浅析house of cat(中)

已于 2024-08-15 11:35:13 修改
阅读量731 收藏 20
点赞数 15
文章标签: 算法
于 2024-08-14 13:38:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79327647/article/details/141176545
版权

前言

这篇是浅析house of cat(上)-CSDN博客的续写,主要想从源码调试的角度去讲解一下具体流程。

这里选择的例题是强网杯2022的houseofcat,这里我只是使用已经写好的脚本去调试,讲解一些上篇中没指出来,但需要我们绕过的地方。

调试

calloc-->>__malloc_assert

这里假设我们已经能够触发__malloc_assert()函数了,开始进入分配函数calloc():

下断点在sysmalloc函数:

开始验证条件:

因为topchunk没有页对齐,所以开始调用__malloc_assert()函数:

之后就是正常去调用__fxprintf:

 __fxprintf -->> __vfxprintf 

这一步是没有什么问题的,正常进入。

 进入到__vfxprintf函数之后就到了我们特别需要注意的地方:

我们来看一下这个函数的源码:

#define _IO_flockfile(_fp) if (((_fp)->_flags & _IO_USER_LOCK) == 0) _IO_lock_lock (*(_fp)->_lock)

_IO_lock_lock的源码:

#define _IO_lock_lock(_name) \
  do {									      \
    void *__self = THREAD_SELF;						      \
    if (SINGLE_THREAD_P && (_name).owner == NULL)			      \
      {									      \
	(_name).lock = LLL_LOCK_INITIALIZER_LOCKED;			      \
	(_name).owner = __self;						      \
      }									      \
    else if ((_name).owner != __self)					      \
      {									      \
	lll_lock ((_name).lock, LLL_PRIVATE);				      \
	(_name).owner = __self;						      \
      }									      \
    else								      \
      ++(_name).cnt;							      \
  } while (0)

看到网上有人说这里:“可以看到进了之后就是一个无限循环,死锁。所以我们要绕过这个,通过上面的代码可以得到条件”,这种说法其实是不对的,do{}whlie(0)其实只是一种特殊的宏写法,表面上在这里一点意义都没有,只执行一次而已。但是锁的说法是对的:

这个宏 _IO_lock_lock,用于处理锁的逻辑。逐步分析这个宏的功能:

  1. 宏定义:_IO_lock_lock(_name) 是一个宏,它接收一个参数 _name,这个参数代表要操作的锁。

  2. 获取当前线程:void *__self = THREAD_SELF; 这行代码获取当前线程的标识,并将其存储在局部变量 __self 中。THREAD_SELF 也是一个宏,用于获取当前线程的标识符。

  3. 检查锁的状态:if ((_name).owner != __self) 检查当前线程是否已经拥有这个锁。如果锁的拥有者 (owner) 不是当前线程 (__self),则执行以下操作:

    • lll_lock ((_name).lock, LLL_PRIVATE);:调用 lll_lock 函数来锁定 _name 指定的锁。LLL_PRIVATE 是一个参数,表示锁的类型或锁定方式。
    • (_name).owner = __self;:将锁的拥有者设置为当前线程。

  4. 增加锁的计数:++(_name).cnt; 增加锁的计数。这可能是为了跟踪锁被同一线程重复获取的次数。 

想要绕过这个死锁就必须让if语句判断不成功,那就得让 ((_fp)->_flags & _IO_USER_LOCK) == 0不成立。但是很不行,这个判断很难绕过去,但是无伤大雅,我们只需要让fp->_lock是一个可以指向的地址,能够让他完成这些操作就可以了。

 locked_vfxprintf -> vfprintf_internal

接下来就是正常的调用链了,程序进入locked_vfxprintf函数,之后去调用vfprintf_internal函数。

之后走vtable检查:

 只要通过vtable检查,我们就可以通过return vtable来返回到我们需要的函数, 在上篇中我们了解到他希望去调用vtable指针_IO_wfile_jumps所指向的结构体中的_IO_file_xsputn,但是我们将_IO_wfile_jumps+0x10,他依然按照vtable+0x38的方式去调用,那么就会去调用到_IO_wfile_jumps+0x48,也就是__GI__IO_wfile_seekoff处:

接下来还有一个问题,我们必须让was_writing不为0才行,

所以我们必须让fp->_wide_data->_IO_write_ptr > fp->_wide_data->_IO_write_base 

跳转到我们设置好的函数:

 之后就是栈迁移+orw了:

 总结:

这里给出所有需要绕过的地方:

  1. old_size >= 0x20; old_top.prev_inuse = 0; old_top页对齐(三个违法一个就行)
  2. fp.mode != 0

  3. fp->_mode <= 0 && fp->_IO_write_ptr > fp->_IO_write_base                                  或者         _IO_vtable_offset (fp) == 0 && fp->_mode > 0 && (fp->_wide_data->_IO_write_ptr > fp->_wide_data->_IO_write_base)

