unsort bin attack -攻防世界 noleak

最新推荐文章于 2024-09-16 22:51:37 发布
原创 最新推荐文章于 2024-09-16 22:51:37 发布 · 855 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #web安全 #pwn

本文详细介绍了利用攻防世界noleak挑战中的堆溢出、doublefree和UAF漏洞,通过unsortbin攻击和fastbinattack构造ROP链,最终实现shellcode执行的过程。通过ida分析,确定了攻击策略,包括修改chunk指针、利用fastbin特性等,展示了内存漏洞利用的技术细节。

带着问题的学习是有效的

例题:攻防世界noleak ,这题解法好像有多种但是我是刚接触堆也是抱着学习的姿势学习攻击思路,这里就先例举我看明白的2种方式(爆破(在爆破__malloc_hook文章里面)、unsort bin攻击)

在ida分析后得到以下结果:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-rXIQy411-1639030347745)(unsort bin attack.assets/image-20211208214043274.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-T78X37vt-1639030347747)(unsort bin attack.assets/image-20211208214219886.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SU1jBwy4-1639030347748)(unsort bin attack.assets/image-20211208214320212.png)]

总结:

1.用于保存chunk指针的bss数组最多存储10个
2.free时有double free、uaf漏洞
3.可以编辑free chunk数据,有堆溢出漏洞
4.因为程序简单但是因为开了got不可写的措施导致题目有了很多玩法

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-man84Jnf-1639030347750)(unsort bin attack.assets/image-20211208214507601.png)]

没有开NX那么首先当然是shellcode,只要把shellcode放入一个指针处,然后将执行流指向它就可以getshell了

使用unsort bin攻击(最快的方式)

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-DI1v2lF1-1639030347753)(unsort bin attack.assets/image-20211208221232755.png)]

那么更具它的特性我们来编写exp

#start
add(0x100,'A'*0x100) #为了方便区别这里0x100就是small bin ,0x100是为了填充满chunk这样便于在调试时区分堆空间
add(0x60,'B'*0x100) #1.防止free上个chunk被top吃掉 2.下面要进行fast bin attack
dele(0)
target = 0x601060 #这里需要给上面留出0x8的空间因为fast bin attack需要构造的size位是malloc 第二次才用的上的,为了保证第一次malloc不会破坏size位

#unsort bin attack
payload = p64(0) + p64(target-0x10) #修改bk值
edit(0,len(payload),payload)
add(0x100,p64(0))

那么最后的执行效果如图: 已经成功的写入main_arena+88的地址到了程序用于存放chunk指针的ptr区

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-rMJFhDx8-1639030347754)(unsort bin attack.assets/image-20211209114403873.png)]

这里解释下为什么目标地址处要是0x601060给0x601058留了0x8的空位,因为下面我们进行fast bin attack时需要调用malloc2次,那么程序会默认在0x601058处开始进行添加chunk指针,那么那个被修改fd的chunk就会放置0x601058就不会覆盖到main_arena+88的值,从而可以进行正常的构造0x7fsize位的fake chunk

好接下来就是用fast bin的特性将fast chunk放置任意地址处,然后进行任意数据写:

首先将chunk1进行释放就是前面用来隔绝small chunk的fast chunk,此时它会进入到fast bin里面,因为将fast chunk拿出后进对它的size进行判断是否属于该类fast bin的大小范围,反之则会进行报错,fast bin attack攻击特性如图一,报错信息如图二:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-gbeCyc1K-1639030347755)(unsort bin attack.assets/image-20211209110939616.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-C2DlNPKW-1639030347756)(unsort bin attack.assets/image-20211209110659461.png)]

那么我们在修改fd指针时就需要对目标地址进行偏移,通过gdb调试可看到一般情况下在目标地址处减去0x3就会把地址的头部分给偏移出来如图所示:

