Partie 11 - 🏆 Challenge - exploitation des fastbins (4/4)

🏆 Challenge : exploitation des fastbins (4/4)

Il y a pas mal d’infos autour de la fastbin même si elle est bien moins utilisée depuis que le tcache a fait son apparition. Un petit exercice s’impose afin que vous sachiez si vous maîtrisez les bases de la fastbin ou si des révisions s’imposent 🙃.

Une fois les bases du tcache et de la fastbin acquises, nous pourrons explorer des techniques d’exploitation avancées visant à obtenir un shell en fin d’exploitation.

• ⬇️ Téléchargement : pwn-chall-fastbin.zip
• 🔎 SHA256 & Analyse Virus Total : b17d680b1e8ec0a1b667d1eaf4594af84c7fcdaab64f9c17a3c53267bf3114c1
• 🎯 Objectif : réussir à afficher le message Bravo ! Tu as reussi ! en appelant la fonction gg.

💻 Contexte d’exécution

Afin de se placer dans le contexte d’exécution prévu pour cet exercice, il est nécessaire de :

• activer l’ASLR ;
• atteindre l’objectif en dehors d’un débogueur ;
• la version de la glibc utilisée est 2.24-9ubuntu2.2_i386, il s’agit donc d’un programme 32 bits.

💫 Lancer le challenge

Ci-dessous les commandes permettant de lancer le challenge :

• construction du conteneur : docker build -t pwn-chall-fastbin .;
• lancement du conteneur et du challenge :

docker run -it --rm -p 1234:1234 --cap-add=SYS_PTRACE --security-opt seccomp=unconfined pwn-chall-fastbin

Le port accessible est le suivant :

• 1234 : port qu’il est possible d’utiliser pour déboguer à distance avec gdbserver.

🤓 Quelques conseils

• Le programme a la structure d’un challenge classique dans le tas avec diverses opérations possibles impliquant des allocations, libérations …
• Prenez le temps de faire un bon coup de reverse afin de trouver les différentes structures utilisées
• En fonction de la version de la glibc et des protections en place, prenez le temps de réfléchir aux potentiels problèmes auquel vous devrez faire face et comment les contourner
• Prenez le temps de lister les différentes pistes qui pourraient vous permettre d’atteindre l’objectif

💡 Indices

Voici quelques indices qui devraient vous permettre d’avancer lorsque vous êtes bloqués et que vous ne voyez pas comment aller plus loin.

💡 Indice n°1

Vm9pY2kgbGVzIHN0cnVjdHVyZXMgZXQgw6ludW3DqXJhdGlvbnMgdXRpbGlzw6llcyBwb3VyIGxlcyBhbGxlcmdpcXVlcyBhdSByZXZlcnNlIDoKCmBgYApzdHJ1Y3QgUGVycnVjaGUKewogIGNoYXIgbm9tWzEyXTsKfTsKCnN0cnVjdCBQZXJyb3F1ZXQKewogIGNoYXIgbm9tWzhdOwogIHZvaWQgKCpkaXJlQm9uam91cikoY2hhciAqKTsKfTsKCmVudW0gdHlwZV9vaXNlYXUKewogIFBFUlJVQ0hFLAogIFBFUlJPUVVFVCwKfTsKCnN0cnVjdCBvaXNlYXUKewogIGVudW0gdHlwZV9vaXNlYXUgdHlwZTsKICB2b2lkICpvaXNlYXU7Cn07CmBgYA==

💡 Indice n°2

Q29tbWVudCBhcHBlbGVyIGxhIGZvbmN0aW9uIGBnZ2AgPyBJbCBkZXZyYWl0IGJpZW4geSBhdm9pciBtb3llbiBkZSBiaWRvdWlsbGVyIGRhbnMgbGUgdGFzIHBvdXIgYXBwZWxlciBjZXR0ZSBmb25jdGlvbi4=

💡 Indice n°3

RGVzIHBvaW50ZXVycyBkZSBmb25jdGlvbiBzb250IHByw6lzZW50cywgc29udC1pbHMgbW9kaWZpYWJsZXMgPw==

💡 Indice n°4

RW4gcmFpc29uIGRlIGwnQVNMUiwgb24gbmUgcGV1dCBwYXMgY29ubmHDrnRyZSDDoCBsJ2F2YW5jZSBsJ2FkcmVzc2UgZGUgbGEgZm9uY3Rpb24gYGdnYC4gSWwgZmF1dCB0cm91dmVyIHVuIG1veWVuIGRlIGNvbnRvdXJuZXIgbCdBU0xSLCBwYXIgZXhlbXBsZSBlbiBmYWlzYW50IGZ1aXRlciB1bmUgYWRyZXNzZSBkZSBmb25jdGlvbiBldCBlbiBkw6lkdWlyZSBsJ2FkcmVzc2UgZGUgYGdnYCA/

💡 Indice n°5

UHLDqnRleiB1bmUgYXR0ZW50aW9uIHBhcnRpY3VsacOocmUgw6AgdG91dGVzIGxlcyBtYW5pcHVsYXRpb25zIGRlIGNoYcOubmVzIGRlIGNhcmFjdMOocmVzIGV0IGRlIGJ1ZmZlcnMsIGlsIHkgYSBzb3V2ZW50IGRlcyB2dWxuw6lyYWJpbGl0w6lzIGNhY2jDqWVzIGRlcnJpw6hyZSBsZXMgYm9ubmVzIGludGVudGlvbnMgZHUgZMOpdmVsb3BwZXVyLiA=

💡 Indice n°6

UXVhbmQgcydhcnLDqnRlIGBwcmludGZgIGxvcnMgZGUgbGEgbGVjdHVyZSBkJ3VuZSBjaGHDrm5lIGRlIGNhcmFjdMOocmVzID8=