chunk_extend
Chunk Extend and Overlapping
chunk extend是堆漏洞的一种常见利用手法,通过 extend可以实现 chunk overlapping的效果。这种利用方法需要以下的时机和条件:
- 程序中存在基于堆的漏洞
- 漏洞可以控制 chunk header 中的数据,如修改size
例题
我们可以先创建2个堆块看看功能
xxxxxxxxxx6 1size_t fread(void ptr, size_t size, size_t nmemb, FILE stream)23ptr – 这是指向带有最小尺寸 size*nmemb 字节的内存块的指针4size – 这是要读取的每个元素的大小,以字节为单位5nmemb – 这是元素的个数,每个元素的大小为 size 字节6stream – 这是指向 FILE 对象的指针,该 FILE 对象指定了一个输入流C
edit有off-by-one
edit heap0 ->content可以修改heap1的size
通过释放heap_1
edit(0, "/bin/sh\x00" + "a" * 0x10 + "\x41") |
先free heap1->content,再free heap1的结构块
此时0x40的链表上已经有extend后的块了
此时如果我们再申请一个content_size为0x30的堆块,将启用fastbins中一个0x20作为new_heap1的结构块,以及0x40的作为new_heap1的content块。
此时,形成了一个结构块被内容块吃掉的局面
改前
由于我们可以通过edit修改heap的content,相当于我们可以伪造new_heap的结构块
改后,0x602018即为free_got
在show中
会显示结构块中content指针变量,如果把这个指针覆盖为free_got指针,再show,就可以得到free函数的真实地址,从而成功泄露libc
此时edit new_heap1的话,由于content的指针被改了,edit会跟着free_got中的地址,我们可以把他改成别的函数地址,当执行free时,会转而执行我们所希望的函数,例如system
heap0的内容块又是binsh,直接getshell
EXP
from pwn import * |
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Zechariahの博客!
- 微信
- 支付宝
相关推荐
2025-02-22
Art_of_shellcode
很有用的网址https://www.exploit-db.com/shellcodes https://v3rdant.cn/Pwn.The-Art-of-Shellcode/ PWN:手动编写 x64 基于syscall 的 shell code(TODO)_x64 syscall pwn-CSDN博客
2025-02-06
ELF文件保护机制
Linux ELF文件的保护主要有四种:Canary、NX、PIE、RELRO 1.CanaryStackCanary表示栈的报警保护。在函数返回值之前添加的一串随机数(不超过机器字长)(也叫做cookie),末位为/x00(提供了覆盖最后一字节输出泄露Canary的可能),如果出现缓冲区溢出攻击,覆盖内容覆盖到Canary处,就会改变原本该处的数值,当程序执行到此处时,会检查Canary值是否跟开始的值一样,如果不一样,程序会崩溃,从而达到保护返回地址的目的。 //GCC用法gcc -o test test.c // 默认情况下,不开启Canary保护gcc -fno-stack-protector -o test test.c //禁用栈保护gcc -fstack-protector -o test test.c //启用堆栈保护,不过只为局部变量中含有 char 数组的函数插入保护代码gcc -fstack-protector-all -o test test.c //启用堆栈保护,为所有函数插入保护代码-fno-stack-protector /-fstack-prote...
2025-02-14
C语言函数原型整理
system当system函数执行的时候会利用到rdi里的参数 writewrite(1,write_got,8)是把write_got地址指向内存的内容的前8个字节写入到标准输出流中。ssize_t write(int fd, const void *buf, size_t count)参数说明:fd:文件描述符,表示要写入数据的文件或设备。文件描述符是一个整数,通常是由open系统调用返回的。例如,0表示标准输入(stdin),1表示标准输出(stdout),2表示标准错误(stderr)。buf:指向要写入数据的缓冲区的指针。这个指针可以是任何类型的数据,因为它是void类型的。count:要写入的字节数。函数会尝试从buf中写入count个字节的数据。返回值:正整数:表示成功写入的字节数,可能会小于count(例如,由于磁盘已满等原因)。0:表示没有写入任何数据。-1:表示发生错误,并设置`errno`来提供进一步的错误信息。 readssize_t read(int fd,void*buf,size_t count)参数说明:fd:是文件描述符buf:...
2025-02-16
AWD学习
AWD流程 改init_hosts.py中的ip格式和port 改submit_flag.py中的提交方式和token 改round_wait_time patch 写exp 批量攻击 扫描IPimport requestsimport threading li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m')ll = lambda x : print('\x1b[01;38;5;1m' + x + '\x1b[0m') def check_ip(i): try: url = f'http://192-168-1-{i}.awd.bugku.cn/' #* response = requests.get(url, timeout=0.5) if response.status_code == 200: li('[+] &...
2025-04-08
NPC_final出题小记(通过fmt进行RSA-CRT Fault Injection)
前言 本题源码改自于2022 Samsung的SecureRunner 本题是一道二进制分析和密码学相结合的题,笔者认为出这种题还是很有趣的。 本题暂已托管至西安电子科技大学CTF终端供大家练习复现 链接:NPC²CTF 2025 - 西电 CTF 终端 其余用途均需通过 关于笔者 中的邮箱征得笔者同意 题目编写源码源码会开源到我的github仓库 解题步骤题目描述小睦的大脑里只有签名正确的命令才能执行,可小睦睡着了,Mortis 太 fw 了不知道私钥。 看来只能和 Mortis 把脑内小剧场破坏的乱七八糟才能拿 flag 了 (简单 Crypto + 签到 PWN = 也许还行的大粪 CRYpwnTO)(需要一点基础的二进制分析能力) 为了降低难度,把这题的密码考点(RSA-CRT Fault Injection)单独编了一个题(即task.zip中的just_a_hint.py)作为提示 靶机连接 连上靶机后忽略没什么用的剧情,结合文字信息和对各种选项的尝试,可以提炼出以下要点 选项1可以获取RSA公钥 选项2可以执行命令,但同时需要输入命令和这条命令正确的si...
2025-02-18
PWN入门-整数溢出
基本数据类型再说整数溢出之前,我们首先的先来说一下C语言中的整型的数据分类。按数据类型分类主要分三类:短整型(short)、整型(int)、长整型(long)按符号分类:有符号、无符号并且每种数据类型都有自己的大小范围整形: #include <stdio.h>int main(){ unsigned short int a = 1; unsigned short int b = 65537; if(a == b){ printf("Int overflow successfully!\n"); } return 0;} 编译gcc -g test.c -o test运行一下程序输出Int overflow successfully!unsigned short int的范围是0~65535,对变量b的赋值超过了这个范围,因此hex的数据最高位被截断,从而变成了0x0001=1 示例XCTF攻防世界int_overflow - 吾爱破解 - 52pojie.cn只...