[PWN] 学习记录——堆_offbyone

最新推荐文章于 2024-11-19 20:19:12 发布
原创 最新推荐文章于 2024-11-19 20:19:12 发布 · 1.1k 阅读 · 20 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#学习 #网络 

# chunk1=chunk2=chunk3=chunk4=chunk5 大小相等
malloc(chunk1)
malloc(chunk2)
free(chunk1)
free(chunk2)
free(chunk1)# 形成fastbin循环
malloc(chunk2)# == chunk1
malloc(chunk4)# == chunk2
# 在fastbin取出时,会检查size字段是不是属于这个fastbin,因此需要伪造目的地址target的size字段=target+8
edit(chunk3)# 修改chunk1的fd指针,使其指向目的地址
malloc(chunk5)# == fake\_chunk(fd指向的地址),会检查size字段
edit(chunk5)# 修改目的地址的内容

House of Spirit

该技术的核心在于在目标位置处伪造 fastbin chunk,并将其释放,从而达到分配指定地址的 chunk 的目的。

要想构造 fastbin fake chunk,并且将其释放时,可以将其放入到对应的 fastbin 链表中,需要绕过一些必要的检测,即

  • fake chunk 的 ISMMAP 位不能为 1,因为 free 时,如果是 mmap 的 chunk,会单独处理。
  • fake chunk 地址需要对齐, MALLOC_ALIGN_MASK
  • fake chunk 的 size 大小需要满足对应的 fastbin 的需求,同时也得对齐。
  • fake chunk 的 next chunk 的大小不能小于 2 * SIZE_SZ,同时也不能大于av->system_mem 。
  • fake chunk 对应的 fastbin 链表头部不能是该 fake chunk,即不能构成 double free 的情况。

示例:

int main()
{
	malloc(0x10);//必须先初始化堆
	size\_t fake_chunk[10];
	fake_chunk[0] = 0;    // pre\_size
	fake_chunk[1] = 0x21; // size
	fake_chunk[2] = 0;
	fake_chunk[3] = 0;
	fake_chunk[4] = 0;    // nextchunk pre\_size
	fake_chunk[5] = 0x21; // nextchunk size 很重要
	free(&fake_chunk[2]);
	return 0;
}

Alloc to Stack

该技术的核心点在于劫持 fastbin 链表中 chunk 的 fd 指针,把 fd 指针指向我们想要分配的栈上,从而实现控制栈中的一些关键数据,比如返回地址
需要在栈上伪造chunk,需要有满足的size

Arbitrary Alloc

事实上只要满足目标地址存在合法的 size 域(这个 size 域是构造的,还是自然存在的都无妨),我们可以把 chunk 分配到任意的可写内存中,比如 bss、heap、data、stack 等等。
例:
分配 fastbin 到_malloc_hook 的位置,相当于覆盖_malloc_hook 来控制程序流程。
例题:2015 9447 CTF : Search Engine

Unsorted Bin Attack

利用方法

(示例代码来源于how2heap

  1. 覆盖 unsorted bin 释放块的fd和bk指针,再次申请时达到返回任意地址的目的
    glibc < 2.29

int main() {
	setbuf(stdout, NULL);
	intptr\_t stack_buffer[4] = {0};
	
	intptr\_t\* victim = malloc(0x410);
	intptr\_t\* p1 = malloc(0x410);// avoid top chunk
	free(victim);// 释放到 unsorted bin

	// 伪造 fake chunk
	printf("Set size for next allocation and the bk pointer to any writable address");
	stack_buffer[1] = 0x410 + 0x10;
	stack_buffer[3] = (intptr\_t)stack_buffer;

	//------------VULNERABILITY-----------
	printf("Now emulating a vulnerability that can overwrite the victim->size and victim->bk pointer\n");
	printf("Size should be different from the next request size to return fake\_chunk and need to pass the check 2\*SIZE\_SZ (> 16 on x64) && < av->system\_mem\n");
	victim[-1] = 0x30;//大小需要和fake chunk 不同
	victim[1] = (intptr\_t)stack_buffer; // victim->bk is pointing to stack
	//------------------------------------

	printf("Now next malloc will return the region of our fake chunk: %p\n", &stack_buffer[2]);
	char \*p2 = malloc(0x410);

