[分享]0ctf2017 - babyheap-Pwn-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
sudozhange 雪币： 285 活跃值： (1095) 能力值： ( LV13，RANK：405 ) 在线值：发帖 28 回帖 121 粉丝 75 关注私信	sudozhange 5 2 楼支持 2017-12-24 22:13 0
baolongshou 雪币： 4975 活跃值： (3858) 能力值： ( LV13，RANK：270 ) 在线值：发帖 28 回帖 67 粉丝 33 关注私信	baolongshou 2 3 楼牛皮，Bill 2018-3-7 17:36 0
sakura零雪币： 699 活跃值： (444) 能力值： ( LV9，RANK：240 ) 在线值：发帖 12 回帖 72 粉丝 23 关注私信	sakura零 4 4 楼最近正打算调0ctf2017，mark 2018-3-8 02:14 0
holing 雪币： 5676 活跃值： (1303) 能力值： ( LV17，RANK：1185 ) 在线值：发帖 37 回帖 439 粉丝 79 关注私信	holing 15 5 楼不错 2018-3-9 04:33 0
赏月的熊猫雪币： 1218 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 1 关注私信	赏月的熊猫 6 楼学习一波 2018-8-17 17:28 0
Reshahar 雪币： 5 活跃值： (33) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	Reshahar 7 楼 gdb 地址显示g 8字节更好吧 2018-8-21 11:28 0
lometsj 雪币： 22 活跃值： (54) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	lometsj 8 楼最后面写one_gadget 偏移错了吧，应该是19，你上面算下来是22 2018-11-13 01:29 0
liuxucau 雪币： 4 活跃值： (197) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 28 粉丝 0 关注私信	liuxucau 9 楼你好，我按照你的过程进行调试，但第一步的结果和你的不一样，释放后的chunk没有放入fast bin管理，调试研究了三天了都没找到问题，能不能帮我看一下？一. 我按照你帖子中的，先创建4个fast chunk，再创建一个small chunk，然后把第1个fast chunk释放： alloc(0x10) alloc(0x10) alloc(0x10) alloc(0x10) alloc(0x80) free(1) 此时的内存如下（和你帖子里的基本是一样的）： gdb-peda$ x/40wx 0x555555757260-0x10 0x555555757250: 0x00000000 0x00000000 0x00000021 0x00000000 <--- chunk 0 (fastbin, in use) 0x555555757260: 0x00000000 0x00000000 0x00000000 0x00000000 0x555555757270: 0x00000000 0x00000000 0x00000021 0x00000000 <--- chunk 1 (fastbin, free) 0x555555757280: 0x00000000 0x00000000 0x00000000 0x00000000 0x555555757290: 0x00000000 0x00000000 0x00000021 0x00000000 <--- chunk 2 (fastbin, in use) 0x5555557572a0: 0x00000000 0x00000000 0x00000000 0x00000000 0x5555557572b0: 0x00000000 0x00000000 0x00000021 0x00000000 <--- chunk 3 (fastbin, in use) 0x5555557572c0: 0x00000000 0x00000000 0x00000000 0x00000000 0x5555557572d0: 0x00000000 0x00000000 0x00000091 0x00000000 <--- chunk 4 (smallbin, in use) 0x5555557572e0: 0x00000000 0x00000000 0x00000000 0x00000000 这个时候我查看main_arena，在fast bins里并没有找到chunk1: gdb-peda$ x/20wx &main_arena 0x7ffff7fa8c40 <main_arena>: 0x00000000 0x00000000 0x00000000 0x00000000 0x7ffff7fa8c50 <main_arena+16>: 0x00000000 0x00000000 0x00000000 0x00000000 0x7ffff7fa8c60 <main_arena+32>: 0x00000000 0x00000000 0x00000000 0x00000000 0x7ffff7fa8c70 <main_arena+48>: 0x00000000 0x00000000 0x00000000 0x00000000 0x7ffff7fa8c80 <main_arena+64>: 0x00000000 0x00000000 0x00000000 0x00000000 gdb-peda$ p main_arena $1 = { mutex = 0x0, flags = 0x0, have_fastchunks = 0x0, fastbinsY = {0x0, 0x0, 0x0, 0x0, 0x0, 0x0, 0x0, 0x0, 0x0, 0x0}, top = 0x555555757360, （top chunk) last_remainder = 0x0, bins = {0x7ffff7fa8ca0 <main_arena+96>, 0x7ffff7fa8ca0 <main_arena+96>, 0x7ffff7fa8cb0 <main_arena+112>, 0x7ffff7fa8cb0 <main_arena+112>, 二. 