house-of-spirit-pwn200

最新推荐文章于 2024-02-11 13:31:42 发布
原创 最新推荐文章于 2024-02-11 13:31:42 发布 · 2.6k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn #安全漏洞

本文介绍了一种利用House of Spirit漏洞的方法,通过构造fake chunk绕过检查,并修改全局堆指针指向伪造的内存区域,最终实现getshell。具体步骤包括泄漏rbp地址、布局fake chunk、释放和重新获取伪造的堆块。

前言 : 因为期末考试加上复习的原因,接近一个月没有做pwn题了,放寒假就回来在物理机上面装了个ubuntu(折腾了几天,不过装好了做题环境还是挺好用的),打算这个寒假学习完堆知识.来年好好上课(大三压力大!)有空打打比赛.

例题 : lctf2016_pwn200

house-of-spirit

利用条件:

(1)想要控制的目标区域的上方空间下方空间都是可控的内存区域

(2)存在可将堆变量指针覆盖指向为上方可控空间,从而达到将非可控空间可控空间进行合并变成fake_chunk(有点像unlink)

(3)释放堆块,将伪造的堆块释放入fastbin的单链表里面,重新拿出获得该块空间控制权

(4)更改之前非可控空间的数据,达到劫持程序执行流(getshell)

利用场景:

在这里插入图片描述

伪函数分析:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-zsw822SQ-1641886903801)(house-of-spirit(pwn200)].assets/image-20220111123853145.png)
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-QyWcHvP6-1641886903802)(house-of-spirit(pwn200)].assets/image-20220111124218134.png)
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-STk6xCWQ-1641886903802)(house-of-spirit(pwn200)].assets/image-20220111124304526.png)
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-coir4eDY-1641886903803)(house-of-spirit(pwn200)].assets/image-20220111124514819.png)
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-kdSROTg0-1641886903804)(house-of-spirit(pwn200)].assets/image-20220111124553791.png)

本题利用思路:

  1. 通过"who are u" 写入shellcode,并泄漏rbp地址
  2. 通过"me your id ~ "布局fake chunk的next chunk的size绕过检查
  3. 通过"give me money ~"布局fake chunk的size以便伪造free chunk,并修改全局堆指针指向fake chunk 的mem位置
  4. 释放 + 重获fake chunk 拿到用作于堆块的栈空间
  5. 修改返回地址为shellcode指针

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-l4xNqgvc-1641886903804)(house-of-spirit(pwn200)].assets/image-20220111144017235.png)

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-bVxmJMKj-1641886903805)(house-of-spirit(pwn200)].assets/image-20220111152443499.png)

最终exp:

# -*-coding:utf-8 -*
from pwn import *

context.log_level = 'debug'
context.arch = 'amd64'
SigreturnFrame(kernel = 'amd64')

binary = "./pwn200"

