一道堆方向的pwn(堆溢出、堆拼接)

最新推荐文章于 2023-11-17 11:31:15 发布
VIP文章 最新推荐文章于 2023-11-17 11:31:15 发布
阅读量1.9k 收藏 4
点赞数 1
分类专栏: pwn 文章标签: 堆栈 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/f_day_/article/details/120820492
版权

一道堆方向的pwn(堆溢出、堆拼接)

这道题是17年0ctf的一道题,从里面还是能学到许多东西的
babyheap
这里我就直接记录我的做题过程

在此之前,查看保护信息,发现保护全开,emmmm

    Arch:     amd64-64-little
    RELRO:    Full RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      PIE enabled

代码分析

先来看看伪代码
main函数就不做介绍了
在这里插入图片描述
第一个函数,分配一块空间,存放结构体,这个结构体的结构待会再看
然后是第二个函数,就一个菜单
接着是第三个函数,输入自己的选项
紧接着的四个函数就分别对应菜单四个选项的函数依次认为是add、fill、free、show

  • add函数
    在这里插入图片描述

需要输入该结构体中content字段大小,函数根据大小开辟空间并返回堆地址,得到结构体

结构体大致为

struct
{
   
	flag;	//flag=0表示该结构体处于空闲,反之就是非空闲
	size; //content的大小
	*content; //字符串指针,它指向的是一个堆的地址
	//这三个字段都占8字节,flag字段需要八字节对齐,所以也占了8字节,这不用太在意
}
  • fill函数

如下
在这里插入图片描述

fill函数,首先输入需要写的编号,然后给出需要写的大小,最后输入字符串
这里没有对size的大小进行限制,因此存在堆溢出

  • Free函数
    在这里插入图片描述

该函数不仅仅对堆进行free操作,同时还将结构体也进行了初始化操作
将flag=0
size = 0
*content = NULL
那么传统的double free就行不通了,需要想起他办法

  • show函数

这个就不多说了

解题过程

我一开始想到的思路是利用double free来解题
但是,看到Free函数的构造后,发现行不通了
接着在fill函数,size没有大小限制,我就想,我先构造几个堆,然后释放一个较大的堆,让他进如unsorted bins中,然后在通过fill函数写第一个堆,同时将size设置到刚好覆盖到被释放的那个堆的开始,这样我打印第一个堆的内容就可以打印出main_arena+88的地址了

如下

add(0x10)
add(0x80)
add(0x10)
free(1)
fill(0, b'a' * 0x20)
show(0)
print(p.recvline())
print(p.recvline())

在这里插入图片描述

但是,show函数中,输出字符并不是遇到/00截断,它即便是/00也会输出,它是通过结构体中size字段进行判断的,使用在这里输入虽然存在溢出,但是输出却不会溢出,所以只输出了0x10个字符

那么只能想办法改掉结构体中size这个字段了
首先,size字段只能在指向add函数时进行,那么需要先释放掉这个结构体然后重新申请更大空间,并且这个空间包含了之后被释放进入unsorted bins的那个堆

