【PWN · heap | House Of Spirit】2014_hack.lu_oreo

最新推荐文章于 2024-02-11 13:31:42 发布
最新推荐文章于 2024-02-11 13:31:42 发布
阅读量953 收藏 17
点赞数 20
分类专栏: 【PWN · Heap】 文章标签: ctf pwn 劫持GOT heap House Of Spirit
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mr_Fmnwon/article/details/136037893
版权

呜呜呜,时隔多个月,继续学pwn

目录

前言

零、House Of Spirit介绍

一、题目分析

二、调试过程

1.泄露libc

2.大量add设置fake chunk的size合法

3.message 构造fake chunk的next chunk合法,绕过检测

4.order释放,将fake chunk放到fast bin中,等待add返回

5.修改notice指针,指向got表

6.通过message,修改notice指向的区域(got表,这里是strlen的got表)

三、exp 

前言

将chunk劫持到指定位置,能够大有作为,而House Of Spirit的目的就是这一点。最初了解仅是了解,通过本题,对于利用手法的利用,感悟更为深入。

零、House Of Spirit介绍

House of Spirit 是 the Malloc Maleficarum 中的一种技术。

该技术的核心在于在目标位置处伪造 fastbin chunk,并将其释放,从而达到分配指定地址的 chunk 的目的。

要想构造 fastbin fake chunk,并且将其释放时,可以将其放入到对应的 fastbin 链表中,需要绕过一些必要的检测,即

  • 1、fake chunk 的 ISMMAP 位不能为 1,因为 free 时,如果是 mmap 的 chunk,会单独处理 IS_MAPPED,记录当前 chunk 是否是由 mmap 分配的,这个标志位位于size低二比特位
  • 2、fake chunk 地址需要对齐, MALLOC_ALIGN_MASK 因为fake_chunk可以在任意可写位置构造,这里对齐指的是地址上的对齐而不仅仅是内存对齐,比如32位程序的话fake_chunk的prev_size所在地址就应该位0xXXXX0或0xXXXX4。64位的话地址就应该在0xXXXX0或0xXXXX8
  • 3、fake chunk 的 size 大小需要满足对应的 fastbin 的需求,同时也得对齐 fake_chunk如果想挂进fastbin的话构造的大小就不能大于0x80,关于对齐和上面一样,并且在确定prev_size的位置后size所在位置要满足堆块结构的摆放位置
  • 4、fake chunk 的 next chunk 的大小不能小于 2 * SIZE_SZ,同时也不能大于av->system_mem fake_chunk 的大小,大小必须是 2 * SIZE_SZ 的整数倍。如果申请的内存大小不是 2 * SIZE_SZ 的整数倍,会被转换满足大小的最小的 2 * SIZE_SZ 的倍数。32 位系统中,SIZE_SZ 是 4;64 位系统中,SIZE_SZ 是 8。最大不能超过av->system_mem,即128kb。next_chunk的大小一般我们会设置成为一个超过fastbin最大的范围的一个数,但要小雨128kb,这样做的目的是在chunk连续释放的时候,能够保证伪造的chunk在释放后能够挂在fastbin中main_arena的前面,这样以来我们再一次申请伪造chunk大小的块时可以直接重启伪造chunk
  • 5、fake chunk 对应的 fastbin 链表头部不能是该 fake chunk,即不能构成 double free 的情况 这个检查就是fake_chunk前一个释放块不能是fake_chunk本身,如果是的话_int_free函数就会检查出来并且中断

