hctf2016 fheap学习(FreeBuf发表的官方解法)
目录
如何在二次释放前修改函数指针
修改函数指针流程
如何获得进程的加载基址
puts函数的调用
如何获取system函数地址
说一下用DlyELF函数
如何调用system函数
ROP需要的栈布局
read函数的妙用
参数”/bin/sh”如何传递过去
参考资料
官方提供的解法还是有一些意思的。对于我来说又多了一种见识。
如何在二次释放前修改函数指针
修改函数指针流程
分配2个0x4字节长度的字符串后内存布局
图1 分配2个0x4字节长度的字符串后内存布局
删除3次字符串后内存布局,3次,而不是3个
图2 删除3次字符串后内存布局
是删除3次,而不是删除3个字符串,str0被删除了两次,这就让str0有了一个回指str1的指针,再被分配出去之后,str1依然能够在fastbin中链接上str0的空间。
如何修改release指针
图3 如何修改release指针
让人惊讶的事情发生了,不是吗。由于多删除了一次str0,使得glibc以为fastbin队列里面有三个空闲块,它才不管这三个块是不是同一个呢,只要指针能引用就
如何获得进程的加载基址
puts函数的调用
我们都知道,puts能够输出一个字符串到屏幕,那么如果我们能调用它,并传给它一个指针,它就会认为这个指针指向一个字符串,然后打印给我们看。如果我们给的这个指针指向的地址包含了一个函数地址,那么我们自然能获得函数地址了啊。
作者是如何做的呢?
调用puts的方法就是修改release指针,用str1的数据形式将release_ptr最低字节修改为0x2d。为什么只修改最低一个字节就可以了呢?我们看原始函数的地址和调用puts的指令地址就知道了。
图4 原始释放函数的地址
图5 调用puts的指令地址
可以看到,两个地址只有最低一个字节不同。
然后,我们就delee(0)可以看到puts把str0打印出来了,将release_ptr的值当做字符串打印出来了。
然后减掉0xd2d,就可以得到进程的加载基址了。
如何获取system函数地址
作为分析来说直接用本地libc库来定位比较方便,目前与上篇文章一样。
说一下用DlyELF函数。
DlyELF是pwn库提供的一个函数,用来定位库函数在进程内的地址。
那么如何使用呢?
1. 首先我们要提供一个leak(addr)函数,这个函数要能够实现:
1) 能够读取addr处至少一个字节数据
2) 能够多次调用不至于崩溃
2. 要将程序中的信息传递给DlyELF
3. 使用方式:
DynELF(leak_addr, elf=ELF('./fheap'))
4. leak_addr函数的实现:
#参考FlappyPig的做法,结合官方提供脚本中的函数
def leak(leak_addr):
create(4, '\x00')
index0 = 9
#addr是进程基址
printf_plt = 0x9d0 + addr
#print "printf_plt:", hex(printf_plt)
payload = ""
payload += ("%%%d$s--..--"%(index0)).ljust(0x18, 'a')
payload += l64(printf_plt)[:3] + "\x00"
create(0x20, payload)
target.recvuntil('quit')
target.sendline('delete ')
target.recvuntil('id:')
target.sendline('')
target.recvuntil('sure?:') padding = "yes.aaaa"
padding += l64(leak_addr)
target.sendline(padding) data = target.recvuntil('--..--')[:-6]
data += "\x00"
delete(1)
return data
如何调用system函数
先delete(1),然fastbin回到图2状态。以便我们修改函数指针。
这次作者要调用0x11dc处的指令,我们来看看,这个地址的指令能做什么事。
图6 0x11DC处地址的指令
加上ret_addr,一个5个参数,为什么要弹5个参数呢?
我们想一想,当修改release_ptr直接调用0x11DC偏移处的指令时候,rbp和rsp并没有回复到进函数时候的初始值。初始值是怎么样的呢?
图7 delete_string函数的初始栈布局
rsp指向偏移120,buf指向偏移110,在删除字符串进行确认时候,输入的字符串前八个字节是”yes aaaa”,再加上调用release_ptr用的是call方式压栈一个,正好会弹出4个参数,然后”yes aaaa”之后的值会被当做ret_addr给rip。
那么作者下一步调用的是哪个函数呢?
来看看作者构造的ROP需要的栈布局。
ROP需要的栈布局
图8 ROP链的构造
rip从0到6依次执行
read函数的妙用
参考图8,read将system读入到atoi的got表项,而这个表项随后会被调用。起始就调用了我们写入的system地址
参数”/bin/sh”如何传递过去
参考图8,“/bin/sh”这个参数如何传递过去呢?作者调用了getint函数,这个函数是做什么的呢?将字符创转化成数字。
对于我们而言,这个函数有什么用呢?它会读入“/bin/sh”保存到一个地方,然后传递给atoi函数。
运行结果
图9 运行结果
总结
作者调用system的方式真是让我这个新手大开眼界,回味无穷。
而且构造能覆盖release_ptr的fastbin队列的手法也让我惊叹。
收获颇多。
参考资料
[1] Hctf官方解题说明:
http://www.freebuf.com/articles/web/121778.html
hctf2016 fheap学习(FreeBuf发表的官方解法)的更多相关文章
- hctf2016 fheap学习(FlappyPig队伍的解法)
目录 漏洞原理 二次释放 如何在第二次释放前修改函数地址 fastbin的特性 修改函数指针流程 如何获得进程的加载基址 格式化字符串漏洞 确定printf函数在代码段中偏移 printf函数输出想要 ...
