main_arena_offset 项目教程

于 2024-09-02 08:03:37 发布
阅读量332 收藏 10
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00190/article/details/141799708
版权

main_arena_offset 项目教程

main_arena_offsetA simple shell script to get main_arena offset of a given libc项目地址:https://gitcode.com/gh_mirrors/ma/main_arena_offset

1、项目介绍

main_arena_offset 是一个简单的 shell 脚本,用于获取给定 libc 安装的 main_arena 偏移量。这个工具在二进制漏洞利用(pwn)中非常有用,特别是在需要知道特定 libc 版本的 main_arena 偏移量时。

项目地址:https://github.com/bash-c/main_arena_offset

2、项目快速启动

安装

首先,克隆项目到本地:

git clone https://github.com/bash-c/main_arena_offset.git
cd main_arena_offset

使用

运行脚本并指定 libc 文件路径:

./main_arena_offset /path/to/your/libc.so.6

示例:

./main_arena_offset /lib/x86_64-linux-gnu/libc-2.27.so

输出示例:

[+] libc version : glibc 2.27
[+] build ID : BuildID[sha1]=8fd0a29758bf6615673836bb20ffdf11dcb531e6
[+] main_arena_offset : 0x3b4c40

3、应用案例和最佳实践

应用案例

在二进制漏洞利用(pwn)中,main_arena 偏移量是一个关键信息。例如,在堆溢出攻击中,攻击者需要知道 main_arena 的地址来构造有效的攻击 payload。

最佳实践

  1. 定期更新脚本:由于 libc 版本会不断更新,确保使用最新版本的脚本来获取准确的偏移量。
  2. 验证偏移量:在实际利用中,验证获取的偏移量是否正确,以确保攻击的有效性。

4、典型生态项目

LibcOffset

LibcOffset 是一个类似的工具,使用 Python 编写,用于查询各版本 libc 文件的 main_arena_offset

项目地址:https://github.com/Coldwave96/LibcOffset

使用示例

python LibcOffset.py /path/to/your/libc.so.6

输出示例:

[+] libc version : glibc 2.27
[+] main_arena_offset : 0x3b4c40

这两个工具可以相互补充,根据个人喜好和需求选择使用。

main_arena_offsetA simple shell script to get main_arena offset of a given libc项目地址:https://gitcode.com/gh_mirrors/ma/main_arena_offset

