pwn --堆

于 2024-04-12 13:18:26 发布
阅读量367 收藏 5
点赞数 20
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a13837377363/article/details/137676831
版权

一,版本与限制

        libc 2.26开始引入tcache,不过对tcache的doublefree与伪造没有任何限制,可以很轻松拿到信息。libc 2.29开始引入 tcache的doublefree检测,检查 bin->bk 指针是否是tcache_struct,可以通过堆溢出或uaf绕过。

        ubuntu16默认用的是libc 2.23,没有tcachebin;ubuntu18是2.27,有tcachebin,但没有任何检测,更加轻松;ubuntu20用的是2.31。

二,小技巧

        平时可能要用unsortedbin attack泄露基址,可以相同的堆分配7个,或直接请求一个0x410的堆块,正好超出tcachebin的限制。

三,tcache

        如果版本有tcache,可以发现初始heap区域已经有了一个0x250的堆块,这是用来存储tcache_perthread_struct的。

这是ctfwiki上的图片,通过观察与总结。counts有64个元素,分别对应 0x20,0x30,0x30......0x410堆块的数量,注意这个大小是包括头部(pre_size,size),所以请求0x410,大小就是0x420,正好超出了tcachebin的大小范围,每个元素占一字节,总共就是0x40。entries是每个tcachebin链表的头部,地址,所以每个大小是0x8,64个就是0x200。

        0x200+0x40+0x10(pre_size,size)=0x250,正好填满堆块。

值得注意的是,由于内存页的存在,heap起始地址的末尾永远是 000 ,有时候可以进行利用。

奇怪的轩轩
关注
  • 20
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
pwn-notes:我在pwn上的笔记
03-05
二进制利用说明欢迎来到我关于二进制漏洞利用的笔记。 在这里,我会记下我学到的大多数内容,并提供易... 提到了大多数“通用”栈技术以及一些超级介绍性的。 很快就会有更多:trade_mark:。感谢GitBook的所有支持:)
libc.2.29漏洞利用及原理
starssgo的博客
03-24 1476
博客地址 还是在csdn里访问方便点。 tcache poisoning 原理 在libc2.27中,由于对tcache缺少充分的检查,导致double frees横行,在libc2.29中对tcache添加了一些东西。 malloc.c->2904行 typedef struct tcache_entry { struct tcache_entry *next; /* This f...
【glibc2.29】新增保护机制
weixin_43960998的博客
02-17 523
新增防护机制 1、free 1.1、tcache 通过注释可以看到新增的 key 是为了检测 double free 的。 e->key=tcache,这个 tcache 就是: 也就是 tcache_perthread_struct 的地址,在调试中也就是这里: 即: 循环遍历 tcache 链表上所有的 chunk 进行对比,所以 tcache 的 double free 挂了。但是由于 tcache 的特性,他的利用还是要比其他 bins 方便很多。 绕过方式:根据上图,只有当key和t
glibc2.29溢出tcache的利用方式及原理
Hello World.c
03-06 8069
ibc2.29 溢出tcache的利用方式及原理 Dancing With Heap 与共舞 二进制学习之旅 参考资料: ctf-pwn https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/tcache_attack/#tcache-poisoning glibc wiki https://sourceware.org/glib...
pwn-入门
yajuanpi4899的博客
12-19 863
pwn入门
ctf-pwn--调试
xy_369的博客
05-20 368
写这篇文章的目的是更好地去理解,不要只停留在理论知识阶段注:读这篇文章需要一定基础,不然读起来很费劲或读不懂,要是有ctf-pwn手的基本基础,只是缺乏这一块的知识,可以先把这篇文章读完,大致了解哪些地方写了哪些知识点,同时结合一些相关的链接去快速掌握在计算机内存中的运作方式。
ctf-pwn-—unsorted bin attack
xy_369的博客
05-23 203
上面只需要知道unsorted bin实现了将栈上的一个变量值变为了main_arena结构体中的一个地址,这句话仅出于个人理解,从参考链接2里得到的理解。1、个人翻译过后的代码(翻译自参考链接2)3、删除部分打印函数的代码。
2022强网拟态pwn-only
z1r0的博客
11-23 380
所以攻击思路大致是这样的,任意地址申请到tcache管理这里,打出290的key为7,这样再释放之后290这里会进入unsortedbin中,打刚刚释放的这个地方到stdout那里去泄露出libc。这里需要爆破,泄露出libc之后继续利用unsortedbin的分割来打hook到tcache里,接着申请出来,打hook为magic_gadget。这里的magic_gadget就是2.31下的orw的magic_gadget。这里需要注意的是seccomp上的沙箱,所以上会有残留的bins。
[CTF]PWN----UAF漏洞
2301_79880752的博客
03-08 825
UAF即Use After Free简单的说,Use After Free 就是其字面所表达的意思,当一个内存块被释放之后再次被使用。但是其实这里有以下几种情况。。而我们一般所指的漏洞主要是后两种。此外,
星盟-pwn-babyheap
qq_65147345的博客
08-01 186
1. 重叠获取libc_base地址 2. 使用unsorted attack更改global_max_fast,使chunk进入fastbin 3. 使用fastbin attack更改malloc_hook为one_gadget
useful-pwn-writeups:指向pwn挑战的有用文章的链接的回购
04-29
有用的pwn-writeups 指向pwn挑战的有用文章的链接的回购ROP 获取没有输出的标志 ret2dlresolve 双重免费+ FD重写 fastbin dup,舞台上的顶级Chunk Ptr覆盖面向文件流的编程橙屋Linux内核 copy_to_user copy_from_...
PWN入门之数组越界-附件资源
03-05
PWN入门之数组越界-附件资源
安恒ctf pwn课件
10-06
安恒培训资料 栈溢出指的是程序向栈中某个局部变量中写入的字节数超过了这个变量本身所申 请的字节数,因而导致与其相邻的栈中的变量的值被改变。 Ø 程序能够向栈上写入数据。 Ø 写入的数据大小没有被良好地控制。...
CTF PWN 武器库题
12-12
CTF PWN 武器库题或rifle题,利用fastbin溢出得shell,
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8208
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
node-v6.9.4-linux-s390x.tar.xz
05-09
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
node-v6.15.0-linux-arm64.tar.xz
最新发布
05-09
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
1694jsp宿舍管理系统Myeclipse开发mysql数据库web结构java编程计算机网页项目源码
05-09
一、源码特点 JSP 宿舍管理系统 是一套完善的web设计系统,对理解JSP java编程开发语言有帮助,系统具有完整的源代码和数据库,系统采用web模式,系统主要采用B/S模式开发。开发环境为 TOMCAT7.0,Myeclipse8.5开发,数据库为Mysql,使用java语言开发。 二、功能介绍 如博客中介绍, 三、注意事项 1、管理员账号:admin 密码:admin 数据库配置文件DBO.java ,权限包括管理员,学生 2、开发环境为TOMCAT7.0,Myeclipse8.5开发,数据库为Mysql,使用java语言开发。 3、数据库文件名是jspsushe 系统名称sushe 4、地址:http://127.0.0.1:8080/sushe/login.jsp 不包含人工服务,如果需要调试,联系作者购买
unlink pwn
08-25
- *1* *2* [【pwn学习】溢出(三)- Unlink和UAF](https://blog.csdn.net/Morphy_Amo/article/details/122631424)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值