然后我再释放chunk2, free(2)，释放后的内存如下： gdb-peda$ x/40wx 0x555555757260-0x10 0x555555757250: 0x00000000 0x00000000 0x00000021 0x00000000 <--- chunk 0 (fastbin, in use) 0x555555757260: 0x00000000 0x00000000 0x00000000 0x00000000 0x555555757270: 0x00000000 0x00000000 0x00000021 0x00000000 <--- chunk 1 (fastbin, free) 0x555555757280: 0x00000000 0x00000000 0x00000000 0x00000000 0x555555757290: 0x00000000 0x00000000 0x00000021 0x00000000 <--- chunk 2 (fastbin, free) 0x5555557572a0: 0x55757280 0x00005555 0x00000000 0x00000000 0x5555557572b0: 0x00000000 0x00000000 0x00000021 0x00000000 <--- chunk 3 (fastbin, in use) 0x5555557572c0: 0x00000000 0x00000000 0x00000000 0x00000000 0x5555557572d0: 0x00000000 0x00000000 0x00000091 0x00000000 <--- chunk 4 (smallbin, in use) 0x5555557572e0: 0x00000000 0x00000000 0x00000000 0x00000000 因为是先free(1)，再free(2)，所以fast bin的头接点应该是chunk2，chunk2的fd指向chunk1，看上面的内存确实有点像，但是chunk2的fd应该是0x555555757270的呀，为什么是0x555555757280了，差了0x10，不明白。而且这个时候再查看main_arena，发现fastbins里还是空的，要哭了： gdb-peda$ x/20wx &main_arena 0x7ffff7fa8c40 <main_arena>: 0x00000000 0x00000000 0x00000000 0x00000000 0x7ffff7fa8c50 <main_arena+16>: 0x00000000 0x00000000 0x00000000 0x00000000 0x7ffff7fa8c60 <main_arena+32>: 0x00000000 0x00000000 0x00000000 0x00000000 0x7ffff7fa8c70 <main_arena+48>: 0x00000000 0x00000000 0x00000000 0x00000000 0x7ffff7fa8c80 <main_arena+64>: 0x00000000 0x00000000 0x00000000 0x00000000 gdb-peda$ p main_arena $2 = { mutex = 0x0, flags = 0x0, have_fastchunks = 0x0, fastbinsY = {0x0, 0x0, 0x0, 0x0, 0x0, 0x0, 0x0, 0x0, 0x0, 0x0}, top = 0x555555757360, （top chunk） last_remainder = 0x0, bins = {0x7ffff7fa8ca0 <main_arena+96>, 0x7ffff7fa8ca0 <main_arena+96>, 0x7ffff7fa8cb0 <main_arena+112>, 0x7ffff7fa8cb0 <main_arena+112>, 0x7ffff7fa8cc0 <main_arena+128>, 0x7ffff7fa8cc0 <main_arena+128>, 0x7ffff7fa8cd0 <main_arena+144>, 0x7ffff7fa8cd0 <main_arena+144>, 三. 我再尝试申请一个大小为0x10的fast chunk，alloc(0x10)，按照fast bin的特性，应该是返回刚刚释放的chunk2，但结果并不是这样的，而是从top chunk里分隔出一个新的chunk返回了。