最低0.47元/天 解锁文章
攻防世界(pwn)Noleak
PLpa的博客
03-03 1695
前言: 看了大佬们的writeup,发现这题解法真的非常多,我这里用的是unsortedbin的地址写漏洞,详情可以看ctfwiki了解漏洞原因。 没开NX,有可以执行的堆栈,但是开启了Full RELRO,不能修改got表地址了。 打开IDA: 发现是一个菜单题,可以创建,删除,更新堆快信息,没有输出信息的选项,果然Noleak。 我们这里可以一个一个功能去看,看看漏洞存在哪里: 经过观察...
Unsorted Bin Attack
qq_45595732的博客
11-26 533
Unsorted Bin Attack Unsorted Bin Attack 被利用的前提 -------------控制 Unsorted Bin Chunk 的 bk 指针。 Unsorted Bin Attack 可以达到的效果 -------------实现修改任意地址值为一个较大的数值。 Unsorted bin的来源 1,当一个较大的 chunk 被分割成两半后,如果剩下的部分大于MINSIZE,就会被放到 unsorted bin 中。 2,释放一个不属于 fast bin
攻防世界-PWN进阶区-Noleak(XCTF 4th-QCTF-2018)
weixin_44145820的博客
03-01 1037
本题主要考察对堆的利用,需要有一定的背景知识,本文也参考了几篇大佬的Writeup,让本文尽可能详细。 题目分析 checksec: 本题的RELRO是完全开启的,意味着我们不能通过修改GOT表来进行攻击 以下是源代码: main函数 delete函数: 这里可以看到free之后没有把指针置空,可能有UAF或者Dubble Free edit函数: 在本函数中,没有检测大小就直接写入,明显...
攻防世界PWNNoleak(一题学了好多知识)题解
seaaseesa的博客
11-13 4060
Noleak 本题需要用到的知识有:malloc_hook、unsorted bin unlink、fastbin attack、partial write bypass PIE 首先,介绍一下malloc_hook,这是C语言提供的一个用来包装malloc的,类似还有free_hook,具体可以查阅相关资料学习 Malloc hook 我们看如下代码 #include&...
爆破malloc_hook -攻防世界 noleak
csdn546229768的博客
12-09 630
例题:攻防世界noleak 首先在不用unsort bin的情况下进行攻击,那么我们怎么拿到__malloc_hook的地址呢? 攻击思路:将shellcode放入程序的bss段(0x601020)通过__malloc_hook执行bss中的shellcode,为什么需要爆破呢, 因为我们实际上是获取不到 maloc_hook的地址的只是将它写入到了一个地址处,然后通过fast bin attact 攻击,因为fast bin的fake chunk需要检查size位,既然创造size位,那么libc-2-2
攻防世界进阶noleak
qq_42728977的博客
04-07 489
题目:XCTF 4th-QCTF-2018 noleak 难度:**** 漏洞点:UAF \unsorted bin sttack\partial write bypass PIE\unlink 参考链接: 伪造堆块绕过unlink检查(ctf-QiangWangCup-2015-shellman) 攻防世界PWNNoleak(一题学了好多知识)题解 ctfwiki CTF pwn 中最通俗易懂...
常回家看看之tcachebin-attack
susu_xiaosu的博客
08-03 1073
那么接下来就有意思了,还记得我说chunk9无了吗,是的它现在是没有了,我们再次申请堆块的时候,由于此时chunk 0 还在unsortbin里面申请的时候就会申请到它,标记下标为chunk9 ,但是此时chunk0 在使用中,所以被申请了两次,但是有两个下标chunk 0 chunk 9。这里可以看见当同一大小的chunk,tcachebin放满了7个之后才能free进入相应大小的bin链表里面,比如上图进入了unsortbin链表中,而且申请堆块的时候也是优先从tcachebin链表中拿。
fastbin attack + unsorted bin attack+ heap overflow+ double free fastbin + double free unlink
qq_39869547的博客
10-27 484
0x1 fastbin依靠单链表来组织的,堆管理结构始终维护一个指向最后一个chunk的指针(倒数第二个chunk的fd,通常情况这个fd指向的是下一个chunk起始地址)。这个指针决定了下一次要分配的chunk地址。 也就是说默认分配最好一个chunk给用户使用,同时最后一个chunk也是我们一开始第一个free掉的 0x2 我们的目的修改某一个chunk的fd ,这样我们就可以任意地址分配我们...
unlink 攻防世界4-ReeHY-main
csdn546229768的博客
12-10 663
例题:攻防世界 4-ReeHY-main 当一个chunk释放为unsort bin时会检查上下是否为free chunk,如果上为free chunk则发生合并、合并后会调用unlink函数:(2.23) /* consolidate backward */ if (!prev_inuse(p)) { //当前的p标志位为0(上个chunk free) prevsize = p->prev_size; size += prevsize; //本chunk的size
从wiki 重新打基础之 Unsorted Bin Attack
qq_41071646的博客
07-19 462
之所以 看 Unsorted Bin Attack 因为感觉 Fastbin 还有 UAF算是比较熟悉的 所以 直接看 Unsorted Bin 其实Unsorted Bin 也是比较熟悉的 在泄露 libc库的时候就认真的看过 这个东西 ,是当small chunk或large chunkfree掉之后,不会直接进入smallbin或largebin,而是会先进入unsorte...
13.unsorted_bin_attack
06-09 301
源代码 1 #include <stdio.h> 2 #include <stdlib.h> 3 4 int main(){ 5 fprintf(stderr, "This file demonstrates unsorted bin attack by write a large unsigned long value into...
【我的 PWN 学习手札】Unsortedbin Attack
最新发布
Mr_Fmnwon的博客
09-16 969
Unsortedbin Attack不能说是一种getshell的方式,而只能说是一种利用手法。在glibc2.28之前有效,条件是存在uaf,效果是能在某一地址写一个大数(glibc上的一个地址)。
houseoforange_hitcon_2016(unsortbin attack,fsop)
m0_51251108的博客
11-15 571
houseoforange_hitcon_2016: 很经典的一道题目,checsec一下,保护全开 程序分析: 这题最主要就是没有free 漏洞分析: edit里的length和add里的length没有联系, 我们可以造成堆溢出 大致思路: 1.释放到unsortbin中,泄露libc_base和heap_addr: 利用堆溢出,改Top_chunk_size为一个较小的值,我们再申请一个大于Top_chunk_size的chunk的话,系统会用sysmalloc来分配堆,如果符合sysmalloc
攻防世界-Noleak-Writeup
aptx4869_li的博客
01-19 485
解题思路 参考一位大佬的解题思路: https://www.freesion.com/article/3386496214/ ,结合自己的理解与分析完成此题的漏洞利用 基本信息查询 healer@healer:~/Documents/CTF/PWN/Noleak$ readelf -h timu ELF Header: Magic: 7f 45 4c 46 02 01 01 00 00 00 00 00 00 00 00 00 Class:
BUUCTF[堆][unsortbin]
yjh_fnu_ltn的博客
07-11 1032
利用double free的方式泄漏出unsortbin中的main_arena地址。释放一个不属于fast bin 的 chunk,并且该 chunk 不和 top chunk 紧邻时,该 chunk 会被首先放到 unsorted bin 中。当有一个(或几个)(不属于fastbin)时,small/large chunk 的 fd 和 bk 指向中的地址。
unsored bin attack(非常规打法,算是进阶?)2.23版本
m0_74220442的博客
04-19 437
这里就是读入size 关键点来了,我们这里存储的实质上是v2的值也就是我们输入的size进入记录中,但是我们创造的chunk块 明显是由strdup(byte_6020c0)接受的字符作为我们实际创造的chunk值,但是我们edit的时候 读入的又是我们开始输入size的值,这里也就造成了堆溢出。这里的0x602260 通过调试是没有传上去的 我试着改为p64(0)就会报错 因为这个位置会有一个mov 传的地址,rax到上面去,所以必须得是个地址 至于是什么不重要 ,只要能访问就行。
从零开始学howtoheap:理解fastbins的​unsorted bin攻击
weixin_44626085的博客
02-13 1235
how2heap是由shellphish团队制作的堆利用教程,介绍了多种堆利用技术,后续系列实验我们就通过这个教程来学习。
好好说话之Large Bin Attack
hollk’s blog
01-20 5992
large bin attack这种方法本质上并不难,只是有点绕而已。他和上一篇unsorted bin attack有点类似,都是chunk挂进bin链表的时候通过完成链表结构连接时发生的问题,只不过large chunk还需要考虑fd_nextsize和bk_nextsize这两个结构。接下来就剩Tcache attack和House系列啦!终于要熬出头了???? 编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ
large bin attack & house of strom
seaaseesa的博客
06-12 1387
large bin attack & house of strom large bin attack是一种堆利用手法,而house of strom则是在large bin attack的基础上借用unsorted bin来达到任意地址分配,首先我们从源码入手来分析large bin attack原理,然后再讲讲house of strom的原理,接着再看几个题目。 为例方便分析,以2.23为例,新版本有tcache的情况类似,只需填满tcache bin绕过tcache即可。 在free的时
QueryWrapper.unsort
08-11
`QueryWrapper.unsort()` 是一个方法,用于移除查询结果中的排序。调用此方法会返回一个新的 `QueryWrapper` 对象,其中包含原始查询条件但不包含排序。以下是该方法的详细说明: ```python unsort() -> Query...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值