看雪.WiFi万能钥匙 CTF 2017第四题 点评及解题思路

作者设计了一个存在 double free 和 uaf 漏洞的程序，攻击者需要利用 fastbin 的 malloc_consolidate 函数来造成 unlink，最后再布置栈构造 ropchain 即可完成攻击。作为一道漏洞挖掘和利用的题目，引起了大家广泛关注，成功破解该题人数达14人，并且漏洞利用各有千秋，甚至有人通过作者疏忽利用栈溢出破解了此题，攻防双方表现都非常精彩！

这题也是一般堆溢出的流程，主要有下面几个操作：

1. 创建

这一段代码比较多，但可以看到问题还是存在的，size和cun都是可以通过输入负数，接着通过强类型转换`unsigned int`来转换成很大的整数来整形溢出。

2. 删除

可以看到这里也是存在问题的，删除之前没有判断块是否被删除了，所以应该可以构造`double-free`

3. 编辑

这里就是正常的编辑，不过验证了块是否存在。

二、DOUBLE-FREE

一年前做过一道`double-free`之后就再也没碰过了，这里正好把相关知识点再温习一下。

堆结构如下，其中0,1,2,3表示一个单位长度。

正常`unlink`的函数主要代码如下：

如果能覆盖一个块的头部来达到控制其`bk`和`fd`的话，就能够成功修改任意地址的值了，但由于存在判断`FD->bk != P || BK->fd != P`，所以没法随便修改，这时就需要利用`double-free`了。

首先判断是需要通过的，所以可以有下面两个等

FD->bk = P   <=> FD+3 = P
BK->fd = P   <=> BK+2 =

接着就是构造一个堆头满足这两个等式了

pre_size     0
size         chunk_size + 1 //这两个条件表示堆仍在使用中
fd           p_addr - 3
bk           p_addr - 2

那么就能得到绕过判断后能实现的效果

FD->bk = BK => P = BK = P - 2
BK->fd = FD => P = FD = P - 3

所以最后实现的效果是`P=P-3`。

接着就是实现`double-free`的流程了，稍微盗一下图...

1. 新建两个 chunk 分别为 chunk0 和 chunk1

2. free 掉这两个块，第一块作为稍后 unlink 的块，另一块作为 free 的块

3. 新建一个块，这个块要能覆盖到 chunk1 的头部，从而伪造两个 chunk 的头，chunk0 的头部之前已经说过了，而 chunk1 需要欺骗操作系统 chunk0 是已经被free 了的，所以其头部应该如下

pre_size     chunk0_size
size         chunk1_size

然后整体实现如下：

4. 那么新建这个块就相当于是两个块了，然后我们 free chunk1，就能实现 unlink chunk0 从而使得 chunk0 的地址存放的值变成了 P-0x18

5. 接下来修改 chunk0 的值，修改的值为 0x18 个 padding，然后就能修改 chunk0 的地址的值了，这时修改成 free 的 GOT 表地址

6. 接下来再修改一次chunk0， 这次的值修改成 system 那么就会使得 free 的 GOT 表指向 system，接下来 free 的时候传入 /bin/sh 就能获取 shell 了

三、 EXP

在调试 EXP 过程中出现了这样俩个问题，需要注意一下。

第一个是这里的 P 指的是指向堆地址的指针，也就是`0x6020e0`，不要误以为是堆的地址哦。

第二个在这里我是把`/bin/sh`写在第0个堆，而用2，3来进行`double-free`，主要原因是由于在调试的过程中发现把`/bin/sh`写后面会被系统发现`double-free`。

具体EXP：