小编点评

**堆溢出修改指针导致libc泄露** 题目描述： 题目介绍了一个利用堆溢出修改指针导致libc泄露的漏洞题目。漏洞涉及申请了多个块内存，然后通过修改指针来修改“got”表，最终导致libc泄露。 **漏洞分析** 1. **申请多个块内存**：题目申请了多个块内存，每个大小为0x80。 2. **通过修改指针来修改“got”表**：通过修改指针，修改了“got”表的地址，从而让它指向内存的末尾。 3. **导致libc泄露**：修改后的“got”表指向了内存的末尾，导致libc泄露。 **漏洞解决方案** 1. **只申请所需大小的内存**：在申请内存时，只申请了必要大小的内存，而不是申请多倍的内存。 2. **使用校验和**：在申请内存之前，对申请的地址进行校验，以确保它与预期地址相匹配。 3. **使用安全内存分配函数**：选择安全内存分配函数，如 `malloc_checked()` 或 `calloc()`, 来分配内存。 4. **释放内存时进行清理**：在释放内存时，及时清理并释放多个块内存。 **漏洞代码** 以下代码展示了如何利用堆溢出修改指针导致libc泄露的漏洞： ```python # 申请多个块内存 memory = malloc(4 * 0x80) # 修改“got”表地址 address = memory + 0x80 # 打印chunk1的地址 print(address) # 修改chunk1的指针 free_got_table_ptr = address # 释放内存 free(memory) ``` **漏洞影响** 漏洞的严重性取决于所申请的内存大小。如果申请的内存大小足够大，那么可以攻击者通过修改“got”表指针将恶意代码注入内存，从而执行代码或控制系统进程。

正文

💧对于堆溢出，有很多漏洞可以和它打配合，可以说是堆里面很常见的漏洞，常见的有off_by_null,House系列（后续学习到了会继续更新这个系列），unlink，等等。

今天来看一个，堆溢出修改指针，导致libc泄露以及通过指针来修改got表的题目。

题目连接我放下面了，对堆有兴趣的可以去看看✔️

题目链接🔗：https://pan.baidu.com/s/1_j2gw22PQHK-PiC8HUcVvg?pwd=d2wt 
提取码：d2wt

接下来分析一下题目，首先看一下保护

32位，got可以修改，其实对于堆题目，有很多都是，保护全开的，这在堆里面很常见，都是我们还是要看保护，got可以修改，那么我们可以修改free或者malloc的got表，如果不能修改got表，我们还可以考虑__free_hook和__malloc_hook

32位ida静态看一下

有一些功能函数，我们具体看一下,add函数

注意这里是申请了两个chunk，第一个大小是我们输入的，第二个是0x80固定的大小，然后我们输入的name保存到了第二个chunk，而且这里把第一个chunk的指针放到了第二个chunk的数据里面，继续看

这里对输入的chunk的判断依据大小是name chunk和我们输入数据chunk之间的距离，如果先申请一些chunk把他们隔开那么就可以实现很大的堆溢出

update函数这里也是这样判断的

delete函数，把chunk1，2都进行了free

show函数可以进行name和text的打印

❗思路：我们知道申请chunk的时候会首先到bin里面去找，如果没有在从Topchunk里面切割一块，如果申请的大小超过0x20000，那么就不是mmap分配了，释放的时候如果两块chunk物理相邻，那么会把他们进行合并，如果我们申请一个0x80大小的堆块，（chunk1，2现在都是0x80），释放的时候他们就会合并成一个0x100的chunk，如果我们再次申请那么就会申请到这里，中间再申请一个0x80大小的chunk和一个0x8的chunk（用来存放/bin/sh），那么再次申请0x100大小chunk的时候name chunk就会跑到最后面，他们之间有0x80*3+0x10大小的空间，足够我们溢出了

 

 

进行了合并

指针修改之前

修改之后

chunk1的指针换成了free_got表地址，那么打印chunk1的时候就可以进行泄露，之后修改chunk1那么就可以进行修改free_got表为system，最后free chunk2（/bin/sh）

就可以获得shell

exp：

 

常回家看看系列持续更新..........