2021 天翼杯 overheap

原创 已于 2022-01-20 17:16:21 修改 · 597 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

于 2022-01-20 17:16:19 首次发布
本文介绍了一个在glibc 2.34版本下的Off-by-Null漏洞,并详细讲解了如何通过House of Banana技巧来进行攻击。文章展示了如何利用此漏洞泄露堆地址,劫持_rtld_global结构体中的link_map结构体,最终实现任意代码执行。

在这里插入图片描述

保护显然

add在这里插入图片描述大小不能超过0x1000

show
在这里插入图片描述
正常

edit
在这里插入图片描述
它的输入函数
在这里插入图片描述
有个off by null。

free
在这里插入图片描述
free函数也正常。

所以说完了就是2.34版本下的一道off by null。

高版本要注意什么
首先是2.32开始对tcache和fastbin的fd指针进行了异或加密,异或的内容其实就是堆地址,所以我们首先必须泄露heap地址。
tcache_entry->next中存放的chunk地址为与自身地址进行异或运算后所得到的值。

2.34开始取消了malloc_hook和free_hook。
我们只能把想法转向IO_FILE。

那么我们来细看
要解决的第一个问题居然是程序跑不了。
在这里插入图片描述
问题在哪呢?
在这里插入图片描述
他给了个他已经patch过的程序。
在这里插入图片描述
IDA也看得出来。

那就把东西都拉进来,然后给他权限。
在这里插入图片描述
就可以了。

所以因为在libc2.34的条件下,我们能利用的方式只有house of banana、house of pig。
这个题里面我们用到的是house of banana。

而且house of banana要注意小细节。
我们在使用house of banana的时候主要是劫持_rtld_global结构体中的link_map结构体,但是我们其实在劫持link_map结构体的时候最重要的是劫持它第一个内容,l_addr结构体,所以其实我们完全可以直接劫持l_addr结构体,也完全可以不用劫持link_map

这次用的就是这个手法。

exp

# -*- coding: utf-8 -*-
from pwn import*

context.log_level='debug'
context.arch='amd64'
context.os = "linux"

pc = "./overheap"

context.binary=pc
context.terminal=["gnome-terminal",'-x','sh','-c']

