堆溢出 HITCON Trainging lab13

最新推荐文章于 2024-01-24 13:56:34 发布
最新推荐文章于 2024-01-24 13:56:34 发布
阅读量297 收藏
点赞数
分类专栏: ctf pwn 文章标签: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_42261208/article/details/105473986
版权
这篇博客详细介绍了堆溢出漏洞,特别是通过HITCON Training lab13进行实践。文章首先分析了程序的64位保护机制,指出在自定义堆分配器中存在长度未检查的漏洞和off-by-one错误。接着,作者讨论了如何利用这些漏洞,包括覆盖chunk大小字段以构造伪造chunk,以及通过chunk overlap修改关键指针。最后,作者表达了对堆漏洞利用的挑战感,并推荐了一篇相关博客。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

chunk-extend学习,一个友好的题目,下载地址

0x00 程序分析

基本信息

[*] '/home/ububtu/ctf/pwn/heapcreator'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)

64位elf,开启了Canary和NX保护

分析main函数,大概是一个自定义的堆分配器,每个堆主要有两个成员:大小与内容指针

在这里插入图片描述

  1. 创建堆,根据用户输入的长度,申请对应内存空间,并利用 read 读取指定长度内容。这里长度没有进行检测,当长度为负数时,会出现任意长度堆溢出的漏洞。当然,前提是可以进行 malloc。此外,这里读取之后并没有设置 NULL。
  2. 编辑堆,根据指定的索引以及之前存储的堆的大小读取指定内容,但是这里读入的长度会比之前大 1,所以会存在 o
最低0.47元/天 解锁文章
HITCON Trainging lab13 学习Chunk Extend and Overlapping 攻击
qq_36495104的博客
05-08 315
查看保护措施,RelRO为Partial,即可以修改GOT表项 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-znarZnkX-1588937420199)(F:\wangpei\笔记\pwn\note\assets\1588837137968.png)] 这个题目,定义了一种heap结构体,大概如下 struct heap { size; #heap的大小;8字节 content; #指针,指向content;8字节 } 下面是main函数,定义了菜单选
C程序编写的堆栈溢出
05-28
一个已分配了确定空间的缓冲区内复制对于该缓冲区处理能力的数据时,就会发生缓冲区溢出。而我们的目的就是想办法通过溢出来覆盖保存在堆栈中的数据,达到跳转的目的。
HITCON Trainging lab13 heapcreator
snowleopard_bin的博客
10-03 1121
记录第一次不看任何writeup自己写出来的pwn题 前置知识: off by one chunk overlapping chunk extend 一开始先看程序打开哪些保护机制 可以改got表,并且有点要注意是没开PIE,这样就不必泄露函数地址计算基址了(如果开了,这题堆上没有存放函数指针的,我也不会泄露。。) 然后分析程序,挖漏洞 首先从建堆函数看数据结构 结构...
Chunk Extend and Overlapping(HITCON Trainging lab13)
九层台
08-13 656
数据结构 unsigned __int64 create_heap() { _QWORD *v0; // rbx signed int i; // [rsp+4h] [rbp-2Ch] size_t size; // [rsp+8h] [rbp-28h] char buf; // [rsp+10h] [rbp-20h] unsigned __int64 v5; // [r...
pwn HITCON Trainging lab13
doudoudedi
10-09 278
emem其实我的结构体学的不太好 结构体大概为这样: struct { char *heaparray[i]; char conten[20] } edit heaparray->content 编辑的地方存在一个off by one的漏洞我们可以修改下一个chunk的大小然后释放申请该大小的chunk造成堆溢出~~ 简单点说就是先创建三个堆块在第一个堆块写入’/bin/s...
buuctf hitcontraining_heapcreator HITCON Trainging lab13
weixin_45677731的博客
08-10 1119
这一题在wiki上面是有的,在Chunk Extend and Overlapping里面,个人觉得这一题对于我这种刚开始学习堆的人来说,是比较容易理解的一题 拖进IDA create_heap函数: 值得注意的是,他这里是会有两次malloc的,也就是说,你申请了一次,他就会创建两个chunk,第一个chunk是0x20大小的,可以看作是记录的作用,里面存放着第二个chunk的size和指针,同时,第一个chunk的地址指针保存在bss段中,heaparray数组这里: 这样表述起来可能不太清晰,我申
HITCON Trainging lab13——heapcreator
04-19 290
64位程序,没开PIE   #chunkoverlapping #off by one 程序逻辑 1 int __cdecl main(int argc, const char **argv, const char **envp) 2 { 3 char *v3; // rsi 4 const char *v4; // rdi 5 char...
HITCON Trainging lab13——CTFwiki
qq_53928256的博客
08-22 1266
通过off by one溢出修改next chunk的size域来实现overlap,修改指针实现执行system函数,获得系统权限
hitcontraning_lab13_writeup
【xiaoxiaorenwu's blog】
04-07 281
