fastbin attack攻击中关于 malloc__hook

最新推荐文章于 2023-06-14 14:24:07 发布
最新推荐文章于 2023-06-14 14:24:07 发布
阅读量547 收藏 2
点赞数 1
分类专栏: PWN学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45556441/article/details/118610352
版权

概述

在程序中设置钩子,用来在malloc,,对其进行检查,可以看到对应的函数调用后的地址是什么。

malloc__hook 也位于libc中的data段

它是一个地址

当调用 malloc 的时候 它会发生跳转到malloc__hook 所指向的地址

当我们把malloc__hook 所指向的地址 改为 system(“bin/sh”)

再次调用 malloc 的时候 就会发生跳转到 system() 处

操作

上述前提是获取 malloc__hook 的地址

有一个固定的偏移 (libc2.23 // ubuntu16): main_arena+0x58 = unsortbin表头的地址

接着获取malloc__hook的地址: main_arena - 0x10 = malloc__hook

malloc__hook=unsortbin表头地址-0x58-0x10
在这里插入图片描述
第二种方法:这里还有一个固定结论 偏移0x3c4b78

**

libc_base=(程序里的main_arena+88)-0x3c4b78(0x3c4b0+88,一般2.23_64的偏移都是这个,不同libc版本会有不同)

**

show(1)
libc_base = u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00')) -0x3c4b78
malloc_hook =  libc_base + libc.symbols['__malloc_hook']

主线程的arnea称为“main_arena”。子线程的arnea称为“thread_arena”。

这里需要我们先获取unsortbin的地址

即 unsortbin attack (leak libc)

主要是利用堆溢出的原理

步骤过程如下

在这里插入图片描述这是chunk的结构组成部分
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
大致过程是这样的
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
prev-size 站位大小是8

