强网杯Pwn题baby_heap详细解析与利用技术<\/h1>

题目概述<\/h2>
这是一道来自2024年强网杯的Pwn题目，考察的是堆利用技术，结合了UAF漏洞和putenv调用链修改的技术点。题目提供了经典的菜单程序，包含添加、删除、编辑、显示等功能，并设置了沙箱限制。<\/p>

题目分析<\/h2>

主要函数功能<\/h3>

main函数<\/strong>：经典的菜单布局，提供6个选项：<\/p>

添加商品<\/li>
删除商品<\/li>
编辑商品<\/li>
显示商品<\/li>
环境变量操作<\/li>
任意地址写<\/li> <\/ul> <\/li>

set_IO函数<\/strong>：<\/p>

使用memset清零_IO_wfile_jumps<\/code>及其后0x300字节<\/li>
使用mprotect设置_IO_wfile_jumps_mmap<\/code>及其后0x1000字节为只读<\/li> <\/ul> <\/li>
沙箱限制<\/strong>：<\/p> 禁用了execve、open、openat等系统调用<\/li> <\/ul> <\/li> 堆操作函数<\/strong>：<\/p> add：最多申请5个堆块，大小限制在[0x500,0x600)区间<\/li> delete：存在UAF漏洞<\/li> edit：只有一次修改机会<\/li> show：只有一次展示机会<\/li> <\/ul> <\/li> environment函数<\/strong>：<\/p> 提供setenv、getenv、putenv操作<\/li> putenv函数是本题的关键漏洞点<\/li> <\/ul> <\/li> write_whatever函数<\/strong>：<\/p> 提供限定地址内的地址写功能<\/li> <\/ul> <\/li> <\/ol> 漏洞点分析<\/h3> UAF漏洞<\/strong>：delete函数未清空指针，导致释放后仍可使用<\/li> putenv调用链<\/strong>：putenv -> strchr -> __libc_alloca_cutoff -> strlen -> __add_to_environ<\/code><\/li> 关键函数位置<\/strong>：strlen函数在libc的.got.plt段中紧挨着_GLOBAL_OFFSET_TABLE_+16<\/code>的位置<\/li> <\/ol> 利用思路<\/h2> 解法一：篡改strlen@got.plt指向（预期解法）<\/h3> 核心思路<\/strong>：<\/p> 利用UAF泄露libc和堆地址<\/li> 构造ROP链实现openat2和sendfile系统调用<\/li> 通过修改GOT表实现控制流劫持<\/li> 利用putenv调用链触发漏洞<\/li> <\/ol> 详细步骤<\/strong>：<\/p> 泄露地址<\/strong>：<\/p> 通过large bin attack泄露libc地址<\/li> 通过unsorted bin泄露堆地址<\/li> <\/ul> <\/li> 构造ROP链<\/strong>：<\/p> 使用mprotect修改堆内存权限<\/li> 使用openat2打开文件<\/li> 使用sendfile读取文件内容<\/li> <\/ul> <\/li> GOT表修改<\/strong>：<\/p> 修改_GLOBAL_OFFSET_TABLE_+8<\/code>指向可控堆地址<\/li> 修改_GLOBAL_OFFSET_TABLE_+16<\/code>为栈迁移gadget<\/li> 修改strlen@got.plt指向特定地址<\/li> <\/ul> <\/li> 触发漏洞<\/strong>：<\/p> 调用putenv触发修改后的调用链<\/li> 执行ROP链获取flag<\/li> <\/ul> <\/li> <\/ol> 关键代码<\/strong>：<\/p> # 构造ROP链<\/span> <\/span><\/span>New_orw =<\/span> p64(pop_rdi) +<\/span> p64(heap -<\/span> 0x950<\/span>) +<\/span> p64(pop_rsi) +<\/span> p64(0x1000<\/span>) +<\/span> p64(pop_rdx_r12) +<\/span> p64(7<\/span>) +<\/span> p64(0<\/span>) +<\/span> p64(mprotect) +<\/span> p64(heap+<\/span>0x78<\/span>) <\/span><\/span>New_orw +=<\/span> asm(shellcraft.<\/span>pushstr('.\/flag'<\/span>) +<\/span> shellcraft.<\/span>openat2(-<\/span>100<\/span>, 'rsp'<\/span>, heap_base+<\/span>0x3000<\/span>, 0x30<\/span>) +<\/span> shellcraft.<\/span>sendfile(1<\/span>, 3<\/span>, 0<\/span>, 0x1000<\/span>)) <\/span><\/span> <\/span><\/span># 修改GOT表<\/span> <\/span><\/span>cmd(6<\/span>) <\/span><\/span>p.