依然是wiki上的例题,先提供二进制源码:hitcontraning_lab13 预览: 文件是64位,partial relro则可以改写got表,感觉就像是堆题(名字也叫heapcreator)。。。没有pie调试起来会方便很多。。。然后放进ida64看一下大致功能。 前言分析: 首先有两个setvbuf()设置好了标准输入和标准输出的缓冲区,所以程序不会在heap段设置chunk,然后打...
HITCON-Training lab13 heapcreator(heap extend)
像初雪一样自由洒落
04-16 1162
啊啊啊,搞了一早上,终于终于搞明白了,,, 题目链接:https://buuoj.cn/challenges#hitcontraining_heapcreator ida简单看一下 创建堆 编辑 对比建堆,可以看到size大了一个 打印 删除 程序基本功能就这样了 因为edit的时候可以多写入一个字节,存在off-by-one,我们可...
HITCON-Training lab5(自己构造rop)
像初雪一样自由洒落
03-12 407
看到静态链接,一顿欣喜,直接ropchain生成,栈溢出找出来就ok啦?然后后来发现并没有那么简单。。。 ================================================================================================ 【一段小插曲】 做题的时候突然很奇怪,nx开启,堆栈不可执行,为什么可以执行pop这些指令...
大语言模型分词的 chunk_size 和 chunk_overlap 说明和验证
热门推荐
engchina的专栏
07-22 1万+
大语言模型分词的 chunk_size 和 chunk_overlap 说明和验证
Chunk Extend and Overlapping
Grxer的博客
03-20 163
这样我们的 *heap会申请到0x20的chunk,content会申请到0x40的chunk,我们的0x40chunk会overlap到0x20的chunk,从而控制其内容,我们把他的content指针改为got就,可以在show的时候输出地址。会在main()函数调用前执行,这样可以通过修该地址的指针来将控制流指向病毒或者寄生代码,因为比main执行还早,大部分恶意软件都是hook这个,感觉c++的构造函数或许和这个相关。这样我们就可以改写这个main的返回地址为one_gadget地址。
堆学习笔记-chunk overlapping
N1rvana的博客
11-14 600
CTF-wiki真是太好一学习网站了。 原文链接:https://ctf-wiki.org/pwn/linux/user-mode/heap/ptmalloc2/chunk-extend-overlapping/#_1 Chunk Extend 实现条件 要实现chunk extend需要满足的条件:有堆漏洞,并且该漏洞可以修改chunk header里的数据。 实现原理 原理大概就是: ①:ptmalloc通过chunk header里面的prev_size和size来对前后堆块进行定位。 ②:ptmal
Chunk Extend/Overlapping | 堆拓展、重叠
SkYe's Blog
08-06 2133
堆拓展&溢出 绝大部分内容来自 CTF-WIKI ,内容引用用于学习记录 介绍 chunk extend 是堆漏洞的一种常见利用手法,通过 extend 可以实现 chunk overlapping 的效果。这种利用方法需要以下的时机和条件: 程序中存在基于堆的漏洞 漏洞可以控制 chunk header 中的数据 原理 chunk extend 技术能够产生的原因在于 ptmalloc 在对堆 chunk 进行操作时使用的各种宏。 在 ptmalloc 中,获取 chunk 块大小的操作如
文本分割的方式 第一篇
最新发布
joy357692577的专栏
01-24 2681
文档是保存您关心的文本的对象,同时也是附加元数据,使以后的过滤和操作变得更加容易。一旦段落被分割,它就会查看块的大小,如果块太大,那么它将被下一个分隔符分割。这是将文本简单地划分为 N 个字符大小的块的过程,无论其内容或形式如何。块重叠会将我们的块混合在一起,这样块 #1 的尾部将是相同的,而块 #2 的头部将是相同的,依此类推。有了它,我们将指定一系列分隔符,用于分割我们的文档。正如您所看到的,Llama Index 的节点中保存了更多的关系数据。对于这种大小的文本,让我们分成更大的文本。
高版本libc下的off by null
weixin_45209963的博客
09-08 2047
新版额外检查这个chunk size与被free掉的chunk的prev size是否相等,chunk overlap必须要伪造后者,而前者不可控,故一般打法失效。,通过大循环将这三个chunk全部放入同一个large bins。此时由于large bins机制,中间大小的chunk的。均相同,分别指向比自己小/大的chunk,将该chunk取下,同时伪造好。),残留指针为头节点libc指针,此时需要申请到该chunk,再申请一个。的size,再将该chunk的bk取下并写其fd为该chunk(伪造。
堆溢出基础
qq_52126646的博客
10-06 1116
堆基础 文章目录前言一、堆是什么?二、堆实现步骤1.引入库2.读入数据堆和栈的区别总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、堆是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、堆实现步骤 1.引入库 代码如下(示例): import numpy as np impor
System.StackOverflowException(堆溢出异常)
Blooming death的博客
10-08 1万+
## System.StackOverflowException HResult=0x800703E9 Message=Exception_WasThrown 这是一个堆溢出异常,造成它的原因是因为你频繁使用递归调用,我这里是自己调用了自己出现的堆溢出,我在control层调用了业务层,但是写业务层的时候写成了自己家调用自己如下: 改成功数据访问层,问题解决。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值