半岛铁盒@
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
pwn题堆利用的一些姿势 -- malloc_hook
lifanxin的博客
04-12 4236
  在做堆题的时候,经常会遇到保护全开的情况,其对利用者影响最大的是PIE保护和Full RELRO,NX保护和栈保护对堆利用来说影响都不大,一般利用也不会往这方面靠。开了PIE保护的话代码段的地址会变,需要泄露代码段基地址才能利用存储在bss段上的堆指针;开了Full RELRO的话,则意味着我们无法修改got表,导致无法修改其它函数got表指向system,进一步获取到shell。因此也就有了我这一系列文章的目的,在got表无法被修改时,我们往往利用的就是下面的一些hook+one
fastbin attack漏洞之__malloc_hook攻击
董哥的黑板报
08-12 5547
__malloc_hook攻击原理为fastbin attack,见文章:https://blog.csdn.net/qq_41453285/article/details/99315504 一、概念 通过fastbin attack,我们可以发起__malloc_hook攻击,将__malloc_hook作为我们的target 二、攻击方向 方向①:我们可以将__malloc_hook函数...
CTF-PWN Noleak (unsortedbin attack+fastbin attack+malloc_hook)
SuperGate的博客
11-25 901
漏洞简述 [*] '/home/supergate/Desktop/Pwn/timu' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX disabled PIE: No PIE (0x400000) RWX: Ha...
2021-10-13
weixin_42338542的博客
10-13 1728
babyheap_0ctf总体思路1.通过unsortbin 来leak main_arena进而可以得到malloc_hook的地址2.通过fastbin attack来控制malloc_hook-0x23的地址块新的改变 总体思路 1.通过unsortbin 来leak main_arena进而可以得到malloc_hook的地址 2.通过fastbin attack来控制malloc_hook-0x23的地址块 新的改变 add(0x80) #0 add(0x80) #1 add(0x80) #2 a
__malloc_hook和__free_hook劫持原理
Grxer的博客
03-20 920
Hook即钩子,截获API调用的技术,是将执行流程劫持到你自己的代码。刚开始在Ubuntu22上做实验,一直不成功,又换了kali,还是不行,最后发现__free_hook,__malloc_hook,__realloc_hook,_after_morecore_hookg在libc-2.34的patch被移除了,换了Ubuntu16 libc版本2.23,但是发现只是在ld链接时会找不到definition,也就是无法通过链接的环节,但是在libc库里还是有的,可能是考虑之前使用hook程序的兼容。
pwn学习总结(五) —— 堆溢出经典题型整理
qq_41988448的博客
12-29 2018
pwn学习总结(九) —— 经典题目整理三(持续更新)fastbin + 栈溢出fastbin + 函数构造 fastbin + 栈溢出 题目:fastbin 环境:ubuntu 16.04 下载地址:https://pan.baidu.com/s/1R6-BVR91Io_ZVPDDpBcCkA 提取码:r7e5 查看程序防护: 使用ida进行反编译: 已知条件: 可以得到mai...
mempool_hook_userdef_0924
09-25
其次,`malloc_hook`是一种在C++扩展内存管理的方式,允许开发者在`malloc`、`calloc`、`realloc`和`free`等函数调用前后插入自定义的行为。这在调试、性能监控、资源限制或者特殊内存管理策略等方面非常有用。`...
!!malloc参考代码与注释.zip_ malloc_malloc
09-23
在Linux环境下,C语言编程,`malloc()`函数是一个非常重要的内存管理函数,它用于动态地分配内存。本文将深入探讨`malloc()`函数的工作原理、使用方法以及如何自定义一个简单的`malloc()`实现,通过分析`my_malloc...
游戏服务器 C 内存监控malloc_hook.zip
最新发布
04-14
这个C#实现的小游戏是一个简单的猜数字游戏,让玩家猜一个1到100之间的随机生成的数字。以下是对这个小游戏的分析: Random 类的使用:游戏开始时,使用 Random 类生成一个1到100之间的随机数作为要猜的数字。...
cJSON_malloc_
10-02
总的来说,`cJSON_malloc_`是`cJSON`库关于内存管理的一个关键组成部分,它与`malloc()`紧密相关,但可能包含了特定于`cJSON`的优化和定制。理解和正确使用这部分功能对于高效且安全地使用`cJSON`至关重要。
mem.rar_Free!_malloc_malloc和free_mem_free_mem_malloc
09-20
malloc”是C语言的动态内存分配函数,它根据指定的大小从堆分配内存。其原型为`void* malloc(size_t size)`,返回一个指向新分配内存的指针。如果分配失败或内存不足,malloc会返回NULL。使用malloc时,我们...
malloc_hook 研究.
hjjdebug的专栏
04-07 2398
研究了一下__malloc_hook, 你可以用man __malloc_hook 获取它的第一认识. 原来它是glibc 定义的一组变量(函数指针), 由此而去调用对应的函数, 这就叫hook. 把这个hook 定义到哪里,它就会调用到哪里,于是就理解了这个hook, 下面给出 一个完成的示例加深理解, 是参考手册写出的代码,调试通过. 可以理解为也是一种代码注入手段. 用以检查内存泄露等! 源码: cat main.cpp #include <stdio.h> #include
android 如何分析应用的内存(七)——malloc hook
安仔的博客
06-14 2300
接上文,介绍六大板块的第二个————malloc hook上一篇的自定义分配函数,常常只能解决当前库的分配,而不能跟踪整个app的分配。为此,android的libc库,从Android 9.0开始引入了malloc hook技术这个技术定义了四个全局变量,这个变量指向对应的函数。注意:在32位系统,有两个已经不在推荐使用的函数,pvalloc和valloc对应的hook为__memalign_hook
malloc hook初探
zz460833359的博客
12-21 1004
在程序设置钩子,用来在malloc, realloc,free的时候,对其进行检查,可以看到对应的函数调用后的地址是什么。这个有时候可以用在debug的时候使用。 几个变量 __malloc_hook 这是一个函数指针变量,指向的是: void * function(size_t size, void * caller) 其caller是表示在栈调用malloc的函数的时候的函数地址,%p可以打印出他的地址。 __free_hook 同样这个也是一个函数指针变量,指向的是:
我又pwn啦——*刷题篇 babyheap_0ctf_2017
m0_64195960的博客
07-28 629
babyheap
获取地址和劫持执行流的方法
九层台
09-02 1978
栗子https://github.com/tower111/software.git 0x01获取栈地址 详细writeup:https://tower111.github.io/2018/08/30/ISG-babynote/ 原理:在fast bin是单链在内存保存,在fd位置处会写入next chunk的地址,这个地址可以用来获取heap_base。 栗子:babynote 需要...
2019信息安全国赛double详解,小白进!
qq_37415423的博客
05-04 1106
试试
2016 HITCON CTF SleepyHolder
Bill
04-22 1693
2016 HITCON CTF SleepyHolder 序言 本来这周准备学习House_Of_Orange, 但是这个牵扯知识点太多. 忽然发现还有一个fastbin_dup_consolidate没有学习, 补一下. 程序运行(文章尾部有程序源码) 1. MENU 1. Keep secret 2. Wipe secret 3. Renew secret 2....
MALLOC_HOOK
RToax
01-29 1556
NAME        __malloc_hook, __malloc_initialize_hook, __memalign_hook, __free_hook, __realloc_hook, __after_morecore_hook - malloc debugging variables SYNOPSIS     ...
malloc_hook
03-03
malloc_hook是一个在C语言用于拦截和修改动态内存分配函数malloc的机制。它是GNU C库(glibc)提供的一个特性,用于在程序运行时对malloc函数进行重定向和修改。 通过使用malloc_hook,我们可以在程序自定义...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

半岛铁盒@

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值