global p
local = 1
最低0.47元/天 解锁文章
[pwn][利用]house of spirit[例题:lctf2016_pwn200]
zhulintintao的博客
11-21 1014
House of spirit 实现目的 malloc分配到目标地址 实现条件 free的参数可控 目标地址可以连续构造两个fake chunk的size域,需要地址对齐(即目标高低地址处均有可控区域) 实现方法 在目标地址伪造可以被释放到fastbin上的fake chunk 伪造fake chunk的同时伪造好其下一个chunk(物理上的)的size域 将目标地址作为参数free malloc一次,将返回指向目标地址的指针 实现实例 题目平台 buuctf 题目名
pwn工具箱之house of spirit
jmp esp
07-03 1039
house of spirit基本信息 利用种类:利用 利用种类:释放fake chunk 利用思路:通过构造fake chunk,然后使得fake chunk被free,在下一次malloc时返回fake chunk 利用难点 需要能够控制被free的内容,才能构造fake chunk 在free fake chunk的时候,libc会检查next size,也就是从当前位置开始算,加上一个c
PWN-HEAP学习】House of Spirit 学习笔记
SWEET0SWAT的博客
08-16 1792
House of Spirit 原理 l-ctf 2016 pwn200 调试分析 0x7ffd4a390b10: 0x0000000000000031 0x0000003000000001 0x7ffd4a390b20: 0x00007ffd4a390b40 0x00000000004009ff 0x7ffd4a390b30: 0x0000000000000005 0x0000000188ff...
LCTF 2016 PWN200(House Of Spirit)
Bill
03-24 1824
L-CTF 2016 pwn200 漏洞简介 The house of Spirit The House of Spirit is a little different from other attacks in the sense that it involves an attacker overwriting an existing pointer before it is ‘fr...
PWN · heap | House Of Spirit】2014_hack.lu_oreo
Mr_Fmnwon的博客
02-05 1025
将chunk劫持到指定位置,能够大有作为,而House Of Spirit的目的就是这一点。最初了解仅是了解,通过本题,对于利用手法的利用,感悟更为深入。House of Spirit 是中的一种技术。该技术的核心在于在目标位置处伪造 fastbin chunk,并将其释放,从而达到分配指定地址的 chunk 的目的。要想构造 fastbin fake chunk,并且将其释放时,可以将其放入到对应的 fastbin 链表中,需要绕过一些必要的检测,即。
pwn】[ZJCTF 2019]EasyHeap --fastbin攻击,house of spirit
question55的博客
12-22 1131
/ 往中读入数据。
[CTFHub-技能树]-----House of spirit
saulgoodman的博客
02-08 269
这题的ptr只能储存一个chunk的指针,且题目中已经有个0x110大小的chunk,进入了unsorted bins,先申请0x68字节大小的chunk,其会从unsorted bin中分割0x71大小的chunk给我们,利用这个特性可以泄露出libc地址。之后再泄露heap的地址,其实也可以不用泄露,可以爆破低2字节的16进制数,概率是1/16,但我不想爆破,所以直接泄露heap的地址。,一开始始终没有找到漏洞出现的地方,结果问里一下其他师傅,恍然大悟,我就是傻子。这里只是简单讲一下,一定要动手。
从零开始学howtoheap:fastbins的house_of_spirit攻击1
weixin_44626085的博客
02-11 1174
伪造chunk时需要绕过一些检查,首先是标志位,PREV_INUSE位并不影响 free的过程,但IS_MMAPPED位和位都要为零。其次,在64位系统中fast chunk的大小要在 32~128 字节之间。最后,是next chunk的大小,必须大于2*SIZE_SZ(即大于16),小于(即小于128kb),才能绕过对next chunk大小的检查。​ 所以house_of_spirit的主要目的是,当我们伪造的fake chunk内部存在不可控区域时,运用这一技术可以将这片区域变成可控的。
lctf2016_pwn200
z1r0的博客
02-22 2859
lctf2016_pwn200 查看保护 这里有一个漏洞,read的时候可以泄露栈上的地址,因为没有\x00来截断。 这里会将buf的东西给复制到dest这里。然后ptr全局变量为dest。 这个函数就是一个add和delete的功能。 攻击思路:可以将shellcode写入第一次输入的地方,再借助这里输出ebp地址,然后算出shellcode_addr。到了strcpy这里的话可以使用\x00来截断复制功能然后填满buf,接着劫持free_got为shellcode_addr(free_got)
PWN学习之house of系列
qq_41071646的博客
08-09 1719
最近 在wiki学习了 house of 这些东西 但是一直都没有找到联系的地方, 然后 在一篇博客上发现了上面有讲东西并且练习题 很好 所以我就拿来联系了一把 并且记录一下 大概思路 house of spirit 这个wiki上好像没有 但是利用方法其实还是差不多的 这个主要就是 fastbin的利用 伪造一个块 然后让 free到这个块 让 伪造块进入...
pwn工具箱之house of lore
jmp esp
05-22 1540
前言我看了一些网上对于这些技术的解释,但是发现他们大多比较绕,对于理解其中心思想造成了难度,所以 我在这里把他们记录下来,把这些技术的中心思想记下来,作为自己的pwn工具箱,在以后解决pwn问题的 时候能够随时拿出来发挥作用。我在这里关注的目标是其利用的思想,和其他的一些post不同,利用条件等等这些我个人认为不是能够直 接被总结的,pwn本身的方法多种多样,十分灵活,如果用一些“第一个chu
PWN学习之House of 系列】House Of Einherjar
