【BUUCTF】roarctf_2019_realloc_magic---从一道题认识realloc函数+stdout泄露libc地址实战

最新推荐文章于 2023-07-10 20:42:26 发布
最新推荐文章于 2023-07-10 20:42:26 发布
阅读量1.9k 收藏 2
点赞数 4
分类专栏: pwn 文章标签: 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35078631/article/details/126913140
版权
realloc好题
摘要由CSDN通过智能技术生成

文章目录

慢慢的接触到了FILE io的实战题目,很难想象这是2019年题目的水平,看来还是欠缺的太多了。
此外,realloc函数这里也是第一次碰到,之前一直都是用realloc_hook,今天也终于对realloc这个函数下手了!!!

一、题目分析

题目环境是BUUCTF的ubuntu18,利用的是2.27-3ubuntu1_amd64的libc版本,这个版本注意到tcache还是存在double free的漏洞的,
至于函数功能真的是非常简单的

  • 1.realloc功能
    在这里插入图片描述

  • 2.free功能
    在这里插入图片描述

  • 3.隐藏的666功能
    在这里插入图片描述

这么简单功能?到滴该咋办,第一时间看到的时候我整个人都懵逼了。

二、前置知识

如果想靠自己的本事做出来,至少要掌握下面两个基础知识:

(一)关于realloc函数

realloc函数功能比malloc更加复杂,与malloc也有一定的区分。

  • ①当ptr == nullptr的时候,相当于malloc(size), 返回分配到的地址
  • ②当ptr != nullptr && size == 0的时候,相当于free(ptr),返回空指针
  • ③当size小于原来ptr所指向的内存的大小时,直接缩小,返回ptr指针。被削减的那块内存会被释放,放入对应的bins中去
  • ④当size大于原来ptr所指向的内存的大小时,如果原ptr所指向的chunk后面又足够的空间,那么直接在后面扩容,返回ptr指针;如果后面空间不足,先释放ptr所申请的内存,然后试图分配size大小的内存,返回分配后的指针

(二)关于如何利用stdout泄露libc的方法

网上有很多优秀的博文,我在这里推荐hollk大神的博客,写的特别nice
好好说话之IO_FILE利用(1):利用_IO_2_1_stdout泄露libc

三、解题思路

(一)抛出解题的核心问题

这个题目有两个最核心的问题:

  • 第一,如何泄露libc的问题,如果不泄露libc,这么简单的程序时不可能达成利用的
  • 第二,如何实现攻击,无论是泄露libc还是实现攻击,都需要一种思路,这个一定和realloc的特性是密不可分的。

(二)解题思路

如果在已知libc地址的前提下,攻击方法我们还是希望攻击hook这种传统的方式,并且因为tcache double free可行,tcache dup就更容易利用了,其中就是需要我们仔细理解、设计realloc的用法。我们设(学习)计(大佬)的解题思路如下:

  • 第一步,通过realloc和free的组合,具备实现tcache dup的攻击条件
  • 第二步,利用main_arena与stdout相近的情况,爆破第二个低字节,利用利用_IO_2_1_stdout泄露libc
  • 第三步,用第一步相同的方法指向free_hook,最终getshell

(三)最终解题详细过程

想法很美妙,但是如果不看大神的wp,能够想出来一定还是很有挑战的!!!
第一步:构建tcache dup的条件,并且将地址指向_IO_2_1_stdout,事实就是这个构造就让我头秃欲裂
这里面细节太多了,建议一步一步看,结合代码注释看。
这里构造必须巧妙地运用realloc的特性:①当ptr != nullptr && size == 0的时候返回空指针;②当ptr == nullptr的时候,相当于malloc(size)两条性质。

  • 1.我们先看一下tcache dup应该如何布置空间
    realloc(0x30,"a")   # 块A 这一步很关键,是为了tcache dup篡改B的fd预留位置
    realloc(0,"")       # 这一步是关键,利用了性质①

    realloc(0x80,"b")   # 块B ,在上述步骤后realloc_ptr被置空,又可以利用②构造下一个位置的chunk,而不是在A的基础上扩展
    realloc(0,"")       # 同上

    realloc(0x40,"c")   # 块C ,纯粹的隔离作用,防止被top chunk 合并
    realloc(0,"")

    realloc(0x80,"b")   # 重新申请回B块
    [free() for x in range(7)]      # 利用tcache double free填满tcache chain
    realloc(0,"")       # 这一步有三层含义,非常关键
                        # 第一,清空realloc_ptr,为tcache dup必须的更改realloc_ptr创造条件
                        # 第二,将0x90大小的堆第8次释放,变成unsorted bin,这一步为realloc(A,size(A)+N)成功打下基础
                        # 第三,unsorted bin 会使得fd 变成main_arena + 96,这给我们篡改至_IO_2_1_stdout奠定了基础

布置完毕后堆空间是这样的
在这里插入图片描述
在这里插入图片描述

  • 2.利用tcache dup需要两次malloc如何实现?如何篡改main_arena指向_IO_2_1_stdout?
    realloc(0x30,"a")   # 将realloc_ptr指向Chunk A