}
  1. 利用覆盖 unsorted bin freelist 上的释放块将大值写入任意地址(如libc中的全局变量global_max_fast,进一步利用 fastbin attack)
int main(){
	volatile unsigned long stack_var=0;// 任意地址
	unsigned long \*p=malloc(0x410);
	malloc(500);// avoid top chunk
	free(p);// 释放到 unsorted bin
	//------------VULNERABILITY-----------
	p[1]=(unsigned long)(&stack_var-2);// 覆盖p的bk指针为 任意地址-0x10(64位)
	//------------------------------------
	malloc(0x410);// malloc后stack\_var即被覆盖为大值(unsorted bin 的地址)
}

Unsorted Bin Leak

Unsortedbin 结构如下:必有一个节点的fd或者bk指针指向main_arena中Unsortedbin的地址,该地址和main_arena的地址相对偏移是固定的,减去偏移即可得到main_arena地址

unsorted bin中第一个chunk的bk和最后一个chunk的fd都指向main_arena+48(32位)main_arena+88(64位)的位置,所以只需要将chunk释放到unsorted bin便可以泄漏libc的地址

在这里插入图片描述
根据main_arena地址和libc的偏移,可以获得libc基址,偏移获取方法如下:

  1. 通过 __malloc_trim 函数
    IDA打开题目给出的so文件,找到malloc_trim函数,如下图 0x3c4b20 即为
    在这里插入图片描述在这里插入图片描述
  2. 通过 __malloc_hook 直接算出
    64位,main_arena 和 __malloc_hook 的地址差是 0x10

main_arena_offset = ELF(“libc.so.6”).symbols[“__malloc_hook”] + 0x10

leak方法:

基于UAF实现,malloc一个符合unsortedbin大小的chunk(malloc(0x80)),free后chunk会被释放到unsorted bin中(注意不要与top chunk相邻)
一般来说,该chunk是unsorted bin的第一个chunk,fd和bk指针都会指向main_arena+offest
推荐使用链表尾的fd指针去获取地址
如果使用链表头的bk指针,32位情况下可以连续打印处fd和bk的内容,但是64位情况下高地址往往为 \x00,很多输出函数会被截断,难以实现有效 leak

Tcache attack

tcache 获取 unsorted bin:

对于tcache来说,free范围变大了,也就是说我们直接free一块unsorted bin大小的chunk,并不会直接进入unsorted bin而是会先进入tcache,只有对应大小的tcache满了以后,才会放入unsorted bin。
这时想要得到一个unsorted bin有以下方法

  1. 1.free一个largebin,largebin不会放入tcache,直接放入unsorted bin
  2. 先连续free填满tcache,再free放进unsorted bin
  3. 在存有uaf的时候,可以先连续free两次,再malloc三次快速填满tcache。(2.31及之后失效)

因为tcache的个数是由count代表的,每申请一次就会-1且申请时并不判断count,先free两次造成double
free,令next始终指向自身,这时count为2,再连续申请3次,count变为-1,而在比较时是char类型,也就是unsigned
int8,-1远大于7,导致tcache认为已满

  1. 打tcache_pthread_struct修改count后free

有一个修改tcache_pthread_struct的例题

Tcache stashing unlink attack

例题:hitcon_ctf_2019_one_punch

Large Bin Attack

house_of_storm 详解

House of XXX

House Of Einherjar (latest)

看雪讲解
比较简单,overlap和unlink的结合利用,通过修改堆块内容,伪造chunk的prev_size,在free时将堆块合并到想要的地址,达到返回任意地址chunk的目的
原理:滥用 free 中的后向合并操作(合并低地址的 chunk)
利用过程
在这里插入图片描述

  1. chunk p0 可写 prev_size 字段,并且存在 off by one漏洞,可修改下一个chunk p1 的 PREV_INUSE位
    将 p1 的 prev_size 字段设置为我们想要的目的 chunk 位置与 p1 的差值,同时修改下一个chunk 的 PREV_INUSE位为0
  2. 在目的chunk的位置,伪造 fake chunk,绕过unlink检查
  3. free(p1),再次申请相应大小的chunk即可得到 fake chunk
    unlink绕过:
    glibc 2.23: 只需要伪造fake size和fd、bk指针
    在这里插入图片描述
    可以修改fake chunk 的 fd和bk 指针均为 fake chunk的地址

p->fd = p
p->bk = p

glibc 2.27:增加了一个检查,检查该chunk的大小是否等于next chunk的prev_size
需要伪造fake size和fd、bk指针,还有next chunk的prev_size在这里插入图片描述
例题:2016 Seccon tinypad

