house of orange in glibc 2.24

Posted on Jul 1, 2018 | Edited on Jun 27, 2018 | In ctf |

house of orang 基本原理：

覆盖unsorted bin空闲块，修改其大小为0x61(small bin [4])，修改bk指向 _IO_list_all-0x10，同时布置fake file struct，然后分配堆块，触发unsorted bin attack 修改 _IO_list_all，将修改过的unsorted bin 放入 small bin 4中，继续遍历unsorted bin会触发异常，调用 malloc_printerr，该函数调用栈如下：

malloc_printerr
   _libc_message(error msg)
       abort
           _IO_flush_all_lockp -> JUMP_FILE(_IO_OVERFLOW)

如果能够伪造 _IO_OVERFLOW 函数，便可以get shell。

在调用_IO_OVERFLOW 之前，会做一些检查

0841       if (((fp->_mode <= 0 && fp->_IO_write_ptr > fp->_IO_write_base)
0842 #if defined _LIBC || defined _GLIBCPP_USE_WCHAR_T
0843        || (_IO_vtable_offset (fp) == 0
0844            && fp->_mode > 0 && (fp->_wide_data->_IO_write_ptr
0845                     > fp->_wide_data->_IO_write_base))
0846 #endif
0847        )
0848       && _IO_OVERFLOW (fp, EOF) == EOF)

红帽杯2018部分writeup

Posted on May 11, 2018 | Edited on May 12, 2018 | In ctf |

熬了一天，感觉pwn和re的水平退步不少。

PWN

这次比赛中的pwn的题目难度一般，3个pwn分别涉及到

栈溢出 ——game server
null byte offset-by-one —— shellcode manager
格式化串漏洞 —— Starcraft RPG

中间在漏洞利用过程中也踩到了一些坑（可能是长期没打没有手感，有时间会整理一下）。

heap exploit tips

Posted on Apr 24, 2018 | Edited on Dec 4, 2018 | In ctf

1. common tips:

environ指向的地址 -30*size 为 main函数的返回地址的栈地址
申请分配large chunk时，会进行 malloc_consolidate，清空fastbins表，进行合并
scanf, printf当输入、输出过长时，会调用malloc、free
addr(main_arena)-0x10 = addr(__malloc_hook)
unsorted bin泄露libc
- 64bit: libc_addr = leak_addr - 0x68 - libc.sym['__malloc_hook']
- 32bit: libc_addr = leak_addr - 0x48 - libc.sym['__malloc_hook']
  
  Read more »

Exim off-by-one 漏洞利用

Posted on Apr 9, 2018 | Edited on May 12, 2018 | In exploit |

2018年2月，流行的邮件服务器Exim曝出了堆溢出漏洞（CVE-2018-6789），几乎影响了之前的所有版本。该漏洞的发现者——台湾安全研究员Meh在博客上提供了利用该漏洞进行远程代码执行的思路，在推特中也表明了最终绕过各种缓解措施成功达成远程代码执行。

基于Meh的思路在特定环境下复现了漏洞利用的过程，最终达成远程命令执行，相关的漏洞环境和验证代码（https://github.com/skysider/VulnPOC/tree/master/CVE-2018-6789）已公开。

windbg常用命令

Posted on Jul 29, 2017 | Edited on May 12, 2018 | In 逆向

命令介绍

windbg支持三种类型的命令，标准命令、元命令和扩展命令。标准命令提供最基本的调试功能，不区分大小写，如k，g，dt，bp等元命令提供标准命令没有提供的功能，也内建在调试引擎中，以 “.“ 开头，如.sympath, .reload等扩展命令用于扩展某一方面的调试功能，实现在动态加载的扩展模块中，以 ! 开头，如 !analyze等（需要将第三方dll文件放到winext目录，使用时先用.load xxx.dll加载，然后使用!xxx使用扩展模块功能）。