此时的内存如下： gdb-peda$ x/80wx 0x555555757260-0x10 0x555555757250: 0x00000000 0x00000000 0x00000021 0x00000000 <--- chunk 0 (fastbin, in use) 0x555555757260: 0x00000000 0x00000000 0x00000000 0x00000000 0x555555757270: 0x00000000 0x00000000 0x00000021 0x00000000 <--- chunk 1 (fastbin, free) 0x555555757280: 0x00000000 0x00000000 0x00000000 0x00000000 0x555555757290: 0x00000000 0x00000000 0x00000021 0x00000000 <--- chunk 2 (fastbin, free) 0x5555557572a0: 0x55757280 0x00005555 0x00000000 0x00000000 0x5555557572b0: 0x00000000 0x00000000 0x00000021 0x00000000 <--- chunk 3 (fastbin, in use) 0x5555557572c0: 0x00000000 0x00000000 0x00000000 0x00000000 0x5555557572d0: 0x00000000 0x00000000 0x00000091 0x00000000 <--- chunk 4 (smallbin, in use) 0x5555557572e0: 0x00000000 0x00000000 0x00000000 0x00000000 0x5555557572f0: 0x00000000 0x00000000 0x00000000 0x00000000 0x555555757300: 0x00000000 0x00000000 0x00000000 0x00000000 0x555555757310: 0x00000000 0x00000000 0x00000000 0x00000000 0x555555757320: 0x00000000 0x00000000 0x00000000 0x00000000 0x555555757330: 0x00000000 0x00000000 0x00000000 0x00000000 0x555555757340: 0x00000000 0x00000000 0x00000000 0x00000000 0x555555757350: 0x00000000 0x00000000 0x00000000 0x00000000 0x555555757360: 0x00000000 0x00000000 0x00000021 0x00000000 <--- chunk 5 (fastbin, in use) 0x555555757370: 0x00000000 0x00000000 0x00000000 0x00000000 0x555555757380: 0x00000000 0x00000000 0x00020c81 0x00000000 此时的main_arena如下： gdb-peda$ x/20wx &main_arena 0x7ffff7fa8c40 <main_arena>: 0x00000000 0x00000000 0x00000000 0x00000000 0x7ffff7fa8c50 <main_arena+16>: 0x00000000 0x00000000 0x00000000 0x00000000 0x7ffff7fa8c60 <main_arena+32>: 0x00000000 0x00000000 0x00000000 0x00000000 0x7ffff7fa8c70 <main_arena+48>: 0x00000000 0x00000000 0x00000000 0x00000000 0x7ffff7fa8c80 <main_arena+64>: 0x00000000 0x00000000 0x00000000 0x00000000 gdb-peda$ p main_arena $4 = { mutex = 0x0, flags = 0x0, have_fastchunks = 0x0, fastbinsY = {0x0, 0x0, 0x0, 0x0, 0x0, 0x0, 0x0, 0x0, 0x0, 0x0}, top = 0x555555757380, last_remainder = 0x0, bins = {0x7ffff7fa8ca0 <main_arena+96>, 0x7ffff7fa8ca0 <main_arena+96>, 0x7ffff7fa8cb0 <main_arena+112>, 0x7ffff7fa8cb0 <main_arena+112>, 0x7ffff7fa8cc0 <main_arena+128>, 0x7ffff7fa8cc0 <main_arena+128>, 0x7ffff7fa8cd0 <main_arena+144>, 0x7ffff7fa8cd0 <main_arena+144>, 0x7ffff7fa8ce0 <main_arena+160>, 0x7ffff7fa8ce0 <main_arena+160>, 0x7ffff7fa8cf0 <main_arena+176>, 0x7ffff7fa8cf0 <main_arena+176>, 整个过程中fast bin好像并没有生效，好奇怪，求指导~ 最后于 2019-1-1 15:23 被liuxucau编辑，原因：错别字 2019-1-1 15:20 0
sLapin 雪币： 279 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	sLapin 10 楼代码有个bug，其实文中脚本调用的还是系统的libc，调用本地应该是 process(elf,env=ENV)。脚本的libc偏移应该是基于2.23的。 2019-1-16 00:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

