【PWN · heap | unsorted-bin-attack】hitcontraining_lab14

最新推荐文章于 2024-10-02 12:35:45 发布
原创 最新推荐文章于 2024-10-02 12:35:45 发布 · 938 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ctf #pwn #heap #u-bin-atk #堆溢出

本文详细介绍了如何利用unsorted-bin攻击机制,通过控制bk指针将大数写入堆栈的漏洞,展示了从分配内存、避免合并、修改bk指针到触发任意地址写的过程。作者还给出了实际的C代码示例和exploit脚本,展示了如何在给定的环境中执行攻击并获取flag。

这种堆题竟然如此简单——如果不细扣机理过程

前言

unsorted-bin一般用于利用,有leak libc往任意地址写一个大数的作用。本题可以说是作为一道模板题,主要阐述了如何实现”往任意地址写一个大数“。

一、unsorted-bin-attack(摘自wiki)

在 glibc/malloc/malloc.c 中的 _int_malloc 有这么一段代码,当将一个 unsorted bin 取出的时候,会将 bck->fd 的位置写入本 Unsorted Bin 的位置。

/* remove from unsorted list */
if (__glibc_unlikely (bck->fd != victim))
    malloc_printerr ("malloc(): corrupted unsorted chunks 3");
unsorted_chunks (av)->bk = bck;
bck->fd = unsorted_chunks (av);

