pwn易忘操作原理笔记

堆溢出漏洞:

一、null-byte-off-by-one

漏洞原理:由于输入操作失误,导致可以把size最低字节修改为\x00,overlapchunk利用。

构造

1.freeB,此时C的presize被修改为B的大小

2.通过A的null-byte-off-by-one漏洞修改B的size大小,malloc b1,b2两个块,此时由于通过B的size去找下一个堆块的presize位置来修改,B的size被改动后,C的presize无法得到更新仍然是B的原来大小。

3.free b1,free C,free C的时候通过presize找到b1的位置判断b1未使用所以发生unlink合并。

4.申请一个大的chunk就可以覆盖到b2堆块。

二、ret2dl-runtime-resolve

这个漏洞原理是利用了程序动态链接相关知识,在程序中对一些调用动态链接库函数的got地址会在第一次调用时使用_dl_runtime_resolve函数来获取动态链接库对应函数的实际地址然后填充到got表处,调用该函数时会传递两个参数link_map和.rel.plt的偏移位置reloc_arg,link_map包含了.dynamic的指针

该漏洞主要关注里面的三个指针地址DT_STRTAB,DT_SYMTAB,DT_JMPREL,这三个指针分别指向.dynstr(字符串表)、.dynsym(符号表)、.rel.plt(重定位表),_dl_runtime_resolve的步骤大致如下:

1.通过link_map找到.dynamic的地址,然后通过.dynamic的地址获取到.dynstr,.dynsym,.rel.plt的地址

2.用.rel.plt的地址加上第二个参数reloc_arg取得动态链接库函数在重定位表中的表项,.rel.plt的结构如下:

typedef struct
{
  Elf32_Addr    r_offset; //指向GOT表的指针
  Elf32_Word    r_info;
  //一些关于导入符号的信息,我们只关心从第二个字节开始的值((val)>>8),忽略那个07
  //1和3是这个导入函数的符号在.dynsym中的下标,
  //如果往回看的话你会发现1和3刚好和.dynsym的puts和__libc_start_main对应
} Elf32_Rel;

3.通过rel的r_info字段>>8来获得.dynsym的偏移,.dynsym的结构如下:

typedef struct
{
  Elf32_Word    st_name; //符号名,是相对.dynstr起始的偏移,这种引用字符串的方式在前面说过了
  Elf32_Addr    st_value;
  Elf32_Word    st_size;
  unsigned char st_info; //对于导入函数符号而言,它是0x12
  unsigned char st_other;
  Elf32_Section st_shndx;
}Elf32_Sym; //对于导入函数符号而言,其他字段都是0

4.通过sym的st_name字段(这个字段是动态链接库函数在.dynstr的偏移位置)来找到.dynstr对应的字符串位置

5.在动态链接库中找该函数的实际地址并赋值给got表地址处

6.调用这个函数

利用手段:修改reloc_arg让.rel.plt+reloc_arg的地址在可控地址处来获取可控的r_info,通过r_info>>8+.dynsym的地址来将符号表地址修改到可控地址处sym,再通过.dynstr+sym指向可控地址获取字符串信息system,从而将system函数的地址写到其它函数的got表处,第一次调用该函数相当于调用了system函数。

三、house of orange

 这个堆溢出的利用方式使用到的知识点比较多io_file,unsortedbin attack,top_chunk attack等。

1.利用堆溢出修改top_chunk的size然后去申请一个大于size的chunk,这里会把top_chunk放到unsortedbin里然后在后面重新建一个新的top_chunk,需要满足以下几个条件:

(1)申请的大小要大于MINSIZE

(2)申请的大小要小于128*1024

(3)改后的top_chunk的size要页对齐(top_chunk+size(top_chunk)是0x1000的倍数)

(4)申请的大小+MINSIZE要大于top_chunk的size

2.再申请一个chunk会分割unsortedbin可以获得libc地址

3.修改剩下的unsorted_bin的size为0x60,bk为_IO_list_all-0x10,这样下一次申请一个chunk(大于0x60)时,会触发unsortedbin attack,将bk+0x10也就是_IO_list_all的值改为unsorted_bin的地址,由于我们无法控制main_arena附近的地址,所以我们考虑使用fp->chain来跳到下一个file结构体,这个结构体是我们可以控制的地址,fp->chain是偏移0x60的位置,正好是smallbin[6]的位置,所以之前把size改为0x60,这样unsortedbin会放入smallbin对应大小的地方也就是smallbin[6]的位置,现在smallbin[6]的位置就是之前top_chunk剩余的地址,那一块地址的内容可以事先构建好IO_FILE结构和vtable的地址

4.触发malloc报错,进入libc_message调用abort,abort调用_IO_flush_all_lockp,是IO_FIle vtable里面的内容,由于第一个IO_FILE_ALL的fp->mode不符合判断条件,所以会执行fp=fp->chain到达我们旧的top_chunk剩余的地址处,然后就会执行那个vtable中的函数,事先将该函数地址改为one_gadget即可获得shell。

猜你喜欢

转载自www.cnblogs.com/lllkh/p/10434486.html