2022 TQLCTF pwn unbelievable_write

最新推荐文章于 2024-11-27 14:46:39 发布
原创 最新推荐文章于 2024-11-27 14:46:39 发布 · 514 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#css3 #css #前端

本文探讨了一种高级内存操纵手法,通过劫持free函数,实现了对程序内存的间接控制。作者介绍了如何利用free的got表实现puts劫持,从而绕过malloc后的强制free,最终成功攻击目标变量。涉及的技术包括gdb调试、ELF文件操作和动态链接库的函数重定向。

在这里插入图片描述
got表可以覆写
pie也没开

在这里插入图片描述三个功能

1
在这里插入图片描述申请空间 读入内容 释放空间

2
在这里插入图片描述
给释放任意一次堆的机会

在这里插入图片描述
往bss上的target写东西,写上去就成。
我们观察到
free的时候那个chunk的偏移可以输入负值
所以我们直接输入-0x290就可以free掉tcache struct

我们刚开始的想法是直接在struct中填上target处的地址,然后malloc回来改了就行
但是后来发现,因为程序中malloc之后写入内容之后会强制free,这会导致我们malloc的chunk在free的时候报错

尝试在got表中去寻找合适的malloc的位置但是也都失败了

最后决定我们可以直接劫持掉free的got表,直接劫持成puts的plt,让其free的时候仅仅是puts一下。

此时我们可以直接再次覆盖下去,但是要吧里面其他函数的got表都填好
当然我们也可以再次攻击tcache struct,这次就可以直接攻击target,改了就好。

exp

from pwn import*
from ctypes import*

lib = cdll.LoadLibrary('libc.so.6')

context.log_level='debug'
context.arch='amd64'
context.os = "linux"