换而言之,如果我们控制了 bk 的值,我们就能将 unsorted_chunks (av) 写到任意地址。

这里我以 shellphish 的 how2heap 仓库中的 unsorted_bin_attack.c 为例进行介绍,这里我做一些简单的修改,如下

#include <stdio.h>
#include <stdlib.h>

int main() {
  fprintf(stderr, "This file demonstrates unsorted bin attack by write a large "
                  "unsigned long
最低0.47元/天 解锁文章
UnsortedBin Attack
yms0211的博客
09-13 1239
Unsorted Bin Attack
PWN · heap | Off-By-Null | UAF | Fastbin-attack | Unsortedbin-leak | hook劫持】[攻防世界] babyheap
Mr_Fmnwon的博客
04-02 924
【攻防世界】的本题,所给libc版本错误,经过测试,版本为:libc6_2.23-0ubuntu9_amd64.so当然,本地调试玩玩,用glibc-all-in-one的2.23-0ubuntu3_amd64也是可以的。这题学到了很多知识点(主要是这些知识点整合应用在一起)离不开这些优秀的博客和大佬ha1vk攻防世界PWN之Babyheap(null off by one)题解PLpa、攻防世界(pwn)babyheap(一些常见的堆利用方法)攻防世界-babyheap解题思路-优快云博客。
HITCON Training lab14——magic heap
04-19 5337
64位程序,没开PIE  #Unsorted Bin Attack 先回顾一下 Unsorted Bin 的基本来源以及基本使用情况。 基本来源 当一个较大的 chunk 被分割成两半后,如果剩下的部分大于 MINSIZE,就会被放到 unsorted bin 中。 释放一个不属于 fast bin 的 chunk,并且该 chunk 不和 top chunk 紧邻时,...
hitcontraining_lab14学习(以及Unsorted Bin的个人理解
a2590035252的博客
09-16 1849
适合和我一样的菜鸡pwner
【我的 PWN 学习手札】Unsortedbin Attack
Mr_Fmnwon的博客
09-16 1023
Unsortedbin Attack不能说是一种getshell的方式,而只能说是一种利用手法。在glibc2.28之前有效,条件是存在uaf,效果是能在某一地址写一个大数(glibc上的一个地址)。
unsortedbin attack
yjh_fnu_ltn的博客
07-19 1335
(因为unsorted_chunks(av)地址本来就知道,不需要用过链尾的p去找它的下一个即fd值),所以即使我们修改了其为一个不合法的值也没有关系。然而,需要注意的是,unsorted bin 链表可能就此破坏,在插入 chunk 时,可能会出现问题。类似于unlink的过程,要将链尾的chunkp,取出来,即 unsorted_chunks(av)->bk = p->bk;我们可以看到,在该链表中必有一个节点(不准确的说,是尾节点,这个就意会一下把,毕竟循环链表实际上没有头尾)的。
how2heap-2.23-05-unsorted_bin_attack
blind cat
01-04 1193
unsorted bin的bk中,获取最旧的chunk,之后再根据chunk->bk,从最旧到最新开始遍历,尝试在unsorted bin链表中找到合适的chunk。然后chunk a就脱链(怎么脱链,放到哪里的逻辑,在修正的代码之后),unsorted bin和chunk b开始修正其fd,bk,修正的代码就是上面的。unsorted bin attack的效果就是在指定的位置,写入unsorted bin头结点的首地址,就是那个所谓的较大的值。就发生在chunk脱链,
精选资源
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
PWN · heap | Off-By-One】Asis CTF 2016 b00ks
Mr_Fmnwon的博客
10-29 637
步入堆的学习。堆的知识复杂而多,于是想着由wiki从简单部分逐个啃。b00ks是经典的堆上off-by-one漏洞题目。刚开始看很懵(因为确实连堆的管理机制都没有完全了解)。
好好说话之Unsorted Bin Attack
hollk’s blog
01-15 5441
Unsorted Bin Attack很简单,序言就不多说了,直接看本文讲解就好,抓紧时间把wiki写完,我要去搞IOT固件分析了!!!!
HITCON Training lab14 magic heap
weixin_50287973的博客
11-06 322
咕了有段时间了,再咕一阵子吧(错乱 这是个典型的unsorted bin attack edit函数可以自己输入更大的size,并修改堆块 控制choice为4869,magic>4869即可get flag 思路: 1.free chunk ->unsorted bin 2.利用edit函数构造堆块内容,修改链入unsorted bin的freechunk的bk指针为&magic-16 3.malloc chunk -> 触发unsorted bin attack EX
ctf-pwn-堆—unsorted bin attack
xy_369的博客
05-23 485
上面只需要知道unsorted bin实现了将栈上的一个变量值变为了main_arena结构体中的一个地址,这句话仅出于个人理解,从参考链接2里得到的理解。1、个人翻译过后的代码(翻译自参考链接2)3、删除部分打印函数的代码。
unsorted bin attack
abelxu
11-17 515
0x01 unsorted bin 基本来源 当一个较大的 chunk 被分割成两半后,如果剩下的部分大于 MINSIZE,就会被放到 unsorted bin 中。 释放一个不属于 fast bin 的 chunk,并且该 chunk 不和 top chunk 紧邻时,该 chunk 会被首先放到 unsorted bin 中。 当进行 malloc_consolidate 时,可能会把合并后的 chunk 放到 unsorted bin 中,如果不是和 top chunk 近邻的话。 基本使用情况
heap_overflow(OGeek2019-bookmanger50)
csdn546229768的博客
03-25 498
题目:OGeek2019-bookmanger50 保护 分析 add_chapter add_section add_text rm_chapter rm_section rm_text show edit 思路 这题的漏洞非常多有uaf,off-by-one,堆溢出因为漏洞太多以至于给我整不会了,ida逆向时看起来挺复杂其实就是一个常规的简单堆题,我在做unsort bin泄漏libc时把堆空间整坏了,做题时我没注意到泄漏方式的问题导致我后面做的怀疑人生,导致花了非常多时间,其实这
Unsorted Bin Attack小记
2301_79696060的博客
10-02 756
Unsorted Bin Attack小记
HITCON-Training-Writeup
baikeng3674的博客
03-14 675
HITCON-Training-Writeup 原文链接M4x@10.0.0.55 项目地址M4x's github,欢迎star~ 更新时间5月16 复习一下二进制基础,写写HITCON-Training的writeup,题目地址:https://github.com/scwuaptx/HITCON-Training Outline Basic Knowledge In...
hitcontraining magicheap
pondzhang的专栏
06-16 413
from pwn import * magic = 0x00000000006020A0 #p = process('./magicheap') p = remote("node3.buuoj.cn",26020) def CreateHeap(size,content): p.sendlineafter('Your choice :','1') p.sendlineafter('Size of Heap : ',str(size)) p.sendlineafter('Content of heap:
CTF-PWN Noleak (unsortedbin attack+fastbin attack+malloc_hook)
SuperGate的博客
11-25 1013
漏洞简述 [*] '/home/supergate/Desktop/Pwn/timu' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX disabled PIE: No PIE (0x400000) RWX: Ha...
void HAL_TIM_IC_CaptureCallback(TIM_HandleTypeDef *htim) { if(htim->Instance == TIM2) { if(htim->Channel == HAL_TIM_ACTIVE_CHANNEL_2) { PWN_IN_RATIO_VALUE_A = 20000-HAL_TIM_ReadCapturedValue(htim,TIM_CHANNEL_2); TIM1->CCR1 = PWN_IN_RATIO_VALUE_A-200; } } if(htim->Instance == TIM3) { if(htim->Channel == HAL_TIM_ACTIVE_CHANNEL_2) { PWN_IN_RATIO_VALUE_B = 20000-HAL_TIM_ReadCapturedValue(htim,TIM_CHANNEL_2); TIM1->CCR2 = PWN_IN_RATIO_VALUE_B-200; } } }
最新发布
08-25
我们正在处理一个关于STM32的HAL_TIM_IC_CaptureCallback函数的问题。用户想要理解和优化这个函数中的定时器捕获逻辑。 首先,我们需要了解HAL_TIM_IC_CaptureCallback函数的作用:它是输入捕获模式下的回调函数,...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值