆分配<\/li>
<\/ol>
4. 攻击IO结构体<\/h3>

伪造堆块size为0x1e1<\/li>
通过tcache攻击申请到伪造的堆块<\/li>
控制堆块数量为7后释放，使libc地址落入堆块fd位<\/li>
修改fd指向stdout结构体上方<\/li>
爆破倒数第四位地址<\/li>
修改stdout结构体的flags为0xfbad1800<\/li>
覆盖write_base低位以泄露libc地址<\/li>
<\/ol>
5. 获取shell<\/h3>

再次使用tcache攻击，这次目标是__free_hook<\/li>
申请free_hook-8的堆块以便写入<\/li>
将__free_hook覆盖为system地址<\/li>
释放一个包含"\/bin\/sh"的堆块获取shell<\/li>
<\/ol>
关键技术点<\/h2>

堆溢出控制<\/strong>：精确控制溢出数据以修改相邻堆块的size和fd指针<\/li>
tcache攻击<\/strong>：利用tcache poisoning攻击tcache perthread结构<\/li>
IO结构体攻击<\/strong>：通过修改stdout结构体泄露libc地址<\/li>
地址爆破<\/strong>：需要爆破倒数第四位地址以精确控制目标位置<\/li>
protobuf交互<\/strong>：正确构造protobuf消息与程序交互<\/li>
<\/ol>
防御措施<\/h2>

增加堆块间的保护机制（如canary）<\/li>
对用户输入的size进行严格校验<\/li>
使用安全的字符串拷贝函数替代snprintf<\/li>
及时更新libc版本以利用新的防护机制<\/li>
<\/ol>
总结<\/h2>
这道题目综合考察了堆溢出、tcache攻击和IO结构体攻击等技术，需要选手对glibc堆管理机制有深入理解。通过精确控制堆布局和利用多种攻击技术组合，最终实现任意代码执行。<\/p>

CISCN&CCB25半决赛PWN题解 - 堆溢出漏洞分析与利用<\/h1>

题目概述<\/h2> 这是一道来自CISCN&CCB25半决赛的PWN题目，主要考察堆溢出漏洞的利用。题目实现了一个基于protobuf协议的程序，提供了增删查改四个功能，存在堆溢出漏洞，最终目标是获取shell。<\/p>

漏洞分析<\/h2>

漏洞利用步骤<\/h2>

总结<\/h2> 这道题目综合考察了堆溢出、tcache攻击和IO结构体攻击等技术，需要选手对glibc堆管理机制有深入理解。通过精确控制堆布局和利用多种攻击技术组合，最终实现任意代码执行。<\/p>

题目概述<\/h2>
这是一道来自CISCN&CCB25半决赛的PWN题目，主要考察堆溢出漏洞的利用。题目实现了一个基于protobuf协议的程序，提供了增删查改四个功能，存在堆溢出漏洞，最终目标是获取shell。<\/p>

总结<\/h2>
这道题目综合考察了堆溢出、tcache攻击和IO结构体攻击等技术，需要选手对glibc堆管理机制有深入理解。通过精确控制堆布局和利用多种攻击技术组合，最终实现任意代码执行。<\/p>