weixin_41748164的博客
01-01 1328
溢出写、off by one、off by null。
house_of_spirit && 2014_hack.lu_oreo例题分析
Pwnpanda的博客
08-13 1410
2014_hack.lu_oreo 相关知识点: Fastbin Attack – House of Spirit 相关链接: 2014_hack.lu_oreo下载 CTF Wiki Fastbin Attack IDA创建结构体 题目分析: 先分析功能: ①添加枪支(add),这个地方会读取枪支的名字和描述,这是第一个难点,这个里面存在一个结构体(差点被坑死在这,为...
从零开始学howtoheap:fastbins的house_of_spirit攻击2
weixin_44626085的博客
02-11 1167
how2heap是由shellphish团队制作的利用教程,介绍了多种利用技术,后续系列实验我们就通过这个教程来学习。
How2Heap笔记(三)
kelxLZ的博客
01-25 917
Author:ZERO-A-ONE Date:2021-01-22 一、house_of_spirit house-of-spirit 是一种 fastbins 攻击方法,通过构造 fake chunk,然后将其 free 掉,就可以在下一次 malloc 时返回 fake chunk 的地址,即任意我们可控的区域。house-of-spirit 是一种通过的 fast bin 机制来辅助栈溢出的方法,一般的栈溢出漏洞的利用都希望能够覆盖函数的返回地址以控制 EIP 来劫持控制流,但如果栈溢出的长度无.
linux 溢出学习之house of spirit(1) malloc maleficarum hos翻译
jmp esp
03-02 2398
综述house of spirit是一种常用的溢出技术,而在如今的malloc实现中依然没有对这种方法进行保护,所以在目前还是一种有效的溢出技术。下面我们先从这种方法的来源之本讲起,即2005 Malloc Maleficarumcsdn原文 The House of SpiritThe House of Spirit is primarily interesting because of th
House of XXX的核心原理
weixin_30500473的博客
11-26 273
最近接触了溢出的pwn,对网上解释绕过safeunlink的方法(各种HouseofXXX)的解释感觉不够简洁精要,故作此总结记录。关键点可以只看红色加粗部分。 首先,溢出最好的利用方法是能覆盖关键变量,例如函数指针,但这样的场景可遇不可求。 溢出的unlink利用方法是通用的利用方法,但是在linux加入了safeunlink检查之后,这种利用方法基本失效...
小白言承之PWN学习路线(持续更新)
像初雪一样自由洒落
01-29 7954
PWN(溢出):PWN在黑客俚语中代表着攻破,取得权限,在CTF比赛中它代表着溢出类的题目,其中常见类型溢出漏洞有栈溢出、溢出。在CTF比赛中,线上比赛会有,但是比例不会太重,进入线下比赛,逆向和溢出则是战队实力的关键。主要考察参数选手漏洞挖掘和利用能力。 CTF PWN特点:入门难、进阶难、精通难 pwn学习内容: (1)了解Linux ELF文件 (2)分析掌握栈溢出原理理解函数参...
pwn刷题num46----fast bin double free (控制free chunk的fd指针指向,栈上伪造的fake chunk,修改栈上变量值)
tbsqigongzi的博客
05-03 1186
BUUCTF-PWN-metasequoia_2020_samsara 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 保护全开 动态链接 英文意思 打败魔龙后,你变成了魔龙…… 1. 抓捕一个人 2. 吃掉一个人 3. 煮一个人 4. 找到你的巢穴 5. 转移到另一个王国 6. 自杀 ida看一下伪代码 主函数 还有一个菜单函数 观察分析main函数,switch里case1每次申请chunk大小为0x20(mem为0x10), case
攻防世界pwn pwn-100
最新发布
01-18
### 关于攻防世界PWN-100题目的解答 #### 解决方案概述 对于攻防世界的PWN-100题目,通常涉及的是基础的缓冲区溢出攻击。这类题目旨在测试参赛者对Linux防护机制的理解程度以及绕过这些保护措施的能力。常见的技术包括但不限于返回导向编程(Return-Oriented Programming, ROP)、重定向到已知位置的shellcode执行(ret2shellcode)或是利用动态链接库中的函数实现系统命令调用(ret2libc)[^1]。 #### 技术细节 当面对没有启用地址空间布局随机化(ASLR)且未开启不可执行栈(NX bit off)的情况时,可以直接采用`ret2shellcode`的方式解决问题。此方法要求选手能够找到足够的空间放置自定义的shellcode,并通过控制EIP指向这段代码来完成最终的目标——通常是打开一个远程shell连接给攻击者[^3]。 如果遇到开启了NX位但是禁用了位置独立可执行文件(PIE),那么可以考虑使用`ret2libc`策略。这种方法依赖于将返回地址设置为标准C库(glibc)内的某个有用功能的位置,比如system()函数,从而间接地触发所需的恶意操作而无需注入新的机器码片段。 针对具体环境下的不同情况,还需要掌握诸如IDA Pro这样的反汇编工具来进行二进制分析工作;同时熟悉GDB调试技巧以便更好地理解程序内部逻辑并定位潜在的安全漏洞所在之处。 ```python from pwn import * # 连接到远程服务 conn = remote('challenge.ctf.games', PORT) # 发送payload前先接收初始消息 print(conn.recvline()) # 构造payload offset = 64 # 假设偏移量为64字节 junk = b'A' * offset return_address = pack('<I', 0xdeadbeef) # 替换为目标地址 exploit_payload = junk + return_address # 发送payload conn.send(exploit_payload) # 接收响应数据 result = conn.recvall() print(result.decode()) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值