从gyctf_2020_some_thing_exceting复习double free机制(glibc-2.23源码分析向

原创 已于 2023-02-10 14:31:55 修改 · 255 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #linux

于 2023-02-10 14:29:52 首次发布
本文探讨了一次doublefree攻击时遇到的非预期错误,通过分析ELF文件结构和glibc源码,揭示了freechunk过程中如何导致错误。错误源于freechunk的size字段被错误地设置为大数值,影响了chunk管理,特别是fastbin的处理。文章强调了在进行doublefree攻击时,需谨慎处理与管理堆块大小相同的chunk的分配和释放。此外,还介绍了如何编译调试glibc源码以及查看ELF文件的符号表。

前言

本文主要记录在double free攻击的时候碰到了非预期的错误,第一次尝试进行逐步分析,同时继续理解ELF的文件结构和glibc源码。
欢迎各位师傅交流、指正。

gyctf_2020_some_thing_exceting题目漏洞分析

ida查看可以看到,程序在一开始执行的时候就将flag文件读入了内存当中。同时byte_6020a0处设置了0x60的大小,这一点让我们可以构造fakechunk。
在这里插入图片描述
另外在free chunk的时候存在UAF漏洞,马上就可以想到利用double free操作修改fastbin链表来获得flag 附近内存的控制。
在这里插入图片描述

exp

题目详细分析文章地址, 我们截取开头一部分的exp。
可以看到首先进行了两次申请,后面马上做了double free的攻击,此处的double free是正常的。
在这里插入图片描述
但是当修改exp如下的时候,就会遇到double free的错误了。


                

                
                
        

    



  


        

            

                      
                        最低0.47元/天 解锁文章
                          
                      
            

        


    



                



	

		

			

				
					
【buuctfgyctf_2020_some_thing_exceting

				
			

			

				

					weixin_51055545的博客
				

				

					07-22
					
					468
					
				

			

		

		

			
				
主函数开始时,调用函数,将flag文件打开,注意是在根目录下的flag,然后将flag读到全局变量s处,这个0x60很有帮助,构成了一个堆头;程序申请的0x10的堆块起到了存放指针的作用,很正常的堆布局,直接doublefree,去改指针;64位程序,关闭了pie保护,直接放到ida分析;这里注意要劫持的堆地址为s-0x10,此时;连续申请两次,再show,即可读出flag.将堆块释放后,未将指针置空,存在uaf;先申请2个查看堆布局;漏洞点在删除功能处,...

			
		

	



                

            
              



	

		

			

				
					
[BUUCTF]PWN——gyctf_2020_some_thing_exceting

				
			

			

				

					mcmuyanga的博客
				

				

					01-22
					
					944
					
				

			

		

		

			
				
gyctf_2020_some_thing_exceting
附件
步骤:


例行检查,64位程序,除了PIE,其他保护全开



本地试运行一下,看看大概的情况



64位ida载入,检索字符串的时候发现了有关flag的信息,由于我本地上没有创建flag文件,所以一开始输出了12行的puts



创建了一个flag,在执行,可以看到经典的堆的菜单

main(),程序主要有3个功能add,delete和show

add()

delete()

show()



利用思路
程序一开始就读入了fl

			
		

	



              


  
              

                


	

		

			

				
					
gyctf_2020_some_thing_exceting

				
			

			

				

					z1r0的博客
				

				

					01-20
					
					435
					
				

			

		

		

			
				
gyctf_2020_some_thing_exceting
查看保护


有uaf

flag被存放在了bss段。

放flag的这里的size大小是0x60,在2.23下会检查size的大小是否与fastbin 对应的大小一样。
所以进行fastbin释放时,申请的堆块为0x50即可。fastbin double free attack即可。最后申请0x40的原因是因为0x50对应的fastbin里double free之后会有东西,所以申请其它大小的堆块。
from pwn import *

con

			
		

	





	

		

			

				
					
glibc-2.23.tar.xz

				
			

			

				

					12-17
				

			

		

		

			
				
glibc-2.23.tar.xz

			
		

	



		

			
		



	

		

			

				
					
glibc-2.23.tar.gz

				
			

			

				

					07-24
				

			

		

		

			
				
glibc-2.23.tar.gz 已验证可用,请放心下载。The Glibc package contains the main C library. This library provides the basic routines for allocating memory, searching directories, opening and closing ...

			
		

	





	

		

			

				
					
glibc-2.23.tar.bz2

				
			

			

				

					02-05
				

			

		

		

			
				
The GNU C Library version 2.23 is now available  From: Adhemerval Zanella  To: GNU C Library <libc-alpha at sourceware dot org> Date: Fri, 19 Feb 2016 10:47:20 -0200 Subject: The GNU C Library version...

