House of apple 一种新的glibc中IO攻击方法

最新推荐文章于 2023-03-18 22:09:33 发布
最新推荐文章于 2023-03-18 22:09:33 发布
阅读量2.9k 收藏 9
点赞数 1
分类专栏: 计算机 文章标签: 计算机
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pythonxxoo/article/details/125342417
版权

🚀 优质资源分享 🚀

学习路线指引(点击解锁) 知识定位 人群定位
🧡 Python实战微信订餐小程序 🧡 进阶级 本课程是python flask+微信小程序的完美结合,从项目搭建到腾讯云部署上线,打造一个全栈订餐系统。
💛Python量化交易实战💛 入门级 手把手带你打造一个易扩展、更安全、效率更高的量化交易系统

目录* House of apple 一种新的glibc中IO攻击方法
+ 前言
+ 利用条件
+ 利用原理
+ 利用思路
- 思路一:修改tcache线程变量
- 思路二:修改mp_结构体
- 思路三:修改pointer_guard线程变量之house of emma
- 思路四:修改global_max_fast全局变量
+ 例题分析
- 题目分析
- 利用过程
+ 总结

House of apple 一种新的glibc中IO攻击方法

提出一种新的glibcIO利用思路,暂且命名为house of apple

前言

众所周知,glibc高版本逐渐移除了__malloc_hook/__free_hook/__realloc_hook等等一众hook全局变量,ctfpwn题对hook钩子的利用将逐渐成为过去式。而想要在高版本利用成功,基本上就离不开对IO_FILE结构体的伪造与IO流的攻击。之前很多师傅都提出了一些优秀的攻击方法,比如house of pighouse of kiwihouse of emma等。

其中,house of pig除了需要劫持IO_FILE结构体,还需要劫持tcache_perthread_struct结构体或者能控制任意地址分配;house of kiwi则至少需要修改三个地方的值:_IO_helper_jumps + 0xA0_IO_helper_jumps + 0xA8,另外还要劫持_IO_file_jumps + 0x60处的_IO_file_sync指针;而house of emma则至少需要修改两个地方的值,一个是tls结构体的point_guard(或者想办法泄露出来),另外需要伪造一个IO_FILE或替换vtavlexxx_cookie_jumps的地址。

总的来看,如果想使用上述方法成功地攻击IO,至少需要两次写或者一次写和一次任意地址读。而在只给一次任意地址写(如一次largebin attack)的情景下是很难利用成功的。

largebin attack是高版本中为数不多的可以任意地址写一个堆地址的方法,并常常和上述三种方法结合起来利用。本文将给出一种新的利用方法,在仅使用一次largebin attack并限制读写次数的条件下进行FSOP利用。顺便说一下,house of banana 也只需要一次largebin attack,但是其攻击的是rtld_global结构体,而不是IO流。

上述方法利用成功的前提均是已经泄露出libc地址和heap地址。本文的方法也不例外。

利用条件

使用house of apple的条件为:
1、程序从main函数返回或能调用exit函数
2、能泄露出heap地址和libc地址
3、 能使用一次largebin attack(一次即可)

利用原理

原理解释均基于amd64程序。

当程序从main函数返回或者执行exit函数的时候,均会调用fcloseall函数,该调用链为:

  • exit

    • fcloseall

      • _IO_cleanup

        • _IO_flush_all_lockp
          • _IO_OVERFLOW

最后会遍历_IO_list_all存放的每一个IO_FILE结构体,如果满足条件的话,会调用每个结构体中vtable->_overflow函数指针指向的函数。

使用largebin attack可以劫持_IO_list_all变量,将其替换为伪造的IO_FILE结构体,而在此时,我们其实仍可以继续利用某些IO流函数去修改其他地方的值。要想修改其他地方的值,就离不开_IO_FILE的一个成员_wide_data的利用。

struct \_IO\_FILE\_complete
{
  struct \_IO\_FILE \_file;
  \_\_off64\_t _offset;
  /* Wide character stream stuff. */
  struct \_IO\_codecvt *\_codecvt;
  struct \_IO\_wide\_data *\_wide\_data; // 劫持这个变量
  struct \_IO\_FILE *\_freeres\_list;
  void *_freeres_buf;
  size\_t __pad5;
  int _mode;
  /* Make sure we don't get into trouble again. */
  char _unused2[15 * sizeof (int) - 4 * sizeof (void *) - sizeof (size\_t)];
};

amd64程序下,struct _IO_wide_data *_wide_data_IO_FILE中的偏移为0xa0

amd64:

0x0:'\_flags',
0x8:'\_IO\_read\_ptr',
0x10:'\_IO\_read\_end',
0x18:'\_IO\_read\_base',
0x20:'\_IO\_write\_base',
0x28:'\_IO\_write\_ptr',
0x30:'\_IO\_write\_end',
0x38:'\_IO\_buf\_base',
0x40:'\_IO\_buf\_end',
0x48:'\_IO\_save\_base',
0x50:'\_IO\_backup\_base',
0x58:'\_IO\_save\_end',
0x60:'\_markers',
0x68:'\_chain',
0x70:'\_fileno',
0x74:'\_flags2',
0x78:'\_old\_offset',
0x80:'\_cur\_column',
0x82:'\_vtable\_offset',
0x83:'\_shortbuf',
0x88:'\_lock',
0x90:'\_offset',
0x98:'\_codecvt',
0xa0:'\_wide\_data',
0xa8:'\_freeres\_list',
0xb0:'\_freeres\_buf',
0xb8:'\_\_pad5',
0xc0:'\_mode',
0xc4:'\_unused2',
0xd8:'vtable'

我们在伪造_IO_FILE结构体的时候,伪造_wide_data变量,然后通过某些函数,比如_IO_wstrn_overflow就可以将已知地址空间上的某些值修改为一个已知值。

static wint\_t
_IO_wstrn_overflow (FILE *fp, wint\_t c)
{
  /* When we come to here this means the user supplied buffer is
 filled. But since we must return the number of characters which
 would have been written in total we must provide a buffer for
 further use. We can do this by writing on and on in the overflow
 buffer in the \_IO\_wstrnfile structure. */
  _IO_wstrnfile *snf = (_IO_wstrnfile *) fp;

  if (fp->_wide_data->_IO_buf_base != snf->overflow_buf)
    {
      _IO_wsetb (fp, snf->overflow_buf,
		 snf->overflow_buf + (sizeof (snf->overflow_buf)
				      / sizeof (wchar\_t)), 0);

      fp->_wide_data->_IO_write_base = snf->overflow_buf;
      fp->_wide_data->_IO_read_base = snf->overflow_buf;
      fp->_wide_data->_IO_read_ptr = snf->overflow_buf;
      fp->_wide_data->_IO_read_end = (snf->overflow_buf
				      + (sizeof (snf->overflow_buf)
					 / sizeof (wchar\_t)));
    }

