pwn易忘操作原理笔记

最新推荐文章于 2023-02-12 15:27:48 发布
最新推荐文章于 2023-02-12 15:27:48 发布
阅读量138 收藏 1
点赞数
文章标签: shell
原文链接:http://www.cnblogs.com/lllkh/p/10434486.html
版权

堆溢出漏洞:

一、null-byte-off-by-one

漏洞原理:由于输入操作失误,导致可以把size最低字节修改为\x00,overlapchunk利用。

构造

1.freeB,此时C的presize被修改为B的大小

2.通过A的null-byte-off-by-one漏洞修改B的size大小,malloc b1,b2两个块,此时由于通过B的size去找下一个堆块的presize位置来修改,B的size被改动后,C的presize无法得到更新仍然是B的原来大小。

3.free b1,free C,free C的时候通过presize找到b1的位置判断b1未使用所以发生unlink合并。

4.申请一个大的chunk就可以覆盖到b2堆块。

二、ret2dl-runtime-resolve

这个漏洞原理是利用了程序动态链接相关知识,在程序中对一些调用动态链接库函数的got地址会在第一次调用时使用_dl_runtime_resolve函数来获取动态链接库对应函数的实际地址然后填充到got表处,调用该函数时会传递两个参数link_map和.rel.plt的偏移位置reloc_arg,link_map包含了.dynamic的指针

该漏洞主要关注里面的三个指针地址DT_STRTAB,DT_SYMTAB,DT_JMPREL,这三个指针分别指向.dynstr(字符串表)、.dynsym(符号表)、.rel.plt(重定位表),_dl_runtime_resolve的步骤大致如下:

1.通过link_map找到.dynamic的地址,然后通过.dynamic的地址获取到.dynstr,.dynsym,.rel.plt的地址

2.用.rel.plt的地址加上第二个参数reloc_arg取得动态链接库函数在重定位表中的表项,.rel.plt的结构如下:

typedef struct
{
  Elf32_Addr    r_offset; //指向GOT表的指针
  Elf32_Word    r_info;
  //一些关于导入符号的信息,我们只关心从第二个字节开始的值((val)>>8),忽略那个07
  //1和3是这个导入函数的符号在.dynsym中的下标,
  //如果往回看的话你会发现1和3刚好和.dynsym的puts和__libc_start_main对应
} Elf32_Rel;

3.通过rel的r_info字段>>8来获得.dynsym的偏移,.dynsym的结构如下:

typedef struct
{
  Elf32_Word    st_name; //符号名,是相对.dynstr起始的偏移,这种引用字符串的方式在前面说过了
  Elf32_Addr    st_value;
  Elf32_Word    st_size;
  unsigned char st_info; //对于导入函数符号而言,它是0x12
  unsigned char st_other;
  Elf32_Section st_shndx;
}Elf32_Sym; //对于导入函数符号而言,其他字段都是0

4.通过sym的st_name字段(这个字段是动态链接库函数在.dynstr的偏移位置)来找到.dynstr对应的字符串位置

5.在动态链接库中找该函数的实际地址并赋值给got表地址处

6.调用这个函数

利用手段:修改reloc_arg让.rel.plt+reloc_arg的地址在可控地址处来获取可控的r_info,通过r_info>>8+.dynsym的地址来将符号表地址修改到可控地址处sym,再通过.dynstr+sym指向可控地址获取字符串信息system,从而将system函数的地址写到其它函数的got表处,第一次调用该函数相当于调用了system函数。

三、house of orange

 这个堆溢出的利用方式使用到的知识点比较多io_file,unsortedbin attack,top_chunk attack等。

1.利用堆溢出修改top_chunk的size然后去申请一个大于size的chunk,这里会把top_chunk放到unsortedbin里然后在后面重新建一个新的top_chunk,需要满足以下几个条件:

(1)申请的大小要大于MINSIZE

(2)申请的大小要小于128*1024

(3)改后的top_chunk的size要页对齐(top_chunk+size(top_chunk)是0x1000的倍数)

(4)申请的大小+MINSIZE要大于top_chunk的size

2.再申请一个chunk会分割unsortedbin可以获得libc地址

3.修改剩下的unsorted_bin的size为0x60,bk为_IO_list_all-0x10,这样下一次申请一个chunk(大于0x60)时,会触发unsortedbin attack,将bk+0x10也就是_IO_list_all的值改为unsorted_bin的地址,由于我们无法控制main_arena附近的地址,所以我们考虑使用fp->chain来跳到下一个file结构体,这个结构体是我们可以控制的地址,fp->chain是偏移0x60的位置,正好是smallbin[6]的位置,所以之前把size改为0x60,这样unsortedbin会放入smallbin对应大小的地方也就是smallbin[6]的位置,现在smallbin[6]的位置就是之前top_chunk剩余的地址,那一块地址的内容可以事先构建好IO_FILE结构和vtable的地址

