VMPWN的入门级别题目详解(二)
这道题应该算是虚拟机保护的一个变种,是一个解释器类型的程序,何为解释器?解释器是一种计算机程序,用于解释和执行源代码。解释器可以理解源代码中的语法和语义,并将其转换为计算机可以执行的机器语言。与编译器不同,解释器不会将源代码转换为机器语言,而是直接执行源代码。即,这个程序接收一定的解释器语言,然后按照一定的规则对其进行解析,完成相应的功能,从本质上来看依然是一个虚拟机。
这个程序是一个brainfuck的解释器,brainfuck的语法如下所示:
将这些语法翻译为c代码如下所示:
使用checksec来检查程序开启了哪些保护机制
所有保护全部开启 使用seccomp-tools检查程序是否开启了沙箱
只允许open、openat、read、write、brk等少数系统调用,也就是说我们不能通过执行system(“/bin/sh”)或者execve系统调用来拿到shell了。
使用IDA pro打开这个程序 查看伪代码
看到std::cout以及std::string等函数,可以看出来这个程序是用c++进行编写的,相比于C语言的程序,C++的程序反编译之后分析起来难度会大一些。
【----帮助网安学习,需要网安学习资料关注我,私信回复“资料”免费获取----】
① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC漏洞分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集(含答案)
⑧ APP客户端安全检测指南(安卓+IOS)
分析一波函数L8arzn.png在a1+0x400处创建一个string类,后面的,很复杂,看不明白,应该是初始化的函数。
然后在 sub_154B 函数中
这里就是沙箱开启函数,我们一开始用 seccomp-tools 分析程序得到的沙箱规则就是在这个函数中设置的,对程序的系统调用功能进行了种种限制。
接着输入 code,每次输入 1 字节,然后将这 1 字节拼接到 string 中, 在这里我们可以动态调试一下输入过程,因为 string 是一个类,其内部有其他成员。我们将断点下载 while 循环结束之后,即读取完了 code,我们首先输入 5 个'>',string 类在 rbp-0x40,我们查看其中内容:
前8个字节是一个指针,指向我们输入的code存放的地址,第2个8字节是输入的字节数,后面的就是我们输入的code,这里我们只输入了5个字节,直接在存在了栈中。我们多输入一些,大于0x10个字符L8ByhF.pngL8DX24.png前8个字节变为了堆地址,我们输入的数据被存入了堆中,第2个8字节依然书我们输入的字节数,第3个8字节0x1e,应该是剩余可用空间,0x13+0x1e=0x31。 总的来说,如果输入字符数小于0x10,string类的大概成员应该如下
如果大于0x10则为如下
继续分析程序
中间这一段 for 循环应该是遍历所有输入的 code,寻找[和],也就是寻找程序的边界,为什么是寻找程序的边界,可以再看一下 brainfuck 解释为 c 语言之后的效果。 []所包裹起来的 code,就是 while 循环之内要执行的代码。 从这个 for 循环往下,就是对 brainfuck 的解释代码,会依次判断每个字符的值,并进行相应的操作。
首先看到对的操作L8yoqA.png会对v19进行+1操作,v19是啥呢?L863RO.pngs是最开始初始化的时候传入的一个长度为0x400的数组,这里将v19赋值为s数组的地址,每当解析到>时,就将v19往后移动一个字节,然后对v19进行判断L8cwnJ.png在if判断中存在问题,当v19指针大于string指针是退出,也就是说v19可以等于string指针,即v19可以指向string的第一个字节,存在off-by-one。如下图L82liq.pngv19可以指向画框的1字节。
后续的其他操作就都和最开始贴出来的brainfuck语法一样了,也没有漏洞。
接下来开始利用漏洞。
第一步还是得先泄露libc地址。 泄露方法是通过将v19指向string的第一字节,也就是buf指针的最后1字节。L8RXuD.png在处就是main函数的返回地址,我们将buf指针的最后1字节修改为68,这样buf就会指向返回地址。 在程序的最后,会将string的数据输出L8WEDg.png而此时string的buf已经被我们指向了返回地址,输出时就会泄露出libc_start_main的地址。 在这里我们需要注意,想要buf指针能够指向栈中,我们输入的数据不能超过0x10个字节,而v19和string相差多少呢?L8fARx.pngv19是指向s的,s和string相差了0x400的距离,所以我们需要将v19增加0x400才行,但如果我们输入0x400个>,又会调用malloc,这样buf就会变成堆地址。所以这里就得了解brainfuck语法,使用[]可以达成类似于循环的效果。只需要这5个字符就可以一直循环增加v19指针,并在v19指向string的第1字节时自动停止,然后往string的第1字节写入1字节的数据,换成c的语法如下
这看起来是一个死循环,为啥能够自动在指向string的第1个字节时自动停止呢?这是因为,当执行完>使得v19指向string后,接下来会执行+使得string的buf指针+1,变成了下图所示:LGnwfU.png于是,原本要取,因为指针+1,就会取到,从而跳出循环。 还有一点就是,因为aslr的缘故,栈地址会一直改变,所以泄露libc地址需要多试几次才能成功。 拿到libc地址之后,就可以进行利用了,由于此时string的buf指针指向的是返回地址,我们再次输入code的时候就会往返回地址上写,所以我们可以构造好orw的rop链,直接写入返回地址,然后当我们结束main函数的时候就会执行orw链。 另外,还有需要注意的地方,在程序开头和结尾,有这么几个函数 开头LBncjI.png结尾LBnoCQ.png开头的应该是构造函数,结尾的应该是析构函数。 在漏洞利用中我们将string的buf指向了返回地址,如果我们在这个时候退出了while循环,执行析构函数时就会报错,所以我们在布置完orw链后还需要对string的buf进行修正,让它指向正确的位置。
举报/反馈