【pwn】 roarctf_2019_realloc_magic

RoarCTF 2019 Realloc Magic:堆溢出漏洞利用分析
最新推荐文章于 2024-02-03 02:09:42 发布
原创 最新推荐文章于 2024-02-03 02:09:42 发布 · 1.1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细分析了RoarCTF 2019中的一个名为`realloc_magic`的挑战,重点讨论了如何在保护全开的情况下,利用`realloc`函数的两个技巧:size为0时释放内存和扩大堆块。通过精心设计的堆块操作,修改`IO_FILE`结构体,以泄露libc地址。首先,堆块被free多次进入unsorted bin,然后通过调整堆块大小来修改fd字段,进而找到arena地址。利用概率计算,定位到`_IO_2_1_stdout_`,篡改标志并调整`write_base`,迫使输出函数泄漏libc地址。最后,一旦获得libc,通过修改`free_hook`为one_gadget gadget,实现获取shell的目标。

例行检查
在这里插入图片描述保护全开,分析程序逻辑。发现没有输出堆内容的函数,想要泄露libc地址只能通过修改IO_FILE结构体实现。realloc函数有两个trick。在size为0时,free掉指针指向的堆块,返回0;在分配超过当前指针指向堆块大小时如果有剩余空间则扩大堆块大小。

利用思路
1.堆块free 8次放进unsortbin中,在fd上得到arena地址,通过realloc扩大堆块的特性造成堆块堆叠,就可以修改到fd部分,由于_IO_2_1_stdout_与arena只相差4位,且低三位已知,剩余一位可以爆破,概率1/16。于时可以分配到_IO_2_1_stdout_。修改flag位,且把write_base调低,下次在调用输出函数时会将libc中地址输出出来。
2.得到libc之后就可以将free_hook改为one_gadget从而getshell。

from pwn import *


libc=ELF('./libc-2.27.so')

def realloc(size,data):
    io.recvuntil('>> ')
    io.sendline('1')
    io.recvuntil('Size?')
    io.sendline(str(size))
    io.recvuntil('Content?')
    io.send(data)

def free():
    io.recvuntil('>> ')
    io.sendline('2')  

