从HITCON Trainging lab13 学习Chunk Extend and Overlapping 攻击

最新推荐文章于 2022-08-22 12:51:01 发布
最新推荐文章于 2022-08-22 12:51:01 发布
阅读量258 收藏 1
点赞数 2
分类专栏: pwn 文章标签: 安全漏洞 python c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36495104/article/details/106004683
版权

Chunk Extend and Overlapping 学习

HITCON Trainging lab13题目地址

查看保护措施,RelRO为Partial,即可以修改GOT表项

在这里插入图片描述

用IDA分析一下

这个题目,定义了一种heap结构体,大概如下

struct heap
{
   
    int size;	 //heap的大小;占8字节
    int content; //指针,指向content;占8字节
}

下面是main函数,定义了菜单选项,按选项调用相关函数。

int __cdecl main(int argc, const char **argv, const char **envp)
{
   
  char buf; // [rsp+0h] [rbp-10h]
  unsigned __int64 v4; // [rsp+8h] [rbp-8h]

  v4 = __readfsqword(0x28u);
  setvbuf(_bss_start, 0LL, 2, 0LL);
  setvbuf(stdin, 0LL, 2, 0LL);
  while ( 1 )
  {
   
    menu();
    read(0, &buf, 4uLL);
    switch ( atoi(&buf) )
    {
   
      case 1:
        create_heap();
        break;
      case 2:
        edit_heap();
        break;
      case 3:
        show_heap();
        break;
      case 4:
        delete_heap();
        break;
      case 5:
        exit(0);
        return;
      default:
        puts("Invalid Choice");
        break;
    }
  }
}

create_heap函数,创建heap结构体

unsigned __int64 create_heap()
{
   
  _QWORD *v0; // rbx
  signed int i; // [rsp+4h] [rbp-2Ch]
  size_t size; // [rsp+8h] [rbp-28h]
  char buf; // [rsp+10h] [rbp-20h]
  unsigned __int64 v5; // [rsp+18h] [rbp-18h]

