确认main_arena相对libc的偏移地址

最新推荐文章于 2024-09-02 09:29:28 发布
最新推荐文章于 2024-09-02 09:29:28 发布
阅读量2.7k 收藏 14
点赞数 3
分类专栏: PWN 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33976344/article/details/119941461
版权

前言

打保护全开的堆题时碰到的问题, 大佬wp直接给exp, 但是奈何萌新很多细节不懂啊
现在记录一下寻找main_arena相对libc偏移的方法(又水一篇博客)

在0CTF 2017 babyheap这题中, 利用 fast chunk 和 small chunk 堆叠技术将main_arena的实际地址泄露出来, 另外通过这个相对偏移, 计算libc的加载基址, 完成libc泄露

过程

对照看下mallo.c的源码
在这里插入图片描述

方法一

逆向分析libc.so文件
拖进IDA
函数框搜索malloc_trim
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

这里用libc-2.23.so版本的libc文件演示, 相对偏移就是0x3C4B20

方法二

gdb反汇编, 根据源码分析汇编指令可以得到相对偏移

[rsp + 0x14]是局部变量result
[rsp + 0x8]是局部变量ar_ptr, 所赋值就是&main_arena
在这里插入图片描述

总结

上来直接打高难度堆题, 到处碰壁, 很多问题只能一点点解决, 不过收获还是不小
很多exp把找地址这种《简 单 操 作》省略了, 纯萌新看得迷雾重重, 还是各种搜索和实践才找到解答, 以此记录一下, 另外malloc.c源码需要找个时间研读一遍, 顺便写个源码阅读笔记好了(flag就此立下)