def pwn()
最低0.47元/天 解锁文章
【BUUCTF】roarctf_2019_realloc_magic---从一道题认识realloc函数+stdout泄露libc地址实战
Assassin
09-18 2296
realloc好题
BUUCTF-PWN roarctf_2019_realloc_magic(tcache attack,块重叠,劫持_IO_2_1_stdout_泄露libc)
weixin_44145820的博客
04-17 2192
目录题目分析漏洞利用Exp 题目分析 free没有限制,可以多次free 使用realloc进行内存分配,没有限制大小 realloc的几个特殊用法(摘自官方WP) size == 0 ,这个时候等同于free realloc_ptr == 0 && size > 0 , 这个时候等同于malloc malloc_usable_size(realloc_ptr) &g...
roarctf_2019_realloc_magic 详细学习理解 无show()利用IO_FILE输出+realloc分配实现
weixin_46521144的博客
07-20 980
roarctf_2019_realloc_magic 这道题从头到尾都是我的知识盲区… 爆破,IO_FILE,realloc 学习资料 利用IO_FILE泄露libc原理 IO_FILE泄露libc例题 wp参考 realloc重要知识 静态分析 可以看出程序只有对realloc的调用操作,只有add()和delete()没有泄露函数。一般题如果没有show()函数,plt里面也没有system,可以采用的方法是劫持IO_FILE泄露。 IO_FILE劫持思路 对于劫持IO_FILE的思路,我的理解是
roarctf_2019_realloc_magic
z1r0的博客
03-04 608
roarctf_2019_realloc_magic 查看保护
roarctf_2019_realloc_magicrealloc,IO_file_leak,doublefree)
m0_51251108的博客
11-07 373
roarctf_2019_realloc_magic: 保护全开 逆向分析: 主界面: re: fr: ba:
BUUCTF-PWN刷题记录-11
weixin_44145820的博客
04-22 963
目录wustctf2020_name_your_cat wustctf2020_name_your_cat
[BUUCTF]PWN——roarctf_2019_easy_pwn(详解)
mcmuyanga的博客
12-18 2769
roarctf_2019_easy_pwn 附件 步骤: 例行检查,64位程序,保护全开 试运行一下程序,看看大概的情况,经典的块的菜单 64位ida载入,改了一下各个选项的函数名,方便看程序(按N) add edit free show 这道题通过 offbyone来构造重叠chunk,达到任意地址分配chunk的效果,然后修改__realloc_hook地址处的内容为one gadget地址,修改malloc_hook地址处的内容为ralloc函数的地址+x 我们先申
roarctf_2019_easy_pwn
qq_62887641的博客
10-04 280
64位,保护全开add这里,size创建不能大于0x1000,edit这里乍一看没啥,实际上有个size的比较函数这里如果从edit里面输入的size,跟你申请的size相差0xa就能有个dele这里没有uafshow这里判断申请那个值是否为1,才给你show。
pwnroarctf_2019_easy_pwn
Nothing
12-24 2210
例行检查 保护全开,分析程序。 当edit大小比申请大小多10的时候可以多输入一字节,存在off-by-one。修改size来进行overlap。需要注意的是最后覆盖malloc_hook时,onegadget都不可用,应为栈条件不满足,可以利用realloc的trick来调整栈。 参考:的六种利用手法 from pwn import * io=remote('xx.xx.xx.xx',xx...
萌新学pwn-roarctf_2019_easy_pwn
qq_36495104的博客
06-28 632
roarctf_2019_easy_pwn 安全检查 可以劫持malloc_hook ida查看 main __int64 __fastcall main(__int64 a1, char **a2, char **a3) { int choice; // [rsp+4h] [rbp-Ch] __int64 savedregs; // [rsp+10h] [rbp+0h] setvbuf_3(); while ( 1 ) { menue(); choice = rea
[BUUCTF]PWN——roarctf_2019_easy_pwn
qq_51687381的博客
07-29 360
白天睡觉,晚上来写道题。 这道题涉及了unsortedbins,malloc_hook,溢出。 heap的菜单选项常规题,做到目前为止,主要是两个思路: 先check,根据RELRO。如果为full,那么就需要malloc_hook。如果为partial,就直接更改got表就可以了。 在create函数中可以明显看出来这是个结构体 一个结构体有24个字节,前8个为标志位,中间8个size位,后8个是alloc出来的chunk的指针。 (alloc和malloc不同的是 alloc的fr
roarctf_2019_easy_pwn[off by one]
、moddemod
07-01 503
溢出一个字节,修改size域 exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() def create_note(size, ): p.sendlineafter('choice:', str(1)) p.sendlineafter('size:', str(size)) def write_note(index,...
linux_pwn(3)--Chunk Extend and Overlapping&&roarctf_2019_easy_pwn
azraelxuemo的博客
03-07 3708
文章目录What is Chunk Extend and Overlappingpwn题思路例题保护机制add函数show函数delete函数edit函数开始做题准备框架调试覆盖后面一个块的大小释放块free验证机制尝试修改块开始泄露libc任意地址写总结 What is Chunk Extend and Overlapping Chunk Extend and Overlapping就是当我们可以控制chunk的header时候,通过修改原有块的头大小,产生块重叠 比如说原来的两个块都是0x21
[BUUCTF]-PWN:roarctf_2019_easy_pwn解析
最新发布
2301_79326813的博客
02-03 2473
先看保护64位,got表不可写看ida大致就是alloc创建块,fill填充块,free释放块,show输出块内容这里要注意的点有以下alloc创建块:这里采用的是calloc而不是malloc,calloc在创建块时会初始化也就是清空相应的内存空间,而malloc不会,这里使用calloc创建块fill填充块:这里它限制了填充的字节大小不得超过块大小,但如果填充大小正好大于块10字节的话,就可以多溢出一个字节,存在off by one漏洞。
BUUCTF【roarctf_2019_easy_pwn】(off by one)
weixin_51055545的博客
02-03 1217
BUUCTF【roarctf_2019_easy_pwn】 检查程序: 保护机制全开 分析: add(),show(),free()函数都正常,漏洞点在edit()中 a2-a1=10时,我们可以多写入一个字节,存在by one溢出 思路: 1.风水泄露libc地址 2.块重叠劫持malloc_hook为one_gadget 3.申请触发one_gadget exp: leak地址: add(0x90) add(0x18) add(0x90) add(0x90) free(0) edit(1,0
ciscn_2019_pwn挑战赛:破解五道经典题目解析
资源摘要信息:"ciscn-2019-pwn包含五个不同难度级别的pwn挑战题目,分别为baby_pwn、bms、daily、Double和your_pwn。这些题目要求参赛者具备扎实的二进制漏洞挖掘和利用能力,以及对操作系统底层安全的深刻理解。接...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值