4.触发malloc报错,进入libc_message调用abort,abort调用_IO_flush_all_lockp,是IO_FIle vtable里面的内容,由于第一个IO_FILE_ALL的fp->mode不符合判断条件,所以会执行fp=fp->chain到达我们旧的top_chunk剩余的地址处,然后就会执行那个vtable中的函数,事先将该函数地址改为one_gadget即可获得shell。

转载于:https://www.cnblogs.com/lllkh/p/10434486.html

weixin_30896825
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Pwn学习路线及学习笔记以及gem安装
10-15
Pwn学习路线及学习笔记 Pwn是计算机安全领域中的一个重要方向,旨在研究和学习 Binary Exploitation,CTF 等安全知识。本文将从Pwn学习路线及学习笔记入手,总结作者在学习Pwn过程中的心得体会和经验。 一、前期...
hitcontraining_lab14学习(以及Unsorted Bin的个人理解
a2590035252的博客
09-16 1539
适合和我一样的菜鸡pwner
pwn手记录题2
njh18790816639的博客
02-12 670
本题所使用的libc版本为2.34;(最新版libc2.34版本已经没有了所谓的hook函数,甚至exit_hook(实际为某个函数指针)也已经不能够使用;能够利用的手法已经很少了;可以看到Free释放函数总共可以使用11次,而Allocate申请函数可以使用0x2e次;如果按照fastbin_reverse_into_tcache的节奏来说,那么布局是如何的呢?
CTF pwn题堆入门 -- Unsorted bin
lifanxin的博客
04-08 3211
Unsorted bin概述攻击方式泄露libc地址总结 概述   Unsorted bin也是堆题中常见的,当一个堆块被释放时,且该堆块大小不属于fast bin(libc-2.26之后要填满tcache),那么在进入small bin和large bin之前,都是先加入到unsorted bin的。之后当我们再次分配内存到unsorted bin上寻找时,如果申请的内存堆块小于寻找的unsorted bin,那么会将该内存块切割后返回给用户,剩下的仍然保存在unsorted bin上;如果申请的内存堆块
CTF--PWN必备技能--理解c程序从编译开始到运行结束的过程
tbsqigongzi的博客
12-02 1555
GCC编译过程,函数调用栈,CPU执行过程
pwn】学pwn日记(栈学习)(随缘更新)
woodwhale的博客
08-04 5385
pwn】学pwn日记(持续更新) 前言 从8.2开始系统性学习pwn,在此之前,学习了部分汇编指令以及32位c语言程序的堆栈图及函数调用。 文章中的部分图片来自于教学视频 学习视频链接:XMCVE 2020 CTF Pwn入门课程、【星盟安全】PWN系列教程(持续更新) 学习文章链接: CTF Wiki elf文件 未初始化的全局变量glb,编译出来在内存中bss中 初始化的全局变量str(没有被修改过),编译出来在内存中data 而hello world在text段中 main和sum
PWN.rar_PWN
09-24
在IT领域,PWN(Payload Writing Notation)通常与安全...这需要深入理解C语言、嵌入式系统原理、微控制器架构以及相关的硬件接口协议。对于想要学习嵌入式系统开发和硬件驱动编程的人来说,这是一个有价值的实践案例。
pwn ubuntu18的运行环境自己搭建
11-15
pwn ubuntu18的运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
welpwn pwn 入门题
02-11
pwn 入门题
pwn入门题目汇总.rar
09-01
在学习pwn的过程中,首先需要理解的是计算机内存的工作原理,特别是栈、堆和全局变量的布局。栈是程序中存储局部变量和函数调用信息的地方,而堆则是动态分配内存的区域。了解这些内存区域的特性对于发现和利用缓冲...
PWN学习笔记
a1889199124975的博客
07-25 387
久违的更一篇博客总结一点比较基础的PWN题的套路(用户态linux pwn),过一段时间可能会更windows pwn和kernel pwn,这次先总结套路,过一段时间可能会加上具体的例子解析。 ptmalloc利用:分两部分来总结,第一步利用堆漏洞利用,第二部分getshell 对漏洞利用:   fastbins attack,fast bins特性:是一个单项链表,...
pwn 学习笔记 暑假第四天 canary
SsMing的博客
07-17 1059
Stack smash (火狐竟然炸啦,害我重写一遍!!!) 原理 在程序加了canary 保护之后,如果我们读取的 buffer 覆盖了对应的值时,程序就会报错,而一般来说我们并不会关心报错信息。而 stack smash 技巧则就是利用打印这一信息的程序来得到我们想要的内容。这是因为在程序发现 canary 保护之后,如果发现 canary 被修改的话,程序就会执行 __stack_ch...
