堆学习笔记-chunk overlapping

最新推荐文章于 2025-08-01 14:27:00 发布
原创 最新推荐文章于 2025-08-01 14:27:00 发布 · 654 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn

本文详细介绍了如何利用CTF-wiki学习heap exploitation,通过两个实例展示了如何利用堆溢出、UAF和格式化字符串漏洞进行内存操纵,实现chunk overlapping和任意地址读写,最终达到代码执行的目的。涉及的知识点包括ptmalloc、fastbin、tcachebins、chunk extend、fini_array等。

CTF-wiki真是太好一学习网站了。

原文链接:https://ctf-wiki.org/pwn/linux/user-mode/heap/ptmalloc2/chunk-extend-overlapping/#_1

Chunk Extend

实现条件

要实现chunk extend需要满足的条件:有堆漏洞,并且该漏洞可以修改chunk header里的数据。

实现原理

原理大概就是:

①:ptmalloc通过chunk header里面的prev_size和size来对前后堆块进行定位。

②:ptmalloc通过查看下一个堆的prev_inuse值来判断该chunk是否被使用。(不能通过prev_size来判断,因为虽然**”该chunk为空时,下一个堆块的pre_size会记录该chunk的大小。“**但是不能判断pre_size里记录的数据到底是上一个chunk的size还是上一个chunk的末尾数据)

因此我们如果能控制chunk header里面的数据,就可以导致chunk overlapping,可以控制chunk里面的内容,如果可以控制的chunk内容范围里存在指针等,就可以修改指针值达到任意地址读写或者控制程序流程。

实现步骤

个人笔记:①:fastbin由于追求效率,安全检验机制机制较弱,free时找到fastbin链表中符合大小的堆块就直接加入了,不会检测pre_insue的值。同时,物理地址相邻的fastbin不会合并。

​ ②:fastbin的最大使用范围为0x70,若不属于fastbin,在合并时会与topchunk合并。因此free的堆块必须和top chunk中间需要有一个小堆块将这两者隔开。

​ ③:通过extend前向overlapping,利用的是unlink机制,修改free掉的堆块的prev_insue值和prev_size值即可。

具体见上文中链接。

例题一

链接:https://pan.baidu.com/s/1gJCCP81xegAFZGPs7hJVRw
提取码:F1re

很友好的一道题,题目是常见的菜单。

checksec一下:

10

gdb调试后还原堆结构体:

1

  • 功能一:create_heap:在选择创造堆块的功能时,系统会先自动分配了0x20的内存,拿来存放结构体。然后可以分配用户输入的大小的堆。

  • 功能二:edit_heap:能修改堆块的content值,查看read_input函数后发现存在off-by-one漏洞,可以通过该漏洞在一定条件下覆盖下一个堆块的size值。

  • 功能三:show_heap:将content size的值和content打印出来。

  • 功能四:delete_heap:先free掉我们的content部分,然后free掉系统帮我们自动申请的struct部分,最后将堆指针置为零。

基本思路

该题满足了实现chunk-extend的两个条件。因此我的基本思路是:

①:创建两个堆,利用edit_heap函数的off-by-one漏洞修改第一个堆的content值,然后覆盖修改第二个堆的chunk header里面的size值。

②:通过delete_heap函数free掉第二个堆,再通过create_heap函数重新申请回来,造成chunk-overlapping,即可使chunk header里的指针域处于可修改的content域中,可控制指针,达到任意地址跳转和读写。

③:改写free_got成system函数地址,并在free的参数里放置“/bin/sh",最后利用delete_heap函数调用free函数实现get shell。

实现步骤①:

这是正常创建两个堆后的内存图,content size均为0x10.

2

由于我们能输入到content里面的数据是content size+1个,因此我们最多只能覆盖到0x6032d0的第一个字节,也就是覆盖到第二个堆块的prev_size字节。但我们知道,前一个堆不为空的时候,该堆的prev_size是不起作用的,置为0,而此时该堆的prev_size是可以拿来储存物理相邻的前一个堆的数据的(该机制被称为chunk 的空间复用)。且根据堆分配机制,用户请求的字节是拿来储存数据的,若我们一开始给heap1请求0x18的内存,由于chunk空间复用的关系,系统只会多分配0x10的内存给heap1,而由于edit_heap函数里的:

read_input(*((void **)*(&heaparray + v1) + 1), *(_QWORD *)*(&heaparray + v1) + 1LL);

因此我们可以读入0x19个字符,此时就可以覆盖到heap2的size字段。

实操:

先定义基本操作函数:

def create(size,content):
    r.recvuntil(b":")
    r.sendline(b'1')
    r.recvuntil(b"Size of Heap : ")
    r.sendline(str(size))
    r.recvuntil(b"Content of heap:")
    r.sendline(content)

def edit(index,content):
    r.recvuntil(b":")
    r.sendline(b'2')
    r.recvuntil(b"Index :")
    r.sendline(str(index))
    r.recvuntil(b"Content of heap : ")
    r.sendline(content)

def show(id):
    r.recvuntil(b":")
    r.sendline(b'3')
    r.recvuntil(b"Index :")
    r.sendline(str(id))

def delete(id):
    r.recvuntil(b":")
    r.sendline(b'4')
    r.recvuntil(b"Index :")
    r.sendline(str(id
最低0.47元/天 解锁文章
chunk_overlap(通常译为“分块重叠度”)
lpfasd123的博客
11-14 133
当处理长文档(如论文、报告)时,需将其分割为固定长度的小文本块(chunk,通常以token或字符为单位),以便高效进行向量嵌入(embedding)和检索。定义了前一个文本块的末尾与后一个文本块的开头之间重复的内容长度。举例若(每个块最大500 token),第1块:文本位置1-500token第2块:文本位置401-900token(与第1块重叠401-500token)第3块:文本位置801-1300token(与第2块重叠801-900token)
PyTorch笔记 - SwinTransformer的原理与实现
AGI
08-26 2322
MRA:Microsoft Research Asia,微软亚洲研究院2021年8月发表:SwinTransformer:将复杂度和效果,都做了优化,Transformer在NLP中取得比较好的效果。将图像划分为不同的window,每个window内计算self-attention,时间复杂度window与图像的hw成线性关系,通过shift-window,实现window之间的交互。...
Chunk Extend and Overlapping(HITCON Trainging lab13)
九层台
08-13 685
数据结构 unsigned __int64 create_heap() { _QWORD *v0; // rbx signed int i; // [rsp+4h] [rbp-2Ch] size_t size; // [rsp+8h] [rbp-28h] char buf; // [rsp+10h] [rbp-20h] unsigned __int64 v5; // [r...
Heap块Chunk
分不清东西南北的Laffey
11-29 4699
&块0x01 基础知识——Chunk0x02 基础知识——Heap0x03 的基本操作0x04 相关的函数1>malloc2>free0x05 溢出0x06 溢出中比较重要的几个步骤·寻找分配函数realloc malloc calloc·寻找危险函数·确定填充长度0x07 Fast bin0x08 Unsort bin注意点Fastbin attack--blin...
PWN】Fastbin 与 Tcache 的利用
u014377094的博客
05-03 1451
从本周开始,针对ctfwiki的顺序,整理的攻击方式,顺便练一下手。克服惰性与抗拒,才能继续进步。 首先是为何把fastbin和tcache放第一个整理,因为fastbin和tcache是所有后续攻击的基础,为了实现写入“任意”地址,通常情况下都是利用fastbin和tcache,有个明显的原因就是fastbin和tcache都采用单链表结构,结构更加简单,简单也意味着缺少复杂的检测,更加利于我们去利用。其次,为何把它俩放一起,原因还是两者的结构相似,地位相近,但细节上有不同,放在一起对比利用。 再说
Chunk Extend and Overlapping
Grxer的博客
03-20 208
这样我们的 *heap会申请到0x20的chunk,content会申请到0x40的chunk,我们的0x40chunk会overlap到0x20的chunk,从而控制其内容,我们把他的content指针改为got就,可以在show的时候输出地址。会在main()函数调用前执行,这样可以通过修该地址的指针来将控制流指向病毒或者寄生代码,因为比main执行还早,大部分恶意软件都是hook这个,感觉c++的构造函数或许和这个相关。这样我们就可以改写这个main的返回地址为one_gadget地址。
Chunk Extend/Overlapping | 拓展、重叠
SkYe's Blog
08-06 2385
拓展&溢出 绝大部分内容来自 CTF-WIKI ,内容引用用于学习记录 介绍 chunk extend 是漏洞的一种常见利用手法,通过 extend 可以实现 chunk overlapping 的效果。这种利用方法需要以下的时机和条件: 程序中存在基于的漏洞 漏洞可以控制 chunk header 中的数据 原理 chunk extend 技术能够产生的原因在于 ptmalloc 在对 chunk 进行操作时使用的各种宏。 在 ptmalloc 中,获取 chunk 块大小的操作如