sudozhange

雪币： 285

活跃值： (1095)

能力值：

( LV13，RANK：405 )

在线值：

发帖

28

回帖

121

粉丝

75

关注

私信

sudozhange 5: 2 楼

支持

2017-12-24 22:13

0

baolongshou

雪币： 4975

活跃值： (3858)

能力值：

( LV13，RANK：270 )

在线值：

发帖

28

回帖

67

粉丝

33

关注

私信

baolongshou 2: 3 楼

牛皮，Bill

2018-3-7 17:36

0

sakura零

雪币： 699

活跃值： (444)

能力值：

( LV9，RANK：240 )

在线值：

发帖

12

回帖

72

粉丝

23

关注

私信

sakura零 4: 4 楼

最近正打算调0ctf2017，mark

2018-3-8 02:14

0

holing

雪币： 5676

活跃值： (1303)

能力值：

( LV17，RANK：1185 )

在线值：

发帖

37

回帖

439

粉丝

79

关注

私信

holing 15: 5 楼

不错

2018-3-9 04:33

0

赏月的熊猫

雪币： 1218

活跃值： (20)

能力值：

( LV2，RANK：10 )

在线值：

发帖

1

回帖

18

粉丝

1

关注

私信

赏月的熊猫: 6 楼

学习一波

2018-8-17 17:28

0

Reshahar

雪币： 5

活跃值： (33)

能力值：

( LV4，RANK：50 )

在线值：

发帖

1

回帖

7

粉丝

0

关注

私信

Reshahar: 7 楼

gdb 地址显示g 8字节更好吧

2018-8-21 11:28

0

lometsj

雪币： 22

活跃值： (54)

能力值：

( LV3，RANK：30 )

在线值：

发帖

0

回帖

3

粉丝

0

关注

私信

lometsj: 8 楼

最后面写one_gadget 偏移错了吧，应该是19，你上面算下来是22

2018-11-13 01:29

0

liuxucau

雪币： 4

活跃值： (197)

能力值：

( LV2，RANK：10 )

在线值：

发帖

7

回帖

28

粉丝

0

关注

私信

liuxucau: 9 楼

你好，我按照你的过程进行调试，但第一步的结果和你的不一样，释放后的chunk没有放入fast bin管理，调试研究了三天了都没找到问题，能不能帮我看一下？
一. 我按照你帖子中的，先创建4个fast chunk，再创建一个small chunk，然后把第1个fast chunk释放：
alloc(0x10)
alloc(0x10)
alloc(0x10)
alloc(0x10)
alloc(0x80)
free(1)

此时的内存如下（和你帖子里的基本是一样的）：
gdb-peda$ x/40wx 0x555555757260-0x10
0x555555757250: 0x00000000 0x00000000 0x00000021 0x00000000  <--- chunk 0 (fastbin, in use)
0x555555757260: 0x00000000 0x00000000 0x00000000 0x00000000
0x555555757270: 0x00000000 0x00000000 0x00000021 0x00000000  <--- chunk 1 (fastbin, free)
0x555555757280: 0x00000000 0x00000000 0x00000000 0x00000000
0x555555757290: 0x00000000 0x00000000 0x00000021 0x00000000  <--- chunk 2 (fastbin, in use)
0x5555557572a0: 0x00000000 0x00000000 0x00000000 0x00000000
0x5555557572b0: 0x00000000 0x00000000 0x00000021 0x00000000  <--- chunk 3 (fastbin, in use)
0x5555557572c0: 0x00000000 0x00000000 0x00000000 0x00000000
0x5555557572d0: 0x00000000 0x00000000 0x00000091 0x00000000  <--- chunk 4 (smallbin, in use)
0x5555557572e0: 0x00000000 0x00000000 0x00000000 0x00000000

