house of spirits

House of Spirit

Free a fake fastbin chunk to get malloc to return a nearly-arbitrary pointer. said How2Heap

fastbin attack的要点在于通过fastbin单链表的特性申请到敏感地址完成任意地址写，一种是类似double free和UAF这种申请真的chunk，另外一种方法就是伪造chunk。

Principe

通过绕过fastbin的free()的相关检查，将fake_chunk放入fastbin
Arbitrary Alloc：劫持chunk的fd指针指向任意的可写内存，只要满足目标地址存在合法的 size 域

Premise

1. 能够劫持chunk的fd指针

2. 能够构造符合下列条件的fake_chunk

• fake chunk 的 ISMMAP 位不为 1
• fake chunk 地址需对齐，MALLOC_ALIGN_MASK
• fake chunk 的 size 大小需要满足对应的 fastbin 的需求，同时也得对齐。
• fake chunk 的 next chunk 的大小不能小于 2 * SIZE_SZ，同时也不能大于av->system_mem 。
• fake chunk 对应的 fastbin 链表头部不能是该 fake chunk，即不能构成 double free 的情况。

Steps

将存在的指针改写指向我们伪造的块（这个块可以位于堆、栈、bss任何一个位置）并且free掉欺骗glibc达到把伪造块回收到bins中。

不过在free之前，需要设置当前伪造块和下一个伪造块的size字段，满足free()的安全检测机制，从而欺骗glibc。

Example

hack.lu oreo

Reverse Analysis

puts("What would you like to do?\n");
printf("%u. Add new rifle\n", 1);
printf("%u. Show added rifles\n", 2);
printf("%u. Order selected rifles\n", 3);
printf("%u. Leave a Message with your Order\n", 4);
printf("%u. Show current stats\n", 5);
printf("%u. Exit!\n", 6);

以为会是卖饼干的，结果是卖军火的，sad

oreo: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 2.6.26, BuildID[sha1]=f591eececd05c63140b9d658578aea6c24450f8b, stripped

gdb-peda$ checksec
CANARY    : ENABLED
FORTIFY   : disabled
NX        : ENABLED
PIE       : disabled
RELRO     : disabled

add()

v1 = record;//record是bss段的全局变量
record = (char *)malloc(0x38u);//大小是 0x38 大小，所以其对应的 chunk 为 0x40
if ( record )
{
  *((_DWORD *)record + 13) = v1;
    //record + 52(13*4,4是DWORD的长度)的地址存放下一个record，记为next_record
  printf("Rifle name: ");
  fgets(record + 25, 56, stdin);//record + 25的地址存放rifle_name，最大长为56
  check(record + 25);//把fgets读取到的末尾的'\n'改成\x00，截断
  printf("Rifle description: ");
  fgets(record, 56, stdin);//record的地址存放rifle_description，最大长为56
  check(record);
  ++number;
}
else
{
  puts("Something terrible happened!");
}

可以看到，从record + 25到record + 52有31个字节，而这里可以读入56个字节，说明rifle_name可以覆盖掉record + 52的old_record指针

存在堆溢出漏洞：record总大小才0x40,name都读到+81的地方了，会覆盖到下一个chunk

record的布局
record + 0         record + 25       record + 52       record + 81
+-----------------+----------+------------------+------+
|rifle_description|rifle_name|      |next_record|      |
+-----------------+----------+------------------+------+

show()

printf("Rifle to be ordered:\n%s\n", "===================================");
for ( i = record; i; i = (char *)*((_DWORD *)i + 13) )//注意这里和add()一样是作为DWORD解析的
{
  printf("Name: %s\n", i + 25);
  printf("Description: %s\n", i);
  puts("===================================");
}

每个chunk的+52位构成了一个单链表，这里遍历了该链表

message()

printf("Enter any notice you'd like to submit with your order: ");
fgets(message_0, 0x80, stdin);//向message_0指向的地址写入0x80个字符
check(message_0);

我们可以往这里输入ROP chain，通过申请fake chunk执行ROPchain

order()

v2 = record;
if ( number )
{
  while ( v2 )
  {
    ptr = v2;
    v2 = (char *)*((_DWORD *)v2 + 13);//注意这里和add()一样是作为DWORD解析的
    free(ptr);
  }//清空购物车
  record = 0;//只是将最后一个record置零了
  ++order_times;
  puts("Okay order submitted!");
}
else
{
  puts("No rifles to be ordered!");
}

没有将所有被释放的指针置零，存在dangling pointer

Exploitation

利用思路：

1. 通过堆溢出覆盖next_record为got表地址，再通过show() leak libc。

2. 伪造chunk

   我们希望申请到message_0正好是fd指针的chunk，就需要将message_0 - 4(fake_chunk_size)，即number的内容改写为0x40（因为rifle的大小是0x38，对应chunk大小为0x40），也就是add0x40个rifle。

3. 现在可以进行任意地址写了，改写某 got 项为 system 地址，就能get shell