pwn题堆利用的一些姿势 -- free_hook

最新推荐文章于 2023-02-15 21:20:00 发布
最新推荐文章于 2023-02-15 21:20:00 发布
阅读量4.5k 收藏 33
点赞数 3
分类专栏: pwn ctf 网络安全 文章标签: pwn 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A951860555/article/details/115766826
版权

free_hook

pwn题堆利用的一些姿势 – malloc_hook
pwn题堆利用的一些姿势 – IO_FILE
pwn题堆利用的一些姿势 – setcontext
pwn题堆利用的一些姿势 – exit_hook

概述

  在做堆题的时候,经常会遇到保护全开的情况,其中对利用者影响最大的是PIE保护和Full RELRO,NX保护和栈保护对堆利用来说影响都不大,一般利用也不会往这方面靠。开了PIE保护的话代码段的地址会变,需要泄露代码段基地址才能利用存储在bss段上的堆指针;开了Full RELRO的话,则意味着我们无法修改got表,导致无法修改其它函数got表指向system,进一步获取到shell。因此也就有了我这一系列文章的目的,在got表无法被修改时,我们往往利用的就是下面的一些hook+onegadget来达到我们的目的。
  主要分为以下几个系列:malloc_hook --> free_hook --> IO_FILE --> setcontext。

初级必备姿势

  下面介绍free_hook的初级必备姿势,free_hook是调用free函数之前会执行的钩子函数,利用方式和malloc_hook大同小异,所以建议学习这种利用方式之前先看下malloc_hook。熟练掌握malloc_hook的利用方式后,再看free_hook会觉得十分轻松,基本上感觉是换汤不换药。当然一般利用先想malloc_hook,毕竟堆题肯定是有malloc函数的,但却不一定有free函数,另外free_hook往上的内存数据中不一定存在0x7f的字节数据来帮助我们实现fast bin attack。
  好,废话不多说,接下来以2019年ciscn_en_3的pwn题为例,介绍free_hook的利用姿势,远程环境可以在BUUCTF上找到。该题目环境为Ubuntu18,需要利用tcache机制中的double free,不熟悉的读者可以参见这篇博文,pwn题堆入门 – Tcache bin
  程序分析:该题目保护全开,64位程序,使用libc-2.27.so,程序本身去除了符号名,可以自己修复一下,接下来我们直接定位漏洞,其余不重要的细节此处不再赘述。如下图所示,程序主逻辑中开头中存在格式化字符串漏洞,但由于开启了FORTIFY保护,所以对利用方式有点影响。这里可以简单总结一下开了FORTIFY保护下的格式化字符串漏洞利用,首先这里无法再使用%n来实现任意地址写,然后是无法使用%d$p(d代表大于1的数字)进行地址泄露;但是可以像这样连续使用%p%p%p%p来泄露数据。具体利用方式参见下面的wp。
printf
  另外查阅了一下网上相关的wp,发现有前辈是利用了puts(s)函数的溢出,即如下图所示,栈上"aaaaaaaa"的部分即是s的位置,我们将此处填满到8字节,由于puts在打印时遇到"\x00"才会停止,所以会将紧邻的setbuffer函数的地址打印出来,这样我们也能获得libc的地址。
puts
  如下图所示,是程序主逻辑的地方,主要实现了增删查改四个功能,但其中edit和show并没有实现具体功能,然后add是正常实现了堆块的分配,不存在溢出,delete存在uaf漏洞,再下一张图即是delete功能的具体实现。
main
free
  漏洞利用:首先利用printf格式化字符串漏洞泄露libc地址,计算出free_hook地址,然后利用tcache的double free将堆块分配到free_hook上,填写为one_gadget。
  如下图所示,我们先看gdb调试的结果,首先是printf_chk的格式化利用,这里即将call的就是printf_chk,由于加了保护,所以该函数有两个参数,第一个参数0x1代表保护级别存入寄存器rdi,第二个参数才是我们输入的格式化利用字符串%p-%p-%p存入寄存器rsi。我们可以看到寄存器rcx存放的是read+17的地址,根据64位linux下前6个寄存器传参的习惯(rdi/rsi/rdx/rcx/r8/r9),此处已经用了两个寄存器,所以第二个%p将会打印出rcx存放的值。到这里我们就获取到了libc上的地址,再根据libc计算出基地址和free_hook的地址即可。
fmt
  如下图所示,第一张图展示了wp的执行结果,通过在wp中打印地址可以方便我们直接在gdb中进行断点调试和验证。第二张图展示了gdb的中结果,可以发现free_hook处已经被修改为了one_gadget的地址,当然这里运气不错,one_gadget的执行条件满足,接下来我们继续执行就可以获取到shell了。
res
gdb
  这里给出wp。

