How to exploit a heap Overflow

最新推荐文章于 2021-01-10 19:41:09 发布
最新推荐文章于 2021-01-10 19:41:09 发布
阅读量167 收藏 1
点赞数
分类专栏: LiveOverflow-binary hacking
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25899635/article/details/96910982
版权

究竟什么是堆?malloc()的作用是什么?
  你可能在编程的时候,经常需要使用到很多内存,这是你可能会使用到堆。使用malloc分配内存使用后,你需要把这些内存段释放掉,但是你可能并不知道程序是怎么获得内存空间或者释放掉内存的。
  在讨论malloc之前,让我们先来了解一下进程获得内存空间的方式。
  主要是通过mmap和brk两种方式,这些都是系统调用,这意味着我们直接请求了内核。mmap请求内核给我们一些新的虚拟地址空间,基本上请求的是一个新的内存段。除了mmap之外,还有brk,可以用来改变已使用内存段的大小。
  进程不关心这些内存是怎样实现的,如果进程有自己的内存段,那么将在什么地方存储它们?或者你没有足够的内存空间时,你将会看到一个SWAP文件。进程都不会在意这些东西的实现方式。而是通过内核和硬件进行处理,并且将该内存映射到进程中。进程不需要知道内核和硬件的处理过程,像空气一样,看不见摸不着。

使用strace ./heap1查看程序的系统调用情况,你将会看到进程是如何调用mmap去初始化内存区域的。
在这里插入图片描述
在最后,进程使用brk来设置堆空间。
  思考,我们为什么不直接使用"mmap"或"brk"为我们的进程获得更多的内存而还要使用malloc呢?为什么我们谈论堆的时候,会谈到malloc和free呢?
  malloc只是一个函数封装,用来隐藏brk或mmap的操作,让代码看起来更简洁并且使用更方便一点。如果堆不存在或太小,malloc将调用mmap或brk获得更多内存。但最重要的是它将帮助我们组织和管理内存。在我们看到的例子上,都是用很少的堆空间,并且我们不会看到任何额外的内存映射区域。
  
  为了简起见,我们把堆看作一大块固定的内存。并且在这段内存中我们可以为所欲为。所以当我们提到堆的时候,我们实际上指的是这块内存区域。

我们通过protostar中的heap1来探索一下堆,内存分配的情况。
heap1.c

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <sys/types.h>
#include <unistd.h>

struct internet{
	int priority;
	char *name;
};

void winner(){
	printf("and we have a winner @ %d\n", time(NULL));
}
int main(int argc, char **argv){
	struct internet *i1, *i2, *i3;
	 i1 = malloc(sizeof(struct internet));
	 i1->priority = 2;
	 i1->name = malloc(8);

	i2 = malloc(sizeof(struct internet));
	i2->proiority = 1;
	i2->name = malloc(8);

	strcpy(i1->name, argv[1]);
	strcpy(i2->name, argv[2]);

	printf("and that's a wrap folks!\n"); 
}

通过这个例子来看看malloc在实际环境中是如何运作的,先来看一些上面这段代码,目标函数似乎是winner(),我们需要重定向代码执行到这个函数。在最上面有一个结构体叫internet,里面有个int类型的成员变量叫priority,而第二个成员变量是一个char类型的而指针叫name, 这意味着name是一个指向某个位置的字符串指针。结构体就像类一样,至少提供一个结构和不同的成员属性。main()中定义了3个internet结构体类型的指针变量,但只有两个被使用,i1、i2.
  这里需要强调的是"internet"指针,因为这3个"internet"对象没有存储在堆栈上。只有地址,存储在i1,i2,i3几个指针中。总之,它将开始在堆上为这些对象分配内存空间。首先调用了malloc给i1分配足够的内存空间。sizeof()将返回该结构所需要的字节数。在这里这个字节数是8,因为int型所占的内存大小是4个字节,并且char指针是一个地址,同样是4字节,因为我们是在32位的机器上。我们知道malloc返回堆上的地址,我们现在可以使用它。i1指向内存中8字节的开始处。现在我们要将priority设置为1,这将把1写入到我们分配的第一个4字节空间。然后分配另外的8字节的内存空间,然后将这个内存空间的地址存储到名为name的char指针中。char指针的位置是在i1对象的偏移地址+4的位置。接下来的i2和前边一样。
  接下来是两个strcpy(),这里看起来有些问题,这里没有看到所要拷贝的字符串长度标识,我们写入的数据可能会超过已经拥有的空间的大小(溢出)。

堆溢出测试利用的简单步骤:

