萌新带你开车上p站(番外篇)
本文由“合天智汇”公众号首发,作者:萌新
前言
这道题目应该是pwnable.kr上Toddler's Bottle最难的题目了,涉及到相对比较难的堆利用的问题,所以拿出来分析。
登录
看看源程序
程序中有几点要注意的地方:
1. 定义的OBJ结构体中一个指针4字节,buf[]数组8字节
2. Unlink()的过程其实就是双向链表中摘下中间那一块的过程
3. 主函数中malloc了三个结构体,并通过指针连成了双向链表A<->B<->C
4. 打印出A的栈地址,堆地址,这两个地址这里记做stack,hep,待会儿在分析中会用到
5. 漏洞在于gets函数会造成溢出,同时通过随后的unlink()进行利用
具体而言什么是unlink呢?
unlinked 是堆溢出中的一种常见形式,通过将双向列表中的空闲块拿出来与将要free的物理相邻的块进行合并。(将双向链表上的chunk卸载下来与物理chunk合并)。Unlink漏洞的利用条件就是有3个以上的空闲chunk链表,其中最前面的chunk存在有堆溢出。没错我们这次的题目就存在这个情况
解链的原理相信学过数据结构的师傅们都清楚了
对照着这次的程序,BK相当于A,P相当于B,FD相当于C
这次需要用到的漏洞溢出漏洞技术称为Dword shoot。在进行双向链表的操作过程中,有溢出等的情况下,删除的chunk的fd、bk两个指针被恶意的改写的话,就会在链表删除的时候发生的漏洞。
对应到本题的程序,将被删除的chunk为B,而我们可以通过溢出A来修改B的fd,bk,修改后会引发什么漏洞呢?我们接下来详细说明。
把二进制文件下到本地分析
要我们攻击的最终是目的是劫持返回地址,写入shellcode的地址,以及为了能够溢出A,修改B的指针等操作,我们都需要看看汇编中一些关键量的地址
关键的地方:
1. A在栈上的地址是ebp-0x14,即ebp-0x14=stack=&A
2. 最后的ret,作用是赋值给eip寄存器,而我们要做的就是修改esp寄存器的内容为shellcode的地址
3. 通过lea esp,[ecx-0x4]可以知道esp的值来自[ecx-4]
4. leave指令对esp没影响
5. mov ecx,DWORD PTR[ebp-0x4],可知,ecx的值来自[ebp-4]
6. 综上,我们只需要把shellcode的地址写到[ebp-8]地址(事实上这样很不方便,我们下面实际上是把shellcode地址+4写到[ebp-4]地址,这样的话,shellcode地址+4-4,传给esp的时候恰好就是shellcode的地址)
推论:
(1)由1得,ebp-4等于stack+0x14-0x4
(2)heap_是A在堆中的地址,加上在buf前有fd,bk链各个指针共8个字节,所以shellcode的地址是写到了heap+0x8处,所以 (shellcode地址+4)=(heap+0x8)+0x4
只要实现了* (ebp-4)=&shellcode+4,则ecx就被覆盖成了&shellcode+4,然后执行了
0x08048603 <+212>: lea esp,[ecx-0x4]
0x08048606 <+215>: ret
我们就拿到shell了
我们前面留下了一个问题:
被删除的chunk为B,修改B的fd,bk,修改后会引发什么漏洞
先举个简单的例子看看
设我们修改了B->fd=!!!!,B->bk=@@@@
在调用unlink(B)时,
BK=P->bk;
FD=P->fd;
FD->bk=BK;
BK->fd=FD;
对应执行的流程是这样子的
BK=*(B+4)=@@@@ //B->bk前还有B->fd,占4字节
FD=*(B)=!!!!
*(FD+4)=*(!!!!+4)=BK=@@@@
*(BK)=*(@@@@)=FD=!!!!
