【pwnable.kr】unlink - unlink4字节写,劫持ecx到堆中获取main_retaddr

2024-03-31 18:08

本文主要是介绍【pwnable.kr】unlink - unlink4字节写,劫持ecx到堆中获取main_retaddr,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

image-20181122152930920

题目信息

image-20181122154147635

直接看源码:

image-20181122174832515

这题思路很清晰,程序模拟了最简单的unlink过程,unlink的本质就是把中间的chunk从前后解链,同时修改前面chunk的fd和后面chunk的bk。如果可以溢出了会被unlink的chunk,32bit下在FD->bk=BK时,拥有一次4bit写的机会,同时需要保证BK->fd可写(BK->fd=FD同理)。

拥有任意地址写的机会后,可以考虑修改程序返回地址为shelladdr就可以拿shell。程序是如何返回的?main函数中ret时取返回地址的操作如下(见下图):

   0x80485ff <main+208>:        mov    ecx,DWORD PTR [ebp-0x4]0x8048602 <main+211>:        leave0x8048603 <main+212>:        lea    esp,[ecx-0x4]0x8048606 <main+215>:        ret

从[ebp-0x4]中取ecx后,从[ecx-4]的地方取出main_retaddr。

image-20181123101240616

如果要写main_retaddr为shell,需要控制unlink时FD=&main_retaddr(0xffffd60c)-4,控制BK为&shell,那么FD->bk=BK执行时 ,两边同时替换,&main_retaddr -4 +4= &shell,即*(&main_retaddr)=&shell。但是由于BK->fd=FD,&shell+0在.text不可写,因此BK不能为&shell。

那么是否可以考虑让BK是一个类似jmp &shell的地址呢?gdb中find 0xf7fc5000没有找到任何输出。因此直接修改main_retaddr不可行了。但是由于main_retaddr获取时是通过ecx这个栈上的指针来获取的,因此,我们通过unlink修改栈中ecx的值指向堆中(&shell的堆地址+4),这时BK->fd(&shell的堆地址+4+0)肯定可写,由于堆溢出,堆中的数据我们是可以伪造的,因此就可以劫持程序main_retaddr了。

exp

A栈地址是ebp-14h,ecx的栈地址是ebp-0x4。假设泄漏的A栈地址为leakAstack,因此unlink时ecx为leakAstack+0x10。要写ecxaddr,因此fakefd为ecxaddr-0x4。 A的堆地址为leakAheap(上图中是0x804b408),溢出时先在leakAheap+0x8处布置&shell,fakebk修改为leakAheap+0x8+0x4。

image-20181123120010892

exploit:

image-20181123121053918

image-20181123121315002

总结

unlink的题已经做过好几遍了,时隔一年再做的时候还是得想一下。本质是unlink 4byte写,由于main ret时通过栈上的ecx指针来获取main_retaddr,因此堆中布置&shell,unlink写ecx=(&shell的堆地址+4),fakefd=ecx-4,从而修改main_retaddr。

这篇关于【pwnable.kr】unlink - unlink4字节写,劫持ecx到堆中获取main_retaddr的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/864971

相关文章

使用Python实现获取网页指定内容

《使用Python实现获取网页指定内容》在当今互联网时代,网页数据抓取是一项非常重要的技能,本文将带你从零开始学习如何使用Python获取网页中的指定内容,希望对大家有所帮助... 目录引言1. 网页抓取的基本概念2. python中的网页抓取库3. 安装必要的库4. 发送HTTP请求并获取网页内容5. 解

C++常见容器获取头元素的方法大全

《C++常见容器获取头元素的方法大全》在C++编程中,容器是存储和管理数据集合的重要工具,不同的容器提供了不同的接口来访问和操作其中的元素,获取容器的头元素(即第一个元素)是常见的操作之一,本文将详细... 目录一、std::vector二、std::list三、std::deque四、std::forwa

使用Python高效获取网络数据的操作指南

《使用Python高效获取网络数据的操作指南》网络爬虫是一种自动化程序,用于访问和提取网站上的数据,Python是进行网络爬虫开发的理想语言,拥有丰富的库和工具,使得编写和维护爬虫变得简单高效,本文将... 目录网络爬虫的基本概念常用库介绍安装库Requests和BeautifulSoup爬虫开发发送请求解

Oracle存储过程里操作BLOB的字节数据的办法

《Oracle存储过程里操作BLOB的字节数据的办法》该篇文章介绍了如何在Oracle存储过程中操作BLOB的字节数据,作者研究了如何获取BLOB的字节长度、如何使用DBMS_LOB包进行BLOB操作... 目录一、缘由二、办法2.1 基本操作2.2 DBMS_LOB包2.3 字节级操作与RAW数据类型2.

Android App安装列表获取方法(实践方案)

《AndroidApp安装列表获取方法(实践方案)》文章介绍了Android11及以上版本获取应用列表的方案调整,包括权限配置、白名单配置和action配置三种方式,并提供了相应的Java和Kotl... 目录前言实现方案         方案概述一、 androidManifest 三种配置方式

Python如何获取域名的SSL证书信息和到期时间

《Python如何获取域名的SSL证书信息和到期时间》在当今互联网时代,SSL证书的重要性不言而喻,它不仅为用户提供了安全的连接,还能提高网站的搜索引擎排名,那我们怎么才能通过Python获取域名的S... 目录了解SSL证书的基本概念使用python库来抓取SSL证书信息安装必要的库编写获取SSL证书信息

Win32下C++实现快速获取硬盘分区信息

《Win32下C++实现快速获取硬盘分区信息》这篇文章主要为大家详细介绍了Win32下C++如何实现快速获取硬盘分区信息,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起学习一下... 实现代码CDiskDriveUtils.h#pragma once #include <wtypesbase

Android如何获取当前CPU频率和占用率

《Android如何获取当前CPU频率和占用率》最近在优化App的性能,需要获取当前CPU视频频率和占用率,所以本文小编就来和大家总结一下如何在Android中获取当前CPU频率和占用率吧... 最近在优化 App 的性能,需要获取当前 CPU视频频率和占用率,通过查询资料,大致思路如下:目前没有标准的

golang获取prometheus数据(prometheus/client_golang包)

《golang获取prometheus数据(prometheus/client_golang包)》本文主要介绍了使用Go语言的prometheus/client_golang包来获取Prometheu... 目录1. 创建链接1.1 语法1.2 完整示例2. 简单查询2.1 语法2.2 完整示例3. 范围值

javaScript在表单提交时获取表单数据的示例代码

《javaScript在表单提交时获取表单数据的示例代码》本文介绍了五种在JavaScript中获取表单数据的方法:使用FormData对象、手动提取表单数据、使用querySelector获取单个字... 方法 1:使用 FormData 对象FormData 是一个方便的内置对象,用于获取表单中的键值