House Of Force(< 2.29)

top chunk 相关
例题:bcloud_bctf_2016
条件:

  1. 能够以溢出等方式控制到 top chunk 的 size 域
  2. 能够自由地控制堆分配尺寸的大小

可以将top chunk 分配到目的地址,再次分配即可得到目的地址的chunk
malloc()的大小 = (target_addr - topchunk_addr) - SIZE_SZ (对齐情况下,若没对齐,还要减去MALLOC_ALIGN_MASK进行对齐)

House Of Lore (latest)

small bin 相关
malloc函数中,申请small bin 中的 chunk时

    /\*
 If a small request, check regular bin. Since these "smallbins"
 hold one size each, no searching within bins is necessary.
 (For a large request, we need to wait until unsorted chunks are
 processed to find best fit. But for small ones, fits are exact
 anyway, so we can check now, which is faster.)
 \*/
    if (in\_smallbin\_range(nb)) {
        // 获取 small bin 的索引
        idx = smallbin\_index(nb);
        // 获取对应 small bin 中的 chunk 指针
        bin = bin\_at(av, idx);
        // 先执行 victim= last(bin),获取 small bin 的最后一个 chunk
        // 如果 victim = bin ,那说明该 bin 为空。
        // 如果不相等,那么会有两种情况
        if ((victim = last(bin)) != bin) {
            // 第一种情况,small bin 还没有初始化。
            if (victim == 0) /\* initialization check \*/
                // 执行初始化,将 fast bins 中的 chunk 进行合并
                malloc\_consolidate(av);
            // 第二种情况,small bin 中存在空闲的 chunk
            else {
                // 获取 small bin 中倒数第二个 chunk 。
                bck = victim->bk;
                // 检查 bck->fd 是不是 victim,防止伪造
                if (\_\_glibc\_unlikely(bck->fd != victim)) {
                    errstr = "malloc(): smallbin double linked list corrupted";
                    goto errout;
                }
                // 设置 victim 对应的 inuse 位
                set\_inuse\_bit\_at\_offset(victim, nb);
                // 修改 small bin 链表,将 small bin 的最后一个 chunk 取出来
                bin->bk = bck;// 伪造chunk的 bk 指针为目的地址,则smallbin 的 bk 等于目的地址,那么下次就会malloc到 目的地址(绕过保护)
                bck->fd = bin;
                // 如果不是 main\_arena,设置对应的标志
                if (av != &main_arena) set\_non\_main\_arena(victim);
                // 细致的检查
                check\_malloced\_chunk(av, victim, nb);
                // 将申请到的 chunk 转化为对应的 mem 状态
                void \*p = chunk2mem(victim);
                // 如果设置了 perturb\_type , 则将获取到的chunk初始化为 perturb\_type ^ 0xff
                alloc\_perturb(p, bytes);
                return p;
            }
        }
    }

利用思路:
glibc2.27之前,未引入tcache
在这里插入图片描述

  1. malloc一个smallbin大小的chunk victim,free后被放到 unsorted bin
  2. malloc一个大于victim大小的chunk,导致 victim 放入small bin
  3. 修改victim内容,bk指向 target chunk,在target chunk处 伪造,fd=victim,bk=next chunk,同时next chunk的 fd=target chunk
  4. malloc victim 大小的chunk,使得 target chunk 成为 small bin 的 bk,即最后一个chunk,
  5. malloc target 大小的chunk,即可分配到 target chunk(需要利用next chunk 绕过检查)

glibc2.27后,引入tcache后:
在这里插入图片描述
需要将next chunk 的 bk 设为?,绕过tcache的检查
introduced by smallbin-to-tcache mechanism

House Of Orange (< 2.26)

houseoforange+FSOP
背景:无法利用free函数释放堆块
核心:在不利于free函数的情况下得到一个释放的堆块 unsorted bin
原理:当bin中为空或者不足以满足需要分配的大小时,会从top chunk 分配堆块,同时当 top chunk 尺寸不足以满足申请分配的大小时,会将top chunk放入 unsorted bin,再次malloc时,就会从unsorted bin 切割chunk进行分配

当top chunk不够时,ptmalloc需要执行 sysmalloc 来向系统申请更多的空间,对于堆来说有 mmap 和 brk 两种分配方式,我们需要让堆以brk的形式拓展,之后原有的 top chunk 会被置于 unsorted bin 中
在这里插入图片描述

