pwn中利用off by null的一个思路,构造假chunk的难以触及pre_size咋整

最新推荐文章于 2023-07-23 17:19:18 发布
最新推荐文章于 2023-07-23 17:19:18 发布
阅读量860 收藏 1
点赞数 2
文章标签: 链表 数据结构 pwn 堆漏洞利用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fzucaicai/article/details/130928342
版权

题目分享 children_tcache

链接:https://pan.baidu.com/s/1jARmxmGaoN_VADlb6m0D8A?pwd=ra0l 
提取码:ra0l

参考博客:

tcache在pwn题中常见的利用姿势 - 先知社区 (aliyun.com)

开始: 

这道题的具体写法我就不说了,主要是讲讲我这个新手从这道题里学到了什么。

首先一个off by null,通常咱都可以做到堆重叠,然后配合题目的输出函数打出比如像main_arena的地址之类的东西。这种思路就是去创建大于0x408大小的堆块,然后free掉,这样在bins里这个unsourtedbin就会指向main_arena固定偏移处,然后我们要想办法利用程序自带的输出函数把这个地址给打出来。这个一般就是常见的use after free,但是这种漏洞算是比较初级的了。

但是如果这个程序比较精明,把指针的free掉的时候清空了,这就需要好好利用这个off by null了,也就是利用这个off by null,去借助假的堆块把东西东西打出来,有时甚至能够double free(在2.27的glibc中直接double free的方法似乎已经不多见了,现在检查都很严格)。

那咋办呢?如何进行堆重叠实现这个呢?
tcache在pwn题中常见的利用姿势 - 先知社区 (aliyun.com)这个文章只讲了利用的手法,但是没有讲原理,接下来我就默认你看过文章了。

它的文章的这一步也许你会很好奇,为什么我中间要夹一个小堆块呢???

这是由于构造假chunk的时候,如果学过unlink这个攻击手法你应该会留意到

/* Take a chunk off a bin list. */
static void
unlink_chunk (mstate av, mchunkptr p)
{
//检查chunk的size和next_chunk的prev_size是否一致
if (chunksize (p) != prev_size (next_chunk (p)))
malloc_printerr (“corrupted size vs. prev_size”);
mchunkptr fd = p->fd;
mchunkptr bk = p->bk;
//检查fd和bk(双向链表完整性)
if (__builtin_expect (fd->bk != p || bk->fd != p, 0))
malloc_printerr (“corrupted double-linked list”);
fd->bk = bk;
bk->fd = fd;
if (!in_smallbin_range (chunksize_nomask (p)) && p->fd_nextsize != NULL)
{
//检查largebin中next_size双向链表的完整性
if (p->fd_nextsize->bk_nextsize != p
|| p->bk_nextsize->fd_nextsize != p)
malloc_printerr (“corrupted double-linked list (not small)”);
if (fd->fd_nextsize == NULL)
{
if (p->fd_nextsize == p)
fd->fd_nextsize = fd->bk_nextsize = fd;
else
{
fd->fd_nextsize = p->fd_nextsize;
fd->bk_nextsize = p->bk_nextsize;
p->fd_nextsize->bk_nextsize = fd;
p->bk_nextsize->fd_nextsize = fd;
}
}
else
{
p->fd_nextsize->bk_nextsize = p->bk_nextsize;
p->bk_nextsize->fd_nextsize = p->fd_nextsize;
}
}


}

 以上是unlink的源码,可以注意到,进行unlink操作的时候,构造假的fd,bk指针还不够呢,它还要去检查chunk的size和next_chunk的prev_size是否一致

if (chunksize (p) != prev_size (next_chunk (p)))
malloc_printerr (“corrupted size vs. prev_size”);
mchunkptr fd = p->fd;
mchunkptr bk = p->bk;

但是很多程序其实我们控制不了chunk的pre_size的大小,比如像这题有个 /x00的截断,让我们不好去控制next chunk的pre_size位,那咋办?

解决方法就是去中间加一个小堆块。因为fastbin和tcahche的next_chunk貌似都没有pre_size位,这里我们做一个实验看看
下面是用2.27版本,去实践一个tcache是不是像我们所说的那样。

#include <stdio.h>
#include <stdlib.h>

int main()
{
	char* ptr1=malloc(0x500);
	char* ptr2=malloc(0x20);
	char* ptr3=malloc(0x500);
	free(ptr1);
	free(ptr2);
	return 0;
}

ptr3指向的堆块是为了怕unsortedbin被topchunk合并。
我们执行到把两个指针都释放掉。

 可以看到我们的实验是正确的,tecache并没有在next_chunk有属于自己的pre_size位,这一点可以作为被/x00截断无法构造假的pre_size的一个新思路。

再看看fastbin是如何的(暴力点填满tcache就是fastbin了)