通过红色字体的关系,我们知道,修改了B的fd,bk之后,就可以在进行覆盖操作
这里我们设修改了B->bk=[ebp-4],B->fd=&shellcode+4
则进过unlink(B)之后会有
*(&shellcode+4+4)=[ebp-4] //这个结果无影响
* (ebp-4)=&shellcode+4 //实现了* (ebp-4)=&shellcode+4,因为*(ebp-4)覆给ecx,则ecx就被覆盖成了&shellcode+4,然后就可以拿到shell了
接下来具体看看怎么布局
我们知道
shellcode地址+4=heap+0x8+0x4=heap+12,来修改B->fd
ebp-4=stack+0x14-0x4=stack+16,来修改B->bk
A的buf大小是8字节,写了shellcode地址花了4字节,因为最小单位为16字节,所以还剩16-4=12字节需要填充,我们填充12个A
综上,得到了如下的布局
shellcode的地址是什么呢
而heap和stack的地址每次运行时都会打印出来的
综上,写出exp:
上传到服务器
执行得到shell
值得注意的是,本题的unlink利用是比较古老的方式了,现在的glibc已经加入了很多新的保护措施
包括:
Double Free检测
该机制不允许释放一个已经处于free状态的chunk。因此,当攻击者将second
chunk的size设置为-4的时候,就意味着该size的PREV_INUSE位为0,也就是说second chunk之前的first
chunk(我们需要free的chunk)已经处于free状态,那么这时候再free(first)的话,就会报出double
free错误。相关代码如下:
#!c
next size非法检测
该机制检测next size是否在8到当前arena的整个系统内存大小之间。因此当检测到next size为-4的时候,就会报出invalid next size错误。相关代码如下:
双链表冲突检测
该机制会在执行unlink操作的时候检测链表中前一个chunk的fd与后一个chunk的bk是否都指向当前需要unlink的chunk。这样攻击者就无法替换second chunk的fd与fd了。相关代码如下:
也出现很多新的技巧的关于unlink的CTF题目,如:
HITCON 2014 stkof
0CTF 2016 – Zerostorage
0CTF 2015 'freenote'
HITCON CTF 2016: Secret Holder
强网杯2018 silent2
这些题目有兴趣的师傅们可以自行去pwn
参考
1.https://paper.seebug.org/papers/Archive/drops2/Linux%E5%A0%86%E6%BA%A2%E5%87%BA%E6%BC%8F%E6%B4%9E%E5%88%A9%E7%94%A8%E4%B9%8Bunlink.html
2.https://heap-exploitation.dhavalkapil.com/attacks/unlink_exploit.html
3. https://paper.seebug.org/papers/Archive/refs/2015-1029-yangkun-Gold-Mining-CTF.pdf
4. https://cysecguide.blogspot.com/2017/10/pwnablekr-unlink-solution.html
5.cft wiki
萌新带你开车上p站(番外篇)的更多相关文章
- 萌新带你开车上p站(二)
本文作者:萌新 前情提要:萌新带你开车上p站(一) 0x04flag 看题目描述似乎是一个和脱壳相关的逆向题目 按照给出的地址先下载过来 file看看 是个可执行文件 执行之 emm什么都看不出来, ...
- 萌新带你开车上p站(Ⅳ)
本文作者:萌新 前情回顾: 萌新带你开车上p站(一) 萌新带你开车上p站(二) 萌新带你开车上P站(三) 回顾一下前篇,我们开始新的内容吧 0x12 登录后看源码 通读程序,逻辑是这样子的: 输入6个 ...
- 萌新带你开车上p站(三)
本文作者:萌新 前情回顾: 萌新带你开车上p站(一) 萌新带你开车上p站(二) 0x08 题目给的提示是和运算符优先级有关 登录后直接看源码 mistake@pwnable:~$ ls flag mi ...
- 萌新带你开车上p站(一)
本文作者:萌新 0x01前言 这一系列文章为pwnable.krToddlr’s Bottle的全部题解,其中有三道题目相对而言稍难或者说比较经典,单独成篇,其他题目的题解放在一起发出来. 0x02f ...