绕过:
brk 拓展 top chunk时需要绕过检查,
首先,malloc 的尺寸不能大于mmp_.mmap_threshold,避免使用mmap分配堆块
如果所需分配的 chunk 大小大于 mmap 分配阈值,默认为 128K,并且当前进程使用 mmap() 分配的内存块小于设定的最大值,将使用 mmap() 系统调用直接向操作系统申请内存。

最后

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

img

img

img

img

img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

rKP-1715561262649)]

[外链图片转存中…(img-EWsDapk8-1715561262649)]

[外链图片转存中…(img-RnrPIUcc-1715561262649)]

[外链图片转存中…(img-kbgYvZWa-1715561262650)]

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

【CTF资料-0x0002】PWN简易Linux利用入门教程by arttnba3
arttnba3的博客
02-25 6337
【CTF资料-0x0002】简易Linux利用入门教程by arttnba3老生常谈,[GITHUB BLOG ADDR](https://archive.next.arttnba3.cn/2021/02/24/%E3%80%90CTF%E8%B5%84%E6%96%99-0x0002%E3%80%91%E7%AE%80%E6%98%93Linux%E5%A0%86%E5%88%A9%E7%94%A8%E5%85%A5%E9%97%A8%E6%95%99%E7%A8%8Bby%20arttnba3/),请
攻防世界babystack(pwn1)——glibc_all_in_one初体验
weixin_48066554的博客
05-14 1790
攻防世界babystack(pwn1)——glibc_all_in_one初体验 文章目录攻防世界babystack(pwn1)——glibc_all_in_one初体验引入初步分析1、checksec2、伪代码分析3、栈分析解题思路1、泄露canary3、get shellexp本地libc运行尝试尝试1尝试2尝试3尝试4(重大进展) 引入 ​ 好久没做pwn题了,找了道简单的ret2libc做做,顺便尝试解决一些历史遗留问题 (其实就是让pwn题使用本地的libc的问题,省流:有突破性进展但没有完全解决
[PWN] 学习记录——
LDX的博客
11-06 453
pwn 部分的学习心得和记录
off by one
WateranFire的博客
11-02 306
ctfwiki pwn笔记:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/off_by_one-zh/ off-by-one 利用思路¶ 溢出字节为可控制任意字节:通过修改大小造成块结构之间出现重叠,从而泄露其他块数据,或是覆盖其他块数据。 溢出字节为 NULL 字节:在 size 为 0x100 的时候,溢出 NULL ...
的off-by-one
爱党人士
10-18 381
单字节溢出 产生环境: 1.不注意数组长度,循环次数不注意 2,字符串操作失误,如:忘记字符串在你输入后会加上’\x00’来截断 产生的影响: 虽然只能覆盖掉一个字符,但也能发挥强大的威力。 就从null-off-by-one开始看。 那么该如何利用呢? chunk overlapping unlink触发(unlink的话还没搞懂,懂了再写一遍说说) 关于chunk overlappin...
PWN-Offbyone 漏洞解析
最新发布
m0_57836225的博客
11-19 952
PWN 技术的深入学习过程中,第 21 节聚焦于 Offbyone 漏洞。这一漏洞类型在安全攻防领域,特别是涉及内存操作时,具有独特的性质和潜在的危险性。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
pwn——ciscn_2019_n_1#pwn1_sctf_2016#jarvisoj_level0
LSYZWF的博客
10-26 715
文章目录ciscn_2019_n_1题目解答 ciscn_2019_n_1 题目 题目链接:https://buuoj.cn/challenges#ciscn_2019_n_1 解答 1、打开IDA进行分析 发现函数gets和系统命令cat 此函数的大致意思是输入v1的值,然后判断v2,故存在栈溢出使得v2的内存中的值为11.28125 2、判断偏移地址 v2的内存地址距离v1首地址的偏移量是30h-04h=2ch 3、gdb调试一波 没有栈溢出保护 4、编写脚本 11.28125的十六进制可以在I
BUUCTF pwn——pwnable_orw
CNS-Enterprise BCC-1701-J
05-06 428
BUUCTF 做题练习
python3的pwn用法——when_did_you_born题解