  4. fp->_wide_data->_IO_write_ptr > fp->_wide_data->_IO_write_base

Mazhatter
关注
浅析办公自动化的计算机技术应用最终版.pdf
11-18
浅析办公自动化的计算机技术应用最终版.pdf
浅析计算机软件项目管理的需求分析.pdf
11-17
浅析计算机软件项目管理的需求分析.pdf
浅析house of cat(下)
2301_79327647的博客
08-15 967
这篇是hosue of cat 系列的最后一篇,之后估计要停一段时间去学apple1,个人感觉学习的顺序应该是orange -> apple2 -> cat -> emma ->apple1但是实际上学到cat应该就可以通杀了。但是本着学习的态度,还是看看apple1。外一以后需要用上呢。
浅析house of cat(上)
2301_79327647的博客
08-13 1089
原本以为只学习house of apple2就足以应对所有高版本了,但是还是被白名单制裁了,这里浅析一下house of cat以弥补apple2的缺陷。
344-浅析CryptoKitties(CK)
Lich Howger
04-13 805
pragma solidity ^0.4.11; /** * @title Ownable * @dev The Ownable contract has an owner address, and provides basic authorization control * functions, this simplifies the implementation of "user ...
【学习点滴-linux】 find命令浅析及应用
专注、专心
08-08 3146
Linuxfind常见用法示例 ·find   path   -option   [   -print ]   [ -exec   -ok   command ]   {} \; find命令的参数; pathname:   find命令所查找的目录路径。例如用.来表示当前目录,用/来表示系统根目录。 -print:         find命令将匹配的文件输出到标准输出。
浅析国古典戏曲的现实与虚幻.ppt
03-02
浅析国古典戏曲的现实与虚幻
浅析电子信息在工程造价管理的应用.doc
04-07
浅析电子信息在工程造价管理的应用.doc浅析电子信息在工程造价管理的应用.doc浅析电子信息在工程造价管理的应用.doc浅析电子信息在工程造价管理的应用.doc浅析电子信息在工程造价管理的应用.doc浅析电子...
浅析计算机网络在办公自动化的作用最终版.pdf
11-20
浅析计算机网络在办公自动化的作用最终版.pdf
算法刷题:300. 最长递增子序列、674. 最长连续递增序列、718. 最长重复子数组、1143. 最长公共子序列
qq_61936886的博客
09-12 489
如果text1[i - 1] 与 text2[j - 1]不相同,那就看看text1[0, i - 2]与text2[0, j - 1]的最长公共子序列 和 text1[0, i - 1]与text2[0, j - 2]的最长公共子序列,取最大的。但dp[i][0] 和dp[0][j]要初始值,因为 为了方便递归公式dp[i][j] = dp[i - 1][j - 1] + 1;2.递推公式:当A[i - 1] 和B[j - 1]相等的时候,dp[i][j] = dp[i - 1][j - 1] + 1;
算法知识点——常用输入输出数据的方式
5233的博客
09-12 285
除了换行之外,还会清空缓存区,而清空缓存区这件事情会耗时很久,因此为了提高速度,一般直接:cout << “\n”;2、n组输入输出(n不确定)1、n组输入输出(n确定)3、 复杂的输入输出。
Java数据结构(十)——冒泡排序、快速排序
xiaokuer_的博客
09-11 1174
文章介绍了冒泡排序和快速排序,快速排序的内容包括:划分方式、优化策略以及非递归实现
算法基础-约数
qq_65186476的博客
09-11 314
试除法求约数、约数个数、约数之和、最大公约数
【Hot100】LeetCode—64. 最小路径和
weixin_44382896的博客
09-12 473
64. 最小路径和。
算法练习题24——查找杨辉三角的组合数
hello77的blogggg 祝你得偿所愿
09-12 582
逐项递推法适合处理较小的数据量,计算较为直观,但当杨辉三角行数较大时,效率较低。 二分查找法利用组合数的单调性,显著提高查找效率,适合处理较大的数据范围。这两种解法在不同场景下都可以使用,二分查找法尤其适合大规模数据下的查找问题。
18068 选择排序
huang1xiao1sheng的博客
09-11 433
输入10个整数,编写一个实现对数组进行选择排序的函数 #include int sort(int a[], int n) { int i,j,k,tmp; for(i=0;i
二分系列(二分查找)9/12
2301_78191305的博客
09-12 963
排序数组->使用二分。第一个位置:>=;第二个位置:=(target+1)-1;所以直接写一个>=的函数。
二分系列(二分答案最大值)9/15.16
最新发布
2301_78191305的博客
09-16 588
给你一批机器,及其它制作一块合金所需要的不同种类金属的个数。第一台机器制作一块合金,需要一块A金属、一块B金属、一块C金属。我们对每一类机器所需要的各种种类的金属进行判断,如果仓库里面有,就不需要花钱;如果mid-index<1的,要计算有多少个1。前n项和:(mid-1+1)*(mid-1)/2+leftCount-(mid-1);根据贪心:以index为心,向两边依次-1,直到减到1为止。如果mid-rightCount<1,先计算多少个1,xxx。
文分词技术浅析
文分词是信息处理领域一个非常重要的基础步骤,对于文信息处理的基础性工作具有重要作用。下面将详细介绍文分词的概念、缘起、必要性和应用领域。 一、文分词的概念 文分词是指将连续的字序列按照一定...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值