zerotask
- 保护 : full relro | canary | nx | pie
- libc : libc-2.27 , libcrypto.so.1.0.0
- 程序功能:
- add task
- 添加 task ,
- malloc(0x70) | controller
- 生成加密结构体 | ctx | EVP_CIPHER_CTX_new()
- malloc(0xa8) | 包含 iv
- crypto_malloc(0xb7) | chunk_size 0x110 | key
- malloc(0xa8) | 包含 iv
- malloc(size) | data_ptr | size 自定义 | 0 < size < 0x1000
- 添加 task ,
- delete task
- EVP_CIPHER_CTX_free(ctx)
- free(key)
- free(ctx)
- free(data_ptr)
- free(controller)
- EVP_CIPHER_CTX_free(ctx)
- go
- 根据 task id 执行指定task的任务 | 加密 or 解密
- add task
- 利用:
- 漏洞点:
- go 函数处理前 sleep(2) , 这个时间段内可以执行其他指令,造成竞争
- 利用过程:
- 利用竞争 leak heap , libc , 然后配合堆块分布的调整 控制 ctx 结构体的内容执行one_gadget
- leak 关键点:
- leak heap 的过程:
- add , add , go , delete , add(delay = 2)
- 多个add 是为了让目标chunk 远离top chunk ,避免在delete后data_ptr 被 top_chunk 合并
- leak libc 的过程:
- libc 是 2.27 的 , 所以按照 leak heap的逻辑 leak libc 前需要绕过 tcache
- 填充 tcache , 7个
- 此处的数量与后面getshell处有关系,因为 getshell 需要对指定已知地址做写入,来构造ctx结构题的一部分并跳转。
- get shell
- 利用的目标是 ctx 结构体中的函数执行
- image.png
- 所在函数 EVP_CipherUpdate - > EVP_EncryptUpdate ,在 go 中调用
- 根据ctx 结构体 (a1) 中 a1[0] 的内容做了 判断和 函数执行
- 对在堆中构造一个 ctx 结构体 | 只需要特定的 *ctx , 和 *ctx 内容即可
- 实现 : *ctx = ctx + 8 | 然后在 *ctx 后面继续构造特定内容 , 前 0x18 对照 内存中其他的ctx照抄即可,0x18 - 0x20 为 libcrypto 中的一个地址,会变化,设定为任意值,0x20 - 0x28 放置 one_gadget
- libc 是 2.27 的 , 所以按照 leak heap的逻辑 leak libc 前需要绕过 tcache
- leak heap 的过程:
