堆利用-house_of_force-top_chunk

最新推荐文章于 2021-11-16 22:11:13 发布
最新推荐文章于 2021-11-16 22:11:13 发布
阅读量324 收藏
点赞数
分类专栏: Pwn 文章标签: pwn 堆利用 堆管理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43390703/article/details/121323775
版权

house_of_force

House Of Force 是一种堆利用方法,如果一个堆 (heap based) 漏洞想要通过 House Of Force 方法进行利用,需要以下条件:

  1. 能够以溢出等方式控制到 top chunk 的 size 域
  2. 能够自由地控制堆分配尺寸的大小

产生原因

glibc中如果进行堆块分配的时候,如果所有空闲块都无法满足需求,那么就会从top chunk中分割出相应的大小作为堆块空间。

但是当top chunck分配堆块的size值可以由用户控制的时候,top chunk就可以指向我们期望的任何位置,可以实现一次任意地址写。

大小验证绕过

但是在glibc中,程序会对用户请求的大小和top chunk现有的size进行验证。

// 获取当前的top chunk,并计算其对应的大小
victim = av->top;
size   = chunksize(victim);
// 如果在分割之后,其大小仍然满足 chunk 的最小大小,那么就可以直接进行分割。
if ((unsigned long) (size) >= (unsigned long) (nb + MINSIZE)) 
{
    remainder_size = size - nb;
    remainder      = chunk_at_offset(victim, nb);
    av->top        = remainder;
    set_head(victim, nb | PREV_INUSE |
            (av != &main_arena ? NON_MAIN_ARENA : 0));
    set_head(remainder, remainder_size | PREV_INUSE);

    check_malloced_chunk(av, victim, nb);
    void *p = chunk2mem(victim);
    alloc_perturb(p, bytes);
    return p;
}

上面的内容很好绕过,其被check的原因主要是因为top chunk内容不够大了,我们只需要篡改size的时候使其为很大值便可以绕过这个验证。

一般的做法是讲top chunk的size改为负数,例如-1.因为在比较时,会将size转换成无符号数进行比较,如果size是-1,那么无论任何时间都可以通过验证。

(unsigned long) (size) >= (unsigned long) (nb + MINSIZE)

实现任意写

完成上面的大小验证绕过后,可以通过一个top指针的更新,实现任意地址写。

remainder      = chunk_at_offset(victim, nb);
av->top        = remainder;

/* Treat space at ptr + offset as a chunk */
#define chunk_at_offset(p, s) ((mchunkptr)(((char *) (p)) + (s)))

top_chunk的size更新

上面进行修改的同时,topchunk的size也会更新:

victim = av->top;
size   = chunksize(victim);
remainder_size = size - nb;
set_head(remainder, remainder_size | PREV_INUSE);

如果我们想要下次在指定位置分配大小为 x 的 chunk,我们需要确保 remainder_size 不小于 x+ MINSIZE。

使用方法

通过其他漏洞去成功修改topchunk的size位,之后去malloc一个大小,使之能够出发topchunk的机制,并且这个大小可以使之更新后能够指向我们目标的地址(可以为大整数向上抬高、也可以为负数向下推),为了我们下一次malloc能够在我们指定的目标地址进行操作,从而实现任意写。

Fasthand_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php array_chunk()函数用法与注意事项
10-16
主要介绍了php array_chunk()函数用法与注意事项,结合实例形式分析了php数组分割函数array_chunk()相关功能、用法及操作注意事项,需要的朋友可以参考下
House of Force
yms0211的博客
09-26 1268
利用house of force
11.house_of_force
06-09 177
源代码 1 /* 2 3 This PoC works also with ASLR enabled. 4 It will overwrite a GOT entry so in order to apply exactly this technique RELRO must be disabled. 5 If RELRO is enabled...
【Linux利用House of Force
、moddemod
06-15 492
写在前面的话 其实我也是照葫芦画瓢(但学习本来就是这么一件事),首先基本的原理你的搞懂吧。具体参考CTF-WIKI,那个真的是说得非常清楚了!我也只是记录一下自己的学习笔记! 原理 首先House of Force这种利用方法,主要强调一点就是溢出,溢出到能够覆盖top chunk的大小,也即是size域!,这就是最基本的利用条件。 因为当我们每一次malloc(),其实都是在申请一块chunk,在物理结构上,因为我们现在能够申请的chunk的位置是在ptmalloc给我们分配的分配区里面,就在这个这个分
House_of_Force-ctf-bcloud
weixin_30507269的博客
07-06 216
2016 bctf bcloud 下载: https://pan.baidu.com/s/1e-fvhaOJKzBQMxlrweLznw 提取码:ded5 放入ida中首先定位到 main()->init()->set_name() unsigned int set_name() { char name; // [esp+1Ch] [ebp-5Ch] <--注意这里,...
pwn工具箱之house of force
jmp esp
07-03 944
house of force基本信息 利用类型:利用 利用类型:top chunk相关 利用思想:通过修改top chunk大小,使得分配任意大小都是从top chunk里边切出来,这样分配一个大小占满想要写的位置和当前分配位置top chunk的差,下一个分配就可以分配出想要写的位置 利用难点 需要有办法能够更改到top chunk大小 需要能够知道当前位置和要写位置的差值 需要能够自由控制
利用-house_of_force-bamboobox题详解
qq_43390703的博客
11-14 430
bamboobox 基本情况分析 查看基本保护 RELRO STACK CANARY NX PIE RPATH RUNPATH Symbols FORTIFY Fortified Fortifiable FILE Partial RELRO Canary found NX enabled No PIE No RPATH No RUN
ChunkedOutputStream.rar_Bodies_chunk _chunk http_http chunk
09-24
An HTTP body with alternating chunk sizes and chunk bodies Source Code for Linux v2.13.6.
ChunkedOutputStream.rar_Bodies_chunk _chunk http_http chunk_htt
09-20
An HTTP body with alternating chunk sizes and chunk bodies.
sm_make_chunk.rar_V2
09-14
SCTP kernel implementation for Linux v2.13.6.
percpu-km.rar_V2
09-24
kernel memory based chunk allocation for Linux v2.13.6.
漏洞挖掘中的Chunk分类(allocated chunk、free chunk、top chunk、last remainder chunk)
董哥的黑板报
07-22 3585
此图是在上篇文章介绍arena时用到的,我们可以看到:块被分为不同的种类,下面我们将来介绍这些 chunk的分类 每一类就是一个malloc_chunk结构体,因为这些chunk同属于一个块,所以在一块连续的内存中,只是通过区域中特定位置的某些标识符加以区分 glibc给我们申请的块主要分为以下几类: allocated chunk free chunk top chunk ...
漏洞-UAF漏洞简析
qq_43390703的博客
10-04 6000
UAF use after free,其内容如同其名称。在free后进行利用。UAF是结构漏洞的一种重要的利用方式。 内存块被释放后,其对应的指针被设置为 NULL , 然后再次使用,自然程序会崩溃。 内存块被释放后,其对应的指针没有被设置为 NULL ,然后在它下一次被使用之前,没有代码对这块内存块进行修改,那么程序很有可能可以正常运转。 内存块被释放后,其对应的指针没有被设置为 NULL,但是在它下一次使用之前,有代码对这块内存进行了修改,那么当程序再次使用这块内存时,就很有可能会出现奇怪的问题。
Shellcode的生成和利用
qq_43390703的博客
03-08 4734
from pwn import * #pwntool生成shellcode shellcode=asm(shellcraft.sh()) shellcode = “\x31\xf6\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x56\x53\x54\x5f\x6a\x3b\x58\x31\xd2\x0f\x05”(23字节) ...
ida-IDC脚本剖析
qq_43390703的博客
10-06 4046
IDC IDA中支持进行脚本运行,可以通过编写脚本通过脚本对文件进行处理,甚至可以通过编写IDC脚本编写自动化漏洞审计的脚本。 IDC是ida中支持的一门与C语言类似的语言,但是它是解释型的,并不是编译型的,于此同时IDC还融合了一些python中的元素以方便一些内容的处理。 执行脚本 执行IDC脚本一共有三种方式 idc命令行(菜单栏file->idc command) 脚本文件 (菜单栏file->script file) python命令行(菜单栏file->python comm
基础-glibc_malloc_bin
qq_43390703的博客
11-16 3370
glibc_malloc_bin Bins 用户释放掉的chunk不会立即归还系统,ptmalloc会同一管理heap和mmap映射区域中的chunk。当用户再一次请求分配内存的时候,ptmalloc分配器会试图在空闲的chunk中按照规则匹配一块内存给用户,从而避免频繁系统调用,降低内存分配的开销。 具体实现中,ptmalloc 采用分箱式方法对空闲的 chunk 进行管理。首先,它会根据空闲的 chunk 的大小以及使用状态将 chunk 初步分为 4 类:fast bins,small bins,la
各种姿势解析-python沙箱逃逸
qq_43390703的博客
09-07 2182
目录1.预备内容python中内置执行系统命令的模块:subprocessoscommandstimeitpaltformpty可执行系统命令的函数两个魔术方法python中可以执行任意代码的函数导入os或sys的库2. 沙箱逃逸花式import花式处理字符串恢复sys.modules花式执行函数通过继承关系逃逸文件读写其他3.小结/思路4.实例1. ISCC 2016 Pwn300 pycalc2.__ future _3.hackuctf 20124.future5.cuit2017payload集锦5
use-after-free漏洞-hacknote
qq_43390703的博客
10-17 1118
hacknote 经典的use-after-free漏洞。 原理 简单的说,Use After Free 就是其字面所表达的意思,当一个内存块被释放之后再次被使用。但是其实这里有以下几种情况 内存块被释放后,其对应的指针被设置为 NULL , 然后再次使用,自然程序会崩溃。 内存块被释放后,其对应的指针没有被设置为 NULL ,然后在它下一次被使用之前,没有代码对这块内存块进行修改,那么程序很有可能可以正常运转。 内存块被释放后,其对应的指针没有被设置为 NULL,但是在它下一次使用之前,有代码对这块内存
Unhandled Rejection (ChunkLoadError): Loading chunk mf-dep_vendors-node_modules_ant-design_pro-provider_es_index_js-node_modules_ant-design_pro-utils_es-222108 failed.
最新发布
06-13
这个错误通常是由于网络不稳定或浏览器缓存问题导致的。您可以尝试以下解决方法: 1. 清除浏览器缓存并重新加载页面。 2. 检查网络连接是否正常,尝试重新连接互联网。 3. 如果您使用的是代理服务器,请尝试禁用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值