实验环境:ubuntu 64位 16.04
实验工具:pwntools,gdb-peda,IDA
实验程序ELF来源:强网杯2018-opm
程序运行界面菜单:
image.png
第一个功能Add a new role有问题。IDA反编译查看。
image.png
分析以上代码,经过分析发现,v6是一个heap指针,且当执行"gets(&v5)"时,有可能会被溢出修改。但因为时"gets()"函数修改,你输入的字符串后加上“\x00”,效果看下图,查看栈空间。
1523671146(1).jpg
溢出篡改v6
1523672191(1).jpg
这就导致了我们要特别关注heap_address为0x00005xxxxxxxxx00之类的地址,比如下图:
1523672779(1).jpg
接下来 我们分析一下它的heap分配情况,根据IDA反编译的结果显示,一个add功能进行了两次heap分配。
v0 = (_QWORD *)operator new(32LL);
and
v7 = (char )malloc(v2);
从内存查看的数据结果来看,operator new()和malloc()申请heap,没差别(应该会有差别的,这里不讨论)。如下图,添加一个name为‘A’0x70的role。1 punch。
1523674136(1).jpg
接下来进行篡改指针(v6)覆盖heap数据的测试,上提及:
0x555555768c00
0x555555768d00
0x555555768e00
0x555555768f00
之类的heap地址是危险的地址,方便控制的。0x555555768c00已经被系统利用了,我们控制不了。于是我们选择攻击
0x555555768d00。首先0x30个‘B’打在0x555555768d00。
1523677056.jpg
然后创建第三个role的篡改指针(v6),使name3__addr,打在0x555555768d00附近。如下图。原本应该在0x555555768d40的数据被打在了0x555555768d00附近。
1523678199(1).jpg
那么接下来就要想想该怎么进行泄漏了。
在add a new role这个函数下,它有一个输出函数,用于输出role的name和punch数。而它的参数是v6,是可以被控制的。如果我们这时我们想要泄漏出0x555555768d00的数据,则需要将原本v6(此时指向0x555555768d40)让他指向0x555555768cd0。如下图。但是上面提到过"gets()"溢出并没有那么容易控制,想要修个v6指向0x555555768cd0是不可能的,并且程序开启了PIE(基地址随机化)。
1523685095(1).jpg
这里想到了办法是,将0x555555768cd0上的数据保存到一个可控的地址上去,这再添加第二个role,输入name的时候可以做到。然后在添加第三个role的时,输入name的时候溢出,将地址打在
0x555555768d00上。在输入punch的时候将v6指向有
“0x555555768d00”的地址上。
下面演示一遍,:
添加第一个role ,name为"A"0x70,punch为1,这里输入0x70个‘A’是为了第二个role的name_addr在0x555555768d00上。
image.png
添加第二个role,name为"B"0x80 + "a" ,punch为2。这个为了修改v6使原本应该保存在0x555555768cd0 的数据保存在一个可控的地方。
输入完name之后,查看栈的数据。看到v6已经被修改为:0x0000555555760061
1523686827(1).jpg
然后让程序执行几步后查看堆内存,0x555555768cd0,数据没了
1523687013(1).jpg
然后查看0x0000555555760061,数据在这里
1523687134(1).jpg
添加第三个role,name为"C"0x80,punch为"2"+"C"*0x7f+"a"。
输入name是为了修改v6,让heap地址打在0x555555768d00如下图。
此时的v6
image.png
此时的0x555555768d00:
1523687559(1).jpg
输入punch ,最前面有一个2是为了过atoi()这个函数。
此时的v6,指向了我们前边提到的可控的地址。0x0000555555760061。过几步,v6会作为输出函数的参数。
image.png
成功泄漏:
image.png
使用pwntools,脚本如下。
image.png
网友评论