【BUUCTF】roarctf_2019_realloc_magic---从一道题认识realloc函数+stdout泄露libc地址实战

最新推荐文章于 2024-07-02 21:53:31 发布
最新推荐文章于 2024-07-02 21:53:31 发布
阅读量1.8k 收藏 2
点赞数 4
分类专栏: pwn 文章标签: 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35078631/article/details/126913140
版权
realloc好题
摘要由CSDN通过智能技术生成

文章目录

慢慢的接触到了FILE io的实战题目,很难想象这是2019年题目的水平,看来还是欠缺的太多了。
此外,realloc函数这里也是第一次碰到,之前一直都是用realloc_hook,今天也终于对realloc这个函数下手了!!!

一、题目分析

题目环境是BUUCTF的ubuntu18,利用的是2.27-3ubuntu1_amd64的libc版本,这个版本注意到tcache还是存在double free的漏洞的,
至于函数功能真的是非常简单的

  • 1.realloc功能
    在这里插入图片描述

  • 2.free功能
    在这里插入图片描述

  • 3.隐藏的666功能
    在这里插入图片描述

这么简单功能?到滴该咋办,第一时间看到的时候我整个人都懵逼了。

二、前置知识

如果想靠自己的本事做出来,至少要掌握下面两个基础知识:

(一)关于realloc函数

realloc函数功能比malloc更加复杂,与malloc也有一定的区分。

  • ①当ptr == nullptr的时候,相当于malloc(size), 返回分配到的地址
  • ②当ptr != nullptr && size == 0的时候,相当于free(ptr),返回空指针
  • ③当size小于原来ptr所指向的内存的大小时,直接缩小,返回ptr指针。被削减的那块内存会被释放,放入对应的bins中去
  • ④当size大于原来ptr所指向的内存的大小时,如果原ptr所指向的chunk后面又足够的空间,那么直接在后面扩容,返回ptr指针;如果后面空间不足,先释放ptr所申请的内存,然后试图分配size大小的内存,返回分配后的指针

(二)关于如何利用stdout泄露libc的方法

网上有很多优秀的博文,我在这里推荐hollk大神的博客,写的特别nice
好好说话之IO_FILE利用(1):利用_IO_2_1_stdout泄露libc

三、解题思路

(一)抛出解题的核心问题

这个题目有两个最核心的问题:

  • 第一,如何泄露libc的问题,如果不泄露libc,这么简单的程序时不可能达成利用的
  • 第二,如何实现攻击,无论是泄露libc还是实现攻击,都需要一种思路,这个一定和realloc的特性是密不可分的。

(二)解题思路

如果在已知libc地址的前提下,攻击方法我们还是希望攻击hook这种传统的方式,并且因为tcache double free可行,tcache dup就更容易利用了,其中就是需要我们仔细理解、设计realloc的用法。我们设(学习)计(大佬)的解题思路如下:

  • 第一步,通过realloc和free的组合,具备实现tcache dup的攻击条件
  • 第二步,利用main_arena与stdout相近的情况,爆破第二个低字节,利用利用_IO_2_1_stdout泄露libc
  • 第三步,用第一步相同的方法指向free_hook,最终getshell

(三)最终解题详细过程

想法很美妙,但是如果不看大神的wp,能够想出来一定还是很有挑战的!!!
第一步:构建tcache dup的条件,并且将地址指向_IO_2_1_stdout,事实就是这个构造就让我头秃欲裂
这里面细节太多了,建议一步一步看,结合代码注释看。
这里构造必须巧妙地运用realloc的特性:①当ptr != nullptr && size == 0的时候返回空指针;②当ptr == nullptr的时候,相当于malloc(size)两条性质。

  • 1.我们先看一下tcache dup应该如何布置空间
    realloc(0x30,"a")   # 块A 这一步很关键,是为了tcache dup篡改B的fd预留位置
    realloc(0,"")       # 这一步是关键,利用了性质①

    realloc(0x80,"b")   # 块B ,在上述步骤后realloc_ptr被置空,又可以利用②构造下一个位置的chunk,而不是在A的基础上扩展
    realloc(0,"")       # 同上

    realloc(0x40,"c")   # 块C ,纯粹的隔离作用,防止被top chunk 合并
    realloc(0,"")

    realloc(0x80,"b")   # 重新申请回B块
    [free() for x in range(7)]      # 利用tcache double free填满tcache chain
    realloc(0,"")       # 这一步有三层含义,非常关键
                        # 第一,清空realloc_ptr,为tcache dup必须的更改realloc_ptr创造条件
                        # 第二,将0x90大小的堆第8次释放,变成unsorted bin,这一步为realloc(A,size(A)+N)成功打下基础
                        # 第三,unsorted bin 会使得fd 变成main_arena + 96,这给我们篡改至_IO_2_1_stdout奠定了基础

