从gyctf_2020_some_thing_exceting复习double free机制(glibc-2.23源码分析向

已于 2023-02-10 14:31:55 修改
阅读量164 收藏
点赞数
分类专栏: buuctf 文章标签: python linux
于 2023-02-10 14:29:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vage__table/article/details/128968157
版权

前言

本文主要记录在double free攻击的时候碰到了非预期的错误,第一次尝试进行逐步分析,同时继续理解ELF的文件结构和glibc源码。
欢迎各位师傅交流、指正。

gyctf_2020_some_thing_exceting题目漏洞分析

ida查看可以看到,程序在一开始执行的时候就将flag文件读入了内存当中。同时byte_6020a0处设置了0x60的大小,这一点让我们可以构造fakechunk。
在这里插入图片描述
另外在free chunk的时候存在UAF漏洞,马上就可以想到利用double free操作修改fastbin链表来获得flag 附近内存的控制。
在这里插入图片描述

exp

题目详细分析文章地址, 我们截取开头一部分的exp。
可以看到首先进行了两次申请,后面马上做了double free的攻击,此处的double free是正常的。
在这里插入图片描述
但是当修改exp如下的时候,就会遇到double free的错误了。

add_heap(0x10,fake_rbp,0x50,"bbbb")
debug()
free_heap(0)
free_heap(1)
pause()
free_heap(0)
pause()

运行脚本,可以看到有了double free or corruption (out)的错误。只是修改了一下申请chunk的size,并没有修改double free的过程,怎么会产生错误呢?(当时反复思考也不知道是什么问题。于是就询问了一下xia0ji233大师傅。
在这里插入图片描述

double free错误分析

通过报错,我们可以选择相应版本的malloc源码进行搜索。在源码里可以看到,报错的是在3981行的位置。对应错误的原因是当前被free chunk的下一个chunk ,超出了top chunk的边界。(???怎么回事,我free一个正常的fast chunk 怎么可能超过top chunk的边界?)同时此处的检查是针对fastbin之外的chunk进行的检查,也不符合我们free chunk的大小。
在这里插入图片描述
后面接着查看报错的调用栈。可以看到是malloc.c 的3874 行调用了malloc_printerr输出报错的。(这里因为多次调试,具体地址与上面的对不上
在这里插入图片描述
再回到源码查看,3874行进行的检查,虽然检查会产生的错误结果不同,但确实是对释放chunl 的size进行了一个检查,而且最后的double free报错也是对除fast chunk之外的chunk进行的检查,所以我们进一步进行动态调试,在_int_free处下断点。(这里为了方便查看程序运行到何处,选择了自行编译源码进行调试,具体编译方法在后面讲。
在这里插入图片描述
可以看到,在3874行附近,被free的chunk 的size变成了一个很大很大的数,所以就没有进入fastbin 的free当中了,而是成为了其他的chunk。
在这里插入图片描述
那为什么会识别出那么大的size呢?我们查看一下当前被freechunk ($rdi = 0x86e250)附近的内存。0x86e250 + 8,也就是chunk的size字段是一个超级大的数值,其实也就是题目中的控制chunk里面的第二个成员指针。
在这里插入图片描述
至此,基本也就清楚了为什么会修改exp时产生了非fastbin的check的报错。还是回到ida的free操作中,第一次free的时候,是通过ptr管理指针找到需要被free的chunk。但是在进行了free_heap(0) free_heap(1)操作之后,ptr管理块也成了fastbin中的一员,也就修改了fd位置指针的值,从mem态变成了chunk态(指针减小了0x10),后面我们再次执行free(0)的时候,程序会把chunk态当作mem态,重新进行一次mem2chunk的转化,又让chunk指针减小了0x10。此外因为ptr管理chunk总大小是0x20,最后的0x8存储着chunk指针,因此这里的指针就会被当作size,所以就会比top chunk的边界要大得多了。
在这里插入图片描述

总结

当我们进行double free攻击的时候,如果有一个管理堆块存储着多个下级chunk的指针,那么需要特别注意和管理chunk同样大小的chunk的申请和释放,因为free fastbin chunk的时候,会对其fd指针进行修改,从而导致程序寻找的堆块出现偏差。