Little_Small_Joze的博客
03-11 1808
检测截图 file when_did_you_born checksec when_did_you_born 我承认看到金丝雀+NX有那么一点点不开心,但是不影响。 反编译程序 根据上一步的file查看到它是64-bits的ELF文件,所以64-bits的IDA打开它,反编译找到主函数F5查看源代码。 __int64 __fastcall main(int a1, char **a2, char **a3) { __int64 result; // rax char v4[8]; // [rs
pwn学习笔记(11)--off_by_one
qq_66013948的博客
11-09 944
​ 多次输入几个a之后,发现了最后输出的时候输出了17个a,我的目的仅仅只是需要16个a,结果输出了17个a,像这种,在写入字符串的时候多写入了一个字节的情况,就是off by one。prev_sizeprev_sizeprev_sizeprev_size​ 最新版本代码中,已加入针对 2 中后一种方法的 check ,但是在 2.28 及之前版本并没有该 check。
linux漏洞英文怎么说,[原创]Linux平台OffByOne(基于栈)漏洞
weixin_30998047的博客
05-18 167
.text:08048497 ; int __cdecl main(int argc, const char **argv, const char **envp).text:08048497 public main.text:08048497 main proc near ; DATA XREF: _start+...
pwn-入门
yajuanpi4899的博客
12-19 1041
pwn入门
pwn入门(3)
农夫果园好好喝的博客
07-22 747
是虚拟地址空间的一块连续的线性区域提供动态分配的内存,允许程序申请大小未知的内存在用户与操作系统之间,作为动态内存管理的中间人响应用户的申请内存请求,向操作系统申请内存,然后将其返回给用户程序管理用户所释放的内存,适时归还给操作系统。...
pwn一篇入门
qq_42863961的博客
05-25 453
能帮到你的话,就给个赞吧 ???? 由于我在其他地方编辑,但不想再重新编辑一份,于是把链接放在这里吧 https://note.youdao.com/ynoteshare1/index.html?id=03e7ab6c45cf0b425c8a3a5d0d0e03db&type=note
溢出 Off-By-One 原理学习
prettyX的博客
04-11 2422
Off-By-One 严格来说,off-by-one是一种特殊的溢出漏洞,off-by-one指程序向缓冲区中写入时,写入的字节数超过了这个缓冲区本身所申请的字节数并且只越界了一个字节。 off-by-one,是指单字节缓冲区溢出,这种漏洞的产生往往与边界验证不严和字符串操作有关,也不排除写入的size正好就只多了一个字节的情况。 一般认为,单字节溢出是难以利用的,但是因为Linux的管理机制ptmalloc验证的松散性,基于Linux的off-by-one漏洞利用起来并不复杂,并且威力强大...
PWN工具之pwndbg
CYXMDTT的博客
03-25 7974
pwndbg是一个用于GDB的插件,旨在帮助进行漏洞利用和CTF挑战的动态调试工具。它提供了一系列的功能和命令,可以帮助我们更方便地进行动态调试。同时,pwndbg也是一个开源工具,可以在GitHub上找到并自由使用。
Linux pwn入门教程,pwn入门系列教程1
weixin_29015899的博客
05-02 653
pwn入门系列教程1因为自己学的时候,找不到一个系统的教程,我将会按照ctf-wiki的目录一步步学下去,尽量做到每周有更新,方便跟我一样刚入门的人学习,第一篇教程研究了4天吧,途中没人指导。。很尴尬,自己一个很容易的点研究了很久才懂,把踩过的坑也总结下,方便后人不再踩坑学习链接环境搭建off by one原理(引用ctf-wiki)off-by-one 是指单字节缓冲区溢出,这种漏洞的产生...
pwn 基础
qq_41696518的博客
09-03 1061
是用malloc函数申请使用的。假设我们通过void * ptr = malloc(0x10);系统会调用一些函数在内存中开辟一大片空间作为的分配使用空间。malloc函数再从这篇的分配使用空间中分配0x10大小的空间,将指向该空间的地址返回给ptr(余下的空间称之为topthunk)chunk:用户申请内存的单位,也是管理器管理内存的基本单位 malloc()返回的指针指向一个chunk的数据区域。
提升AR Drone Pwn脚本性能的ARDronePwn_Pineapple
根据提供的文件信息,我们可以推断出一系列关于“ARDronePwn_Pineapple:改进的AR Drone Pwn脚本”的IT知识点。这一部分将详细展开这些知识点,以便对主题有一个全面的理解。 ### 知识点一:ARDronePwn及其背景 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值