			
		

	





	

		

			

				
					
glibc-common-2.17-317.el7.x86_64.rpm

				
			

			

				

					07-06
				

			

		

		

			
				
glibc-common-2.17-317

			
		

	





	

		

			

				
					
[BUUCTF]PWN——gyctf_2020_some_thing_interesting(格式化字符串+UAF)

				
			

			

				

					mcmuyanga的博客
				

				

					03-11
					
					971
					
				

			

		

		

			
				
gyctf_2020_some_thing_interesting
附件
步骤

例行检查,64位程序,保护全开

本地试运行一下程序,看看大概的情况

64位ida载入

sub_B7A()

check()

create()




			
		

	





	

		

			

				
					
【pwn】 gyctf_2020_borrowstack

				
			

			

				

					Nothing
				

				

					03-02
					
					1757
					
				

			

		

		

			
				
例行检查
程序逻辑

看到buf缓冲区有0x10大小溢出,且可以控制bss段上的bank,可以用栈迁移做,这题的bss段离got表较近,在迁移时尽量往高地址迁移,防止在rop时破坏got表上数据。
from pwn import *

io=remote('node3.buuoj.cn','29302')

bank=0x0601080
leave=0x400699
puts_plt=0x0400...

			
		

	





	

		

			

				
					
i春秋新春战役PWN之Some_thing_exceting

				
			

			

				

					像初雪一样自由洒落
				

				

					03-09
					
					750
					
				

			

		

		

			
				
心好累,堆处入手,看明白了,可是总是复盘实现不了。。。不过学长那边可以,是我机子的问题??

题目链接:https://pan.baidu.com/s/1Tv5Y4ieNVEasZ8oAYYn2Lw 提取码:5td6



文件查看一下





拿到程序发现运行不了,查看文件属性,发现没有执行权限,加一个执行权限



执行不了



因为程序要打开/flag(根目录下flag)文件

...

			
		

	





	

		

			

				
					
gyctf_2020_borrowstack

				
			

			

				

					qq_42728977的博客
				

				

					04-12
					
					630
					
				

			

		

		

			
				
栈迁移,这个有点坑。
参考:
https://www.cnblogs.com/luoleqi/p/12348341.html



			
		

	





	

		

			

				
					
CTF题解NO.00008】mini-LCTF 2021 official write up by arttnba3

				
			

			

				

					arttnba3的博客
				

				

					05-15
					
					909
					
				

			

		

		

			
				
0x00.绪论
很高兴能和RX大哥和协会的其他师傅一起出了这一次 minilCTF 2021 的题,虽然说只出了两道比较简单的题233333,不过还是希望大家能够喜欢()
点开下方查看题解????

0x01.Baby Repeater - fmtstr + got hijack
预期是利用格式化字符串泄露 libc 和 程序加载基地址,之后利用格式化字符串劫持 got 表,比较方便的就是改 printf 为 system,只用修改3个字节,也看到有人选择改为 one_gadget 的,基本上都在预期内
解

			
		

	





	

		

			

				
					
BUUCTF刷题6

				
			

			

				

					m0_51251108的博客
				

				

					11-03
					
					556
					
				

			

		

		

			
				
题目:gyctf_2020_some_thing_exceting:mrctf2020_shellcode_revenge:axb_2019_brop64:inndy_echo:wustctf2020_name_your_cat:wdb2018_guess:oneshot_tjctf_2016:zctf2016_note2:ciscn_2019_final_2:wustctf2020_number_game:
gyctf_2020_some_thing_exceting:
这题存在uaf漏洞
程序开始时读入

			
		

	





	

		

			

				
					
pwn入门小技巧

				
			

			

				

					qq_36918532的博客
				

				

					05-24
					
					3424
					
				

			

		

		

			
				
目前我所遇到的一些pwn的做题技巧
我也是偶尔玩玩ctf,所以也不会很难的,所以这篇主要是帮助刚开始学习的人学习吧
首先知识点包括:栈,堆,整数溢出,格式化字符串
目前ctf的题越来越偏向于实际,有的会使用刚刚爆出来的CVE漏洞的,所以不能只局限于glibc
所以可以大体分为两类把:libc,kernel
栈利用:有ret2libc,ret2shellcode,ret2text,ropchain,ret2syscall,brop,srop等等,当然有时候还会有seccomp的只能使用ORW系统调用
堆利用:

			
		

	





	

		

			

				
					
BUUCTF-PWN刷题记录-2

				
			

			

				

					weixin_44145820的博客
				

				

					03-15
					
					718
					
				

			

		

		

			
				
目录gyctf_2020_borrowstack
gyctf_2020_borrowstack


本题只有有限的溢出空间,而且有NX的保护,只能用ROP的办法
利用方法为把rbp改为bank+4的地址,返回地址改为leave的地址,这样就能利用RBP修改RSP,bank前8个字节填写bank+8的地址,之后跟上ROP链,
不过这题还有一点,就是Bank离stdin和stdout比较近,需要先使用...

			
		

	





	

		

			

				
					
2021-09-20 BUUCTF WriteUP(堆/字符串/栈)

				
			

			

				

					m0_56897090的博客
				

				

					09-20
					
					801
					
				

			

		

		

			
				
文章目录堆类综合模型总结pwnable_hacknote分析EXPhitcontraining_bamboobox分析EXPnpuctf_2020_easyheap分析EXPciscn_2019_es_1分析EXPhitcontraining_unlink分析EXPgyctf_2020_some_thing_exceting分析EXP栈溢出综合模型总结picoctf_2018_shellcode分析EXPjarvisoj_level5分析EXPcmcc_pwnme2分析EXPactf_2019_babyst

			
		

	





	

		

			

				
					

				
			

			

				

					
				

			

		

		

			
				

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值