sa = lambda s,n : r.sendafter(s,n)
sla = lambda s,n : r.sendlineafter(
最低0.47元/天 解锁文章
2022 vnctf pwn clear_got
yongbaoii的博客
03-15 1004
got表能覆写 没有canary pie 程序的逻辑很简单 一个栈溢出之后将got表全部清空。 给了两个系统调用。 那么我们的解题思路。 首先利用ret2csu来控制寄存器 payload = "a"*0x68 payload += p64(0x4007ea) payload += p64(0xc01c8) #rbx payload += p64(0xc01c9) #rbp payload += p64(0) #r12 payload += p64(59) #rdx payload += p64(0
VNCTF2022_Pwn_clear_got_WP
weixin_56434818的博客
02-14 1013
VNCTF2022_Pwn_clear_got_WP 文章目录VNCTF2022_Pwn_clear_got_WP检查文件IDA查看题给elf文件利用思路exp 检查文件 RELRO半开,没有canary,开NX,没开PIE。 IDA查看题给elf文件 int __cdecl main(int argc, const char **argv, const char **envp) { char buf[92]; // [rsp+0h] [rbp-60h] BYREF int v5; // [rsp
2022 TQLCTF unbelievable_write
weixin_46483787的博客
02-23 4343
有个非预期解是打got表,使题目难度降低了很多,如果开了got不可写的话可以用largebin attack或者其他高版本libc任意地址写来做 这里放我自己用的largebin attack的方法: from re import L from pwn import * from ctypes import * from string import * from hashlib import * from itertools import product #context.log_level = 'debu
2022 TQLCTF pwn easyvm
yongbaoii的博客
02-22 717
题目很有意思,肝了不少时间。
pwn入门学习
sjt670994562的博客
09-05 569
dicd_game seed种子题,需要用到共享C dll函数的ctypes from pwn import * from ctypes import * p=remote("111.198.29.45",33304) libc=cdll.LoadLibrary("libc.so.6") //加载动态链接库 p.recvuntil("me know your name: ") p....
CTF中的PWN——srand()/rand()漏洞(栈溢出)
壊壊的诱惑你的博客
11-16 5609
摘要: 本以为自己栈溢出学的不错了,挑战了一下攻防世界的PWN高手进阶,发现栈溢出还是有很多相关的漏洞,今天总结一下srand()函数的漏洞。 srand()/rand(): 简单介绍一下这两个函数: rand()函数是使用线性同余法做的,它并不是真的随机数,因为其周期特别长,所以在一定范围内可以看成随机的。 srand()为初始化随机数发生器,用于设置rand...
PWN学习-ADworld刷题
WocW的博客
06-04 1695
前言 搁置了一段时间没更博,经历了考试还有一些其他事,决心好好去学pwn。学习的方法打算是按照看视频课加刷题加查找资料来学习。 先把新手题都刷了一遍,都是很入门的题目,没啥好提的,收获也少。然后去刷进阶的题,但是目前还没有遇到堆的题目,视频课已经快学完了,学习资料是看的B站上的这个,觉得讲的很好,YOTUBE上也有 讲一下刷进阶题时个人遇到的一些坑…或者是学到的东西 分析 pwn-100 检查...
BUUCTF-PWN题详解(pwn1_sctf_2016 1&jarvisoj_level0 1)
2302_80325559的博客
11-27 2665
今天给大家介绍了几个危险函数strcpy、read,以及Python pwn模块的一些函数用法。这几天也做了这六道溢出的题,思路大差不差,都是先找从哪儿溢出,然后后门的地址。如果大家可以自己独立做出来的话,就可以说只要以后见到这种题,分分钟拿下。后面的题就不会留这么明显的后门给我们了,会让我们自己创建后门,难度会大一点点。我尽量以简洁的语言给大家说清楚,大家一起加油!
【BUUCTF-PWN】5-pwn1_sctf_2016
燕麦葡萄干的博客
07-04 351
变量s在栈中的位置位0x3c,想要溢出到Rbp需要60+4(因为是32位)=64。fgets()函数只允许输入32位长度,但是I可以变为you,因此可以输入20个I加三个a。这里中间处理的代码还看不太懂,只能看到you、i还有replace字符替换函数。试着运行效果如下,可知代码会把输入的I替换为you。找一下后门函数,函数的位置是0x8048F0D。strcpy()函数存在缓冲区溢出。32位,开启了NX保护。
TQLCTF2022 Misc WriteUp
mumuzi的博客
02-21 6850
优快云什么玩意儿???
2022 RWCTF PWN SVME
weixin_46483787的博客
01-23 1018