- 深度学习框架: Keras官方中文版文档正式发布
今年 1 月 12 日,Keras 作者 François Chollet 在推特上表示因为中文读者的广泛关注,他已经在 GitHub 上展开了一个 Keras 中文文档项目.而昨日,Françoi ...
- MVP学习笔记——参考Google官方demo
demo地址:https://github.com/googlesamples/android-architecture 在这个项目里,每个包的分工都很明确,大体上来说,一个包会对应一个界面.一个界面 ...
- [C#学习]0.发表之前想说的
在这里我将学习C#编程,首先我也只是一个初学者,只是为了以后的学习,并且方便复习,所以决定在这里记录总结一些知识,简单的写一个教程.所以在这里或许难免有一些错误,欢迎大家指出,一起进步. 在这里我使用 ...
- UE4的AI学习(2)——官方案例实例分析
官方给出的AI实例是实现一个跟随着玩家跑的AI,当玩家没有在AI视野里时,它会继续跑到最后看到玩家的地点,等待几秒后如果仍然看不到玩家,则跑回初始地点.官方的案例已经讲得比较详细,对于一些具体的函数调 ...
- deno学习四 docker 运行官方的一个http file server
github 上已经有人搞了一个deno 的docker 镜像,是基于源码编译的,挺好的 所以结合官方的http server demo 使用docker 运行 环境准备 docker-compose ...
- ICE学习笔记一----运行官方的java版demo程序
建议新手和我一样,从官网下载英文文档,开个有道词典,慢慢啃. 官方文档下载: http://download.csdn.net/detail/xiong_mao_1/6300631 程序代码就不说了, ...
- 同时安装Python2,Python3如何解决冲突问题【官方解法】
使用py -2或py -3命令来区分调用Python启动器 去掉参数 -2/-3如何运行? 每次运行都要加入参数-2/-3还是比较麻烦,所以py.exe这个启动器允许你在代码中加入说明,表明这个文件应 ...
- 微信小程序入门——怎么建多个项目?(导入官方Demo程序进行学习)
昨天1月9日微信小程序发布,顿时被朋友圈刷爆,今天看了一下官方文档,自己开始一步一步搭建环境体验小程序开发. 常见问题: 1.微信小程序开发是否需要重新创建开发者账号? 需要,即使之前申请了微信服务号 ...
随机推荐
- userDao
比如,我们这里有一个接口IUserDao,里面有,add和del两个方法.我们在项目中,有一个他的实现类:UserDao.但是我们现在想要统一为这个接口的所有实现类都添加一个查询search方法,那么 ...
- iOS即时通讯输入框随字数自适应高度
代码地址如下:http://www.demodashi.com/demo/13210.html 前言 本人最近在研究socket与聊天界面的UI,在写聊天界面UI的时候是模仿微信的界面其中的文字输入框 ...
- chrome浏览器FQ插件,可以上Facebook等。。。
不需要复杂的配置,看里面的介绍就知道了,目前很稳定. 插件下载地址:http://honx.in/_VGQLtYIaA10BIEKV
- 使用node.js 文档里的方法写一个web服务器
刚刚看了node.js文档里的一个小例子,就是用 node.js 写一个web服务器的小例子 上代码 (*^▽^*) //helloworld.js// 使用node.js写一个服务器 const h ...
- SpringCloud系列十五:使用Hystrix实现容错
1. 回顾 上文讲解了容错的重要性,以及容错需要实现的功能. 本文来讲解使用Hystrix实现容错. 2. Hystrix简介 Hystrix是Netflix开源的一个延迟和容错库,用于隔离访问远程系 ...
- Intellj IDEA14.0.2启动异常之3分钟修复
今天是周一,刚到公司启动心爱的IDEA,,突然启动到一半,就抛异常了,直接弹窗,报例如以下的异常: java.lang.RuntimeException: com.intellij.ide.plugi ...
- TortoiseSVN客户端使用方法
SVN对于程序开发来说是非常重要的东西,它是非常不错的版本管理工具,下面介绍一下TortoiseSVN客户端的使用方法. 工具/原料 TortoiseSVN 方法/步骤 如果没有TortoiseS ...
- Apache配置文件详解
1.1 ServerRoot 配置 [ServerRoot "" 主要用于指定Apache的安装路径,此选项参数值在安装Apache时系统会自动把Apache的路径写入.Windo ...
- python3 读取csv的常用语法
import csv #打开文件,用with打开可以不用去特意关闭file了,python3不支持file()打开文件,只能用open() with open("info.csv" ...
- 键值对集合 dict(字典)
xx= { ss, ss } 创建字典 len(ss) 返回字典到长度,len函数可以返回任何集合的长度,list.tuple.dict都是集合的一种 什么是dict 我们已经知道,list 和 tu ...