realloc函数UAF利用|攻防世界pwn进阶区supermarket

最新推荐文章于 2022-12-25 01:24:28 发布
最新推荐文章于 2022-12-25 01:24:28 发布
阅读量865 收藏 1
点赞数 1
分类专栏: # pwn 文章标签: 堆栈 malloc 内存管理 指针
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43092232/article/details/105014161
版权

文章目录

思路

0x00.tar解压

下载获得压缩包文件,解压之后放进ubuntu中发现还是一个tar格式压缩包。

tar -xf filename

附:linux下tar命令详解
解压得到一个libc.so.6的库和一个可执行文件

0x01.查看保护

查看保护

 - 32位程序
 - 可以进行栈溢出
 - 堆栈上的代码不可执行
 - 地址随机化未开启

0x02.查看程序并调试

菜单界面
很明显的菜单题,试了一下选项都能用,感觉比上次做的菜单题要难一点。

1. add a commodity #添加商品
2. del a commodity #删除商品
3. list commodities #商品列表
4. Change the price of a commodity #修改商品价格(无权限)
5. Change the description of a commodity #修改商品类型
6. exit #退出

程序的note结构体如下:

typedef struct Node{
   
	char name[16];
	int price;
	int descrip_size;
	char *description;
}

0x03.漏洞分析

输入函数
del函数
这题和一般的UAF有一定的区别,因为free之后的指针也赋值为NULL。
利用点在于一个realloc函数。
通过realloc进行UAF

realloc函数详解

函数原型

realloc原型是extern void *realloc(void *mem_address, unsigned int newsize);

函数功能

先判断当前的指针是否有足够的连续空间,如果有,扩大mem_address指向的地址,并且将mem_address返回,如果空间不够,先按照newsize指定的大小分配空间,将原有数据从头到尾拷贝到新分配的内存区域,而后释放原来mem_address所指内存区域(注意:原来指针是自动释放,不需要使用free),同时返回新分配的内存区域的首地址。即重新分配存储器块的地址。

注意点

如果重新分配成功则返回指向被分配内存的指针,否则返回空指针NULL。

0x04.利用思路

  • 若当前指针没有足够的连续空间,则会释放原来的mem_address,由于没有把返回地址赋给node0->description,因此存在UAF漏洞。
  • 创建nodeX时,先malloc node结构体,再malloc description空间。创建nodeX+1时,如果满足条件,nodeX+1结构体会申请到nodeX->description,此时编辑nodeX的description就是编辑nodeX+1的结构体。我们把nodeX+1的description指向atoi的got表,就可以实现泄露atoi的地址以及修改atoi的got表。

利用过程

exp-1

# -.- coding=UTF-8 -.-
from pwn import *
from LibcSearcher import *
context(log_level="debug",arch="i386",os="linux")
r = remote("111.198.29.45",54105)
elf = ELF("./supermarket")
libc = ELF("./libc.so.6")
atoi_got = elf.got['atoi']

