pwn1-believeMe

• x86 elf | nx , stack canary
• 漏洞点:
  • 40个字符内的格式化字符串
    • 使用 pwntools 的 fmtstr_payload 生成payload (设置 write_size="short" 缩短payload长度)
  • ASLR 保护机制没有开启
    • 系统层面的保护机制
    • ASLR是一种针对缓冲区溢出的安全保护技术，通过对堆、栈、共享库映射等线性区布局的随机化，通过增加攻击者预测目的地址的难度
    • 这一点没有了解导致看了很久 , 留一个坑总结所有的保护机制。。
• 利用过程:
  • 1. 格式化字符串 泄露远程的 ebp 地址 , 加上相对偏移得到 ret 地址
  • 2. 再次利用格式化字符串修改 ret 地址为后门函数
       exp

TheNameCalculator

• x86 elf | nx , stack canary
• 流程分析:
  • main函数中有 一个检测 ， 通过检测之后 进入secret 函数
  • secret 中 有一个name的输入 ， 加密后直接作为格式化字符串 进行printf
• 漏洞点:
  • secret 中的格式化字符串漏洞
• 利用过程:
  • 注意点 ：
    • 格式化字符串 修改 exit@got 的 低位 为 后门函数的地址 （27个字符的有限输入仅足以修改 4 个字节）
    • 注意 格式化字符串的 修改大小为 每次 修改 2个字节
  • 操作 ：将 修改 exit@got值的格式化字符串加密后 输入即可

exp

Grocery List

• x64 elf | full relro , nx , pie , stack canary
• 功能分析 :
  • 1 . 新建 item
    • 1.1 新建有内容的
    • 1.2 新建无内容的
    • 1.3 新建样例 | 样例的传值有问题，传入的是main函数内栈上一个字符串的地址 ， 可以通过此处获得 main_ret 地址
  • 2 . 编辑 item | 使用gets读入，有堆溢出
  • 3 . 删除 item
  • 4 . print all ， 列出 所有 item的内容
• 漏洞利用:
  • 1. 泄露栈地址 ， 得到 main_ret 地址 （地址上的值是 __libc_start_main + 240 ）
  • 2. 利用 堆溢出 和 栈地址上的 0x21 覆盖 释放的堆块 的 fd ，将堆块 释放到 栈上( alloc to stack) ， 从而泄露 __libc_start_main 的值
  • 3. 利用 LibcSearcher 查找对应的libc
  • 4. 找到 对应libc 后 计算 libc的 基址 ，从而得到 __malloc_hook 地址 和 one_gadget 地址
  • 5. 利用 2的思路 覆盖 fd 使得 malloc_hook 可控 | 因为 直接覆盖 __malloc_hook 为 one_gadget 在当前环境下不可用，所以使用 __realloc_hook 劫持来构造满足条件的环境
• 知识点:
  • __realloc_hook 劫持 ：
    • 将realloc_hook设置为选择好的one_gadget，将malloc_hook设置为realloc函数开头某一push寄存器处。push和pop的次数是一致的，若push次数减少则会压低堆栈，改变栈环境。这时one_gadget就会可以使用。具体要压低栈多少要根据环境决定，这里我们可以进行小于48字节内或72字节的堆栈调整。
    • 参考链接 : https://bbs.pediy.com/thread-246786.htm
      exp