pwn中利用off by null的一个思路,构造假chunk的难以触及pre_size咋整

news2024/12/23 5:12:20

题目分享 children_tcache

链接:https://pan.baidu.com/s/1jARmxmGaoN_VADlb6m0D8A?pwd=ra0l 
提取码:ra0l

参考博客:

tcache在pwn题中常见的利用姿势 - 先知社区 (aliyun.com)

开始: 

这道题的具体写法我就不说了,主要是讲讲我这个新手从这道题里学到了什么。

首先一个off by null,通常咱都可以做到堆重叠,然后配合题目的输出函数打出比如像main_arena的地址之类的东西。这种思路就是去创建大于0x408大小的堆块,然后free掉,这样在bins里这个unsourtedbin就会指向main_arena固定偏移处,然后我们要想办法利用程序自带的输出函数把这个地址给打出来。这个一般就是常见的use after free,但是这种漏洞算是比较初级的了。

但是如果这个程序比较精明,把指针的free掉的时候清空了,这就需要好好利用这个off by null了,也就是利用这个off by null,去借助假的堆块把东西东西打出来,有时甚至能够double free(在2.27的glibc中直接double free的方法似乎已经不多见了,现在检查都很严格)。

那咋办呢?如何进行堆重叠实现这个呢?
tcache在pwn题中常见的利用姿势 - 先知社区 (aliyun.com)这个文章只讲了利用的手法,但是没有讲原理,接下来我就默认你看过文章了。

它的文章的这一步也许你会很好奇,为什么我中间要夹一个小堆块呢???

这是由于构造假chunk的时候,如果学过unlink这个攻击手法你应该会留意到

/* Take a chunk off a bin list. */
static void
unlink_chunk (mstate av, mchunkptr p)
{
//检查chunk的size和next_chunk的prev_size是否一致
if (chunksize (p) != prev_size (next_chunk (p)))
malloc_printerr (“corrupted size vs. prev_size”);
mchunkptr fd = p->fd;
mchunkptr bk = p->bk;
//检查fd和bk(双向链表完整性)
if (__builtin_expect (fd->bk != p || bk->fd != p, 0))
malloc_printerr (“corrupted double-linked list”);
fd->bk = bk;
bk->fd = fd;
if (!in_smallbin_range (chunksize_nomask (p)) && p->fd_nextsize != NULL)
{
//检查largebin中next_size双向链表的完整性
if (p->fd_nextsize->bk_nextsize != p
|| p->bk_nextsize->fd_nextsize != p)
malloc_printerr (“corrupted double-linked list (not small)”);
if (fd->fd_nextsize == NULL)
{
if (p->fd_nextsize == p)
fd->fd_nextsize = fd->bk_nextsize = fd;
else
{
fd->fd_nextsize = p->fd_nextsize;
fd->bk_nextsize = p->bk_nextsize;
p->fd_nextsize->bk_nextsize = fd;
p->bk_nextsize->fd_nextsize = fd;
}
}
else
{
p->fd_nextsize->bk_nextsize = p->bk_nextsize;
p->bk_nextsize->fd_nextsize = p->fd_nextsize;
}
}


}

 以上是unlink的源码,可以注意到,进行unlink操作的时候,构造假的fd,bk指针还不够呢,它还要去检查chunk的size和next_chunk的prev_size是否一致

if (chunksize (p) != prev_size (next_chunk (p)))
malloc_printerr (“corrupted size vs. prev_size”);
mchunkptr fd = p->fd;
mchunkptr bk = p->bk;

但是很多程序其实我们控制不了chunk的pre_size的大小,比如像这题有个 /x00的截断,让我们不好去控制next chunk的pre_size位,那咋办?

解决方法就是去中间加一个小堆块。因为fastbin和tcahche的next_chunk貌似都没有pre_size位,这里我们做一个实验看看
下面是用2.27版本,去实践一个tcache是不是像我们所说的那样。

#include <stdio.h>
#include <stdlib.h>

int main()
{
	char* ptr1=malloc(0x500);
	char* ptr2=malloc(0x20);
	char* ptr3=malloc(0x500);
	free(ptr1);
	free(ptr2);
	return 0;
}

ptr3指向的堆块是为了怕unsortedbin被topchunk合并。
我们执行到把两个指针都释放掉。

 可以看到我们的实验是正确的,tecache并没有在next_chunk有属于自己的pre_size位,这一点可以作为被/x00截断无法构造假的pre_size的一个新思路。

再看看fastbin是如何的(暴力点填满tcache就是fastbin了)