fa1c4
关注
专栏目录
CTF泄漏libc基址的方法
liucc09的博客
01-05 4107
泄漏libc 重点: glibc 的后三位是固定的 main_arena泄漏法 main_arena存储在libc.so.6文件的.data段,通过这个偏移我们就可以获取libc的基址,使用IDA打开libc文件,然后搜索函数malloc_trim() [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-a8DgTYcd-1609837106507)(D:\04_笔记\images\main_arena.png)] [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接
linux arena参数设置,从零开始的Linux堆利用(三)
weixin_29375125的博客
05-12 543
相比之前的fastbin_dup小幅度的提高一点难度,从博客搬运来的欢迎各位去访问我的博客漏洞本身和之前一样也是fastbin_dup直接尝试一下相同的方法找到__malloc_hook附近可以伪造的fake chunk这个和之前完全一样,但是这个程序在malloc的时候的限制更大,0x70大小的chunk被限制了可以申请0x60的chunk也可以申请0x80的chunk,就是不能申请0x70的实...
推荐开源工具:main_arena_offset——快速定位libc中的main_arena偏移
最新发布
gitblog_00013的博客
09-02 425
推荐开源工具:main_arena_offset——快速定位libc中的main_arena偏移main_arena_offsetA simple shell script to get main_arena offset of a given libc项目地址:https://gitcode.com/gh_mirrors/ma/main_arena_offset 在深入探讨和利用C/C++...
libc泄露以及偏移
RKAnjia的博客
03-23 699
payload 一般是填充字符(栈的大小)+ ‘aaaa’(覆盖EBP)+ p32(write_plt) + p32(start)(返回地址) + p32(1)+ p32(write_got)+p32(4) 后面三个是write函数的参数 write(1,‘write_got’,4) 4代表输出4个字节,write_got则为要泄露的地址 write函数原型是write(fd, addr, len),即将addr作为起始地址,读取len字节的数据到文件流fd(0表示标准输入流stdin、1表示标准输出流s
isccpwn2[不能获取索引地址空间的堆溢出](main_arena结构,got表存放)
九层台
05-28 766
main_arena里面的内容 pwndbg> x /20xg 0x7fed08ed9af0 0x7fed08ed9af0 <_IO_wide_data_0+304>: 0x00007fed08ed8260 0x0000000000000000 0x7fed08ed9b00 <__memalign_hook>: 0x00007fed08b9ae20 0x00007fe...
什么是堆漏洞挖掘?堆的glibc实现、Arenamain_arena、thread_arena
董哥的黑板报
07-22 3423
一、什么是堆 在程序运行过程中,堆可以提供动态分配的内存,允许程序申请大小未知的内存 堆其实就是程序虚拟地址空间的一块连续的线性区域,它由低地址向高地址方向增长 我们一般成管理堆的那部分程序为堆管理器 堆管理器处于用户程序与内核中间,主要做以下工作 malloc free 二、堆的历史 Linux早期的堆分配与回收由Doug Lea实现,但它在并行处理多个线程时,会共享进程的堆内存空间...
__libc_malloc()源码阅读
huzai9527的博客
01-19 1648
malloc 源码 chunk 与 mem 指针头部的转换(mem 指向用户申请的内存空间) /* conversion from malloc headers to user pointers, and back */ #define chunk2mem(p) ((void *) ((char *) (p) + 2 * SIZE_SZ)) #define mem2chunk(mem) ((mchunkptr)((char *) (mem) -2 * SIZE_SZ)) 检查分配给用户的内存是否对
快速入门堆溢出技巧(OFF BY ONE)
wulanlin的博客
01-11 651
OFF BY ONE 所谓OFF BY ONE就是利用堆溢出一个字节到下一个堆块,使得目前堆块与下一堆块合并成一个堆块,此时堆块的大小就是我们溢出的那一字节 并且堆块的fd(前驱指针)以及bk(后继指针)都会指向 main_arena+88的地址这也是我们泄露出来的地址 利用gdb 输入libc查看基地址,main_arena+88-libc=offset UNSORTERBIN&FASTBINS 在堆块的bins中分为fastbins,largebins,smallbins还有今天要用
【网络安全】一个堆题inndy_notepad的练习笔记
HBohan的博客
10-08 176
对于堆的恐惧来自堆复杂的管理机制(unsorted,fastbin,small,large bin看着都头大),相较于栈(压入弹出)来说复杂太多了,再加上使用GDB调试学习堆时,每次堆分配时,调试起来相当的麻烦,所以一直都是理论学习,堆不敢碰不敢尝试。 尝试了一下堆,熟悉了堆的分配机制。 题目分析 基本信息分析 查看文件类型,32位,没有去掉符号( not stripped,很开心,省去了猜函数的“乐趣”) file notepad notepad: ELF 32-bit LSB executable,
新姿势GET 通过unsorted bin泄露libc地址 与 fastbin double free
哒君的博客
08-01 2094
源文件 GitHub checksec 初步分析 利用方法 用sentence函数分配small bin大小的bin,将其free以后,会归入unsorted bin,而如果只有一个bin的话,其fd与bk都是main_arena + offset,尽管free以后内容会清0,但是search函数中的memcmp却可以通过使v1为\x00来绕过,这样的话就会打印出bin的fb字...
ptmalloc源码分析 - 主分配区和非主分配区Arena的实现(04)
热门推荐
自娱自乐的代码人
11-09 3万+
这里要注意的是,每次有线程调用分配malloc函数,都会对分配区进行加锁操作,多线程情况下竞争的时候没有获得主分配区的,则去freelist里面去找,找不到则创建一个新的非分配区,如果非分配区都创建满了,则需要等待。当arena满了之后就不再创建而是与其他arena共享一个arena,方法为依次给各个arena上锁(查看是否有其他线程正在使用该arena),如果上锁成功(没有其他线程正在使用),则使用该arena,之后一直使用这个arena,如果无法使用则阻塞等待。二、主分配区和非主分配区的数据结构。
house of apple1
m0_63437215的博客
11-16 578
house of apple1
libc 的利用工具
educat0r的博客
02-25 276
点这里,原文,https://github.com/lieanu/LibcSearcher
准确识别ELF文件使用的libc.so版本,LibcSearcher 工具的使用
ifthengg的博客
10-20 1442
准确到小数点100位,识别ELF文件使用的libc.so版本,LibcSearcher 工具的使用
0ctfbabyheap2017WP——堆溢出fastbin attack初探
GeekCmore的博客
02-18 586
从栈溢出进入堆溢出,漏洞利用的复杂度上了一个大台阶,主要是因为 ptmalloc 内存管理器对于堆管理设计了复杂的数据结构和算法,要想进入堆溢出的学习,就必须厘清它们之间的关系。本文将从一个经典的例子——0ctfbabyheap2017 来介绍一个初级的 fastbin attack 以初探堆溢出攻击。
2021-10-13
weixin_42338542的博客
10-13 1805
babyheap_0ctf总体思路1.通过unsortbin 来leak main_arena进而可以得到malloc_hook的地址2.通过fastbin attack来控制malloc_hook-0x23的地址块新的改变 总体思路 1.通过unsortbin 来leak main_arena进而可以得到malloc_hook的地址 2.通过fastbin attack来控制malloc_hook-0x23的地址块 新的改变 add(0x80) #0 add(0x80) #1 add(0x80) #2 a
堆漏洞挖掘:02---堆的glibc实现与Arena(struct malloc_state、struct _heap_info)
董哥的黑板报
07-22 3807
前言: 堆的glibc实现主要包括struct _heap_info,struct malloc_state,struct malloc_chunk这3个结构体 在介绍结构体之前需要介绍一下非常重要的arena(竞技场) 一,什么是Arena 我们知道一个线程申请的1个/多个堆包含很多的信息:二进制位信息,多个malloc_chunk信息等这些堆需要东西来进行管理,那么Arena就是来管理线...
babyheap_0ctf_2017
Blazing-Angel的博客
09-10 1147
babyheap_0ctf_2017
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值