    #break_here()       # 注释代码用于在测试时候用,保证tcache顺利指向
    #offset = int(input("please input offset : "))
    #offset = (offset<<4)+
最低0.47元/天 解锁文章
Assassin__is__me
关注
  • 4
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
libc-html_node.tar.gz_GCC 函数_libc
09-21
《GCC 函数_libc深入解析》 在编程领域,C语言是基础且强大的工具,而其背后的库函数更是程序员日常工作中不可或缺的资源。本资料集《libc-html_node.tar.gz》全面聚焦于GCC编译器下的libc库,为开发者提供了一份...
roarctf_2019_realloc_magic
z1r0的博客
03-04 511
roarctf_2019_realloc_magic 查看保护
roarctf_2019_realloc_magic 详细学习理解 无show()利用IO_FILE输出+realloc分配实现
weixin_46521144的博客
07-20 726
roarctf_2019_realloc_magic 这道从头到尾都是我的知识盲区… 爆破,IO_FILE,realloc 学习资料 利用IO_FILE泄露libc原理 IO_FILE泄露libc wp参考 realloc重要知识 静态分析 可以看出程序只有对realloc的调用操作,只有add()和delete()没有泄露函数。一般堆如果没有show()函数,plt里面也没有system,可以采用的方法是劫持IO_FILE泄露。 IO_FILE劫持思路 对于劫持IO_FILE的思路,我的理解是
【pwn】 roarctf_2019_realloc_magic
Nothing
03-05 1004
例行检查 保护全开,分析程序逻辑。发现没有输出堆内容的函数,想要泄露libc地址只能通过修改IO_FILE结构体实现。realloc函数有两个trick。在size为0时,free掉指针指向的堆块,返回0;在分配超过当前指针指向堆块大小时如果有剩余空间则扩大堆块大小。 利用思路 1.堆块free 8次放进unsortbin中,在fd上得到arena地址,通过realloc扩大堆块的特性造成堆块堆叠...
CTF泄漏libc基址的方法
liucc09的博客
01-05 3980
泄漏libc 重点: glibc 的后三位是固定的 main_arena泄漏法 main_arena存储在libc.so.6文件的.data段,通过这个偏移我们就可以获取libc的基址,使用IDA打开libc文件,然后搜索函数malloc_trim() [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-a8DgTYcd-1609837106507)(D:\04_笔记\images\main_arena.png)] [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接
BUUCTF-PWN roarctf_2019_realloc_magic(tcache attack,块重叠,劫持_IO_2_1_stdout_泄露libc
weixin_44145820的博客
04-17 1883
目录目分析漏洞利用Exp 目分析 free没有限制,可以多次free 使用realloc进行内存分配,没有限制大小 realloc的几个特殊用法(摘自官方WP) size == 0 ,这个时候等同于free realloc_ptr == 0 && size > 0 , 这个时候等同于malloc malloc_usable_size(realloc_ptr) &g...
linux-c-api-ref.zip_linux api_linux-c-api-ref
09-24
7. **网络编程**:`socket()`创建套接字,`bind()`将套接字与地址关联,`listen()`设置服务器监听,`accept()`接收连接请求,`connect()`客户端建立连接。`send()`和`recv()`发送和接收数据,`select()`和`poll()`...
Linux-system-functions.rar_linux_linux c++_system 函数
09-22
6. **内存管理**:系统函数`malloc()`, `calloc()`, `realloc()`, `free()`等用于动态内存分配和释放,而`mmap()`和`munmap()`则提供了一种映射文件到内存的方式。 7. **网络编程**:Linux系统函数还包括了套接字...
C-Language-Exam.rar_C 选择_exam
09-14
这个"C-Language-Exam.rar"压缩包文件显然是为准备C语言考试或学习者设计的资源,包含了C语言的全面练习,包括选择、填空甚至编程,并附有答案,对于学习者来说是非常有价值的参考资料。 C语言的选择部分...
C-language-classic-title.zip_C C++ 面试_C语言面试_c语言
09-22
《C语言经典解析》 在编程领域,C语言一直占据着重要的地位,无论是作为初学者的入门语言,还是在专业开发中作为底层系统编程的基础,C语言的重要性不言而喻。本文将针对“C语言经典”进行深入探讨,旨在帮助...
roarctf_2019_realloc_magicrealloc,IO_file_leak,doublefree)
m0_51251108的博客
11-07 297
roarctf_2019_realloc_magic: 保护全开 逆向分析: 主界面: re: fr: ba:
RoarCTF_Web_Writeup
Lethe's Blog
10-24 1090
周末有点事,BUUCTF上复现一下… easy_calc 这一的界面和国赛的lova_math一一样,应该是从那改的。 源码中提示了这加了waf,我们访问calc.php,看到源码如下 num传入表达式,然后用eval()计算并输出,因为加了waf所以num中如果有字母,会直接返回403,所以第一步就是绕过它。 这里可以利用HTTP请求走私来绕过,关于该漏洞可参考这篇文章:协议层的攻击...
