堆指针越界&堆上布置shellcode|攻防世界pwn进阶区 note-service2

最新推荐文章于 2024-08-23 17:36:53 发布
最新推荐文章于 2024-08-23 17:36:53 发布
阅读量800 收藏
点赞数 1
分类专栏: # pwn 文章标签: 指针 堆栈
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43092232/article/details/104941534
版权
本文介绍了如何利用堆指针越界漏洞在CTF竞赛中布置shellcode并控制程序执行流程。通过分析保护机制、程序功能、IDA逻辑,提出利用思路,包括替换GOT表、关闭NX保护、使用jmp short指令和堆栈数据执行。详细解释了计算jmp指令跳转距离、shellcode布置、传参机制及free GOT表地址的计算过程。
摘要由CSDN通过智能技术生成

文章目录

前言

目前CTF竞赛中,以堆为背景的pwn题已逐步成为了pwn类型题目中的主流,开始逐步接触堆题,本题涉及到在堆上布置shellcode,并利用堆指针使程序执行流得到控制。

思路分析

0x00.检查保护机制

在这里插入图片描述

Canary found:不能用溢出的方式控制程序执行
NX disabled:堆栈上数据可执行
PIE enabled:地址随机化开启

0x01.查看程序功能

在这里插入图片描述

一个简单的菜单题,add 和 del可以用,show和edit功能不可用

0x02.ida查看逻辑

在这里插入图片描述
在这里插入图片描述
获得以下信息:

  • 堆块最大为8字节,但是我们只能写入7字节的数据
  • 堆指针的下标可以越界

0x03.利用思路

(1)通过堆指针越界,把一些GOT表表项替换成堆指针
(2)因为NX 关闭,堆栈数据可以执行,直接在堆栈上布置shellcode
(3)每个堆块可以写入7个字节的数据,3个字节留作布置jmp short xxx(jmp short占两个字节,对应的机器码是\xeb,xxx对应1字节,且jmp short xxx是相对当前位置寻址),4个字节用于布置shellcode。
(4)要把shellcode分开布置在多个堆块上面。

jmp short xxx 中,xxx=目标地址-当前地址-2

利用过程

0x00.选一段shellcode布置在堆上

mov rdi, xxx   //xxx=&("/bin/sh")  
xor rsi,rsi   //rsi=0,实际可以是mov rsi, 0 但是mov这个命令太长了。下同。占2字节
mov rax, 0x3b //rax=0x3b 占4字节
xor rdx,rdx   //rdx=0 占2字节
syscall //就是syscall调用execve("/bin/sh",0,0)