布置完毕后堆空间是这样的
在这里插入图片描述
在这里插入图片描述

  • 2.利用tcache dup需要两次malloc如何实现?如何篡改main_arena指向_IO_2_1_stdout?
    realloc(0x30,"a")   # 将realloc_ptr指向Chunk A

    #break_here()       # 注释代码用于在测试时候用,保证tcache顺利指向
    #offset = int(input("please input offset : "))
    #offset = (offset<<4)+
最低0.47元/天 解锁文章
Assassin__is__me
关注
  • 4
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
BUUCTF-PWN roarctf_2019_realloc_magic(tcache attack,块重叠,劫持_IO_2_1_stdout_泄露libc
weixin_44145820的博客
04-17 1872
目录目分析漏洞利用Exp 目分析 free没有限制,可以多次free 使用realloc进行内存分配,没有限制大小 realloc的几个特殊用法(摘自官方WP) size == 0 ,这个时候等同于free realloc_ptr == 0 && size > 0 , 这个时候等同于malloc malloc_usable_size(realloc_ptr) &g...
【pwn】 roarctf_2019_realloc_magic
Nothing
03-05 1000
例行检查 保护全开,分析程序逻辑。发现没有输出内容的函数,想要泄露libc地址只能通过修改IO_FILE结构体实现。realloc函数有两个trick。在size为0时,free掉指针指向的块,返回0;在分配超过当前指针指向块大小时如果有剩余空间则扩大块大小。 利用思路 1.块free 8次放进unsortbin中,在fd上得到arena地址,通过realloc扩大块的特性造成叠...
roarctf_2019_realloc_magic
z1r0的博客
03-04 505
roarctf_2019_realloc_magic 查看保护
roarctf_2019_realloc_magic 详细学习理解 无show()利用IO_FILE输出+realloc分配实现
weixin_46521144的博客
07-20 707
roarctf_2019_realloc_magic 这道从头到尾都是我的知识盲区… 爆破,IO_FILE,realloc 学习资料 利用IO_FILE泄露libc原理 IO_FILE泄露libc wp参考 realloc重要知识 静态分析 可以看出程序只有对realloc的调用操作,只有add()和delete()没有泄露函数。一般如果没有show()函数,plt里面也没有system,可以采用的方法是劫持IO_FILE泄露。 IO_FILE劫持思路 对于劫持IO_FILE的思路,我的理解是
ROARCTF2020-Crypto
Gm1y's Blog
12-10 973
前言 这次ROARCTF我打得时间比较短,所以只做了Crypto_System,其余两都是后来复现的… Crypto_System 将式子都化简为以g为底的式子,这样可以将这看起来的离散对数问化简为简单的求逆元问。由于可能求不出逆元,所以需要进行判断 (用Linux跑的) from pwn import * from libnum import * from Crypto.Util.number import * from hashlib import * from gmpy2 import inv
roarctf_2019_realloc_magicrealloc,IO_file_leak,doublefree)
m0_51251108的博客
11-07 292
roarctf_2019_realloc_magic: 保护全开 逆向分析: 主界面: re: fr: ba:
buuctf ctf (第5.5波)学会使用LibcSearcher
月阴荒的博客
04-22 1418
jarvisoj_level3 https://blog.csdn.net/qinying001/article/details/104473597 jarvisoj_level3_x64 https://blog.csdn.net/qinying001/article/details/104473597 [HarekazeCTF2019]baby_rop2 同样需要注意这道的flag不在当前目...
libc-html_node.tar.gz_GCC 函数_libc
09-21
《GCC 函数_libc深入解析》 在编程领域,C语言是基础且强大的工具,而其背后的库函数更是程序员日常工作中不可或缺的资源。本资料集《libc-html_node.tar.gz》全面聚焦于GCC编译器下的libc库,为开发者提供了一份...
linux-c-api-ref.zip_linux api_linux-c-api-ref
09-24
7. **网络编程**:`socket()`创建套接字,`bind()`将套接字与地址关联,`listen()`设置服务器监听,`accept()`接收连接请求,`connect()`客户端建立连接。`send()`和`recv()`发送和接收数据,`select()`和`poll()`...