这个时候我查看main_arena，在fast bins里并没有找到chunk1:
gdb-peda$ x/20wx &main_arena
0x7ffff7fa8c40 <main_arena>: 0x00000000 0x00000000 0x00000000 0x00000000
0x7ffff7fa8c50 <main_arena+16>: 0x00000000 0x00000000 0x00000000 0x00000000
0x7ffff7fa8c60 <main_arena+32>: 0x00000000 0x00000000 0x00000000 0x00000000
0x7ffff7fa8c70 <main_arena+48>: 0x00000000 0x00000000 0x00000000 0x00000000
0x7ffff7fa8c80 <main_arena+64>: 0x00000000 0x00000000 0x00000000 0x00000000
gdb-peda$ p main_arena
$1 = {
  mutex = 0x0,
  flags = 0x0,
  have_fastchunks = 0x0,
  fastbinsY = {0x0, 0x0, 0x0, 0x0, 0x0, 0x0, 0x0, 0x0, 0x0, 0x0},
  top = 0x555555757360, （top chunk)
  last_remainder = 0x0,
  bins = {0x7ffff7fa8ca0 <main_arena+96>, 0x7ffff7fa8ca0 <main_arena+96>,
    0x7ffff7fa8cb0 <main_arena+112>, 0x7ffff7fa8cb0 <main_arena+112>,