倪焰尤Quenna
关注
快速入门堆溢出技巧(OFF BY ONE)
wulanlin的博客
01-11 638
OFF BY ONE 所谓OFF BY ONE就是利用堆溢出一个字节到下一个堆块,使得目前堆块与下一堆块合并成一个堆块,此时堆块的大小就是我们溢出的那一字节 并且堆块的fd(前驱指针)以及bk(后继指针)都会指向 main_arena+88的地址这也是我们泄露出来的地址 利用gdb 输入libc查看基地址,main_arena+88-libc=offset UNSORTERBIN&FASTBINS 在堆块的bins中分为fastbins,largebins,smallbins还有今天要用
CTF泄漏libc基址的方法
liucc09的博客
01-05 4066
泄漏libc 重点: glibc 的后三位是固定的 main_arena泄漏法 main_arena存储在libc.so.6文件的.data段,通过这个偏移我们就可以获取libc的基址,使用IDA打开libc文件,然后搜索函数malloc_trim() [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-a8DgTYcd-1609837106507)(D:\04_笔记\images\main_arena.png)] [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接
浅析堆溢出的两种方式
m0_61948538的博客
05-19 1659
babyheap_0ctf_2017 第一步,改libc 例行checksec 进入代码审计 发现关闭了符号表 ,就需要用功能来猜函数了。 然后将主函数进行重命名。 Allocate函数: 没什么特别的 Fill函数 可以明显看出有一个堆溢出。 Clear函数 就是free掉堆并且清空指针。 发现没有system函数,所以想法是: 泄露libc 改got表 发现开了p...
PWN环境安装
feng的博客
01-12 1183
这里写目录标题一级目录二级目录三级目录linux换源pythonpwntoolschecksec和ROPgadgetgdbpwndbgonw_gadgetmain_arena_offsetIDA Promain_arena_offsetIDA Pro 一级目录 二级目录 三级目录 linux换源 vim /etc/apt/sources.list deb http://mirrors.aliyun.com/ubuntu/ xenial main deb-src http://mirrors.aliyun.c
DSCTF2022 fuzzerinstrospector-Wp
m0_46329041的博客
07-17 293
由于这题的libc版本是2.27的,存在tcache,题目限制了最多申请9个chunk,所以,申请9个并释放,填满tcache后,剩下的chunk由于大于fastbin的size,会进入unsortedbin,这样就可以通过该chunk的fd指针泄露出main_arena,从而计算得到libc,然后再计算出system的地址,并向chunk写入。BitMap是一种算法,在数据量特别大时,可以很好的缩减时间复杂度,通过在对应位置填上对应的值,来表明该位置代表的数字,是否存在。,并调用6号选项即可。......
2019 安恒周周练西湖论剑特别版 pwn 题目wp
abc380620175的博客
03-28 567
pwn1 考点:构造 shellcode,patch 汇编指令 IDA 查看反汇编,程序的逻辑很简单如,如果 直接 f5 的话 IDA 可能识别不出来函数,问题出在 0x080484CF 这个地方,call eax 指令识别不出来,所以这里可以先 patch 成 nop,之后 f5 就正常了。 程序把输入当成 shellcode 直接来执行,很显然是直接往栈上写 shellcode ...
堆中获取地址和劫持执行流的方法
九层台
09-02 2013
栗子https://github.com/tower111/software.git 0x01获取栈地址 详细writeup:https://tower111.github.io/2018/08/30/ISG-babynote/ 原理:在fast bin是单链在内存中保存,在fd位置处会写入next chunk的地址,这个地址可以用来获取heap_base。 栗子:babynote 需要...
【网络安全】一个堆题inndy_notepad的练习笔记
HBohan的博客
10-08 168
对于堆的恐惧来自堆复杂的管理机制(unsorted,fastbin,small,large bin看着都头大),相较于栈(压入弹出)来说复杂太多了,再加上使用GDB调试学习堆时,每次堆分配时,调试起来相当的麻烦,所以一直都是理论学习,堆不敢碰不敢尝试。 尝试了一下堆,熟悉了堆的分配机制。 题目分析 基本信息分析 查看文件类型,32位,没有去掉符号( not stripped,很开心,省去了猜函数的“乐趣”) file notepad notepad: ELF 32-bit LSB executable,
国赛 nofree
qq_41667316的博客
09-06 522
House Of Orange 这个并不是一个新的利用方式,而是将unsorted bin attack和_IO_FILE结合起来,主要是出现在没有free的堆溢出程序中,通过修改top chunk的size,然后申请一个大于该size的chunk,让top chunk可以进入unsorted bin。如果最终就可以修改_IO_list_all到main_arena+0x58,此时_IO_list_all中的*chain的位置就是main_arena + 0x58 + 0x68也就是smallbin的0x6
Glibc:浅谈 malloc_consolidate() 函数具体实现
热门推荐
加号减减号的博客
02-22 1万+
简介 源代码 分析 0x00 - 堆未初始化则初始化 0x01 - 堆已初始化则清空 fastbin 总结 简介 malloc_consolidate() 函数是定义在 malloc.c 中的一个函数,用于将 fastbin 中的空闲 chunk 合并整理到 unsorted_bin 中以及进行初始化堆的工作,在 malloc() 以及 free() 中均有可能调用 m...
确认main_arena相对libc的偏移地址
fa1c4的blog
08-26 2617
前言 打保护全开的堆题时碰到的问题, 大佬wp直接给exp, 但是奈何萌新很多细节不懂啊 现在记录一下寻找main_arena相对libc偏移的方法(又水一篇博客) 在0CTF 2017 babyheap这题中, 利用 fast chunk 和 small chunk 堆叠技术将main_arena的实际地址泄露出来, 另外通过这个相对偏移, 计算libc的加载基址, 完成libc泄露 过程 对照看下mallo.c的源码 方法一 逆向分析libc.so文件 拖进IDA 函数框搜索malloc_trim
isccpwn2[不能获取索引地址空间的堆溢出](main_arena结构,got表存放)
九层台
05-28 757
main_arena里面的内容 pwndbg> x /20xg 0x7fed08ed9af0 0x7fed08ed9af0 <_IO_wide_data_0+304>: 0x00007fed08ed8260 0x0000000000000000 0x7fed08ed9b00 <__memalign_hook>: 0x00007fed08b9ae20 0x00007fe...
sharif ctf pwn suctfdb writeup
charlie_heng的专栏
02-04 625
这两天打了一下sharif ctf,比赛平台居然在打着打着的时候被墙…… 这题一拿到的时候真的一脸懵逼,python??? so??? 后面静下心来,仔细看了下,发现漏洞多得不得了。。。。 其实主要内存操作都在so里面,所以结合着python代码和so来看就可以了 因为这题可以任意写db的内容,所以可以实现,写任意地址,读任意地址,控制流劫持 虽然有这么多东西,但是利用起来还是有点麻烦的
Pwn环境配置(三)——ubuntu环境搭建(新)
Y_peak的博客
10-12 2624
Pwn环境配置(三)——ubuntu环境搭建(新) 前言 当初不知道怎么搭建好的ubuntu16.04的环境这次搭建有点问题,搭建了大半天pwntools还是不行。准备出一个新搭建教程。 本教程是针对ubuntu20.04的版本,下载链接ubuntu20.04官方链接放心使用。不过不知道后面官方链接这个是否会更新。更新了就自己找找吧。 开始搭建 0x1 安装gcc sudo apt install gcc 0x2 安装pip 这里安装的是python3的pip,毕竟python2早就已经停产了。 sudo
pwn第一天
不会CTF的博客
07-26 1066
PWN新手自用入门笔记1.pwn需要准备的工具pwntoolschecksecRopgadgetGDBone_gadgetLibcSearcher2. 1.pwn需要准备的工具 IDA PRO pwntools pwndbg checksec ROPgadget one_gadget LibcSearcher main_arena_offset pwntools 其实就是python3中的一个库,许多关于pwn的攻击都是基于这个库的利用, from pwn import * 是pwn手的第一行代码 pw
循环荷载三轴 pfc5.0 PFC5.0
最新发布
10-06
循环荷载三轴 pfc5.0 PFC5.0
KEIL底层__main函数深入解析
"深入KEIL底层之__main函数详解" __main函数是KEIL开发环境中一个非常重要的函数,它负责初始化程序运行环境,做一些底层工作。下面我们将深入探讨__main函数的作用、KEIL启动过程、__main函数的实现等方面的知识点...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

倪焰尤Quenna

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值