#define add1,del1,list1,edit1

def add1(index,size,content):
    r.sendlineafter('your choice>>','1')
    r.sendlineafter('name:',str
最低0.47元/天 解锁文章
_n19hT
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PWN系列】攻防世界 supermarket 题解
Vicl1fe的博客
10-30 448
个人博客地址 http://www.darkerbox.com 欢迎大家学习交流 参考网址: https://blog.csdn.net/seaaseesa/article/details/103093182 https://blog.csdn.net/qq_44370676/article/details/108229050(较详细) 分析 大概看了一个,是一个商品系统。一个商品含有名字、价格、描述,并且程序有五个功能 : 1、添加商品 2、删除商品 3、展示商品 4、修改商品价格 5、修改商品的
realloc函数使用总结
01-21
realloc原型是extern void *realloc(void *mem_address, unsigned int newsize);   函数说明 语法   指针名=(数据类型*)realloc(要改变内存大小的指针名,新的大小)。   新的大小可大可小(但是要注意,如果新的大小小于原内存大小,可能会导致数据丢失,慎用!)   头文件   #include <stdlib> 有些编译器需要#include <malloc>,在TC2.0中可以使用alloc.h头文件   功能   先判断当前的指针是否有足够的连续空间,如果有,扩大mem_address指向的地
攻防世界PWNSupermarket题解
seaaseesa的博客
11-15 2235
Supermarket 首先,看一下程序的保护机制。看起来还不错 然后,我们用IDA分析一下 分析出程序大概有这样的一个结构体 typedefstructNode{ charname[16]; intprice; intdescription_size; char*description; }Node;...
攻防世界supermarket
qq_44370676的博客
08-25 355
首先检查保护机制 然后运行一下 是一个菜单题,接着往下看 可以看到,选项3会按行打印出每个商品的信息,在des.后面就是商品的description 接着IDA分析 首先看看sub_8048864() sub_8048812就是读入一串字符串到nptr,这一块并没有溢出点,但是这里并不是以%d的方式输入数字,而是先输入字符串然后用atoi函数转换,如果能够修改atoi的got表为system并且输入/bin/sh那么我们的目的便达成了。接着往下看,看能不能实现这.
UAF-攻防世界time_formatter
csdn546229768的博客
11-23 3392
终于来到了传说中的堆,这是攻防世界里面的堆第一次,刚遇到的时候有点懵逼,看了wp也看不懂,后来才知道是堆题。。。 嗯,我回来了,哈哈哈哈,首先详细了分析了一波题目,先把重要的函数例举出来 纵观全局在我菜鸟看来就只有个system(“asdadasd;/bin/sh;as21sad12e”);这个漏洞,因为system的参数由我们控制,所以就有无限可能,这里有两个全局变量,第一个被格式化为整型了,另一个是字符串类型,那么就是构造";/bin/sh;"的最好容器,嗯,如图:可以看到ida列出来对ptr
pwn hacknote学习(UAF漏洞利用
fanghuapyk的博客
12-01 2702
hacknote: uaf漏洞通常就是内存块被释放后,其对应的指针没有被置为NULL,然后在下一次使用前,有相应的代码对这块内存行了修改,当程序再次使用相同的内存空间的时候,我们就能覆盖原来的地址,从而返回我们想要执行的函数的地址。 我们通常称释放后没有被置为NULL 指针为dangling pointer。 这里贴出源码: #include <stdio.h> #include &...
realloc函数的使用
09-04
realloc函数的使用在数据结构中十分重要,本文给出了使用的例子和使用的具体说明
C语言函数realloc.doc-综合文档
05-22
C语言函数realloc详解 realloc函数是C语言中一个非常重要的函数,它用于重新分配内存块的大小,以满足程序运行的需求。下面是对realloc函数的详细说明和注意要点。 realloc函数简介 realloc函数的原型为`extern ...
内存分配——realloc()函数的使用
08-26
内存分配——realloc()函数的使用 在C语言中,realloc()函数是一个非常重要的内存分配函数,它可以将已经分配的内存空间重新分配到一个新的大小。然而,在使用realloc()函数时,需要注意一些隐患,以免造成...
c代码-c语言realloc函数
07-16
c代码-c语言realloc函数
OMNET++4.0 RC4算法
07-20
用OMNET++4.0编写的RC4算法,可直接移植。(注:不是文档,只能在omnet++4.0下使用)
uaf-逻辑题-攻防世界 supermarket
csdn546229768的博客
11-30 368