  v5 = __readfsqword(0x28u);
  for ( i = 0; i <= 9; ++i )
  {
   
    if ( !heaparray[i] )  //heaparray数组存储在bss段
    {
   
      heaparray[i] = malloc(0x10uLL); //heaparray保存heap结构体
      if ( !heaparray[i] )			  //heap结构体是这样的:
      {
   								  //{ QWORD size 
        puts("Allocate Error");		  //  QWORD  content_address
        exit(1);					  //}
      }
      printf("Size of Heap : ");
      read(0, &buf, 8uLL);
      size = atoi(&buf);
      v0 = heaparray[i];
      v0[1] =
最低0.47元/天 解锁文章
0xCCCC9090
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
堆溢出 HITCON Trainging lab13
winterze的博客
04-14 255
chunk-extend学习,一个友好的题目,下载地址 0x00 程序分析 基本信息 [*] '/home/ububtu/ctf/pwn/heapcreator' Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE:...
pwn HITCON Trainging lab13
doudoudedi
10-09 244
emem其实我的结构体学的不太好 结构体大概为这样: struct { char *heaparray[i]; char conten[20] } edit heaparray->content 编辑的地方存在一个off by one的漏洞我们可以修改下一个chunk的大小然后释放申请该大小的chunk造成堆溢出~~ 简单点说就是先创建三个堆块在第一个堆块写入’/bin/s...
buuctf hitcontraining_heapcreator HITCON Trainging lab13
weixin_45677731的博客
08-10 1010
这一题在wiki上面是有的,在Chunk Extend and Overlapping里面,个人觉得这一题对于我这种刚开始学习堆的人来说,是比较容易理解的一题 拖进IDA create_heap函数: 值得注意的是,他这里是会有两次malloc的,也就是说,你申请了一次,他就会创建两个chunk,第一个chunk是0x20大小的,可以看作是记录的作用,里面存放着第二个chunk的size和指针,同时,第一个chunk的地址指针保存在bss段中,heaparray数组这里: 这样表述起来可能不太清晰,我申
Chunk Extend and Overlapping(HITCON Trainging lab13)
九层台
08-13 607
数据结构 unsigned __int64 create_heap() { _QWORD *v0; // rbx signed int i; // [rsp+4h] [rbp-2Ch] size_t size; // [rsp+8h] [rbp-28h] char buf; // [rsp+10h] [rbp-20h] unsigned __int64 v5; // [r...
HITCON Trainging lab13——CTFwiki
qq_53928256的博客
08-22 1083
通过off by one溢出修改next chunk的size域来实现overlap,修改指针实现执行system函数,获得系统权限
HITCON-Training-Writeup:https的简要说明
04-29
HITCON培训 我为做了简短的 有关Linux二进制开发的信息,请参见。 环境设定 git clone https://github.com/scwuaptx/HITCON-Training.git ~/ cd HITCON-Training && chmod u+x ./env_setup.sh && ./env_setup.sh ...
HITCON CTF 2017
11-08
HITCON CTF 2017 所有题目整理...............................................................................................................................................................................
台灣駭客年會 HITCON CMT 2017 - 安全技术资料汇总(共3份).zip
02-06
Breaking_into_the_iCloud_Keychain.pdf CSCS_以技術力協助公民社會的初次嘗試.pdf 臺灣資安人才教育_Cybersecurity_Education_in_Taiwan.pdf
hitcon2015:Microsoft Edge MemGC内部
05-12
2014年,Microsoft推出了两个新的漏洞利用缓解措施,称为“隔离堆”和“ MemoryProtection”。 这些缓解措施大大增加了释放后使用(UAF)漏洞利用的难度,但是当指向释放块的指针没有保留在堆栈上时,仍有许多方法...
HITCON-Badge:HITCON徽章相关文件
04-29
HITCON徽章 (非常)HITCON 2017电子徽章的简单手册。 概述 HITCON 2017电子徽章(HEB)基于联发科技MT7697 SoC。 您可以使用microUSB代替电池! 除非您不知道如何恢复它,或者不再希望参加CTF,否则请不要刷新您的...
HITCON Trainging lab13——heapcreator
04-19 247
64位程序,没开PIE   #chunkoverlapping #off by one 程序逻辑 1 int __cdecl main(int argc, const char **argv, const char **envp) 2 { 3 char *v3; // rsi 4 const char *v4; // rdi 5 char...
HITCON Trainging lab13 heapcreator
snowleopard_bin的博客
10-03 987
记录第一次不看任何writeup自己写出来的pwn题 前置知识: off by one chunk overlapping chunk extend 一开始先看程序打开哪些保护机制 可以改got表,并且有点要注意是没开PIE,这样就不必泄露函数地址计算基址了(如果开了,这题堆上没有存放函数指针的,我也不会泄露。。) 然后分析程序,挖漏洞 首先从建堆函数看数据结构 结构...
攻防世界高手进阶区——Recho
weixin_62675330的博客
03-11 416
攻防世界高手进阶区——Recho 题目什么也没给。(在这个题困了好久,一直在学基础,但是发现了一个更好用的学习网站,基本 ROP - CTF Wiki (ctf-wiki.org))希望对你们有用,估计以后就转战ctfwiki了。先做完这个题吧。 做题经历 int __cdecl main(int argc, const char **argv, const char **envp) { char nptr[16]; // [rsp+0h] [rbp-40h] BYREF char buf[40]
[XCTF-pwn] 25_easyfmt
weixin_52640415的博客
03-08 427
格式化字符串漏洞,got.exit劫持,got.printf劫持 这题比上题要简单,先修改got.exit为main进入循环并漏洞libc地址,再将printf改为system,再输入/bin/sh int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { char buf[264]; // [rsp+10h] [rbp-110h] BYREF unsigned __int64 v4; // [r
[BUGKU] [PWN] PWN5
Stan冲冲冲
05-18 399
[BUGKU] [PWN] PWN5 先下载文件,拉入UBUNTU,checksec检查一下 checksec human 架构是amd64,并开启了NX(堆栈可执行,16进制地址后六位不变,其余运行一次都会变) 在windows里把pwn2拉入64位ida 按F5切换到伪C 发现乱码,修改配置文件后ALT+A全部选上UTF-8,再按一次F5,中文就可以显示了 int __cdecl main(int argc, const char **argv, const char **envp) { char
BUUCTF pwn wp 116 - 120
fa1c4的blog
03-06 400
[BSidesCF 2019]Runit [BSidesCF 2019]Runit$ file runit;checksec runit runit: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 2.6.32, BuildID[sha1]=fdd5061644dc69c2e4f2a0e98091901b4
今天你pwn了吗(中)
蚁景网安学院
05-15 761
Y今天你pwn了吗前言:"二进制太难了", 一起到 buu 开始 刷题吧。这里 仅记录下非高分题目的解题思路和知识讲解。特别是文章里的函数,我特意整理了下,希望我能在二进...
Chunk Extend/Overlapping | 堆拓展、重叠
SkYe's Blog
08-06 1665
堆拓展&溢出 绝大部分内容来自 CTF-WIKI ,内容引用用于学习记录 介绍 chunk extend 是堆漏洞的一种常见利用手法,通过 extend 可以实现 chunk overlapping 的效果。这种利用方法需要以下的时机和条件: 程序中存在基于堆的漏洞 漏洞可以控制 chunk header 中的数据 原理 chunk extend 技术能够产生的原因在于 ptmalloc 在对堆 chunk 进行操作时使用的各种宏。 在 ptmalloc 中,获取 chunk 块大小的操作如
pwn暑假训练(十) emem这次的测验自己还是太菜
doudoudedi
08-14 717
记一下昨天的测验我直接讲我没过的题目 有system函数没有’bin/sh’只开了nx但gadget少的可怜题目直接给了libc那就不用想了直接找偏移…我同学给的libc偏移不对… Gadgets information ============================================================ 0x00000000004006d2 : pop rbp...
[hitcon 2017]ssrfme 1
最新发布
04-11
这道题目是一个SSRF漏洞题目。...当存在SSRF漏洞时,攻击者可以将服务器作为代理,进而访问在内部网络中无法访问的资源,如内部Web应用、数据库等。此题的目标是通过一个输入参数包含的URL,探测出内部的flag并输出。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值