想要使用该技术分配 chunk 到指定地址,其实并不需要修改指定地址的任何内容,关键是要能够修改指定地址的前后的内容使其可以绕过对应的检测

一、题目分析

首先查看保护信息

我们可以往劫持got表的方向考虑

最低0.47元/天 解锁文章
pwn工具箱之house of spirit
jmp esp
07-03 999
house of spirit基本信息 利用种类:堆利用 堆利用种类:释放fake chunk 利用思路:通过构造fake chunk,然后使得fake chunk被free,在下一次malloc时返回fake chunk 利用难点 需要能够控制被free的内容,才能构造fake chunk 在free fake chunk的时候,libc会检查next size,也就是从当前位置开始算,加上一个c
house-of-spirit-pwn200
csdn546229768的博客
01-11 2624
前言 : 因为期末考试加上复习的原因,接近一个月没有做pwn题了,放寒假就回来在物理机上面装了个ubuntu(折腾了几天,不过装好了做题环境还是挺好用的),打算这个寒假学习完堆知识.来年好好上课(大三压力大!)有空打打比赛. 例题 : lctf2016_pwn200 house-of-spirit 利用条件: (1)想要控制的目标区域的上方空间与下方空间都是可控的内存区域 (2)存在可将堆变量指针覆盖指向为上方可控空间,从而达到将非可控空间与可控空间进行合并变成fake_chunk(有点像unlink) (
House of Spirit(fastbin)
weixin_30265171的博客
07-14 193
0x01 fastbin fastbin所包含chunk的大小为16 Bytes, 24 Bytes, 32 Bytes, … , 80 Bytes。当分配一块较小的内存(mem<=64 Bytes)时,会首先检查对应大小的fastbin中是否包含未被使用的chunk,如果存在则直接将其从fastbin中移除并返回;否则通过其他方式(剪切top chunk)得到一块符合大小要求的chunk...
LCTF 2016 PWN200(House Of Spirit)
Bill
03-24 1781
L-CTF 2016 pwn200 漏洞简介 The house of Spirit The House of Spirit is a little different from other attacks in the sense that it involves an attacker overwriting an existing pointer before it is ‘fr...
6.house_of_spirit
06-08 160
源代码 1 #include <stdio.h> 2 #include <stdlib.h> 3 4 int main() 5 { 6 fprintf(stderr, "This file demonstrates the house of spirit attack.\n"); 7 8 fprintf(st...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
各种乱七八糟的收集,_51pwn.com大数据平台模糊查询_MyDocs.zip
09-16
标题“各种乱七八糟的收集,_51pwn.com大数据平台模糊查询_MyDocs.zip”中包含了几个关键信息点:“各种乱七八糟的收集”、“51pwn.com”、“大数据平台”、“模糊查询”以及“文档集合(MyDocs)”。尽管没有具体的...
A pwn challenge in 2022 美团高校赛_2.zip
最新发布
02-20
首先,文件标题“A pwn challenge in 2022 美团高校赛_2.zip”表明这是一个与计算机安全领域相关的挑战赛文件包。Pwn在信息安全领域通常指的是“Own”,即控制或攻破计算机系统,这是一个常用于描述信息安全竞赛中的...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
[pwn][堆利用]house of spirit[例题:lctf2016_pwn200]
zhulintintao的博客
11-21 937
House of spirit 实现目的 malloc分配到目标地址 实现条件 free的参数可控 目标地址可以连续构造两个fake chunk的size域,需要地址对齐(即目标高低地址处均有可控区域) 实现方法 在目标地址伪造可以被释放到fastbin上的fake chunk 伪造fake chunk的同时伪造好其下一个chunk(物理上的)的size域 将目标地址作为参数free malloc一次,将返回指向目标地址的指针 实现实例 题目平台 buuctf 题目名
好好说话之Fastbin Attack(2):House Of Spirit
hollk’s blog
10-30 3910
Fastbin Attack的第二种攻击方式House Of Spirit,相对来说是double free的升华。在检查绕过的时候会相对麻烦一点,其他的地方还是挺简单的,如果上一篇文上你领悟的很好的话,这篇文章也不会很难理解。 编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ
PWN-HEAP学习】House of Spirit 学习笔记
SWEET0SWAT的博客
08-16 1647
House of Spirit 原理 l-ctf 2016 pwn200 调试分析 0x7ffd4a390b10: 0x0000000000000031 0x0000003000000001 0x7ffd4a390b20: 0x00007ffd4a390b40 0x00000000004009ff 0x7ffd4a390b30: 0x0000000000000005 0x0000000188ff...
GDB调试堆漏洞之house of spirit
ZL_1618的博客
08-14 881
何为house of spirit?​ 该技术出自于2005年的The MallocMaleficarum这篇文章,是一种用于获得某块内存区域控制权的技术 ​例如一个位于fastbin的区块是不可控的,但是我们希望对其进行读写操作只需他刚好满足以下两个条件即可。​第一,改区域的前后内存可控(通俗来讲就是堆溢出) ​ 第二,存在一个可控指针作为free()函数的参数(此处通俗讲就是控制chunk的fd或者bk指针),通过堆排布, ​ 伪造fake。
House of Spirit学习调试验证与实践
xiaoi123的博客
08-07 1181
作家:Bug制造机 原文来自:House of Spirit学习调试验证与实践 House of Spirit和其他的堆的利用手段有所不同。它是将存在的指针改写指向我们伪造的块(这个块可以位于堆、栈、bss任何一个位置)并且free掉欺骗glibc达到把伪造块回收到bins中不过在free之前,需要设置当前伪造块和下一个伪造块的size字段,满足free()的安全检测机制,从而欺骗glibc。...
house_of_spirit && 2014_hack.lu_oreo例题分析
Pwnpanda的博客
08-13 1325
2014_hack.lu_oreo 相关知识点: Fastbin Attack – House of Spirit 相关链接: 2014_hack.lu_oreo下载 CTF Wiki Fastbin Attack IDA创建结构体 题目分析: 先分析功能: ①添加枪支(add),这个地方会读取枪支的名字和描述,这是第一个难点,这个里面存在一个结构体(差点被坑死在这,为...
linux 堆溢出学习之house of spirit(1) malloc maleficarum hos翻译
jmp esp
03-02 2326
综述house of spirit是一种常用的堆溢出技术,而在如今的malloc实现中依然没有对这种方法进行保护,所以在目前还是一种有效的堆溢出技术。下面我们先从这种方法的来源之本讲起,即2005 Malloc Maleficarumcsdn原文 The House of SpiritThe House of Spirit is primarily interesting because of th
fastbin attack
m0_64195960的博客
07-19 1472
FastbinDoubleFree是指fastbin的chunk可以被多次释放,因此可以在fastbin链表中存在多次。这样导致的后果是多次分配可以从fastbin链表中取出同一个堆块,相当于多个指针指向同一个堆块,结合堆块的数据内容可以实现类似于类型混淆(typeconfused)的效果。FastbinDoubleFree能够成功利用主要有两部分的原因fastbin的堆块被释放后next_chunk的pre_inuse位不会被清空1.1.1该技术的核心。......
从零开始学howtoheap:fastbins的house_of_spirit攻击2
weixin_44626085的博客
02-11 1062
how2heap是由shellphish团队制作的堆利用教程,介绍了多种堆利用技术,后续系列实验我们就通过这个教程来学习。
How2Heap笔记(三)
kelxLZ的博客
01-25 832
Author:ZERO-A-ONE Date:2021-01-22 一、house_of_spirit house-of-spirit 是一种 fastbins 攻击方法,通过构造 fake chunk,然后将其 free 掉,就可以在下一次 malloc 时返回 fake chunk 的地址,即任意我们可控的区域。house-of-spirit 是一种通过堆的 fast bin 机制来辅助栈溢出的方法,一般的栈溢出漏洞的利用都希望能够覆盖函数的返回地址以控制 EIP 来劫持控制流,但如果栈溢出的长度无.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值