刚开始我也被这题绕晕了,做这种题要画图画图!!!不然很容易做着做着忘了自己做到哪里来了 本题环境是ubuntu16、glib2.23!!!我第一次做的时候用的ubuntu18也就是glib2.27这时有tcache freechunk的分配策略不一样死活跑不出来,这题我还要研究一下tcache版本的。 首先申请了一个不在fastbin范围(0x10~0x58)的chunk0,然后再申请一个随便大小的chunk1,解释:因为下面我将要用remalloc重新分配chun0,remalloc如果重新分配的ch
[pwn]堆:realloc_hook控制栈结构达成onegadget
热门推荐
Breeze的博客
12-31 1万+
[pwn]realloc_hook控制栈结构达成onegadget 文章目录[pwn]realloc_hook控制栈结构达成onegadgetchunk extend通过realloc调整栈帧来满足onegadgeteasy_pwn wp chunk extend chunk extend是一种限制比较少的堆利用方式,通常通过off by one或off by null来利用。 chuank ex...
攻防世界pwn supermarket + 实时数据监测
PLpa的博客
02-13 903
supermarket 这是一个典型的堆题,菜单类型。 只开了NX保护的32位程序。 我们来分析一下程序 程序实现了增删改查,其中改可以改价格和商品的描述,我们重点看改描述,因为程序的漏洞就在这里。 首先让我们输入商品的名字,通过名字来找到商品,这里我们就可以伪造商品了。继续往下看会看到程序让我们输入描述信息的size。通过程序分析我们知道(&s2)[v1]+5是结构体中存储堆的si...
UAF漏洞利用原理分析
qq_29317353的博客
12-25 871
制安全,UAF漏洞分析学习
linux_pwn(1)--uaf
azraelxuemo的博客
03-04 1182
文章目录What is uafpwn题例题add函数show函数delete函数开始做题准备框架调试attackexp总结 What is uaf use after free 一般可能会有以下的场景 ptr=malloc(0x10) free(ptr) ptr-> 可能写代码不会出现这样的明显错误,但如果多文件呢?可能你这个地方释放了,其他地方还存在引用 所以项目中记住,free之后立刻ptr=NULL pwn题 在ctf里面,一般uaf出题模式就是 在bss开辟了域,保存了每个heap的地址,
攻防世界pwn supermarket
qq_42728977的博客
03-18 450
supermarket degree of difficulty: 3 source of the challenges: CISCN-2018-Quals solving ideas:reaclloc \UAF ok, put it in IDA. Got the breaking point of it: this function’s introduction: all in all ,...
见微知著(一):解析ctf中的pwn--Fast bin里的UAF
weixin_30826761的博客
12-14 310
  在网上关于ctf pwn的入门资料和writeup还是不少的,但是一些过渡的相关知识就比较少了,大部分赛棍都是在不断刷题中总结和的。所以我觉得可以把学习过程中的遇到的一些问题和技巧总结成文,供大家参考和一起交流。当然,也不想搞那些烂大街的东西,所以,打算从一道道pwn题开始,见微知著,在题目中延伸。 一:工欲善其事必先利其器   ubuntu14.01 64位(该版本对pwnto...
pwn入门08---堆利用uaf
weixin_45943522的博客
02-21 1431
use_after_free 原理 简单的说,Use After Free 就是其字面所表达的意思,当一个内存块被释放之后再次被使用。但是其实这里有以下几种情况: 内存块被释放后,其对应的指针被设置为 NULL , 然后再次使用,自然程序会崩溃。 内存块被释放后,其对应的指针没有被设置为 NULL ,然后在它下一次被使用之前,没有代码对这块内存块行修改,那么程序很有可能可以正常运转。 内存块被释放后,其对应的指针没有被设置为 NULL,但是在它下一次使用之前,有代码对这块内存行了修改,那么当程序再次使
LEGEND: STACK | HEAP | CODE | DATA | RWX | RODATA
最新发布
08-17
LEGEND: STACK | HEAP | CODE | DATA | RWX | RODATA是用来表示不同内存块的缩写标记。其中,STACK代表栈空间,HEAP代表堆空间,CODE代表代码段,DATA代表数据段,RWX代表可读、可写、可执行的空间,RODATA代表只读的数据段。这些标记通常用于描述程序的内存布局,以帮助理解程序的运行机制。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [realloc函数UAF利用|攻防世界pwnsupermarket](https://blog.csdn.net/weixin_43092232/article/details/105014161)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值