  fp->_wide_data->_IO_write_ptr = snf->overflow_buf;
  fp->
最低0.47元/天 解锁文章
pythonxxoo
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2.27 house of botcake例题附件
05-31
2.27 house of botcake例题附件
house of apple2(改进)
m0_63437215的博客
11-18 924
house_of_apple2
IO_File
一颗洛米
06-21 253
Filefile:文件和路径名的抽象表示形式。也就是指的一个联系,Java程序和硬盘上的资源的一种联系两个常用常量: * 1、路径分隔符 ; * 2、文件分隔符 \相对路径:绝对路径:String relativePath = "src/main/resources/mybatis-config.xml"; String absolutePath = "E:\Code\Mybatis\Myba...
house of apple1
m0_63437215的博客
11-16 482
house of apple1
glibc 2.35 pwn——house of apple v2 示例程序
CoLin的pwn小屋
03-18 584
house of apple v2 演示程序
嵌入式编程(以STM32为例)的volatile,const意义及应用场景
热门推荐
zjgtan的专栏
06-28 1万+
__I、 __O 、__IO是什么意思? 这是ST库里面的宏定义,定义如下: #define     __I       volatile const        /*! #define     __O       volatile                  /*! #define     __IO      volatile                  /*!
House of apple 一种glibcIO攻击方法.doc
07-09
House of Apple - 一种glibc IO 攻击方法 本文提出了一种glibc IO 攻击方法,名为 House of Apple,该方法可以在高版本 glibc 成功实施 IO 攻击。该方法基于对 IO_FILE 结构体的伪造和 IO 流的...
【技术分享】house of pig一个的堆利用详解 .pdf
09-05
【技术分享】House of Pig是一种的堆利用技术,主要针对xctf 2021决赛的同名挑战。此攻击方法适用于glibc 2.31及其后的版本,利用了其的大型bin攻击(largebin attack)、FILE结构以及tcache stashing unlink...
system_of_house_measure.rar_house
09-21
房屋测量系统,集成了基本的地图软件要素。
house of banana .pdf
09-05
"House of Banana"是一种针对glibc库的型堆利用技术,自glibc 2.28版本以来,由于其引入的安全改进,传统的攻击方式受到了限制,但这也催生了攻击策略。本文将深入探讨House of Banana的概念、背景以及它如何...
好好说话之Tcache Attack(1):tcache基础与tcache poisoning
hollk’s blog
02-01 4035
进入到了Tcache的部分,我还是觉得有必要多写一写基础的东西。以往的各种攻击手法都是假定没有tcache的,从练习二进制漏洞挖掘的角度来看其实我们一直模拟的都是很老的环境,那么这样一来其实和真正的生产环境就产生了较大的差距,这导致了CTF-PWN就是CTF-PWN,除了比赛有用之外让人看不出实际的生产转化。以上均属个人想法,如果你觉得纯理论的东西没什么意思,完全可以跳过这前面部分直接看后面的例题
linux IO_FILE 利用
sky123博客
03-29 4580
基本结构 _IO_FILE_plus 定义如下: struct _IO_FILE_plus { FILE file; const struct _IO_jump_t *vtable; }; 包括一个结构体 file 和一个指针 vtable 。 其 vtable 指向一个函数指针表,很多 IO_FILE 的攻击都是围绕它展开的。 _IO_FILE_plus 类型的结构有 _IO_2_1_stdin_ 、 _IO_2_1_stdout_ 和 _IO_2_1_stderr_ 。另外有头指针 _IO_
2022强网杯pwn部分wp
N1rvana的博客
08-02 1489
2022强网杯pwn
强网杯2022 pwn 赛题解析——house_of_cat
CoLin的pwn小屋
08-04 2849
强网杯2022 pwn 赛题分析——house_of_cat
glibc版本查看_GLIBC: heap basic1
weixin_39783360的博客
11-27 103
section 0 preface由于不同glibc版本的heap实现会有一些不同,本文使用glibc-2.27,在64bit下进行探索。本文主要内容为tcachebin的实现原理与攻击。insomnia:GLIBC: heap basic0​zhuanlan.zhihu.com在上一篇文章的两个demo里,都出现了tcache机制,自glibc-2.26开始引入,旨在提高性能,但代价是安全性的降...
借助gdb调试glibc代码学习House of Orange
happylzs2008的专栏
01-07 694
转自:https://bbs.pediy.com/thread-251195.htm house_of_orange https://www.jianshu.com/p/1e45b785efc1 借助gdb调试glibc代码学习House of Orange https://github.com/shellphish/how2heap/blob/master/glibc_2.25/hou...
House Of Orange
qq_45595732的博客
11-26 999
House Of Orange 本质:Unsorted bin attack 和 FSOP造成的组合漏洞利用方式。 House of orange源于一道题目,有时候只用到free top chunk的题目也会被归入该类glibc版本<=2.23情况 特点:不需要free操作 核心原理: 1,获取unsorted bin ​ 在_int_malloc函数,会依次检验 fastbin、small bins、unsorted bin、large bins 是否可以满足分配要求,因为尺寸问
C程序设计笔记9-10章 结构体/IO
林中小屋
01-08 471
结构体 structre看完简介,觉得与PHP关联数组尤其是object是一样的。定义struct Student{ int num; char name[20]; char sex; int age; float score; };值得注意的是Student 是一个类型名,是一种类型(自定义的),并不是这个数据的名称定义结构体变量struct Studen
祥云杯2022 pwn - leak
z1r0的博客
11-08 414
wjh师傅的思路是利用botcake的方法,将unsortedbin和tcache重叠,使得unsortedbin的fd落到tcache的fd,再修改最后两字节,进行libc上地址的申请,可以申请到global_max_fast和stdout,这里由于地址随机化肯定是需要爆破的。算好size之后,delete掉,此时目标地址就会指向堆地址,从而实现了向地址写入堆地址,因为flag在堆地址里,所以就可以泄露出flag,exp就用的wjh师傅的。当时比赛没有做出来,光顾着泄露libc地址去了。
java定义一个房子house类,类需要
最新发布
04-05
包含以下属性和方法: 属性: - 地址(address) - 面积(area) - 房间数量(roomNum) - 是否有花园(hasGarden) 方法: - 构造方法,可以传入地址、面积、房间数量和是否有花园来初始化对象 - 获取地址的方法(getAddress) - 获取面积的方法(getArea) - 获取房间数量的方法(getRoomNum) - 获取是否有花园的方法(getHasGarden) - 修改地址的方法(setAddress) - 修改面积的方法(setArea) - 修改房间数量的方法(setRoomNum) - 修改是否有花园的方法(setHasGarden) 代码示例: ``` public class House { private String address; private double area; private int roomNum; private boolean hasGarden; public House(String address, double area, int roomNum, boolean hasGarden) { this.address = address; this.area = area; this.roomNum = roomNum; this.hasGarden = hasGarden; } public String getAddress() { return address; } public double getArea() { return area; } public int getRoomNum() { return roomNum; } public boolean getHasGarden() { return hasGarden; } public void setAddress(String address) { this.address = address; } public void setArea(double area) { this.area = area; } public void setRoomNum(int roomNum) { this.roomNum = roomNum; } public void setHasGarden(boolean hasGarden) { this.hasGarden = hasGarden; } } ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值