pwn题堆利用的一些姿势 -- exit_hook

最新推荐文章于 2022-12-25 11:43:08 发布
最新推荐文章于 2022-12-25 11:43:08 发布
阅读量2.2k 收藏 11
点赞数
分类专栏: ctf pwn 文章标签: ctf pwn 堆利用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A951860555/article/details/121581338
版权

exit_hook

pwn题堆利用的一些姿势 – free_hook
pwn题堆利用的一些姿势 – malloc_hook
pwn题堆利用的一些姿势 – IO_FILE
pwn题堆利用的一些姿势 – setcontext

概述

  在做堆题的时候,经常会遇到保护全开的情况,其中对利用者影响最大的是 PIE 保护和 Full RELRO ,NX 保护和栈保护对堆利用来说影响都不大,一般利用也不会往这方面靠。开了 PIE 保护的话代码段的地址会变,需要泄露代码段基地址才能利用存储在 bss 段上的堆指针;开了 Full RELRO 的话,则意味着我们无法修改 got 表,导致无法修改其它函数 got 表指向 system ,进一步获取到 shell 。因此也就有了我这一系列文章的目的,在 got 表无法被修改时,我们往往利用的就是下面的一些 hook + onegadget 来达到我们的目的。
  主要分为以下几个系列:malloc_hook --> free_hook --> IO_FILE --> setcontext --> exit_hook。

exit_hook 介绍

  首先我们来认识一下 exit_hook ,编写如下测试代码,然后再用对应的 libc 去编译。

#include <stdio.h>


int main() {
   

    printf("hello\n");
}

  编译命令如下,使用对应的 ld 和 libc 进行编译。这里注意一定要使用相应的 libc 和动态链接器进行编译调试,否则即使使用 patchelf 或者 python 修改加载的动态链接器和 libc 也无法获得正确的偏移。

$ gcc test.c -o test -Wl,--rpath=/usr/local/libc/ -Wl,--dynamic-linker=/usr/local/libc/ld-2.23.so

  这里我们使用的是 libc-2.23.so 版本,然后在 gdb 中进行调试。通过调试我们可以发现,所有程序即使没有明确调用 exit 函数,最后在__libc_start_main中也会主动调用 exit 函数,而 exit_hook 就是指的 exit 函数执行过程中的两个子函数调用。

exit
  在 exit 执行过程中,会调用两个函数,一个是__rtld_lock_lock_recursive,另一个是__rtld_lock_unlock_recursive,这两个函数在 libc-2.23.so 中的偏移如下截图所示。首先_rtld_g

