-
-
[原创]第二届软件系统安全赛决赛 StudentManagement 详解
-
发表于: 2026-5-27 12:34
-
程序保护如下
glibc 版本是 2.39-0ubuntu8.7
比赛的时候脑子有点乱,虽然很快审计出了uninitialized memory漏洞,但是因为题目的\0截断以及非传统堆题的交互,让我不知道怎么处理
赛后再看,其实这题本质和传统堆题没区别:没有限制用户数量,所以可以创建任意多的堆块且大小基本可控(<0x400)
题目是一个学生管理系统,主菜单只有 3 个功能:
登录后则有:
先贴几个关键逻辑的简化版伪代码,user结构体如下
register
这里已经能看到问题了,malloc(0x88) 之后只写了id\name\pass\next,但是cont\size完全没有初始化
view
这里更致命,程序只判断了 u->cont != NULL,然后就直接把它当字符串打印
如果 cont 是个悬空指针,那就是 UAF read
如果 cont 被我们伪造成任意地址,那就是任意地址读
edit bio
edit 函数这里
delete
先说思路,整个堆利用过程如下
这样 victim 就不会从“被清过 cont 的旧 user chunk”里出来,而是会从 重新合并后的 unsorted 里切出来,之前布好的脏数据也就正好落到了 victim->cont 的位置上。
下面按 exp 的顺序细讲
先用 7 个 filler 把 0x110 档 chunk 填满,再额外做一个 aaa:
然后放两个占位用户 ph1/ph2:
接着删掉前面 7 个 filler:
这样:
注意这里虽然 0x90 tcache 里有 7 个旧 user,但这些 chunk 不是待会儿的 leak 核心,因为 delete 已经把 cont 清零了
再把这 7 个 filler 注册回来:
这里的目的也不是用这些 filler 做 UAF write,而是给它们重新挂上 0x60 的 bio,等会儿删掉时把 0x70 tcache 填满
也就是说,这 7 次 edit(..., 0x60) 是在准备 0x70 这一档的堆布局
这一坨看起来乱,其实目的很单纯:
这一步就是整个 Step1 的关键,如果不先把 0x90 tcache 清空,后面 victim 注册时拿到的只会是 delete 过、cont == NULL 的旧 user chunk,根本 leak 不出来。
而只要 0x90 tcache 被提前吃光,victim 的 malloc(0x88) 就会转去从刚刚重新合并出来的 unsorted 里切 0x90,这时之前布好的脏数据才会准确落到 victim->cont/size 的偏移上
等这套风水搭完以后,再注册一个新用户:
此时 victim 不是从旧 user tcache 出来的,而是从重新合并后的 unsorted 上切出来的。
也正因为如此,它的未初始化 cont 字段拿到的不是 NULL,而是我们前面通过切割/合并布好的堆上脏数据
show() 会直接把对应位置的堆数据吐出来,减掉固定偏移就能拿到 heap base
接下来的工作就很简单了
接下来用 ph1 伪造一个 user 对象,先把 libc 基址泄露出来
所以我可以先把一个 0x90 chunk 当作 ph1 的 bio 拿到手,然后按 user 结构布局往里面写内容
这里写的是 user 的后半段:
也就是说,等这块 0x90 chunk 以后重新作为 user 被 register 取出来时,这个新用户天然就会变成:
然后把这块伪造好的 0x90 bio 再 free 回去:
接着注册 vic:
vic->cont 已经被我们提前埋成了 heapbase + 0xf20,这里对应位置存的是 unsortedbin 残留指针,所以直接把 libc 地址读了出来
有了 libc 以后,下一步就是照抄刚才那套“伪造 future user”的打法,把 cont 指到 __environ,把栈地址捞出来
先把前一个伪造用户和 ph1 清掉,腾出 0x90 bin:
然后重新用 ph1 申请 0x88 大小 bio,把 future user 的 cont 伪造成 __environ:
再次注册 vic 并查看:
这里泄露出来的是 __environ,再减去调试得到的固定偏移,就拿到了这次要写的返回地址位置
最后一步就很直白了:继续伪造一个 future user,把它的 cont 直接改成要写的栈地址,然后往上面塞 ROP
还是老规矩,先找一个用户来拿 0x90 bio:
这里 future user 的字段变成:
构造 ROP链
最后注册 vic2,登录后把 ROP 直接写进栈里:
这里我的修补方式是在自实现的内存分配那里,将分配后的内存用memset置零,避免脏数据利用
[招生]科锐逆向工程师培训(2026年7月3日实地,远程教学同时开班, 第56期)!
|
|
|---|---|