前言:RWCTF上的一道clone-and-pwn,一开始没搞懂clone是啥子意思,后来队里师傅扔出来一个github链接,才明白原来是直接从github上拉下来的项目,还真是real word github项目地址:https://github.com/parrt/simple-virtual-machine-C/blob/master/src/vm.c 既然是clone就意味着有源码,有了源码对于做VM题来说就大大降低了我们的逆向难度。 逆向分析 说实话其实main.c在docker文件夹里似乎也给了
[susctf2022-pwn] 02-happytree
weixin_52640415的博客
02-28 500
早晨才看到比赛,9点就结束。结束后作了一道题。 堆有漏洞大概有3个:UAF,写溢出,未初始化指针。其中未初始化指针是最难找了,一般想不到。不过也有个办法如果找不着前边两个就找后边这个。 题目有add,show,free三个函数。其中add有两个未初始化指针: __int64 __fastcall m1add(__int64 a1, __int64 a2, unsigned int a3) { __int64 v5; // [rsp+10h] [rbp-10h] v5 = a2; if
one_gadget 下载 安装 与使用
热门推荐
yongbaoii的博客
10-15 1万+
00 开始 当有了ROP_gadget之后就会发现one_gadget也是必须的。 one_gadget就是用来去查找动态链接库里execve("/bin/sh", rsp+0x70, environ)函数的地址的,专职。 01 安装 sudo apt -y install ruby sudo gem install one_gadget 02 使用 举个栗子 还是挺简单的。 ...
go pwn 2022 虎符 gogogo
yongbaoii的博客
04-09 7372
刚刚看了17年seccon的baby_stack 看着这个感觉好亲切。
解决LibcSearcher找不到合适libc(更新libc)
yongbaoii的博客
02-09 7303
1 尝试直接更新 进入LibcSearcher/libc-database中运行./get文件即可进行更新。 可能./get更新不了。 2 究极更新 cd LibcSearcher rm -rf libc-database git clone https://github.com/niklasb/libc-database.git 然后进入libc-database执行./get 可能会这样提醒。 那么就看需要点啥更新点啥,一般是 ./get ubuntu #一般pwn题环境就Ubuntu,所以有第一个
linux 安装codeql环境 (二)codeql database create通过报错分析其流程
yongbaoii的博客
04-10 6253
尝试过很多解决方案之后无果 决定研究一下它的整个流程
linux 安装codeql环境 (一)基本环境搭建
yongbaoii的博客
04-10 5966
cccccccodeql
PWN 更换目标程序libc
yongbaoii的博客
12-29 5496
网上这方面我感觉还是比较少的,在这里把我的方法拿出来防止大家踩坑。 这一块知识不大懂的推荐去看《程序员的自我修养》第八章共享库那一章节。 我们换libc的原因是在调试程序的时候我们本地的libc可能跟远程计算机上的libc不一样,不是可能,基本上都不一样,那么我们程序加载libc之后里面的一些函数的偏移地址就会跟我们想的不一样,从而导致脚本不停出错。那么就需要我们去把程序所链接的libc从本地libc更换成远程服务器上的libc。 原理简单的说就是用patchelf把程序依赖libc的那个软连接改一下,或者
go runtime
yongbaoii的博客
04-01 4835
Runtime 包括go 调度 go内存分配 go GC
pwn IO_FILE
最新发布
08-01
### Pwn中IO_FILE利用技术详解 IO_FILE结构体是C标准库中用于管理文件流的核心数据结构,其在glibc中的实现包含了一系列的函数指针,用于处理文件的读写操作。攻击者在发现二进制漏洞时,如果能够控制这些函数指针或其调用上下文,就可能实现任意代码执行。 #### IO_FILE结构体的基本组成 IO_FILE结构体在glibc中定义如下,包含了一系列用于管理文件读写状态的字段: ```c struct _IO_FILE { int _flags; /* High-order word is _IO_MAGIC; rest is flags. */ char* _IO_read_ptr; /* Current read pointer */ char* _IO_read_end; /* End of get area. */ char* _IO_read_base; /* Start of putback+get area. */ char* _IO_write_base; /* Start of put area. */ char* _IO_write_ptr; /* Current put pointer. */ char* _IO_write_end; /* End of put area. */ char* _IO_buf_base; /* Start of reserve area. */ char* _IO_buf_end; /* End of reserve area. */ char* _IO_save_base; /* Pointer to start of non-current get area. */ char* _IO_backup_base; /* Pointer to just before start of backup area. */ char* _IO_save_end; /* Pointer to just past end of backup area. */ struct _IO_marker *_markers; struct _IO_FILE *_chain; int _fileno; /* File descriptor. */ ... }; ``` 其中,`_flags`字段用于标识文件流的状态,而`_IO_read_ptr`、`_IO_read_end`等字段用于管理缓冲区。