【pwn30 2024 Lilac 405杯 UAF】
405杯一道很简单的UAF,考的就是最基础的UAF+tcache attack
首先看一下程序保护
没有canary。题目libc 版本为2.31。下面分析一下程序逻辑
经典菜单题目,看眼菜单
题目支持add delete show和edit功能。
add最多0x20个堆块,大小最大0x100,都是在tcache范围内的。delete函数free掉idx对应的堆块之后没有清零堆指针,存在UAF。edit函数编辑大小等于堆块原size大小。show函数正常输出堆块内容,没问题。
攻击思路如下:
1、首先填充满tcache,之后再多free一些堆块构造合并的大堆块,得到unsorted bin,然后UAF show得到libc地址
2、通过UAF结合tcache attack直接分配freehook即可
完整攻击代码:
脚本攻击结果如下:
By Del0n1x
Keyboard