from pwn import *


ld_path = "/home/fanxinli/libc-so/libc-27/ld-2.27.so"
libc_path = "/home/fanxinli/libc-so/libc-2.27-64.so"
p = process([ld_path, "./ciscn_2019_en_3"
最低0.47元/天 解锁文章
__lifanxin
关注
  • 3
    点赞
  • 33
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
pwn题堆利用的一些姿势 -- IO_FILE
lifanxin的博客
05-11 5085
IO_FILE概述IO_FILE结构介绍利用IO_FILE进行leakFSOP总结 概述   这是pwn题堆利用系列的第三篇文章,本篇文章主要讲解一下IO_FILE结构在pwn题中的利用。一般来说,想到使用IO_FILE结构,是因为pwn题中没有可以用来leak的函数。 IO_FILE结构介绍   FILE 在 Linux 系统的标准 IO 库中是用于描述文件的结构,称为文件流。 FILE 结构在程序执行 fopen 等函数时会进行创建,并分配在堆中,然后以链表的形式串联起来,但系统一开始创建的三个文件st
glibc中free函数详解
huzai9527的博客
05-27 889
__libc_free详解(tcache 略) 1. 检查是否存在 hook函数,如果有就执行 void __libc_free (void *mem) { mstate ar_ptr; mchunkptr p; /* chunk corresponding to mem */ /* 1. 关于__free_hook,释放时会检查其会否为NULL,否的话就执行相应的函数 2. __free_hook指向的函数,其调用的参数,为chunk中的内容
IO_file attack(_IO_str_finish)以及 free_hook用法
carol2358的博客
08-04 1046
题目是0ctf_2017_babyheap 漏洞是堆溢出 free_hook 参考链接: https://xz.aliyun.com/t/7020 https://bbs.pediy.com/thread-230028.htm https://bbs.pediy.com/thread-246786.htm free_hook在libc2.23中用起来比较费劲,2.27中用的比较多 free_hook可以在og用不了的时候来system(binsh),但我为什么不realloc_hook呢? 因为f
内存分配钩子__malloc_hook, __reallac_hook, __free_hook的使用
鬼手
08-26 4814
mem.h #ifndef __MEM_H__ #define __MEM_H__ #include #include static void *(*old_malloc_hook)(size_t, const void*); static void *(*old_realloc_hook)(void *ptr, size_t size, const void *caller); sta
glibc-2.23-free
azraelxuemo的博客
05-17 625
文章目录测试代码 测试代码 和上节保持一样 #include<malloc.h> int main(){ void *p=malloc(0x18); free(p); p=NULL; }
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
CVE-2021-27246_Pwn2Own2020
03-03
Pwn2Own 2020东京版-TPlink漏洞利用 这是在Pwn2Own 2020 Tokyo期间用于开发TPlink Archer路由器的文件。 该漏洞的编号为CVE-2021-27246。 您可以在synacktiv网站上查看博客文章以了解详细信息。
PWM-OUT.rar_PWN_out
09-19
原子 的PWN 输出,寄存器程序,完全寄存器操作,可以直接打开。
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
Apache Struts CVE-2017-5638的漏洞利用 用法 测试单个URL。 python struts-pwn.py --url 'http://example.com/struts2-showcase/index.action' -c 'id' 测试网址列表。 python struts-pwn.py --list 'urls.txt' ...
内存泄漏检测组件 -- hook
kakaka666的博客
02-15 1996
2、__builtin_return_address(0)的含义是,得到当前函数返回地址,即此函数被别的函数调用,然后此函数执行完毕后,返回,所谓返回地址就是那时候的地址。3、__builtin_return_address(1)的含义是,得到当前函数的调用者的返回地址。注意是调用者的返回地址,而不是函数起始地址。printf函数底层会调用malloc函数,如果程序陷入死循环,会不停的调用malloc。好像只支持参数为0。让第一次进入函数的部分执行我们的流程,而递归进去的算第二次进入函数,返回即可。
