pwn中堆利用的姿势收集仓(持续补充中,用到什么记录什么)

最新推荐文章于 2022-12-25 11:43:08 发布
最新推荐文章于 2022-12-25 11:43:08 发布
阅读量575 收藏 3
点赞数 2
分类专栏: pwn 文章标签: 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35078631/article/details/124226801
版权

文章目录

很好的参考资料:
pwn题堆利用的一些姿势 – malloc_hook

一、malloc hook

使用malloc hook主要是应对保护全开的时候,因为got表无法劫持,所以使用malloc hoook + onegadget来实现

(一)初级利用

malloc_hook是在malloc函数调用前会执行的钩子函数。 在程序中,通常malloc_hook的函数地址对应值为0,也就是不会执行任何东西,我们在利用过程中将其覆盖为onegadget地址,这样再执行一次malloc就会执行onegadget。
关于malloc_hook的地址有两种获取方法,第一种是泄露main_arnea后相差0x10,第二种是通过基址和ELF函数获取

  • malloc_hook = main_arnea - 0x10
  • malloc_hook = libc基址 + libc.sym["__malloc_hook"]

但从本质上讲,如果程序本身有shellcode,malloc hook的利用就和got表劫持一样简单

(二)程序中有/bin/sh字符串的利用方法

可以将malloc_hook修改为system函数地址,假设/bin/sh在0x400000位置,那么就将申请堆块大小写成0x400000输入,就会执行system("/bin/sh\x00")

(三)更常见的情景,利用realloc函数调整栈结构

首先我们需要知道,为什么需要调整栈位置,那是因为,onegadget的利用往往都是有先行条件的,如图
在这里插入图片描述

比如0x4527a,就需要[rsp+0x30] == NULL
而我们在执行malloc_hook存储指令的时候,往往不能控制栈结构,这个时候我们就想到了利用realloc函数。
为什么能够利用realloc?利用realloc有什么作用?
第一,我们需要知道,realloc也是有hook函数的,并且和malloc hook相邻
在这里插入图片描述

第二,realloc函数在执行前检查了是否调用realloc hook,之前还push了一堆参数,依托这些push指令我们可以改变栈结构
在这里插入图片描述

第三,我们需要根据实际情况选择malloc指向realloc的地址,因为根据实际情况对栈push的需求是不同的
可以选择在任意指令开始realloc函数,只要在realloc hook调用之前即可