  • 利用GDB在malloc和strcpy调用的地方进行断点设置
  • 使用define hook-stop配置断点处要执行的动作,(这里显示堆空间的实际存储情况)
  • run “/bin/echo -ne "AAAABBBBCCCCDDDDEEEEFFFFF"” 00001111222233334444
  • 尝试运行测试堆空间存储情况
  • 寻找溢出点并寻求可能的利用途径,大概就是这样,描述比较俗
    在这里插入图片描述  可以看到一个意料中错误,第二个参数作为第一个参数最后指定地址的位置的输入,然后用puts全局偏移表的地址替换"FFFF",
    在这里插入图片描述
    这是一个段错误,0x30303030刚好是ascii的0000,当我们使用infor register时开一看到EIP地址指向了0x30303030,这意味着可以将代码重定向到我们想要的地方,这里,我们想要调用winner
    在这里插入图片描述
    and we have a winner @…
Mandorr
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Heap Overflow Exploits
04-09
Engineering Heap Overflow Exploits with JavaScript
BungeeExploit_Exploit_minecraft源码_
10-02
eploit for old bungee
how2exploit_binary:有关如何进行二进制利用的深入教程
02-06
how2exploit_binary:深入探讨。 创作者的笔记 问候,黑客,业余爱好者或计算机爱好者。 如果您一直在寻找开始学习二进制开发的地方,那么您很幸运。 本教程适用于任何有编码经验的人,最好是C或C ++,但是我刚开始时才知道Python。 由一个仅比“无能”更好的人写的书,我将解释我如何学习自己的技能。 这些教程将花费很多时间,但希望它们能为您提供丰富的信息和有趣的内容。 请随时与我联系,以获取教程中应包含的所有说明。 这适用于Linux。 如果您还没有的话,它是免费的。 不想双重引导? 获取虚拟机。 -祝你好运 术语表 我已经整理了这份清单,其中列出了我所能找到的所有有用的东
heap_exploit_2.31
03-21
堆攻击2.31 glibc 2.31版中有关ptmalloc的堆利用。 堆开发清单 在2.29和2.31之间进行堆利用技术,并收集有关相应利用技术的CTF挑战。 技术 文件 CTF挑战 tcache隐藏链接攻击 2019 Hitcon一拳超人 tcache藏匿取消链接攻击+ 2019 Hitcon懒人房 tcache藏匿unlink攻击++ 2020 XCTF-GXZY twochunk 由空字节关闭 2019 TCTF最终版Babyheap2.29 2019 Balsn纯文字 大垃圾箱攻击 tcache dup tcache double free fastbin双免费 botcake的房子 其他堆利用技术与how2heap相同,因此我不编写其他代码-.- pwngdb pwngdb是用于堆利用的出色gdb脚本,但是在glibc 2.31中,tcache结构发生了
heap exploit.pdf
08-06
关于堆溢出的利用,深入浅出的介绍,从原理到利用,入门必看
Exploit-Exercise之Protostar-heap
Yale的博客
07-20 709
0x00 Protostar涉及栈溢出、堆溢出、格式化字符串漏洞、网络编程、及综合性漏洞。 本文将介绍heap部分。 关于环境准备,在官网https://exploit-exercises.lains.space/protostar/下载即可。下载后得到iso镜像,使用vmware安装。然后使用user/user即可登录 查看ip 知道ip后可以在kali中ssh连上 输入user即可 机器上所有需要分析的程序都在如下路径 0x01 第一关heap0 这里可以看到存在缓冲区溢出的地方在d->n
溢出科普:heap overflow&溢出保护和绕过
weixin_34320724的博客
03-08 1699
pr0mise · 2016/04/11 9:500x00 第一部分:heap overflow接上文,来看另外一种溢出方式:堆溢出.相对于栈溢出来说,稍微麻烦一点本文算是一个笔记,技术有限,难免有纰漏之处,欢迎诸君斧正.0x01 基础知识一.堆的结构堆为程序运行时主动申请的内存,通常称为堆区,操作堆的api从UserMode来看有:例如malloc申请一块内存会先调用HeapCreate()为自...
关于Heap Overflow(堆溢出)
krrrr的专栏
05-04 9265
Heap overflow是一种系统提升权限的方法。在Linux系统中,入侵者可以针对某些文件属性设置成+rws(也就是传说中的粘滞位)的漏洞程序进行攻击从而得到root权限。我们在模拟攻击时可以在root权限下使用以下命令来设置粘滞位属性:                             chown root:root xxx                         
The Heap: How to exploit a Heap Overflow - bin 0x15
weixin_42732173的博客