最低0.47元/天 解锁文章
__lifanxin
关注
  • 0
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF资料-0x0002】PWN简易Linux利用入门教程by arttnba3
arttnba3的博客
02-25 2159
CTF资料-0x0002】简易Linux利用入门教程by arttnba3老生常谈,[GITHUB BLOG ADDR](https://archive.next.arttnba3.cn/2021/02/24/%E3%80%90CTF%E8%B5%84%E6%96%99-0x0002%E3%80%91%E7%AE%80%E6%98%93Linux%E5%A0%86%E5%88%A9%E7%94%A8%E5%85%A5%E9%97%A8%E6%95%99%E7%A8%8Bby%20arttnba3/),请
pwn题堆利用的一些姿势 -- IO_FILE
lifanxin的博客
05-11 5085
IO_FILE概述IO_FILE结构介绍利用IO_FILE进行leakFSOP总结 概述   这是pwn题堆利用系列的第三篇文章,本篇文章主要讲解一下IO_FILE结构在pwn题中的利用。一般来说,想到使用IO_FILE结构,是因为pwn题中没有可以用来leak的函数。 IO_FILE结构介绍   FILE 在 Linux 系统的标准 IO 库中是用于描述文件的结构,称为文件流。 FILE 结构在程序执行 fopen 等函数时会进行创建,并分配在中,然后以链表的形式串联起来,但系统一开始创建的三个文件st
[pwn]:Use After Free
Breeze的博客
09-06 8582
Use After Free:time_formatter writeup UAF漏洞就是Use After Free,再释放后继续使用,Use After Free会引发各种奇怪的现象,根据场景的不同并没有一种统一的利用方式。下面看题目:time_formatter 日常惯例,先查看安全策略: 开启了canary、NX、ASLR,然后查看一下程序逻辑: 很常见的菜单,下面查看一下各种功能:...
CISCN2021pwn pwny(数组越界,劫持exit_hook
m0_51251108的博客
10-03 1134
CISCN2021pwn pwny(数组越界,劫持exit_hook
pwn利用姿势收集仓(持续补充中,用到什么记录什么)
Assassin
04-17 575
文章目录一、malloc hook(一)初级利用(二)程序中有/bin/sh字符串的利用方法(三)更常见的情景,利用realloc函数调整栈结构(四)例题二、free hook 很好的参考资料: pwn题堆利用的一些姿势 – malloc_hook 一、malloc hook 使用malloc hook主要是应对保护全开的时候,因为got表无法劫持,所以使用malloc hoook + onegadget来实现 (一)初级利用 malloc_hook是在malloc函数调用前会执行的钩子函数。 在程序中,
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
CVE-2021-27246_Pwn2Own2020
03-03
Pwn2Own 2020东京版-TPlink漏洞利用 这是在Pwn2Own 2020 Tokyo期间用于开发TPlink Archer路由器的文件。 该漏洞的编号为CVE-2021-27246。 您可以在synacktiv网站上查看博客文章以了解详细信息。
PWM-OUT.rar_PWN_out
09-19
原子 的PWN 输出,寄存器程序,完全寄存器操作,可以直接打开。
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
Apache Struts CVE-2017-5638的漏洞利用 用法 测试单个URL。 python struts-pwn.py --url 'http://example.com/struts2-showcase/index.action' -c 'id' 测试网址列表。 python struts-pwn.py --list 'urls.txt' ...
安恒ctf pwn课件
10-06
安恒培训资料 栈溢出指的是程序向栈中某个局部变量中写入的字节数超过了这个变量本身所申 请的字节数,因而导致与其相邻的栈中的变量的值被改变。 Ø 程序能够向栈上写入数据。 Ø 写入的数据大小没有被良好地控制。 浙江金融系
exit_hook劫持
starssgo的博客
04-13 4662
更改exit()某一结构体,再调用exit()可以实现程序流程的劫持。 原理分析 首先查看exit()源代码,我的libc=2.27 调用__run_exit_handlers函数,查看源代码, exit.c 77行。 while (cur->idx > 0) { struct exit_function *const f = &cur->fns[-...
exit hook】ciscn_2019_n_7
huzai9527的博客
04-19 624
exit hook】ciscn_2019_n_7 1.ida分析 输入666获得puts地址,计算libc偏移 输入name的时候,可以输入16个字节,但是只有前8个字节可用,后面8个字节是content的指针 2.思路 通过puts计算libc的偏移 溢出到content指针,修改为exit_hook的地址 edit将exit_hook改为onegadget 3.exp from pwn import * p = remote('node3.buuoj.cn',28010)
PWN_glibc管理机制及内存结构(入门篇)
weixin_57140753的博客
12-25 358
CTF利用基础
ciscn_2019_n_7(exit_hook)、wdb_2018_1st_babyheap(fsop的例子)
weixin_46521144的博客
09-08 1180
ciscn_2019_n_7 劫持exit_hook 这道题考察比较单一,劫持exit_hook即可 在ida里面看到,首先会在本地寻找一个log.txt,否则直接段错误。因此现在本地创建一个log.txt。写不写内容都可以。 接下来是exit_hook的位置 exit_hook的位置 在libc-2.23中 exit_hook = libc_base+0x5f0040+3848 exit_hook = libc_base+0x5f0040+3856 在libc-2.27中 exit_hook = lib
Python添加程序退出钩子(Exit Hook
sailist的记录站
05-08 2044
简单的直接使用内置的atexit库 def foo(): print("exit") atexit.register(foo) 不过这种只能在退出的时候做一些操作,但不太好获取到退出时候的状态码和导致退出的异常之类,如果要使用的话,需要绑定sys的excepthookexit import atexit import sys import traceback class ExitHo...
[第六章 CTFPWN章]n1ker
yongbaoii的博客
04-18 558
BUUCTF PWN-题总结 2021-09-27
m0_56897090的博客
09-27 1962
文章目录整体分析-2021-09-27新角度TcacheUAFFile结构体HourseOfForceUnlink经验新角度ciscn_2019_final_5分析EXPTCACHEhitcon_2018_children_tcache分析EXPUAFwustctf2020_easyfast分析EXPACTF_2019_babyheap分析EXPgyctf_2020_some_thing_interesting分析EXPbjdctf_2020_YDSneedGrirlfrien分析EXPciscn_2019
ctf——pwn的基础知识
m0_64195960的博客
04-24 2288
1前言 一、笔者想说 笔者是一个不大聪明的pwn的新手,这是我根据《ctf权威竞赛指南》,b站课程,一些师傅的博客,ctfviki做的笔记,便于学习和复习 如果有错误的地方还请给位师傅指正 二、调试 下面所展示的gdb调试是根据一下调试的 注意: 1、调试记得执行到malloc后再去查看 2、记得编译 一、glibc概述 1)概述 是程序虚拟内存中由低地址向高地址增长的线性区域,出于效率和页对齐的考虑,通常会分配相当大的连续内存。程序再次申请时便会从这片内存中分配,直到空间
在iOS中hook exit
最新发布
05-05
在iOS中hook exit可以使用MSHookFunction函数来实现。MSHookFunction是Cydia Substrate中的一个函数,可以用来hook任何一个函数。 以下是一个简单的示例,演示如何hook exit函数: ``` #include <substrate.h> #include <dlfcn.h> typedef void (*exit_ptr)(int); static exit_ptr original_exit = NULL; void new_exit(int status) { // Do something before calling the original exit function printf("Hooked exit function\n"); // Call the original exit function original_exit(status); } MSInitialize { // Get the address of the original exit function original_exit = (exit_ptr)dlsym(RTLD_DEFAULT, "exit"); // Hook the exit function MSHookFunction((void*)original_exit, (void*)new_exit, (void**)&original_exit); } ``` 在这个示例中,我们定义了一个指向原始exit函数的指针,然后定义了一个新的exit函数,用于hook原始函数。在新的exit函数中,我们可以添加我们想要的代码,然后调用原始函数。最后,我们使用MSHookFunction函数来hook原始函数。 需要注意的是,使用MSHookFunction函数hook exit函数可能会导致应用程序崩溃,因为exit函数是一个非常重要的函数,如果不小心改变了它的行为,可能会导致应用程序无法正常退出。因此,建议在hook exit函数时要非常小心,并且只在必要的情况下使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值