实际情况调试,可以在realloc函数下个断点调试即可

最终构造程序流控制链:malloc_hook->realloc->realloc_hook->one_gadget

(四)例题

  • Bugku babyheap1

二、free hook

持续补充中…

Assassin__is__me
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【CTF资料-0x0002】PWN简易Linux堆利用入门教程by arttnba3
arttnba3的博客
02-25 2177
【CTF资料-0x0002】简易Linux堆利用入门教程by arttnba3老生常谈,[GITHUB BLOG ADDR](https://archive.next.arttnba3.cn/2021/02/24/%E3%80%90CTF%E8%B5%84%E6%96%99-0x0002%E3%80%91%E7%AE%80%E6%98%93Linux%E5%A0%86%E5%88%A9%E7%94%A8%E5%85%A5%E9%97%A8%E6%95%99%E7%A8%8Bby%20arttnba3/),请
pwn题堆利用的一些姿势 -- IO_FILE
lifanxin的博客
05-11 5105
IO_FILE概述IO_FILE结构介绍利用IO_FILE进行leakFSOP总结 概述   这是pwn题堆利用系列的第三篇文章,本篇文章主要讲解一下IO_FILE结构在pwn利用。一般来说,想到使用IO_FILE结构,是因为pwn没有可以用来leak的函数。 IO_FILE结构介绍   FILE 在 Linux 系统的标准 IO 库是用于描述文件的结构,称为文件流。 FILE 结构在程序执行 fopen 等函数时会进行创建,并分配在堆,然后以链表的形式串联起来,但系统一开始创建的三个文件st
[pwn]堆:Use After Free
Breeze的博客
09-06 8586
Use After Free:time_formatter writeup UAF漏洞就是Use After Free,再释放后继续使用,Use After Free会引发各种奇怪的现象,根据场景的不同并没有一种统一的利用方式。下面看题目:time_formatter 日常惯例,先查看安全策略: 开启了canary、NX、ASLR,然后查看一下程序逻辑: 很常见的堆菜单,下面查看一下各种功能:...
pwn题堆利用的一些姿势 -- exit_hook
lifanxin的博客
11-27 2223
exit_hook概述exit_hook 介绍一个例子总结 pwn题堆利用的一些姿势 – free_hook pwn题堆利用的一些姿势 – malloc_hook pwn题堆利用的一些姿势 – IO_FILE pwn题堆利用的一些姿势 – setcontext 概述   在做堆题的时候,经常会遇到保护全开的情况,其利用者影响最大的是 PIE 保护和 Full RELRO ,NX 保护和栈保护对堆利用来说影响都不大,一般利用也不会往这方面靠。开了 PIE 保护的话代码段的地址会变,需要泄露代码段基地址才能
PWN学习整理栈溢出到堆利用(含举例)
九层台
02-20 2308
文章将整理从入门栈溢出到堆house系列的梳理。 0x01栈知识 call 将当前的IP或者CS和IP压入栈。 转移 汇编:call xxx push IP jmp xxx ret 将程序的返回地址弹出到ip寄存器 程序继续执行 汇编: pop IP 有call就要有传参,32位系统用栈来传参参数是倒着传进去也就是最后的参数先push 64位系统用寄存器来传参前三个参数是...
电源技术的电感是PWN DC/DC转换器常用的元件
11-16
电感是PWN DC/DC转换器常用的元件,由于它的电流、电压相位不同,因此理论上损耗为零。电感常被用做储能元件,也常与电容共同在输 人滤波器和输出滤波器上用于平滑电流,故也常称为扼流圈。其特点是流过其上的电流...
电源技术的电容是PWN DC/DC转换器常用的元件
11-16
电容是PWN DC/DC转换器常用的元件,它与电感一样也是储存电能和传递电能的元件,但对频率的特性却刚好相反。应用上,主要是“吸收 ”纹波,具有平滑电压波形的作用。实际的电容并不是理想的元件。电容器由于有介质...
pwn题目的libc-2.27.so文件
04-11
pwn题,有些时候题目不给这个文件,这里是这个库的文件。
pwn学习总结(八)—— 堆(持续更新)
01-07
pwn学习总结(八)—— 堆(持续更新)前言chunk使用(分配后)空闲(释放后)堆块大小空间复用binsfastbin利用思路unsorted binsmall bin 前言 学习自《glibc内存管理ptmalloc源代码分析》庄明强 著 部分资料...
pwn_debug:旨在帮助快速构建对CTF Pwn游戏的利用
05-14
pwn_debug pwn_debug-基于pwntools的ctf pwns的辅助调试工具 建议您在获得“用法和安装”的完整说明。 这只是一个简单的描述。 入门 安装pwn_debug git clone https://github.com/ray-cp/pwn_debug.git cd pwn_...
PWN_glibc堆管理机制及内存结构(入门篇)
weixin_57140753的博客
12-25 364
CTF堆利用基础
pwn 缓冲区溢出+libc泄露 执行system(/bin/sh)
L2329794714的博客
05-02 528
转载于自己博客: pwn 缓冲区溢出+libc泄露 执行system(/bin/sh) - 松下之约一、libclibc是Standard C library的简称,它是符合ANSI C标准的一个函数库。libc库提供C语...http://lusong.store/index.php/archives/37/学习网络安全知识,遵守网络安全法律法规,做知法守法的现代好青年。 ...
pwn-堆入门
yajuanpi4899的博客
12-19 899
pwn的堆入门
malloc hook初探
zz460833359的博客
12-21 996
在程序设置钩子,用来在malloc, realloc,free的时候,对其进行检查,可以看到对应的函数调用后的地址是什么。这个有时候可以用在debug的时候使用。 几个变量 __malloc_hook 这是一个函数指针变量,指向的是: void * function(size_t size, void * caller) 其caller是表示在栈调用malloc的函数的时候的函数地址,%p可以打印出他的地址。 __free_hook 同样这个也是一个函数指针变量,指向的是:
CTF-PWN-heap (off-by-one+unlink+malloc_hook利用)
SuperGate的博客
12-02 815
程序综述 [*] '/home/supergate/Desktop/Pwn/pwn1' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled 保护全开。 IDA查看后发现是一个菜单题,主...
爆破malloc_hook -攻防世界 noleak
csdn546229768的博客
12-09 539
例题:攻防世界noleak 首先在不用unsort bin的情况下进行攻击,那么我们怎么拿到__malloc_hook的地址呢? 攻击思路:将shellcode放入程序的bss段(0x601020)通过__malloc_hook执行bss的shellcode,为什么需要爆破呢, 因为我们实际上是获取不到 maloc_hook的地址的只是将它写入到了一个地址处,然后通过fast bin attact 攻击,因为fast bin的fake chunk需要检查size位,既然创造size位,那么libc-2-2
BUUCTF 0ctf-babyheap
doudoudedi
12-20 406
这道题分配内存空间是用calloc释放之后会清空分配的内容 edit函数存在堆溢出我们由打赢函数指针数组存在satck地址随机,我们先想到的fastbin attack写onegadget但是要先有libc基址也是先是information leak然后contorl pc我们就可以 先分配4个 add(0x10) #0 add(0x10) #1 add(0x80) #2 add(0x10...
0ctf_2017_babyheap详解
像初雪一样自由洒落
04-19 3767
本文主要列出0ctf_2017_babyheap的详细过程 主要参考:https://bbs.pediy.com/thread-223461.htm 程序流程 allocate:申请size大小的块 fill:对idx的块,设置size,并填入content free:释放idx的块 dump:打印idx的块内容 漏洞分析 fill的size可以重新设置,故可以造成堆溢出。 方法:fastbin attack double free泄露libc 【small/large chunk释放,fd和.
内存分配钩子__malloc_hook, __reallac_hook, __free_hook的使用
鬼手
08-26 4825
mem.h #ifndef __MEM_H__ #define __MEM_H__ #include #include static void *(*old_malloc_hook)(size_t, const void*); static void *(*old_realloc_hook)(void *ptr, size_t size, const void *caller); sta
pwnread,write函数都是什么作用
最新发布
03-03
"pwn" 是计算机安全领域的一个术语,指的是通过攻击漏洞获取对目标系统的控制权限。 "read" 和 "write" 是在攻击漏洞时常用的两个函数,它们的作用是: - "read" 函数可以读取内存指定地址的数据; - "write" 函数可以将数据写入内存指定地址。 在攻击,攻击者可能利用 "read" 函数来泄露目标系统的机密数据,例如密码、密钥等。而 "write" 函数则可以用于修改目标系统的数据,例如覆盖函数指针,从而控制程序执行流程,达到攻击的目的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值