01-10 102
Heap1 This level takes a look at code flow hijacking in data overwrite cases. #include <stdlib.h> #include <unistd.h> #include <string.h> #include <stdio.h> #include <sys/types.h> struct internet { int priority; char *
node-v9.6.0-x86.msi
04-29
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
Python基于机器学习的分布式系统故障诊断系统源代码,分布式系统的故障数据进行分析,设计故障诊断模型,高效地分析并识别故障类别
04-29
基于技术手段(包括但不限于机器学习、深度学习等技术)对分布式系统的故障数据进行分析,设计故障诊断模型,高效地分析并识别故障类别,实现分布式系统故障运维的智能化,快速恢复故障的同时大大降低分布式系统运维工作的难度,减少运维对人力资源的消耗。在分布式系统中某个节点发生故障时,故障会沿着分布式系统的拓扑结构进行传播,造成自身节点及其邻接节点相关的KPI指标和发生大量日志异常
JavaScript前端开发的核心语言前端开发的核心语言
最新发布
04-29
javascript 当今互联网时代,JavaScript已经成为了前端开发的核心语言它是一种高级程序设计语言,通常用于网页的交互和动态效果的实现。JavaScript的灵活性以及广泛的使用使得它变得异常重要,能够为用户带来更好的用户体验。 JavaScript的特点之一是它的轻量级,它可以在网页中运行无需单独的编译或下载。这意味着网页可以更快地加载并且用户无需安装额外的软件才能运行网页上的JavaScript代码。此外,与HTML和CSS紧密结合,可以直接在HTML文档中嵌入,使得网页的开发变得非常便捷。 JavaScript具有动态性,它可以在浏览器中实时修改页面内容和样。它可以通过操作DOM(文档对象模型来动态地修改网页的结构和布局,并且可以根据用户的行为实时地响应各种事件,如点击、标悬停、滚动等。这使得开发者可以轻松地为网页添加交互性和动态效果,提供更好的用户体验。 JavaScript也是一种面向对象的语言。它支持对象、类、继承、多态等面向对象编程的概念,使得代码结构更加清晰和可维护。开发者可以创建自定义的对象和方法,对功能进行封装和复用,提高代码的可读性和可维护性。
四则运算自动生成程序安装包
04-29
四则运算自动生成程序安装包
基于Linux的私有文件服务器(网盘).zip
04-29
基于Linux的私有文件服务器(网盘)
源代码-access 管理 系统 API 文件.zip
04-29
源代码-access 管理 系统 API 文件.zip
海康机器人智能读码器工业协议操作手册V1.0.2.pdf
04-29
海康机器人智能读码器工业协议操作手册V1.0.2.pdf
256ssm-mysql-jsp 在线捐赠系统.zip(可运行源码+数据库文件+文档)
04-29
根据需求,确定系统采用JSP技术,JAVA作为编程语言,MySQL作为数据库。整个系统要操作方便、易于维护、灵活实用。主要实现了系统用户管理、注册用户管理、信息发布管理、医疗物品分类管理、项目信息管理、捐赠项目管理、志愿者申请管理、个人求助管理、个人捐赠统计、系统管理等功能。 前台用户模块包括: 1. 首页:网站打开的第一个页面,显示网站的最新信息。 2. 用户注册/登录、3. 新闻资讯、4. 暖心故事、5. 我要求助、6. 我要捐赠、7. 我们的项目、8. 志愿者中心:实现志愿者中心的列表显示、9. 系统简介、10. 在线留言、11. 用户后台 后台管理员模块包括: 1. 系统用户管理、2. 注册用户管理、3. 信息发布管理、4. 医疗物品分类管理、5. 项目信息管理、6. 捐赠项目管理、7. 志愿者申请管理、8. 个人求助管理:管理员可以设置个人求助审核状态,可以删除个人求助审核信息。 9. 个人捐赠统计:管理员可以查看个人捐赠统计信息。 10. 系统管理:管理员可以对留言板信息进行查看、回复或删除 关键词:医药捐赠系统;JSP;MySQL
how to use rubypwn
05-28
`Rubypwn`是一个Ruby编写的pwn库,可以用于快速编写Exploit脚本。下面是一个简单的使用示例: ```ruby require 'rubypwn' host = 'localhost' port = 1234 s = Remote.new(host, port) s.read_until('Please enter your name: ') s.write("test\n") s.read_until('Please enter your password: ') s.write("password\n") s.interactive ``` 以上代码使用 `Rubypwn` 连接到远程主机的1234端口,并发送了一个用户名和密码。然后,它使用 `s.interactive` 进入交互模式,以便您可以与目标交互。 还有其他一些有用的函数和类,您可以在RubyPwn的文档中查看它们的用法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值