local = 1
if local:
    r = process(pc)
    elf = ELF(pc)
    libc = elf.libc
    
else:
    r = remote
最低0.47元/天 解锁文章
2021 天翼 pwn ezshell
yongbaoii的博客
09-24 1197
逻辑简单,开了一个可以rwx的页,我们输入一段shellcode,绕过一些检查,开了沙箱,最后执行它。 一点一点来,首先我们输入shellcode之后函数__ctype_b_loc函数是干嘛的? 我们去读源码,在ctype/ctype.h #ifndef _ISbit /* These are all the characteristics of characters. If there get to be more than 16 distinct characteristics, many.
2021 第二届天翼ctf
qq_45603443的博客
09-25 3557
2021 天翼ctf wpMisc签到BrowserPwnezshellWebeztpjacksoneasy_evalTip Misc 签到 群公告 FLAG flag{e7gRR32wJJcHwQjwc2k9qFZ6fvn3gZ8P} Browser 先是拿到 1.默认浏览器(请给出在注册表中可证明它是默认浏览器的对应的值,如:IE.HTTP) 一般都在注册表,耐心翻翻 ./volatility -f /root/CTF/Browser.raw --profile=Win7SP1x86 hivelist
高版本glibc的tcache和fastbin指针加密机制
qq_51474381的博客
04-18 3132
先贴一下源码 tcache: static __always_inline void tcache_put (mchunkptr chunk, size_t tc_idx) { tcache_entry *e = (tcache_entry *) chunk2mem (chunk); /* Mark this chunk as "in the tcache" so the test in _int_free will detect a
version `GLIBC_2.34‘ not found简单有效解决方法
热门推荐
huazhang_001的博客
02-01 16万+
Error /lib/x86_64-linux-gnu/libc.so.6: version `GLIBC_2.34’ not found添加一个高级版本系统的源,直接升级libc6.Ubuntu 20.04 - added this repo as described in the link
修改高版本glibc编译出的elf以支持低版本glibc环境客户机执行
w16212的专栏
08-29 2784
修改高版本glibc编译出的elf以支持低版本glibc环境客户机执行
关于version `GLIBC_2.34‘ not found解决办法(非升级glibc库或Linux系统)
YuHWEI的博客
01-19 2万+
指定编译器链接库目录从而解决glibc版本不匹配问题
关于Heap Overflow(堆溢出)
krrrr的专栏
05-04 9579
Heap overflow是一种系统提升权限的方法。在Linux系统中,入侵者可以针对某些文件属性设置成+rws(也就是传说中的粘滞位)的漏洞程序进行攻击从而得到root权限。我们在模拟攻击时可以在root权限下使用以下命令来设置粘滞位属性:                             chown root:root xxx                         
[天翼 2021]esay_eval(复现)
qq_53460654的博客
12-17 3174
<?php class A{ public $code = ""; function __call($method,$args){ eval($this->code); } function __wakeup(){ $this->code = ""; } } class B{ function __destruct(){ echo $this->a->a();
2021天翼云认证考试完整题库
最新发布
05-24
2021天翼云认证考试完整题库》是一份针对天翼云认证考试而准备的题库资源,它包含了历年考试中出现的题目以及模拟题,涵盖了天翼云服务的多个方面,如云产品知识、解决方案设计、故障排查能力等。这份题库不仅是...
堆内存(Heap)和栈内存(Stack)详解
Lulixue的专栏
01-09 7302
原文地址:http://blog.youkuaiyun.com/abcjennifer/article/details/39780819 堆:顺序随意  栈:先进后出  堆和栈的区别  一、预备知识—程序的内存分配  一个由c/C++编译的程序占用的内存分为以下几个部分  1、栈区(stack)— 由编译器自动分配释放 ,存放函数的参数值,局部变量的值等。其操作方式类似
浅析house of banana(上)
2301_79327647的博客
10-19 1109
程序通过exit退出时,会调用一个名叫rtld_global的结构体中的一系列函数来进行诸如恢复寄存器,清除缓冲区等操作,只要我们能够控制_rtld_global中的link_map结构体为我们伪造的link_map结构体。就可以使得array指向我们可控的数据区,从而伪造好一系列函数,进而劫持程序的流。
强网 2024 pwn heap&expect_number
YX-hueimie
11-04 1835
只做了两题,有些遗憾没能把chat_with_me也做出来。heap的爆破耽误了好多时间,第一次爆破2.35不太熟练。
glibc 知:构建2.34版本
canpool
12-20 1万+
文章目录获取版本构建安装 获取版本 主页:https://www.gnu.org/software/libc 这里选择任意一个压缩包下载即可。 构建安装 tar -Jxf glibc-2.34.tar.xz mkdir build install cd build ../glibc-2.34/configure --prefix=/usr make -j4 make install DESTDIR=../install ...
“version `GLIBC_2.34‘ not found“错误处理
Lucky小小吴的小屋
08-08 1326
golang本地的开发环境和引用的模块不同.结果发现编译的文件在服务器上运行报了下面的错误。
Linux系统报错“version ‘GLIBC_2.34‘ not found”解决方法
yuzhou_ln的博客
08-25 7434
再次输入ldd --version查看版本。"ctrl + c"退出插入模式。":wq" + 回车,保存退出。看到以上这些,代表插入成功。"i"键进入插入模式。
glibc2.34交叉编译
weixin_43543420的博客
02-25 916
运行程序报错`GLIBC_2.34‘ not found,查看当前版本是2.28,因此需要升级glibc。
巅峰极客pwn wp
N1rvana的博客
08-17 886
2022巅峰极客pwn wp
2021 祥云 pwn-PassWordBox_ProVersion
z1r0的博客
10-16 312
这里就没有off by null了,size也只能是large bin的,那肯定就是large bin attack了,libc还是2.31的,所以笔者就直接用的ubuntu20.04自带的2.31做的。值得插一嘴的是这个key,笔者上一个free题是因为没注意\x00也会被计算,所以就造成了^ key的值不准确,这题笔者发现了这个问题后,就往后移了一个8字节,保证了key的准确性。这个函数将flags标志位设置为了1配合delete函数即可实现uaf功能。详写了2.31的large bin攻击手法。
2022 网信柏鹭 pwn2 note2
z1r0的博客
09-17 787
因2.34之后取消了malloc,free hook这两个在堆pwn中用的最多的hook,roderick师傅分享的house of apple学习了一下,是一个非常好用的调用链,包括house of emma, house of kiwi, house of banana, house of pig, house of cat都是极好的调用链,前天的网信柏鹭里的pwn2是2.35的,笔者学完apple之后这里拿的2.34做的,只需要改偏移就可以打通2.35的。
瑞友天翼百度网盘下载指南
从给定的文件信息中,我们能够提取到的主要知识点集中于“瑞友天翼下载”这一主题,以及与百度网盘下载相关的操作和应用。接下来,我将详细介绍与这些主题相关的内容。 首先,“瑞友天翼”是一个特定的软件或服务...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值