二. 然后我再释放chunk2, free(2)，释放后的内存如下：
gdb-peda$ x/40wx 0x555555757260-0x10
0x555555757250: 0x00000000 0x00000000 0x00000021 0x00000000  <--- chunk 0 (fastbin, in use)
0x555555757260: 0x00000000 0x00000000 0x00000000 0x00000000
0x555555757270: 0x00000000 0x00000000 0x00000021 0x00000000  <--- chunk 1 (fastbin, free)
0x555555757280: 0x00000000 0x00000000 0x00000000 0x00000000
0x555555757290: 0x00000000 0x00000000 0x00000021 0x00000000  <--- chunk 2 (fastbin, free)
0x5555557572a0: 0x55757280 0x00005555 0x00000000 0x00000000
0x5555557572b0: 0x00000000 0x00000000 0x00000021 0x00000000  <--- chunk 3 (fastbin, in use)
0x5555557572c0: 0x00000000 0x00000000 0x00000000 0x00000000
0x5555557572d0: 0x00000000 0x00000000 0x00000091 0x00000000  <--- chunk 4 (smallbin, in use)
0x5555557572e0: 0x00000000 0x00000000 0x00000000 0x00000000
因为是先free(1)，再free(2)，所以fast bin的头接点应该是chunk2，chunk2的fd指向chunk1，看上面的内存确实有点像，但是chunk2的fd应该是0x555555757270的呀，为什么是0x555555757280了，差了0x10，不明白。
而且这个时候再查看main_arena，发现fastbins里还是空的，要哭了：
gdb-peda$ x/20wx &main_arena
0x7ffff7fa8c40 <main_arena>: 0x00000000 0x00000000 0x00000000 0x00000000
0x7ffff7fa8c50 <main_arena+16>: 0x00000000 0x00000000 0x00000000 0x00000000
0x7ffff7fa8c60 <main_arena+32>: 0x00000000 0x00000000 0x00000000 0x00000000
0x7ffff7fa8c70 <main_arena+48>: 0x00000000 0x00000000 0x00000000 0x00000000
0x7ffff7fa8c80 <main_arena+64>: 0x00000000 0x00000000 0x00000000 0x00000000
gdb-peda$ p main_arena
$2 = {
  mutex = 0x0,
  flags = 0x0,
  have_fastchunks = 0x0,
  fastbinsY = {0x0, 0x0, 0x0, 0x0, 0x0, 0x0, 0x0, 0x0, 0x0, 0x0},
  top = 0x555555757360, （top chunk）
  last_remainder = 0x0,
  bins = {0x7ffff7fa8ca0 <main_arena+96>, 0x7ffff7fa8ca0 <main_arena+96>,
    0x7ffff7fa8cb0 <main_arena+112>, 0x7ffff7fa8cb0 <main_arena+112>,
    0x7ffff7fa8cc0 <main_arena+128>, 0x7ffff7fa8cc0 <main_arena+128>,
    0x7ffff7fa8cd0 <main_arena+144>, 0x7ffff7fa8cd0 <main_arena+144>,
三. 我再尝试申请一个大小为0x10的fast chunk，alloc(0x10)，按照fast bin的特性，应该是返回刚刚释放的chunk2，但结果并不是这样的，而是从top chunk里分隔出一个新的chunk返回了。
此时的内存如下：
gdb-peda$ x/80wx 0x555555757260-0x10
0x555555757250: 0x00000000 0x00000000 0x00000021 0x00000000  <--- chunk 0 (fastbin, in use)
0x555555757260: 0x00000000 0x00000000 0x00000000 0x00000000
0x555555757270: 0x00000000 0x00000000 0x00000021 0x00000000  <--- chunk 1 (fastbin, free)
0x555555757280: 0x00000000 0x00000000 0x00000000 0x00000000
0x555555757290: 0x00000000 0x00000000 0x00000021 0x00000000  <--- chunk 2 (fastbin, free)
0x5555557572a0: 0x55757280 0x00005555 0x00000000 0x00000000
0x5555557572b0: 0x00000000 0x00000000 0x00000021 0x00000000  <--- chunk 3 (fastbin, in use)
0x5555557572c0: 0x00000000 0x00000000 0x00000000 0x00000000
0x5555557572d0: 0x00000000 0x00000000 0x00000091 0x00000000  <--- chunk 4 (smallbin, in use)
0x5555557572e0: 0x00000000 0x00000000 0x00000000 0x00000000
0x5555557572f0: 0x00000000 0x00000000 0x00000000 0x00000000
0x555555757300: 0x00000000 0x00000000 0x00000000 0x00000000
0x555555757310: 0x00000000 0x00000000 0x00000000 0x00000000
0x555555757320: 0x00000000 0x00000000 0x00000000 0x00000000
0x555555757330: 0x00000000 0x00000000 0x00000000 0x00000000
0x555555757340: 0x00000000 0x00000000 0x00000000 0x00000000
0x555555757350: 0x00000000 0x00000000 0x00000000 0x00000000
0x555555757360: 0x00000000 0x00000000 0x00000021 0x00000000  <--- chunk 5 (fastbin, in use)
0x555555757370: 0x00000000 0x00000000 0x00000000 0x00000000
0x555555757380: 0x00000000 0x00000000 0x00020c81 0x00000000
此时的main_arena如下：
gdb-peda$ x/20wx &main_arena
0x7ffff7fa8c40 <main_arena>: 0x00000000 0x00000000 0x00000000 0x00000000
0x7ffff7fa8c50 <main_arena+16>: 0x00000000 0x00000000 0x00000000 0x00000000
0x7ffff7fa8c60 <main_arena+32>: 0x00000000 0x00000000 0x00000000 0x00000000
0x7ffff7fa8c70 <main_arena+48>: 0x00000000 0x00000000 0x00000000 0x00000000
0x7ffff7fa8c80 <main_arena+64>: 0x00000000 0x00000000 0x00000000 0x00000000
gdb-peda$ p main_arena
$4 = {
  mutex = 0x0,
  flags = 0x0,
  have_fastchunks = 0x0,
  fastbinsY = {0x0, 0x0, 0x0, 0x0, 0x0, 0x0, 0x0, 0x0, 0x0, 0x0},
  top = 0x555555757380,
  last_remainder = 0x0,
  bins = {0x7ffff7fa8ca0 <main_arena+96>, 0x7ffff7fa8ca0 <main_arena+96>,
    0x7ffff7fa8cb0 <main_arena+112>, 0x7ffff7fa8cb0 <main_arena+112>,
    0x7ffff7fa8cc0 <main_arena+128>, 0x7ffff7fa8cc0 <main_arena+128>,
    0x7ffff7fa8cd0 <main_arena+144>, 0x7ffff7fa8cd0 <main_arena+144>,
    0x7ffff7fa8ce0 <main_arena+160>, 0x7ffff7fa8ce0 <main_arena+160>,
    0x7ffff7fa8cf0 <main_arena+176>, 0x7ffff7fa8cf0 <main_arena+176>,

整个过程中fast bin好像并没有生效，好奇怪，求指导~

最后于 2019-1-1 15:23 被liuxucau编辑，原因：错别字

2019-1-1 15:20

0