jmp short 占2个字节
jmp short xxx占3个字节

0x01.计算jmp short指令要跳多少字节

在这里插入图片描述
从chunk0跳到chunk1,
目标地址-当前地址=8+8+8+1+2

最低0.47元/天 解锁文章
_n19hT
关注
专栏目录
攻防世界进阶note_service2: 第一题!
weixin_48066554的博客
03-16 353
note_service: 第一题! 拿到题目,按惯例checksec: 发现开了PIE和Canary,这意味着我们不能愉快地ret2text了,有点难受,但是没开NX,那不就ret 2 system call 一把梭哈了吗 丢到ida里看一下(为方便阅读,已将部分函数名、变量名进行了更改): 反汇编 1、程序主体 void choice() { while ( 1 ) { menu(); printf("your choice>> "); switch (
XCTF note-service2
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-09 879
查程序保护机制 开启了PIE和CANARRY 没有开启NX,堆栈具有可执行权限 IDA64载入程序,查看main函数 重点分析sub_E30(); 经过分析得知sub_C56()是一个输出提示信息的函数,sub_B91()是获取用户输入值的函数 sub_DC1();sub_DD4();这两个函数的功能未完成 仅实现了sub_CA5();sub_DE7();这两个函数,这两个函数实现了添加和删...
[攻防世界]noteservice2
m0_55906008的博客
01-15 310
一道基本的
pwn-shellcode执行
最新发布
GalaxySpaceX的博客
08-23 1006
pwn-shellcode执行
攻防世界note-service2
像初雪一样自由洒落
02-20 711
来源:CISCN-2018-Quals 参考: 1.https://blog.csdn.net/qq_42728977/article/details/103914342 2.https://blog.csdn.net/seaaseesa/article/details/103003167
攻防世界-note-service2-Writeup
SkYe's Blog
05-15 387
note-service2 [collapse title=“展开查看详情” status=“false”] 考点:堆上shellcode 保护情况:NX 保护关闭 Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX disabled PIE: PIE enabled RWX: Has RWX segments 漏洞函数:存放指针的数组可越界存放。也就是指针可放置
攻防世界pwnnote-service
qq_42728977的博客
01-09 896
写在前面:最近在准备期末考试,姑且是这个理由吧,pwn和re都停了一个月了,感觉自己不够持之以恒,本来说还得一天一道题,给搁置了一个多月了,pwn和re这东西,不进则退,搞得我很难受,本来想的是,这个学期有点成绩,但是现在看来才是刚入门,而且还要复习考研,时间和精力会更少。喜欢pwn和re是因为自己很喜欢从原理搞清楚一个事情。不多啰嗦了,开始写wp了。 题目:note-service 原题是CIS...
攻防世界-PWN进阶-Noleak(XCTF 4th-QCTF-2018)
weixin_44145820的博客
03-01 915
本题主要考察对的利用,需要有一定的背景知识,本文也参考了几篇大佬的Writeup,让本文尽可能详细。 题目分析 checksec: 本题的RELRO是完全开启的,意味着我们不能通过修改GOT表来进行攻击 以下是源代码: main函数 delete函数: 这里可以看到free之后没有把指针置空,可能有UAF或者Dubble Free edit函数: 在本函数中,没有检测大小就直接写入,明显...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwnshellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
CTF-PWN-note-service2 (shellcode执行)
SuperGate的博客
11-18 579
checksec Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX disabled PIE: PIE enabled RWX: Has RWX segments 发现没有开启NX,因此很有可能是要我们将sh...
shellcode之五:溢出
AZURE
01-22 3186
声明:主要内容来自《The Shellcoder's Handbook》,摘录重点作为笔记并加上个人的一些理解,如有错,请务必指出。 几乎所有的malloc实现都会用元数据保存块的位置、大小或与小块有关的特殊数据。dlmalloc用存储桶保存这些数据,还有些malloc实现用平衡树结构保存它们。这些元数据一般保存在两个地方:malloc实现自己使用的全局变量;分配给用户的内存块的前/后位
note-service2(xctf)
weixin_43868725的博客
08-08 562
0x0 程序保护和流程 保护: 流程: main() real_main() 选择1可以新建一个note,选择2和3没有实现,选择4可以删除note,选择5可以退出程序。但是在选择1的时候没有对数组的边界进行考虑。 0x1 利用过程 1.虽然这个程序也存在UAF漏洞但是由于输出和修改功能没有实现所以能利用的角度基本没有,但是数组越界可以任意地址写。 2.可以发现相对于数组的低地址处有**.got.plt表,并且.got.plt表是有读写权限的。所以可以修改.got.plt**表 可以得到偏移就是
ADworld pwn wp - note-service2
fa1c4的blog
06-26 136
qword_2020A0[v1] = malloc(result);存在数组越界漏洞, 可以借此将特定的指针写到got表里 写入content的处理函数, 最后一个字节会赋值为0, 所以可用的空间是7字节 选择delete会触发free() 整合已有信息: (1) 数组越界漏洞 (2) 一个chunk可以使用7字节 (3) delete选项可以free相应的chunk 利用思路: (1) 申请多个chunk, 分段写入shellcode (2) 利用数组越界修改free的got表项为shellc...
攻防世界PWNnote-service2题解
seaaseesa的博客
11-10 2839
note-service2 首先看一下程序的保护机制,注意,PIE是开启的,这个checksec检测PIE有时候不准确。不过,我们看到NX是关闭的,说明堆栈的数据可以被当做指令执行 然后,我们用IDA分析一下,发现是一个很简单程序,并且只有添加和删除功能,其他功能未实现 创建这里,有三处值得我们注意 创建的空间大小最多为8字节 保存指针的数组下标可以越界 既然数组下...
pwn 手写Shellcode保姆级教程★
YX-hueimie
10-20 4016
本文章为手写Shellcode的教程,本文章将会围绕 NewStarCTF 2023 WEEK2 中的shellcode revenge一题展开,深入浅出带你一起编写shellcode。学完本文章,你将会有以下收获:加深对shellcode的理解,提升shellcode的编写能力,提升汇编能力,熟练掌握“异或”操作。
CISCN2021pwn pwny(数组越界,劫持exit_hook)
m0_51251108的博客
10-03 1206
CISCN2021pwn pwny(数组越界,劫持exit_hook)
ret2shellcode writeup
Morphy_Amo的博客
12-22 366
查看安全策略 root@kali:~/ctf/Other/pwn# checksec ret2shellcode [*] '/root/ctf/Other/pwn/ret2shellcode' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX disabled PIE: No PIE (0x8048000) RWX: .
攻防世界-PWN进阶-hacknote(pwnable.tw)
weixin_44145820的博客
03-04 643
攻防世界中这道题是pwnable.tw上面的原题,虽然在攻防世界上难度为7星,不过实际上这题不算难,只需要利用UAF就可以完成。 题目分析 题目链接:https://pan.baidu.com/s/1T-mIVLkxvyZ_7VvlBuInZQ 提取码:azyd checksec: 保护机制比前几题弱了很多 main: hacknote实现了三个功能: 1.添加(上限为5) 在新建no...
攻防世界 pwn repeater
09-13
攻防世界是一个CTF竞赛平台,其中包含了各种类型的题目,包括pwn和repeater题目。根据引用中提到的信息,攻防世界标记的难度可能不准确。这可能是因为题目的实际难度与标记的难度不一致,导致出现了这种情况。 至于repeater题目,根据引用中提供的代码,该题目涉及到了远程攻击和内存溢出的技术。代码中使用了pwn工具包来进行远程连接和漏洞利用。通过发送一段恶意输入,攻击者可以覆盖程序的返回地址,使得程序执行恶意的shellcode。 具体地说,代码中通过发送一系列的输入,包括恶意shellcode,使得程序发生内存溢出,覆盖了主函数的返回地址,从而让主函数正常退出,并跳转到shellcode的首条指令处。 在此过程中,使用了pwn工具包中的一些功能,如远程连接、编码shellcode等。代码中也展示了一些具体的操作步骤,如发送输入、计算地址等。 综上所述,攻防世界中的pwn和repeater题目分别涉及到了漏洞利用和内存溢出的技术。通过精心构造的输入,攻击者可以利用程序的漏洞来执行恶意代码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值