- 萌新带你开车上p站(终极番外)
本文由“合天智汇”公众号首发,作者:萌新 0x01前言 这关其实和pwn关系不大,主要考察的都是linux下一些函数的操作,考察linux的基本功.涉及到的知识点包括一些经典的函数原型.IO重定向.文 ...
- 萌新学习Python爬取B站弹幕+R语言分词demo说明
代码地址如下:http://www.demodashi.com/demo/11578.html 一.写在前面 之前在简书首页看到了Python爬虫的介绍,于是就想着爬取B站弹幕并绘制词云,因此有了这样 ...
- 萌新笔记——C++里创建 Trie字典树(中文词典)(二)(插入、查找、导入、导出)
萌新做词典第二篇,做得不好,还请指正,谢谢大佬! 做好了插入与遍历功能之后,我发现最基本的查找功能没有实现,同时还希望能够把内存的数据存入文件保存下来,并可以从文件中导入词典.此外,数据的路径是存在配 ...
- 留学萌新Essay写作须知
Essay是留学生们接触比较多的一项留学生作业,但尽管如此,依旧有部分同学对于essay写作是没有足够的把握的.随着开学季的到来,很多萌新初次接触Essay写作,难免会有很多不懂得地方.所以今天小编就 ...
- 从Webpack源码探究打包流程,萌新也能看懂~
简介 上一篇讲述了如何理解tapable这个钩子机制,因为这个是webpack程序的灵魂.虽然钩子机制很灵活,而然却变成了我们读懂webpack道路上的阻碍.每当webpack运行起来的时候,我的心态 ...
随机推荐
- ios shell打包脚本 gym
#! /bin/bash project_path=$() project_config=Release output_path=~/Desktop build_scheme=YKTicketsApp ...
- 模块 collections 高级数据类型
collections模块 原文来自cnblog 的 Eva-J Eva-J 介绍了collections模块的常用方法,和演示实例 在 Python cookbook 的第一章中还有一些 更加好玩的 ...
- [vios1023]维多利亚的舞会3<强联通分量tarjan>
题目链接:https://vijos.org/p/1023 最近在练强联通分量,当然学的是tarjan算法 而这一道题虽然打着难度为3,且是tarjan算法的裸题出没在vijos里面 但其实并不是纯粹 ...
- MATLAB 概率论题
1. 用模拟仿真的方法求解 clc clear tic n=0; N=100000; for ii=1:N b='MAXAM'; %字符串格式 a=randperm(5); % b=[b(a(1)), ...
- ovirt 重新安装主机失败
重新安装主机引擎事件报错 Host engine installation failed. Failed to execute Ansible host-deploy role. Please che ...
- Java读源码之ReentrantLock
前言 ReentrantLock 可重入锁,应该是除了 synchronized 关键字外用的最多的线程同步手段了,虽然JVM维护者疯狂优化 synchronized 使其已经拥有了很好的性能.但 R ...
- C - Monkey and Banana
文章目录 题意如下 思路如下 题解如下: A group of researchers are designing an experiment to test the IQ of a monkey. ...
- python:*args和**kwargs的用法
1.*args用来将参数打包成tuple给函数体调用 代码: # *args用来将参数打包成tuple给函数体调用 def func(*args): print(args,type(args)) fu ...
- C++模板心得
C++模板心得 我开始学模板的时候一脸懵逼,真的看不懂模板是怎么作用的.因为大多数人的代码把模板声明和函数.类的声明分行写,让我以为模板的作用是全局的,实际上应该像如下理解. 函数模板 templat ...
- 【高并发】你知道吗?大家都在使用Redisson实现分布式锁了!!
写在前面 忘记之前在哪个群里有朋友在问:有出分布式锁的文章吗-@冰河?我的回答是:这周会有,也是[高并发]专题的.想了想,还是先发一个如何使用Redisson实现分布式锁的文章吧?为啥?因为使用Red ...