#include <stdio.h>
#include <stdlib.h>

int main()
{
	char* ptr1=malloc(0x500);
	char* ptr2=malloc(0x70);
	char* ptr3=malloc(0x70);
	char* ptr4=malloc(0x70);
	char* ptr5=malloc(0x70);
	char* ptr6=malloc(0x70);
	char* ptr7=malloc(0x70);
	char* ptr8=malloc(0x70);
	char* ptr9=malloc(0x70);
	

	char* ptr10=malloc(0x500);
	free(ptr1);
	free(ptr2);
	free(ptr3);
	free(ptr4);
	free(ptr5);
	free(ptr6);
	free(ptr7);
	free(ptr8);
	free(ptr9);
	
	return 0;
}

 可以看到依然如此,因此fastbin和tcache在这一点上都有相同的性质。

ok,希望今天这个有对大家的学习有一点帮助。

 

 

 

 

 

cccsl_
关注
glibc2.29+的off by null利用
l512689096的博客
10-21 1873
本文首发自跳跳糖(http://tttang.com/archive/1614/)本文介绍了off by null的爆破法和直接法两类做法,并基于已有的高版本off by null利用技巧做了一点改进,提出一种无特殊限制条件的直接法,更具有普适性。
一道题彻底理解 Pwn Heap Unlink
Ms08067安全实验室
12-20 871
基本原理unlink是一个宏操作,用于将某一个空闲 chunk 从其所处的双向链表脱链,我们来利用unlink 所造成的漏洞时,其实就是对进行 unlink chunk 进行内存布局,...
off by null 小结
qq_43409582的博客
11-20 3380
off by null 的一点心得 0x00 最近的一个比赛里有道off by null的题目,比较简单,这里写一下这题的wp和off by null的一些利用。 0x01 前置知识 off by null 本质上就是由于长度的检查不严谨导致了一个空字节的溢出造成的,通常我们会用它来构造Heap Overlap或是用来触发unlink。 这些的前提是对于块的合并有所了解。 向前合并与向后合并 先说向前合并,这里就不贴源码了。 通俗的说向前合并就是当一个chunk被free时去检查其物理相邻后一个chunk
高版本libc下的off by null
weixin_45209963的博客
09-08 1872
新版额外检查这个chunk size与被free掉的chunk的prev size是否相等,chunk overlap必须要伪造后者,而前者不可控,故一般打法失效。,通过大循环将这三个chunk全部放入同一个large bins。此时由于large bins机制,间大小的chunk的。均相同,分别指向比自己小/大的chunk,将该chunk取下,同时伪造好。),残留指针为头节点libc指针,此时需要申请到该chunk,再申请一个。的size,再将该chunk的bk取下并写其fd为该chunk(伪造。
【技术分享】实例剖析off_by_null漏洞
最新发布
Innocence_0的博客
07-23 219
此时我们若在此处便写入shellcode,待后续我们劫持free_hook时,就可以无需写入libc的system地址,而是直接填写shellcode的地址即可。(2)编辑刚刚所申请的0x30的chunk,将main_arena+88改为free_hook的地址,注意此处需要爆破半个字节。(5)控制tcache链上的fd指针,把main_arena+88的地址修改为free_hook的地址后,将其申请出来。chunk的大小是0x90,我就在此处申请一个0x30的chunk,以便对这片内存进行操作。
pwn_debug:旨在帮助快速构建对CTF Pwn游戏的利用
05-14
pwn_debug pwn_debug-基于pwntools的ctf pwns的辅助调试工具 建议您在获得“用法和安装”的完整说明。 这只是一个简单的描述。 入门 安装pwn_debug git clone https://github.com/ray-cp/pwn_debug.git cd pwn_...
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
【标题】"PWN.rar" 是一个包含与 AVR 单片机、PWM 脉冲输出、GPS 和 FPGA 相关资源的压缩包。其,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出...
pwn】学pwn日记(结构学习)(随缘更新)
woodwhale的博客
08-20 4744
pwn】学pwn日记(结构学习) 1、什么是是下图绿色的部分,而它上面的橙色部分则是管理器 我们都知道栈的从高内存向低内存扩展的,而是相反的,它是由低内存向高内存扩展的 管理器的作用,充当一个间人的作用。管理从操作系统申请来的物理内存,如果有用户需要,就提供给他。 2、了解管理器 注意:linux使用glibc 这里有两种申请内存的系统调用: brk mmap 第一种brk,是将heap下方的data段(bss属于data段),向上扩展申请的内存。 第二种mmap,其实下
透过bookwriter学习top chunk和_IO_FILE利用
极目楚天舒的博客
04-23 1084
前一段时间研究了著名的house_of_orange,于是趁热打铁赶紧做了一道类似的题目bookwriter以巩固姿势。0x01题目分析程序行为:输入作者名字、添加、查看书页内容、编辑、查看信息。Add函数如下,作用是为每个page分配内存并将地址存放在全局数组heap_address,同时全局数组size存放了对应page的大小,size控制着每次edit输入内容的大小,因此要成功溢出必须覆盖...