Linux-system-functions.rar_linux_linux c++_system 函数
09-22
6. **内存管理**:系统函数`malloc()`, `calloc()`, `realloc()`, `free()`等用于动态内存分配和释放,而`mmap()`和`munmap()`则提供了一种映射文件到内存的方式。 7. **网络编程**:Linux系统函数还包括了套接字...
C-Language-Exam.rar_C 选择_exam
09-14
这个"C-Language-Exam.rar"压缩包文件显然是为准备C语言考试或学习者设计的资源,包含了C语言的全面练习,包括选择、填空甚至编程,并附有答案,对于学习者来说是非常有价值的参考资料。 C语言的选择部分...
C-language-classic-title.zip_C C++ 面试_C语言面试_c语言
09-22
《C语言经典解析》 在编程领域,C语言一直占据着重要的地位,无论是作为初学者的入门语言,还是在专业开发中作为底层系统编程的基础,C语言的重要性不言而喻。本文将针对“C语言经典”进行深入探讨,旨在帮助...
glibc任意分配到攻击IO流达到泄露信息&realloc特性&unsorted bin expand总结
seaaseesa的博客
04-17 1024
glibc任意分配到攻击IO流达到泄露信息&realloc特性&unsorted bin expand总结 有些情况下,仅有malloc/calloc/realloc和free两种功能,并且可以实现任意地址分配,如果想要达到利用,还需要知道地址,在glibc下,一般就是攻击_IO_2_1_stdout_结构体来实现信息泄露,通过低字节覆盖unsorted bin留下的main...
使用realloc函数容易出现的陷阱(内存泄露
weixin_62518305的博客
02-19 1214
realloc的使用,以及使用不当引发的内存泄露
Roar CTF 2019 坦克大战 Writeup
Secz的博客
10-15 2003
下载压缩包 解压看到 可知该游戏由Unity3D编写,由于没有相关逆向经验,上网查阅得知游戏代码部分都在Assembly-CSharp.dll文件中,通过dnspy可以打开此类型的dll. 直接查看跟目相关的函数,在MapManager下有名为WinGame的函数.源码如下 // MapManager // Token: 0x06000029 RID: 41 RVA: 0x00003050 ...
buuctf realloc _IO_2_1_stdout_泄露libc地址 32位格式化字符串 UAF diff SSH SCP jmp-rsp orw seccomp_tools
carol2358的博客
08-01 725
文章目录roarctf_2019_realloc_magic roarctf_2019_realloc_magic 贴几个链接: https://blog.csdn.net/weixin_44145820/article/details/105585889 https://blog.csdn.net/seaaseesa/article/details/105590591 https://blog.csdn.net/weixin_42151611/article/details/99228675 exp:
roarctf_2019_easyheap
z1r0的博客
04-10 399
roarctf_2019_easyheap 查看保护 有一个大uaf,show的条件是bss上的一个数据应该 为0xdead… 在666中可以进行删除和创建,这里有一个bug,602010这个数据变成0之后–就是成负数可以无限次使用了 攻击思路:因为有uaf和666这个功能,所以我们构造fastbin attack 形成double free,其实fastbin attack使用的是fastbin_dup_consolidate这个手法。构造出double free之后将申请到name_addr这里
RoarCTF2020 pwn qtar & 2a1 writeup
HiTaQini
12-07 525
机缘巧合出了两道pwn,希望各位师傅们玩儿的开心 :-p 解详见 Roarctf 2020 pwn writeup
2023-2024华为ICT大赛中国区 实践赛网络赛道 全国总决赛 理论部分真
最新发布
gaogao0305的博客
07-02 587
本文为2023-2024华为ICT大赛 中国区 全国总决赛 实践赛 网络赛道 理论部分考试真,涵盖数通模块10安全模块7、WLAN模块3
int new_data = (int)realloc(vec->data, new_capacity * sizeof(int));这句代码的解析
06-09
5. `new_data` 是一个 `int` 类型的变量,保存了 realloc 函数返回的新内存块的首地址。 6. `realloc` 函数返回的是一个 `void *` 类型的指针,因此需要进行类型转换为 `int` 类型。 7. 如果申请内存失败,则 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值