Glibc源码调试编译

搬运文章:编译可调试的libc.so文件

  • 下载需要版本的glibc源码并解压
  • 进入解压的目录执行命令 configure CFLAGS="-Og -g -g3 -ggdb -gdwarf-4" CXXFLAGS="-Og -g -g3 -ggdb -gdwarf-4" --disable-werror --prefix = <dir> 其中dir可以修改成存储编译文件的目录。
  • 最后make一下就ok了。make && make install
  • 调试之前patch一下程序链接的libc和ld文件

ELF程序符号表(题外话

搬运文章:so文件符号表
另外还有一篇好文章: 关于不同版本 glibc 更换的一些问题

1.动态链接库的符号表

动态链接库(shared object library)在linux里以.so结尾,是elf(Executable and Linkable Format)文件的一种,有两个符号表:“.symtab”和“.dynsym”。

.symtab: 包含大量的信息(包括全局符号global symbols)
.dynsym: 只保留“.symtab”中的全局符号
故“.dynsym”可看作“.symtab”的子集,命令strip会去掉elf文件中“.symtab”,但不会去掉“.dynsym”。

2.如何查看符号表?

未被strip的so库:
执行nm libbinder.so即可(默认查看.symtab符号表)。
被strip的so库:
由于.symtab符号表被移出,需要加上-D参数,如nm -Do libbinder.so。否则使用nm时提示no symbol。