<\/span>sendafter(b<\/span>'Input your target addr <\/span>\n<\/span>'<\/span>,p64(GOT_1)) <\/span><\/span>p.<\/span>send(p64(pop_rsp_13_14_15_rbp) +<\/span> p64(PLT_GOT_0)) <\/span><\/span><\/code><\/pre>解法二：篡改strncmp@got.plt指向（非预期解法）<\/h3> 核心思路<\/strong>：<\/p> 修改strncmp@got.plt指向puts函数<\/li> 利用putenv调用链中的strncmp调用泄露环境变量<\/li> 从环境变量中获取flag<\/li> <\/ol> 详细步骤<\/strong>：<\/p> 泄露libc地址<\/li> 获取strncmp@got.plt地址<\/li> 修改strncmp@got.plt指向puts<\/li> 调用putenv触发环境变量打印<\/li> <\/ol> 关键代码<\/strong>：<\/p> # 修改strncmp@got.plt<\/span> <\/span><\/span>cmd(6<\/span>) <\/span><\/span>p.<\/span>sendafter(b<\/span>'Input your target addr <\/span>\n<\/span>'<\/span>,p64(strncmp_got)) <\/span><\/span>p.<\/span>send(p64(puts)) <\/span><\/span> <\/span><\/span># 触发putenv<\/span> <\/span><\/span>cmd(5<\/span>) <\/span><\/span>p.<\/span>sendlineafter(b<\/span>'Maybe you will be sad !<\/span>\n<\/span>'<\/span>,b<\/span>'2'<\/span>) <\/span><\/span><\/code><\/pre>技术要点总结<\/h2> UAF利用<\/strong>：<\/p> 通过释放后重用泄露地址<\/li> 结合large bin attack实现信息泄露<\/li> <\/ul> <\/li> putenv调用链<\/strong>：<\/p> 理解libc函数调用关系<\/li> 利用strlen在调用链中的关键位置<\/li> <\/ul> <\/li> GOT表修改技巧<\/strong>：<\/p> 利用_GLOBAL_OFFSET_TABLE_结构<\/li> 通过修改相邻GOT表项实现控制流劫持<\/li> <\/ul> <\/li> 沙箱绕过<\/strong>：<\/p> 使用openat2替代被禁用的open\/openat<\/li> 使用sendfile读取文件内容<\/li> <\/ul> <\/li> ROP链构造<\/strong>：<\/p> 在受限环境下构造有效ROP链<\/li> 使用mprotect修改内存权限<\/li> <\/ul> <\/li> <\/ol> 防御建议<\/h2> 修复UAF漏洞<\/strong>：<\/p> 释放后及时清空指针<\/li> 使用双重释放检测机制<\/li> <\/ul> <\/li> 保护GOT表<\/strong>：<\/p> 启用RELRO保护<\/li> 监控GOT表修改行为<\/li> <\/ul> <\/li> 沙箱加固<\/strong>：<\/p> 限制更多危险系统调用<\/li> 监控非常规系统调用使用<\/li> <\/ul> <\/li> 环境变量清理<\/strong>：<\/p> 确保比赛环境干净<\/li> 清除敏感环境变量<\/li> <\/ul> <\/li> <\/ol> 扩展思考<\/h2> 其他可能的利用方式<\/strong>：<\/p> 利用__free_hook等传统hook点<\/li> 结合IO_FILE结构进行利用<\/li> <\/ul> <\/li> 防御演进<\/strong>：<\/p> 如何防御类似的GOT表修改攻击<\/li> 更严格的沙箱策略设计<\/li> <\/ul> <\/li> 相关技术延伸<\/strong>：<\/p> House of系列堆利用技术<\/li> 其他环境变量相关漏洞<\/li> <\/ul> <\/li> <\/ol> 这道题目展示了现代Pwn题目中堆利用与环境变量操作的结合，对理解libc内部机制和复杂漏洞利用链的构建有很好的学习价值。<\/p>

强网杯Pwn题baby_heap详细解析与利用技术<\/h1>

题目概述<\/h2> 这是一道来自2024年强网杯的Pwn题目，考察的是堆利用技术，结合了UAF漏洞和putenv调用链修改的技术点。题目提供了经典的菜单程序，包含添加、删除、编辑、显示等功能，并设置了沙箱限制。<\/p>

题目分析<\/h2>

利用思路<\/h2>

题目概述<\/h2>
这是一道来自2024年强网杯的Pwn题目，考察的是堆利用技术，结合了UAF漏洞和putenv调用链修改的技术点。题目提供了经典的菜单程序，包含添加、删除、编辑、显示等功能，并设置了沙箱限制。<\/p>