#include <stdio.h>
#include <stdlib.h>

int main()
{
	char* ptr1=malloc(0x500);
	char* ptr2=malloc(0x70);
	char* ptr3=malloc(0x70);
	char* ptr4=malloc(0x70);
	char* ptr5=malloc(0x70);
	char* ptr6=malloc(0x70);
	char* ptr7=malloc(0x70);
	char* ptr8=malloc(0x70);
	char* ptr9=malloc(0x70);
	

	char* ptr10=malloc(0x500);
	free(ptr1);
	free(ptr2);
	free(ptr3);
	free(ptr4);
	free(ptr5);
	free(ptr6);
	free(ptr7);
	free(ptr8);
	free(ptr9);
	
	return 0;
}

 可以看到依然如此,因此fastbin和tcache在这一点上都有相同的性质。

ok,希望今天这个有对大家的学习有一点帮助。

 

 

 

 

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/584422.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

如何快速运用R语言实现生物群落(生态)数据统计分析与绘图

R 语言作的开源、自由、免费等特点使其广泛应用于生物群落数据统计分析。生物群落数据多样而复杂&#xff0c;涉及众多统计分析方法。本次以生物群落数据分析中的最常用的统计方法回归和混合效应模型、多元统计分析技术及结构方程等数量分析方法为主线&#xff0c;通过多个来自…

【课程】12 水资源大系统多目标理论

2022级博士研究生课程笔记。 仅供学习交流&#xff0c;如若侵权&#xff0c;请联系我删除&#xff0c;谢谢。 感谢董老师的精彩分享&#xff01;

【课程】13 数据同化理论和方法

2022级博士研究生课程笔记。 仅供学习交流&#xff0c;如若侵权&#xff0c;请联系我删除&#xff0c;谢谢。 感谢时沈老师的精彩分享&#xff01;

MySQL分库分表方案及sharding-spher(1)

一、数据库瓶颈 不管是IO瓶颈&#xff0c;还是CPU瓶颈&#xff0c;最终都会导致数据库的活跃连接数增加&#xff0c;进而逼近甚至达到数据库可承载活跃连接数的阈值。在业务Service来看就是&#xff0c;可用数据库连接少甚至无连接可用。接下来就可以想象了吧&#xff08;并发…

史上最完整的Spring Bean的生命周期

Bean的生命周期总 Spring Bean 的生命周期 Spring中的bean的生命周期主要包含四个阶段&#xff1a;实例化Bean–> Bean属性填充–>初始化Bean—>销毁Bean 加载Bean定义 通过 loadBeanDefinitions 扫描所有xml配置、注解将Bean记录在beanDefinitionMap中创建Bean对象…

超级厉害的复盘能力,让你2023年下半年扬帆起航

不知不觉2023年的上半年已经过去了&#xff0c;上半年你过得怎么样&#xff1f;树立得目标有没有完成呢&#xff1f; 复盘&#xff0c;这个概念现在可谓是无人不知&#xff0c;无人不晓。好得复盘可以让我们避免犯错&#xff0c;让我们更加快速得接近我们得目标。 今天就和大…

不是说00后已经躺平了吗,怎么还是这么卷.....

都说00后已经躺平了&#xff0c;但是有一说一&#xff0c;该卷的还是卷。 前段时间我们部门就来了个00后&#xff0c;工作都还没两年&#xff0c;跳到我们公司起薪20K&#xff0c;都快接近我了。 后来才知道人家是个卷王&#xff0c;从早干到晚就差搬张床到工位睡觉了。最近和…

App上架流程(推荐)

准备 • 开发者账号 • 完工的项目 上架步骤 • 一、创建App ID • 二、创建证书请求文件 &#xff08;CSR文件&#xff09; • 三、创建发布证书 &#xff08;CER&#xff09; • 四、创建Provisioning Profiles配置文件 &#xff08;PP文件&#xff09; • 五、在App Stor…

ctfshow 每周大挑战 RCE极限挑战3

目录 题目源码1 跑一下正则2 分析解题用什么payload3 构造payload如何获取字母N构造出_POST及其他拼接内容POST传参 4 完整解题payload 题目源码 1 跑一下正则 <?php for($i32;$i<127;$i){if (!preg_match("/[a-zA-Z2-9!#%^&*:{}\-<\?>\"|~\\\\]/…