最重要的是,`_IO_FILE`结构体内部包含了一个`_IO_jump_t`结构体指针,该结构体包含了多个函数指针,例如`_IO_underflow`, `_IO_overflow`, `_IO_xsgetn`, `_IO_seekoff`, `_IO_seekset`等,这些函数指针决定了文件流的具体操作逻辑[^1]。 #### IO_FILE利用技术的核心思想 在二进制漏洞利用中,攻击者通常通过堆溢出、UAF(Use-After-Free)等漏洞修改`_IO_FILE`结构体中的函数指针或其关联的`_IO_jump_t`虚表指针。一旦控制了这些指针,攻击者可以在程序调用如`fread`, `fwrite`, `fclose`等函数时触发任意代码执行。 一个典型的攻击场景是通过堆溢出覆盖`_IO_jump_t`指针,使其指向攻击者控制的内存区域。随后,当程序尝试调用某个文件操作函数(如`fread`)时,就会跳转到攻击者指定的地址执行代码。例如,攻击者可以将该指针修改为指向栈或堆中的shellcode,从而获得控制权[^2]。 #### 实际攻击步骤示例 1. **泄露堆地址**:通过某种方式(如堆喷射或信息泄露漏洞)获取堆的地址,以便构造`_IO_jump_t`结构体的伪造虚表。 2. **堆风水布局**:通过精心构造堆块的分配与释放,确保`_IO_FILE`结构体位于可控的堆块中。 3. **堆溢出修改虚表指针**:利用堆溢出漏洞将`_IO_jump_t`指针修改为指向攻击者控制的内存区域。 4. **构造伪造的虚表**:在可控内存区域中构造一个伪造的`_IO_jump_t`结构体,其中包含指向shellcode的函数指针。 5. **触发函数调用**:调用如`fread`, `fwrite`等函数,触发虚表中的函数指针,从而执行shellcode[^4]。 #### 防御机制与绕过策略 现代glibc版本中引入了多种保护机制,例如: - **Tcache防护**:限制了tcache链表的篡改,防止简单的tcache poisoning攻击。 - **虚表完整性检查**:某些glibc版本中加入了对`_IO_jump_t`虚表地址的合法性检查,防止其指向不可信区域。 - **地址空间随机化(ASLR)**:通过随机化堆、栈和虚表的基址,增加攻击者预测地址的难度。 攻击者通常需要结合多个漏洞(如信息泄露+堆溢出)来绕过这些防护。例如,在无PIE(Position Independent Executable)的环境中,攻击者可以通过泄露libc基址来计算虚表地址,从而精确构造伪造的`_IO_jump_t`结构体[^1]。 #### 实战案例 在Google CTF 2022的FILESTORE题目中,攻击者通过堆溢出漏洞结合tcache poisoning技术,实现了对`__free_hook`的劫持,并最终调用`system`函数获取shell。虽然该题目并未直接使用IO_FILE利用技术,但其核心思想(通过堆溢出修改关键函数指针)与IO_FILE攻击有异曲同工之妙[^1]。 #### 代码示例 以下是一个简单的伪造`_IO_jump_t`结构体的示例代码: ```c #include <stdio.h> #include <stdlib.h> #include <string.h> void shell() { system("/bin/sh"); } int main() { FILE *fp = fopen("testfile", "w+"); char *fake_jump_table = malloc(0x100); memset(fake_jump_table, 0, 0x100); // 构造伪造的_IO_jump_t结构体,其中_IO_OVERFLOW字段指向shell函数 void **vtable = (void **)fake_jump_table; vtable[3] = (void *)shell; // _IO_OVERFLOW // 修改_IO_jump_t指针指向伪造的虚表 void **file_ptr = (void **)fp; file_ptr[13] = fake_jump_table; // _IO_vtable_offset // 触发_IO_OVERFLOW调用 fprintf(fp, "This will trigger shell()\n"); return 0; } ``` 上述代码中,`fake_jump_table`模拟了一个伪造的`_IO_jump_t`结构体,其中`_IO_OVERFLOW`函数指针被指向`shell`函数。通过修改`_IO_vtable_offset`字段,使得`fp`指向该伪造的虚表。当调用`fprintf`时,会触发`_IO_OVERFLOW`函数指针,从而执行`shell`函数。 #### 攻击链总结 1. **堆溢出或UAF漏洞**:获取对`_IO_FILE`结构体的写权限。 2. **伪造虚表**:在可控内存区域构造伪造的`_IO_jump_t`结构体。 3. **劫持控制流**:修改虚表指针,使其指向伪造的结构体。 4. **触发函数调用**:调用标准I/O函数(如`fread`, `fwrite`)触发shellcode执行。 这种攻击方式在CTF比赛中常用于绕过常规的ROP链构造,尤其在没有足够gadget的情况下具有较高的实用性[^4]。 ---
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值