有一天,老师给A君布置了一道作业,要求写一个命令行交互的简单选课系统。调皮的B君拿到了A君作业的二进制文件,本想练习一下自己的逆向能力,却发现其中存在一个bug,也许可以实现利用。
1. Vuln
漏洞点如下,新的学生登陆后会在堆上新建一个学生对象,其中对象内存空间的0-0x17字节保存用户名,0x18-0x20保存课程的链表头地址。这里strcpy显然可以通过长用户名覆盖链表地址来控制指针。
2. Leak
开启了Canary+NX保护,首先还是泄露地址。既然已经可以控制链表指针,自然想到通过学生界面的“打印所有课程”来泄露。然而由于这道题的链表结构是带head结构的,因此伪造链表还是需要稍微构造一下的,而本题没有写入全局变量的地方,因此只能先泄露堆地址,然后在堆上布局伪造链表,最终实现泄露libc地址。
2.1 null-byte-overflow泄露堆地址
我们注意到学生的菜单界面会用printf %s打印用户名。一番思索,终于发现可以通过用strcpy结尾的null字节覆盖this->head堆指针的最低位。若当前student对象的堆块起始地址的低位也恰为"\x00",就可以实现null-byte-overflow一个套路——堆块重叠。
然后调用选课功能,会向this->head->next写入一个堆地址,堆块重叠后,实际上就是向用户名的8字节之后写入堆地址,printf用户名时就会连带着把堆地址泄露出来。
因此要做的就是使当前student对象的堆块起始地址低位为\x00。通过新建课程和登录新用户来申请数个堆块,若构造得当,则为student对象申请堆块时,起始地址就刚好满足要求:
for i in range(3):
add_course(p, str(i), char_list[i]*8, "test", "5")
p.sendline("4") #exit
for i in range(6):
login(p, char_list[i]+"\n", "123456\n")
p.sendline("5") #exit
2.2 堆上布局伪造链表泄露libc地址
获取堆地址后,通过相对偏移计算可以很容易地得到各个堆块的地址,从而在堆上布局伪造链表,用GOT表地址作为链表数据指针,利用“打印已选课程”功能实现泄露libc地址。
3. Fastbin Attack
3.1 思路
整理一下思路,目前可以通过漏洞点做的事有:
- 任意地址写qword 0
- 任意地址写一个堆地址(低位字节可通过2.1的方法控制)
- 调用diselect功能,结合1.中提到的溢出漏洞点,实现任意地址调用free
思路主要是在GOT表或者malloc_hook、free_hook位置伪造size字段,利用fastbin的double free特性改写fd指针,然后利用fastbin attack分配到伪造的堆块,实现写入got表或malloc_hook、free_hook。由于漏洞利用点比较有限,只能用one_gadget方法拿shell。
由于new的原因,malloc_hook方法无法满足one_gadget的约束,而在got表中发现了比较好的伪造size字段的位置,因此考虑在got表中伪造堆块,然后通过fastbin attack申请出来,并写入one_gadget地址。
3.2 伪造堆块size字段
student对象申请的内存属于0x30大小的fastbin,因此我们伪造的size字段也要是0x3x。利用2.1中的方法,通过申请堆块构造接下来申请到的堆地址的低位。
for i in range(13):
login(p, char_list2[i]+"\n", "123456\n")
p.sendline("5")
target_addr = 0x6040d0
login(p, "e"*24+p64(target_addr).replace("\x00","")+"\n", "123456\n")
select(p, "2")
p.sendline("5")
第二步将写入目标位置的堆地址的高位置0,从而构造出一个0x30的size字段。
第三步利用fastbin可以多次释放的特性,进行fastbin double free+fastbin attack
具体地,在堆中构造一个链表,通过控制->next指针将所有要free的指针都放到链表里,之后连续diselect,就可以实现fastbin double free
三次free后fastbin中的情况:
0x6fc00->0x6fc20->0x6fc00
第四步登录新学生,此时分配的堆块即在got表中的scanf位置,用one_gadget写入。之后程序流程会自然地调用scanf,从而getshell。
思路写起来好像也不多,但限于本人能力花了将近两天时间,脚本写了一百多行。主要还是因为漏洞点太过局限,需要多次在多个堆块中进行布局,以及伪造fake chunk的位置选取限制太多,还有就是one_gadget的约束。
好几次想要放弃,所幸坚持了下来,最终成功解题。