津门杯2021CTF pwn
qq_39948058的博客
08-26 465
前言:这个题一开始调通了,但是不知道正确的libc版本,远程没有打通,最后听了一下libc版本是11.4的libc2.23版本,才打通,题很多洞,比较经典的是edit的READ容易写。写到freehook为onegadget即可,tcl,只解了一道题,时间原因第二道pwn题也没看,噗。。 漏洞点: 漏洞点这两个地方,他们都是在bss段里,而且位置比较临近可以直接考虑一下任意写,当时没太注意这个点,直接doublefree的,发现只给了4个chunk,所以没能构建出,又审计了一下edit R.
一道题目入门VMpwn
qq_40712959的博客
04-16 320
一道题目学习VMpwn 原理 VMpwn 程序通常都是模拟一套虚拟机,对用户输入的opcode进行解析,模拟程序的执行,故VMpwn常见设计如下: 初始化分配模拟寄存器空间(reg) 初始化分配模拟栈空间(stack) 初始化分配模拟数据存储空间(data) 初始化分配模拟机器指令(opcode)空间(text) [OGeek2019 Final]OVM 程序采用32bit定长指令,每个操作码、操作数均为8bit,其格式为: | opcode | dst | op1 | op2 | 程序具体指令参考
BUUCTF pwn wp 131 - 135
fa1c4的blog
04-27 552
rootersctf_2019_srop ciscn_2019_s_6 sctf_2019_easy_heap de1ctf_2019_weapon SWPUCTF_2019_p1KkHeap
pwn刷题num46----fast bin double free (控制free chunk的fd指针指向,栈上伪造的fake chunk,修改栈上变量值)
tbsqigongzi的博客
05-03 1029
BUUCTF-PWN-metasequoia_2020_samsara 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 保护全开 动态链接 英文意思 打败魔龙后,你变成了魔龙…… 1. 抓捕一个人 2. 吃掉一个人 3. 煮一个人 4. 找到你的巢穴 5. 转移到另一个王国 6. 自杀 ida看一下伪代码 主函数 还有一个菜单函数 观察分析main函数,switch里case1每次申请chunk大小为0x20(mem为0x10), case
拦截malloc、free等库函数(malloc钩子)
LBO4031的专栏
05-29 7734
__malloc_hook是一组glibc提供的malloc调试变量中的一个,这组变量包括: void *(*__malloc_hook)(size_t size, const void *caller); void *(*__realloc_hook)(void *ptr, size_t size, const void *caller); void *(*__memalign_hook)
深入理解free函数(c)
热门推荐
wwdlk的专栏
04-29 1万+
请看代码:(VS2005) //free : int _tmain(int argc, _TCHAR* argv[]) { int *p=NULL; p= (int *)malloc(sizeof(int)); free(p);//单步跟进 } //来到这里。 extern "C" _CRTIMP void __cdecl free( void * pUserData
堆基础---6 深入理解free()函数
For Geek
09-26 1123
_libc_free free函数在glibc中的真实名是 _libc_free()。 void __libc_free(void *mem) { mstate ar_ptr; mchunkptr p; void (*hook)(void *, const void *) = atomic_forced_read (__free_hook); if (__built...
mqtt-pwn安装
最新发布
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-pwn所在的目录。 3. 启动mqtt-pwn容器:使用命令`sudo docker-compose up --build --detach`启动mqtt-pwn容器。 另外,您还需要安装以下软件: 1. 安装pwntools:使用命令`python3 -m pip install --upgrade pwntools`来安装并更新pwntools。 2. 安装mosquitto程序和mosquitto-clients客户端程序:使用命令`sudo apt install mosquitto`和`sudo apt install mosquitto-clients`来安装mosquitto程序和mosquitto-clients客户端程序。 请注意,以上步骤假设您已经在Linux环境下进行操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值