大致过程如下(灰色表示处于free状态

最低0.47元/天 解锁文章
F_D。
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn学习】溢出(二)- First Fit
Morphy_Amo的博客
01-09 829
glibc管理中的First Fit机制
CTF PWN 武器库题
12-12
CTF PWN 武器库题或rifle题,利用fastbin溢出得shell,
pwn学习】溢出(一)
Morphy_Amo的博客
01-05 4270
pwn溢出的学习
CTF-PWN--【溢出相关概括基本流程及first-fit演示与】
llovewuzhengzi的博客
11-17 258
中写入的字节数超过本身可使用的字节数(可使用的字节数不一定等于申请的字节数,是因为管理器会对用户所申请的字节数进行调整,这也导致可利用的字节数都不小于用户申请的字节数),所以可能覆盖到相邻高地址的下一个块。chunkdata段地址对应的chunk与topchunk不相邻,相当于free(chunkdata段地址),malloc(size)相差容得下一个最小chunk,则切割chunk两部分,free掉chunkdata段地址对应的chunk的size-size的部分。一个三目运算符 a?
Pwn 溢出(first_fit篇)
qq_51700257的博客
03-27 335
Pwn how2heap(first_fit篇) 我们先看看first_fit滴代码嗷 我们尝试运行该程序qwq,会出现神奇的情况 哎嘿,我们会发现第三个和第一个的地址一毛一样,这是为什么呢? 这段代码实际上展示的是分配的策略 在分配内存时,malloc会先到fastbin(或者unsorted bin)中查找合适大小的已经被free的chunk,如果没有,就会把unsorted bin中的所有chunk分配到所属于的bins中,然后再去这些bins中寻找合适的chunk。当你使用malloc分配
PWN简单利用堆栈溢出漏洞
weixin_43891422的博客
07-16 1119
PWN简单利用堆栈溢出漏洞PWN简单利用堆栈溢出漏洞0x01 栈的介绍栈是什么栈的特点栈中如何存储数据0x02 函数调用栈寄存器分配0x03 栈帧结构例题:堆栈溢出漏洞利用0x01.运行程序、查看文件类型 和 保护措施0x02.反汇编分析0x03.调试分析payload0x04.payload生成脚本0x05.总结 PWN简单利用堆栈溢出漏洞 0x01 栈的介绍 栈是什么 栈都是一种数据项按序排列的数据结构。 栈的特点 先入先出,先后放入栈中的数据要先取出来。 栈的地址从高处向低处增长,且栈是一块连续区
pwn1 一道pwn练习题
05-07
pwn练习题
一道pwn入门的练习题
10-23
直接以一个非常简单的栈溢出例子(基于Linux)来讲解pwn所要用到的一些常用的工具及命令的用例
pwn溢出10道练习题有writeup
01-04
pwn溢出练习题目,每题都有writeup.
pwn学习总结(八)—— (持续更新)
01-07
pwn学习总结(八)—— (持续更新)前言chunk使用中(分配后)空闲中(释放后)块大小空间复用binsfastbin利用思路unsorted binsmall bin 前言 学习自《glibc内存管理ptmalloc源代码分析》庄明强 著 部分资料...
Linux pwn入门教程(1)——栈溢出基础-0x01.rar
06-10
Linux pwn入门教程(1)——栈溢出基础
pwn ubuntu18的运行环境自己搭建
11-15
pwn ubuntu18的运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
PWN.rar_PWN
09-24
本代码是在Keil uVision3环境下使用c语言编写的。功能是使用片内pgaPWN输出占空比可变的方波。
2024NKCTF-pwn
最新发布
03-25
2024NKCTF_pwn
安恒ctf pwn课件
10-06
安恒培训资料 栈溢出指的是程序向栈中某个局部变量中写入的字节数超过了这个变量本身所申 请的字节数,因而导致与其相邻的栈中的变量的值被改变。 Ø 程序能够向栈上写入数据。 Ø 写入的数据大小没有被良好地控制。...
PWN基础之函数调用栈和栈溢出
weixin_46132162的博客
12-28 1324
在函数调用结束时,栈顶的函数(callee)状态被弹出,栈顶恢复到调用函数(caller)的状态函数调用栈在内存中从高地址向低地址生长,所以栈顶对应的内存地址在压栈时变小,退栈时变大。接下来vulnerable_function()函数会调用read()函数,这个时候vulnerable_function()函数为主调函数(caller function)read()函数为被调函数(callee function)read()函数 是有参数的,我们来看一看有参数的函数在函数调用栈是什么样的。
pwn-溢出off-by-one
CharlesGodX的博客
04-17 1787
Thunder_J@Thunder_J-virtual-machine:~/桌面$ python exp.py [+] Starting local process './Storm_note': pid 16030 [*] '/home/Thunder_J/\xe6\xa1\x8c\xe9\x9d\xa2/Storm_note' Arch: amd64-64-little ...
pwn学习总结(五) —— 溢出经典题型整理
qq_41988448的博客
12-29 1815
pwn学习总结(九) —— 经典题目整理三(持续更新)fastbin + 栈溢出fastbin + 函数构造 fastbin + 栈溢出 题目:fastbin 环境:ubuntu 16.04 下载地址:https://pan.baidu.com/s/1R6-BVR91Io_ZVPDDpBcCkA 提取码:r7e5 查看程序防护: 使用ida进行反编译: 已知条件: 可以得到mai...
PWN学习整理栈溢出利用(含举例)
九层台
02-20 2281
文章将整理从入门栈溢出house系列的梳理。 0x01栈知识 call 将当前的IP或者CS和IP压入栈中。 转移 汇编:call xxx push IP jmp xxx ret 将程序的返回地址弹出到ip寄存器中 程序继续执行 汇编: pop IP 有call就要有传参,32位系统用栈来传参参数是倒着传进去也就是最后的参数先push 64位系统用寄存器来传参前三个参数是...
pwn unlink
08-27
pwn是指通过利用软件或系统的漏洞来获取对计算机系统的控制权。而"unlink"是一种特定的攻击技术,用于利用溢出漏洞来篡改数据结构中的指针,从而绕过保护机制实现任意内存写入或代码执行。 具体来说,在一些使用了分配的程序中,如果程序中存在溢出漏洞,攻击者可以通过溢出数据来修改内存中的指针,从而达到任意内存写入或代码执行的目的。而unlink就是其中一种方法,它利用块的数据结构来绕过某些保护机制,实现对任意地址的任意写入。 需要注意的是,pwn和相关攻击技术都是非法行为,违反了计算机系统的安全规范和法律法规。我们强烈建议遵守合法合规的原则,不要从事任何非法活动。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值