tcache-off-by-null-LCTF2018_easy_heap
csdn546229768的博客
02-09 573
保护 分析 main: malloc: free: puts: 这题的保护措施做的很好,常见的free函数也没问题,但是这题有个off-by-null的漏洞,因为这题的限制条件较多所以考虑用重叠(overlapping heap chunk),然后就可以进行对重叠的chunk进行double free写入one_gadget到free_hook进行getshell 因为这题写入content时限制了\x00字符,那么在写入字节流时就会断掉写入 首先构造unsortbin进行合并的prev_siz
2021年“绿城杯”网络安全大赛-PWN-null
qq_43264813的博客
09-30 299
2021年“绿城杯”网络安全大赛-PWN-null 题目名称:null 题目内容:off by… 题目分值:100.0 题目难度:容易 相关附件:null的附件13.txt 解题思路: 1.检查保护 2.函数分析 题目给了四个重要函数,add,delete,edit,show add() delete() edit() show() 3.思路 发现有off by one漏洞,那我们利用off bye one + size错位 exp from pwn import * binary = "./nu
学习打卡2:off-by-null
一点涵的博客
09-08 850
督促自己:2020-9-8 学习笔记: 《逆向工程权威指南上》12: 指令集架构:x86指令集架构(ISA),opcode长度不同;ARM指令集架构(精简指令集RISC),opcode相同,机器码都封装在4个字节里面(ARM模式),或封装在2个字节里面(Thumb模式) x/86: 函数返回值在eax 使用“栈”结构存储上述返回地址 ARM: 使用LR寄存器存储函数结束的返回地址 BX LR 指令的作用就是跳转到返回地址 MIPS: 寄存器命名方式有两种:数字命名($0 ~ 31)和伪名称命名(
[入门off-by-null]asis2016_b00ks
Nashi_Ko的博客
12-02 1357
[BUUCTF] asis2016_b00ks 入门off-by-null 刚开始学pwn就听说,的题目很魔幻,需要大量的基础知识。在漫长地啃基础原理以后,这是我第一次自己研究学习并且完全明白原理的题。特地在此做笔记记录。 0x00 逆向分析 一进来就很容易发现,这也是最为常见的菜单题目。 简单分析一下,打开程序,最先产生交互的函数是sub_B6D。 调用了sub_9F5函数,是作者自己写的read函数,再进去看看。 注意这里的判定:先++buf,然后判断是否达到了最大长度(32字符),
Unlink学习笔记(off-by-one null byte漏洞利用
TaiJi1985的专栏
08-27 2707
看了很多malloc unlink 的案例,仍然是云里雾里, 找了一个案例,反复调了几十遍才弄明白其原理。 off-by-one 漏洞 以及漏洞利用原理 off-by-one漏洞就是malloc 本来分配了0xf8的内存,结果可以写0xf9字节的数据,多写了一个,影响了下一个内存块的头部信息, 进而造成了被利用的可能。 unlink是双链表删除一个节点的操作。 当前是p 前一个...
Linux下漏洞利用(off-by-one)
nibiru_holmes的博客
03-14 8627
一个字节溢出被称为off-by-one,曾经的一段时间里,off-by-one被认为是不可以利用的,但是后来研究发现在上哪怕只有一个字节的溢出也会导致任意代码的执行。同时的off-by-one利用也出现在国内外的各类CTF竞赛,但是在网络上还不能找到一篇系统的介绍off-by-one利用的教程。在这篇文章我列出了5种常见的上的off-by-one攻击方式,并且给出了测试DEMO,测试的
【八芒星计划】 OFF BY NULL
carol2358的博客
08-31 959
八芒星计划是我为了加深自己对于pwn各种题型的理解发起的,我会将平时遇到的题型相似的题目放在同一篇文章里,方便自己和他人查阅,同时也可能会录制相关的视频,来加深自己的映像,并且把知识点更细致地讲述给大家。 这一篇全部记录off by null 文章目录2019-BALSN-CTF-plaintext 2019-BALSN-CTF-plaintext 【2.29的off by null,借助large bin的会留下指向自己的指针的特性,来伪造fake chunk,达成off by null】 本题进行
buuoj Pwn writeup 146-150
yongbaoii的博客
05-28 236
146 SWPUCTF_2019_login 147 qctf2018_stack2 148 lctf2016_pwn200 149 sctf_2019_easy_heap 150 ciscn_2019_s_1
攻防世界PWN之Babyheap(null off by one)题解
seaaseesa的博客
11-20 2158
Babyheap(null off by one) 本题用到的知识 malloc_hook、realloc_hook、fastbin attack、unsorted bin合并 首先,检查一下程序的保护机制,保护全开 然后用IDA分析,发现在创建并读入数据时,有一个null off by one漏洞 我们所能利用的也就是这个漏洞 第一步仍然是想办法泄露一些关键地址 由于可以溢...
off-by-one(大小差一)错误介绍
流浪天空
03-09 8077
详细了解请移步这里 off-by-one,大小差一错误是一类常见的程序设计错误。这方面有一个经典的例子OpenSSH.去Google搜索关键词“OpenSSH off-by-one”可以了解相关状况。具体来说, 1. if(id channels_alloc)... 2. if(id = channels_alloc)... 第二句应该是正确的写法。举个更通俗的例子: int a[5]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值