Tw0_Y
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【pwn】 gyctf_2020_borrowstack
Nothing
03-02 1637
例行检查 程序逻辑 看到buf缓冲区有0x10大小溢出,且可以控制bss段上的bank,可以用栈迁移做,这题的bss段离got表较近,在迁移时尽量往高地址迁移,防止在rop时破坏got表上数据。 from pwn import * io=remote('node3.buuoj.cn','29302') bank=0x0601080 leave=0x400699 puts_plt=0x0400...
【buuctfgyctf_2020_some_thing_exceting
weixin_51055545的博客
07-22 352
主函数开始时,调用函数,将flag文件打开,注意是在根目录下的flag,然后将flag读到全局变量s处,这个0x60很有帮助,构成了一个堆头;程序申请的0x10的堆块起到了存放指针的作用,很正常的堆布局,直接doublefree,去改指针;64位程序,关闭了pie保护,直接放到ida分析;这里注意要劫持的堆地址为s-0x10,此时;连续申请两次,再show,即可读出flag.将堆块释放后,未将指针置空,存在uaf;先申请2个查看堆布局;漏洞点在删除功能处,...
[BUUCTF]PWN——gyctf_2020_some_thing_exceting
mcmuyanga的博客
01-22 809
gyctf_2020_some_thing_exceting 附件 步骤: 例行检查,64位程序,除了PIE,其他保护全开 本地试运行一下,看看大概的情况 64位ida载入,检索字符串的时候发现了有关flag的信息,由于我本地上没有创建flag文件,所以一开始输出了12行的puts 创建了一个flag,在执行,可以看到经典的堆的菜单 main(),程序主要有3个功能add,delete和show add() delete() show() 利用思路 程序一开始就读入了fl
gyctf_2020_some_thing_exceting
qq_62887641的博客
08-26 120
如果我们再申请0x50的话,就会把flag也申请进来,但是没有特定的size给他,就会无法绕过fastbin检查,然后就无法getshell了。初步思路就是利用doublefree改fd然后绕过fastbin,看看下面是否满足。下面exp15行为什么是0x60,调试一下就知道了。add这里每次调用一次add就申请了3个堆,调用第一个堆存储的指针输出我们写的两个堆内容。,正好可以利用起来绕过fastbin的检查。菜单上有edit,实际上没有,不贴了。,到这里基本就可以getshell了。
glibc-2.23.tar.gz
07-24
glibc-2.23.tar.gz 已验证可用,请放心下载。The Glibc package contains the main C library. This library provides the basic routines for allocating memory, searching directories, opening and closing ...
glibc-ports-2.5.tar.gz_glibc_glibc-2.2.5_glibc-ports_glibc-ports
09-23
glibc-ports-2.5:Linux操作系统与微处理器接口的关键组件》 在Linux操作系统的世界里,Glibc(GNU C Library)是一个至关重要的组成部分,它提供了系统调用的接口和许多C语言的标准库函数。Glibc-ports是Glibc的...
glibc-2.23.tar.xz
12-17
glibc-2.23.tar.xz
glibc-2.17-307.el7.1.i686_libc文件_依赖glibc安装_源码
10-01
标题中的“glibc-2.17-307.el7.1.i686_libc文件_依赖glibc安装_源码”指的是Linux系统中一个重要的动态链接库——GNU C Library(通常简称为glibc)的一个特定版本。glibcLinux操作系统下最基础、最核心的库,为...
glibc-common-2.17-307.el7.1.x86_64_oracle_glibc_依赖glibc安装_
09-30
标题中的"glibc-common-2.17-307.el7.1.x86_64_oracle_glibc_依赖glibc安装_"提到了glibc的一个特定版本,即2.17-307.el7.1,这是一个针对x86_64架构的Oracle服务器环境的glibc通用组件。 glibcLinux下的一个开源...
[BUUCTF]PWN——gyctf_2020_some_thing_interesting(格式化字符串+UAF)
mcmuyanga的博客
03-11 852
gyctf_2020_some_thing_interesting 附件 步骤 例行检查,64位程序,保护全开 本地试运行一下程序,看看大概的情况 64位ida载入 sub_B7A() check() create()
i春秋新春战役PWN之Some_thing_exceting
像初雪一样自由洒落
03-09 698
心好累,堆处入手,看明白了,可是总是复盘实现不了。。。不过学长那边可以,是我机子的问题?? 题目链接:https://pan.baidu.com/s/1Tv5Y4ieNVEasZ8oAYYn2Lw 提取码:5td6 文件查看一下 拿到程序发现运行不了,查看文件属性,发现没有执行权限,加一个执行权限 执行不了 因为程序要打开/flag(根目录下flag)文件 ...
gyctf_2020_borrowstack
qq_42728977的博客
04-12 565
栈迁移,这个有点坑。 参考: https://www.cnblogs.com/luoleqi/p/12348341.html
CTF题解NO.00008】mini-LCTF 2021 official write up by arttnba3
arttnba3的博客
05-15 726
0x00.绪论 很高兴能和RX大哥和协会的其他师傅一起出了这一次 minilCTF 2021 的题,虽然说只出了两道比较简单的题233333,不过还是希望大家能够喜欢() 点开下方查看题解???? 0x01.Baby Repeater - fmtstr + got hijack 预期是利用格式化字符串泄露 libc 和 程序加载基地址,之后利用格式化字符串劫持 got 表,比较方便的就是改 printf 为 system,只用修改3个字节,也看到有人选择改为 one_gadget 的,基本上都在预期内 解
BUUCTF刷题6
m0_51251108的博客
11-03 436
题目:gyctf_2020_some_thing_exceting:mrctf2020_shellcode_revenge:axb_2019_brop64:inndy_echo:wustctf2020_name_your_cat:wdb2018_guess:oneshot_tjctf_2016:zctf2016_note2:ciscn_2019_final_2:wustctf2020_number_game: gyctf_2020_some_thing_exceting: 这题存在uaf漏洞 程序开始时读入
pwn入门小技巧
qq_36918532的博客
05-24 2780
目前我所遇到的一些pwn的做题技巧 我也是偶尔玩玩ctf,所以也不会很难的,所以这篇主要是帮助刚开始学习的人学习吧 首先知识点包括:栈,堆,整数溢出,格式化字符串 目前ctf的题越来越偏向于实际,有的会使用刚刚爆出来的CVE漏洞的,所以不能只局限于glibc 所以可以大体分为两类把:libc,kernel 栈利用:有ret2libc,ret2shellcode,ret2text,ropchain,ret2syscall,brop,srop等等,当然有时候还会有seccomp的只能使用ORW系统调用 堆利用:
buuctf 2022 3.10
m0_57754423的博客
03-10 214
gyctf_2020_some_thing_exceting: 漏洞点: 存在uaf漏洞。 思路: 通过uaf漏洞进行double_free修改fd即可malloc flag所在地。 exp: from pwn import * from LibcSearcher import * context.terminal = ['tmux', 'splitw', '-h'] local_file = './gy1' local_libc = './libc-2.23.so' # re
GLIBC_2.23
最新发布
04-23
GLIBC_2.23是GNU C库(GNU C Library)的一个版本。GNU C库是一个用于操作系统的C库,提供了许多用于系统调用和其他底层功能的函数。GLIBC_2.23是该库的一个特定版本,它引入了一些新的功能和修复了一些bug。 GLIBC...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值