接口测试工具Postman接口测试图文教程

目录 一、前言 二、Postman安装和使用 三、请求方式 四、资金记录接口实例演示 一、前言 在前后端分离开发时&#xff0c;后端工作人员完成系统接口开发后&#xff0c;需要与前端人员对接&#xff0c;测试调试接口&#xff0c;验证接口的正确性可用性。而这要求前端开发进…

公网使用 SSH远程连接安卓手机 Termux -Android 手机服务器

文章目录 1.安装ssh2.安装cpolar内网穿透3.远程ssh连接配置4.公网远程连接5.固定远程连接地址 转载自cpolar极点云的文章&#xff1a;公网SSH远程连接Termux – 电脑使用安卓Termux 「无需公网IP」 使用安卓机跑东西的时候&#xff0c;屏幕太小&#xff0c;有时候操作不习惯。不…

增强型本地文件搜索工具:Find Any File

Find Any File是mac上一款增强型本地文件搜索工具&#xff0c;可以让你在本地磁盘上搜索、查找任何文件&#xff0c;包括本地磁盘的名称、 创建或修改日期、 大小或类型和创建者代码等。小编现为大家提供最新Find Any File Mac破解版&#xff0c;欢迎需要的朋友下载使用。 Find…

I/O 端口

概述 I/O 端口的主要功能特性&#xff1a; ⚫ GPIO 引脚最高耐5.5V 电压 ⚫ GPIO 数字输入具有施密特特性 ⚫ 部分GPIO 输入支持模拟滤波 ⚫ 部分GPIO 输入支持数字滤波 ⚫ GPIO 可配置为上拉、开漏输出 ⚫ 低功耗模式下保持状态 PAD 结构 GPIO&#xff0c;输入输出使能&#…

sqlserver获取每天最接近整点的一条数据

思路&#xff1a;要取到整点数据&#xff0c;首先想到了是利用数据里面的时间整点部分进行分组&#xff0c;通过时间正序&#xff0c;取到分钟第一条数据就行了 1&#xff0c;简单的group by 做法就比较复杂了&#xff0c;复杂的分组做法都采用了partition by 分区函数处理&a…

开源2.4g遥控小飞机控制板

原理图 主控 6轴IMU 2.4G通信 电机驱动 特性 主控采用STM32F103CBT6&#xff0c;外设资源比较丰富&#xff0c;国产替代也很容易。红绿双色LED&#xff0c;GPIO控制&#xff0c;可用来提示程序运行状态。1个复位按键&#xff0c;1个用户按键可以用作输入。SWD&UART调试接…

学校机房如何监控?手把手教你操作

随着现代科学技术的不断发展&#xff0c;特别是现代建筑技术、现代通讯技术、现代控制技术、现代仪器仪表技术和现代计算机技术的不断更新、发展、完善和整合&#xff0c;计算机机房智能化的趋势日益明显。 学校机房常见4大安全隐患 01.电气安全隐患 电源电流异常、市电环境不…

常见的DNS攻击类型与应对措施盘点(中科三方)

DNS解析是互联网中一项非常重要的功能&#xff0c;是用户访问网站的关键环节&#xff0c;我们日常工作生活使用网络都伴随着大量的DNS服务做支撑。DNS将用户容易记忆输入的域名指向可由计算机直接识别的IP地址&#xff0c;是确保用户通过域名访问网站&#xff0c;维持网络空间正…

电脑一直自检无法开机怎么办?

电脑一直自检无法开机是指电脑自检程序一直处于检查中无法进入系统&#xff0c;从而导致电脑无法开机。在了解电脑一直自检无法开机之前&#xff0c;我们需要明白电脑自检程序检测的是什么。 电脑自检也称加电自检(POST&#xff0c;Power On Self Test)&#xff0c;电脑在接通电…

DVWA靶场的安装-超详细

一、安装phpstudy环境 phpstudy下载地址&#xff1b;小皮面板(phpstudy) - 让天下没有难配的服务器环境&#xff01; 二、下载DVWA包 VWA官网 http://www.dvwa.co.uk/ 下载DWVA压缩包DVWA-master.zip&#xff0c;很小只有1M多 三、安装DVWA 1、解压DVWA压缩到phpstudy/www&…

国产IC芯片自动化测试系统ATECLOUD,助力芯片测试自动化

IC芯片测试成本是影响制造和加工成本的重要因素。在某些情况下&#xff0c;测试成本可能占到器件总成本的40%左右。为了降低测试成本&#xff0c;可以优化测试程序并研发多工位测试。同时&#xff0c;必须平衡良品率和测试时间&#xff0c;以实现最佳的成本控制。本篇文章纳米软…