【CTF】32位/64位dlresolve最全总结(无地址泄露执行one_gadget)
panhewu9919的博客
09-05 1977
利用dl_resolve执行libc内任意gadget(不需泄露libc地址) 实验代码下载地址:https://github.com/bsauce/CTF/tree/master/dl_resolve_64 分析:0CTF的题目blackhole2,很简单的栈溢出,但是远程不允许回显,所以不能泄露libc_base,不能返回shell。程序本身所含有的gadget有限,所以能不能不泄露libc_...
pwn(四)
小明的小书包Ya
10-08 702
pwn(四) 一次M4x师傅_dl_runtime_resolve代码的学习和解析
攻防世界 pwn 进阶 bufoverflow_a
yongbaoii的博客
03-13 431
保护一片绿。 菜单堆。 alloc delete fill show
全网最硬核PWN入门_图解分析
个人笔记
04-03 6688
PWN序Linux环境下的基础知识从C源码到可执行文件的生成过程程序的编译与链接什么是可执行文件可执行文件分类PE/ELFELF文件格式区分节和段的存储区域加载ELF / 查看节和段区分布命令段(segment)与节(section)程序数据在内存中的组织分布大端序与小端序存储关键寄存器静态链接与动态链接常用汇编指令intel 和 AT&T汇编格式 序 PWN知识只有不断的重复,实践才能熟悉掌握。以下知识点以LINUX系统环境下为主要说明(Windows的会有点区别)。 Linux环境下的基础知识
从o开始的pwn学习之超详细ret2dl_resolve
jzc020121的博客
05-01 2495
文章目录从o开始的pwn学习之超详细ret2dl_resolve前置知识需要用到的节_dll_runtime_resolve函数延迟绑定机制_dl_fixup()函数RELROFull RELRONO RELROPartial RELRO_dll_runtime_resolve干了什么实践调用库函数实例插一个有意思的小点,关于低地址gdb无法断点调试这件事call指令的诞生与消亡栈迁移ret2dl_resolvelevel1EXP1level2目标计算 relloc_argEXP2level3思路EXP3l
pwn题堆利用的一些姿势 -- IO_FILE
lifanxin的博客
05-11 5246
IO_FILE概述IO_FILE结构介绍利用IO_FILE进行leakFSOP总结 概述   这是pwn题堆利用系列的第三篇文章,本篇文章主要讲解一下IO_FILE结构在pwn题中的利用。一般来说,想到使用IO_FILE结构,是因为pwn题中没有可以用来leak的函数。 IO_FILE结构介绍   FILE 在 Linux 系统的标准 IO 库中是用于描述文件的结构,称为文件流。 FILE 结构在程序执行 fopen 等函数时会进行创建,并分配在堆中,然后以链表的形式串联起来,但系统一开始创建的三个文件st
【学习笔记】CTF PWN选手的养成(二)
prettyX的博客
11-25 1890
第三章 漏洞利用技术 课时1 栈溢出-这些都是套路 0X01 基础知识 1、寄存器:rsp/esp、rbp/ebp等 2、栈: 3、函数调用:call、ret 4、调用约定: __stdcall、__cdecl、__fastcall、__thiscall、__nakedcall、__pascal 5、参数传递:取决于调用约定,默认如下 X86从右向左入栈 X64优先寄存器,参数过...
pwn ret2libc原理
最新发布
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是在程序中没有自带的/bin/sh字符串,所以需要通过其他方式获取执行shell命令的能力。 具体而言,攻击者会利用程序中的栈溢出漏洞,将栈上的返回地址修改为在libc库中的某个函数的地址,例如puts函数。然后通过执行puts函数,将栈上保存的函数地址打印出来。由于libc库中的函数地址相对位置是不变的,攻击者可以根据已知的函数地址和libc的版本来计算system函数的真实地址。然后再利用system函数执行特定的操作,比如执行shell命令。 总结来说,pwn ret2libc攻击的原理是通过栈溢出漏洞修改返回地址为libc库中的一个函数地址,然后根据已知的函数地址和libc的版本计算出system函数的真实地址,最终实现执行shell命令的目的。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [pwn学习——ret2libc2](https://blog.csdn.net/MrTreebook/article/details/121595367)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [pwn小白入门06--ret2libc](https://blog.csdn.net/weixin_45943522/article/details/120469196)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值