首先检查一下程序的保护机制
然后用IDA分析一下
xman_2019_format(非栈上格式化字符串仅一次利用的爆破)
starctf_2019_upxofcpp
程序用了UPX壳保护,通过upx –d脱壳后,拿到IDA里分析。
Delete以后没有清空指针,存在UAF,但是无法double free,因为程序中使用虚表调用,delete一次后,虚表对应位置已经被清空。因此第二次delete同一个chunk将进入else语句,进而崩溃。由于函数指针放在chunk里,因此,我们可以伪虚表指针,再利用UAF来执行。由于使用的是upx加壳,脱壳后,显示NX保护是关闭的,但是宿主是upx的壳,upx壳程序通过mmap映射出RWX的内存放置受保护的程序,因此,在这里堆栈是可执行的,也可以通过gdb调试查看。因此,我们在堆里布置下shellcode。
secretHolder_hitcon_2016(超大chunk如何从top chunk里分配而不是mmap)
这题和上一题https://blog.csdn.net/seaaseesa/article/details/105856878功能相似,并且上一题的利用手法这里同样可以利用,这里,有另一种手法,从而引出了一个新的知识点。
这题,delete功能里增加了对huge chunk的free
sleepyHolder_hitcon_2016(fastbin的检查机制+malloc_consolidate+double free)
首先,检查一下程序的保护机制
然后,我们用IDA分析一下,delete功能没有清空指针,并且也没有校验,因此可以double free。
huxiangbei_2019_namesystem
首先,检查一下程序的保护机制
然后,我们用IDA分析一下
反调试+在栈上伪造堆chunk
首先,检查一下程序的保护机制,没开PIE
沙箱禁用了execve,因此不能getshell,只能构造ROP来读取flag
roarctf_2019_easyheap(文件描述符1关闭后仍然可以交互)
首先,检查一下程序的保护机制
然后,我们用IDA分析一下
cscctf_2019_final_childrenheap
首先,检查一下程序的保护机制
然后用IDA分析一下
mergeheap
首先,检查一下程序的保护机制
然后,我们用IDA分析一下,在合并的时候,存在溢出,strcpy、strcat可能会将下一个chunk的size也拷贝过来,从而可以溢出修改下一个chunk的size。
glibc从堆任意分配到攻击IO流达到泄露信息_realloc特性_unsorted_bin_expand总结
有些情况下,仅有malloc/calloc/realloc和free两种功能,并且可以实现任意地址分配,如果想要达到利用,还需要知道地址,在glibc下,一般就是攻击_IO_2_1_stdout_结构体来实现信息泄露,通过低字节覆盖unsorted bin留下的main_arena指针,再加以爆破4位,就能分配到_IO_2_1_stdout_,通过篡改_IO_2_1_stdout_的flags为0x0FBAD1887,_IO_write_base低字节覆盖,然后当程序调用puts输出任意信息时,就会输出_IO_write_base到_IO_write_ptr之间的数据,而这之间就有libc的指针。
下面以三个例子为例。