de1ctf_2019_weapon【buuctf】【stdout泄露libc、fastbin attack】
最新发布
m0_73756460的博客
07-10 239
de1ctf_2019_weapon【buuctf】【stdout泄露libc、fastbin attack】
【八芒星计划】 劫持_IO_2_1_stdout_泄露libc
carol2358的博客
09-02 1075
这一篇讲劫持_IO_2_1_stdout_泄露libc,应用在没有show的heap里,首先申明,所有的都需要爆破,并且2.27由于tcache的存在使得2.27的劫持_IO_2_1_stdout_比2.23简单 文章目录CISCN2020 easyboxsmaj CISCN2020 easyboxs libc2.23 off by one+劫持_IO_2_1_stdout_ 有add和free add(0, 0x18, 'a') add(1, 0xf8, 'a') add(2, 0x68, 'a'
De1ctf收获:用_IO_2_1_stdout_泄露libc地址 weapon的writeup
哒君的博客
08-11 1549
GitHub 例行公事 可以看出保护全开 进行分析 可以发现程序功能很简单 create delete rename create 限定大小最大只能是0x60 index只能是0-9但是是自个输入的 存在一个结构,struct[0] = size,struct[1] = ptr readn函数没有用\x00截断 delete 中间index的判断有问,且存在uaf ren...
Magic_Book(stdout泄露地址
FUCKING12的博客
11-03 198
箭头所指的chunk在tcachebins和unsortedbin里面,同时unsortdbin里面还有main_arena+96的地址和堆地址,我们可以利用这2个残余地址来爆破stdout。首先是分别改了这2处的2字节,这么改的目的是:可以将chunk分配到stdout附近,然后就可以修改stdout里面的数据,来泄露地址。tcachebins是不检查你的size的,所以可以随便利用其分配到你想要的地址去。因为我们没有show函数无法泄露地址,所以我们需要打stdout泄露地址
ROARCTF2020-Crypto
Gm1y's Blog
12-10 979
前言 这次ROARCTF我打得时间比较短,所以只做了Crypto_System,其余两都是后来复现的… Crypto_System 将式子都化简为以g为底的式子,这样可以将这看起来的离散对数问化简为简单的求逆元问。由于可能求不出逆元,所以需要进行判断 (用Linux跑的) from pwn import * from libnum import * from Crypto.Util.number import * from hashlib import * from gmpy2 import inv
(详解)[RoarCTF 2019]Easy Java
m0_63705566的博客
03-01 6682
[RoarCTF 2019]Easy Java 打开目 然后首先查看源代码和消息头,并没有什么额外的收获,于是我尝试sql注入,然后结果也失败了。 然后我点开了help 猜测这可能有文件下载漏洞,我尝试payload: 1 Download?filename={help.docx}   结果出乎意料的是 于是我尝试用POST方式来进行请求,结果却意外发现可以下载文件。下载了一个help.docx的文件。 ...
BUUCTF之路-ciscn_2019_c_11
qq_30528603的博客
05-29 227
因为程序走到这时puts函数已经执行过了,got表里面填充的就是puts函数的真实地址,因此我们再次调用一次puts函数并把puts的got表的内容当做参数传给puts函数,所以程序会去puts_plt去执行puts函数,并把puts函数的真实地址打印出来。我们分析这里是做什么的,得到了puts_addr这个puts函数的真实地址,减去puts在libc的偏移得到Libc加载的真实基地址,然后利用基地址加上system函数的偏移得到system函数的真实地址。这是个64位的程序,没有开启金丝雀和PIE。
int new_data = (int)realloc(vec->data, new_capacity * sizeof(int));这句代码的解析
06-09
这段代码的作用是重新申请一个大小为new_capacity * sizeof(int)的内存块,并将vec->data指向的原内存块中的内容复制到新内存块中,同时释放原内存块。最后,把新内存块的首地址赋值给new_data。 具体解释如下: 1. `(int)realloc(vec->data, new_capacity * sizeof(int))` 中的 `realloc` 函数是C标准库中的函数,其作用是重新分配内存块的大小。 2. `vec->data` 是一个 `int *` 类型的指针,它指向了当前动态数组的内存块的首地址。 3. `new_capacity * sizeof(int)` 表示需要申请的新内存块的大小,即当前动态数组中元素数量已经达到了内存块的容量上限(`vec->size == vec->capacity`),需要重新申请更大的内存块来存储新的元素。 4. 将 `vec->data` 作为 realloc 函数的第一个参数,表示需要重新分配大小的内存块的首地址。 5. `new_data` 是一个 `int` 类型的变量,保存了 realloc 函数返回的新内存块的首地址。 6. `realloc` 函数返回的是一个 `void *` 类型的指针,因此需要进行类型转换为 `int` 类型。 7. 如果申请内存失败,则 realloc 函数会返回一个 `NULL` 指针,表示申请内存失败。在这种情况下,我们需要在程序中进行错误处理。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值