pwn学习笔记(12)--Chunk Extend and Overlapping
qq_66013948的博客
11-11 900
chunk extend 是漏洞的一种常见利用手法,通过 extend 可以实现 chunk overlapping(块重叠) 的效果。
从零开始逐步指导开发者构建自己的大型语言模型(LLM)学习笔记- 第2-4章 Python GPT 代码
chenchihwen的专栏
01-12 1212
这段代码实现了一个简单的 GPT 模型,包括数据处理、模型构建、训练和文本生成等功能。
从零开始逐步指导开发者构建自己的大型语言模型(LLM)学习笔记- 第2章 Working with Text - Exercise
chenchihwen的专栏
01-04 1009
从零开始逐步指导开发者构建自己的大型语言模型(LLM)学习笔记- 第2章 Working with Text-优快云博客这里是 课堂Exercise这段内容主要是关于《Build a Large Language Model From Scratch》这本书的补充代码,包含了一些练习的解答。
重叠(Overlapping) NAT
weixin_30402085的博客
05-04 272
  当内部网络也使用公网注册地址(或者是外网合法地址)时,如果仍使用标准的静态或者动态NAT转换,则可能使得转换的内网地址与外网中合法地址冲突,使数据包又返回到了本地网络,这肯定是不行的。这时我们就要使用重叠网络(Overlapping Network)的NAT转换方案了,把数据包中的目的地址转换成与外网不在同一网段的全局地址。   使用重叠(Overlapping)NAT可以实现内、外部网络都...
大语言模型分词的 chunk_size 和 chunk_overlap 说明和验证
热门推荐
engchina的专栏
07-22 1万+
大语言模型分词的 chunk_size 和 chunk_overlap 说明和验证
基础-glibc_malloc_chunk
qq_43390703的博客
11-16 771
glibc_malloc_chunk chunk 在程序执行中,我们称malloc申请的内存为chunk,用malloc_chunk来表示,当程序申请的chunk被free后,会被加入到对应的空闲管理队列。无论chunk的大小、状态如何,他们都是使用同一数据结构——malloc_chunk,只不过是表现形式有所不同。 /* This struct declaration is misleading (but accurate and necessary). It declares a "view"
RAG系列:ChunkSize 和 ChunkOverlap 怎么设置?通过动态评估法探索业务场景的优秀组合
最新发布
jike007gt的博客
08-01 1310
最后,我们将该最佳组合版本(v7.0)分别与基本版本(v1.0)和基于句子相似距离的语义切分的版本(v6.x)进行比较:不同优化方法评估结果汇总从上表可以发现,如果能设置合理的ChunkSize和ChunkOverlap,对RAG系统的整体效果是有比较明显的提升的,特别是上下文召回率和答案正确性,而且这种方法简单且经济,因此在RAG系统优化过程是需要优先考虑去优化的参数。
【逆向学习记录】分配中chunk&bins
卦星的专栏
03-23 3693
1 概述 学习的过程中,开始的时候,有个很难理解的东西,那个东西就是malloc,涉及到malloc就会涉及到chunk,实话说chunk这个东西的学习,确实经历了不少时间,总结一下,防止忘记 参考 Linux内存管理深入分析-上这篇文章详细将来chunk的进化过程,这里就不在深入查看了,深入浅出,是学习溢出基础的佳作 Linux内存管理深入分析-下这篇文章详细讲了bin的结构,并且被我大...
Chunk Extend and Overlapping学习
zyxx_wjc的博客
04-08 698
最近打算把利用的知识巩固一下,复习大纲依托于CTFwiki。对上面的知识和内容稍作了整理,也方便复习。 Chunk Extend and Overlapping,即让块大小拓展,以实现块重叠,便于下一步的利用。这一手法的基本原理是这两个宏: /* Get size, ignoring use bits */ #define chunksize(p) (chunksize_nomask(p) & ~(SIZE_BITS)) /* Like chunksize, but do not ma
拓展和重叠原理及其demo how2heap理解(heap extend and overlapping
m0_62326489的博客
07-16 415
文本分割的方式 第一篇
joy357692577的专栏
01-24 3279
文档是保存您关心的文本的对象,同时也是附加元数据,使以后的过滤和操作变得更加容易。一旦段落被分割,它就会查看块的大小,如果块太大,那么它将被下一个分隔符分割。这是将文本简单地划分为 N 个字符大小的块的过程,无论其内容或形式如何。块重叠会将我们的块混合在一起,这样块 #1 的尾部将是相同的,而块 #2 的头部将是相同的,依此类推。有了它,我们将指定一系列分隔符,用于分割我们的文档。正如您所看到的,Llama Index 的节点中保存了更多的关系数据。对于这种大小的文本,让我们分成更大的文本。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值