【pwnable.kr】unlink - unlink4字节写,劫持ecx到堆中获取main_retaddr

2024-03-31 18:08

本文主要是介绍【pwnable.kr】unlink - unlink4字节写,劫持ecx到堆中获取main_retaddr,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

image-20181122152930920

题目信息

image-20181122154147635

直接看源码:

image-20181122174832515

这题思路很清晰,程序模拟了最简单的unlink过程,unlink的本质就是把中间的chunk从前后解链,同时修改前面chunk的fd和后面chunk的bk。如果可以溢出了会被unlink的chunk,32bit下在FD->bk=BK时,拥有一次4bit写的机会,同时需要保证BK->fd可写(BK->fd=FD同理)。

拥有任意地址写的机会后,可以考虑修改程序返回地址为shelladdr就可以拿shell。程序是如何返回的?main函数中ret时取返回地址的操作如下(见下图):

   0x80485ff <main+208>:        mov    ecx,DWORD PTR [ebp-0x4]0x8048602 <main+211>:        leave0x8048603 <main+212>:        lea    esp,[ecx-0x4]0x8048606 <main+215>:        ret

从[ebp-0x4]中取ecx后,从[ecx-4]的地方取出main_retaddr。

image-20181123101240616

如果要写main_retaddr为shell,需要控制unlink时FD=&main_retaddr(0xffffd60c)-4,控制BK为&shell,那么FD->bk=BK执行时 ,两边同时替换,&main_retaddr -4 +4= &shell,即*(&main_retaddr)=&shell。但是由于BK->fd=FD,&shell+0在.text不可写,因此BK不能为&shell。

那么是否可以考虑让BK是一个类似jmp &shell的地址呢?gdb中find 0xf7fc5000没有找到任何输出。因此直接修改main_retaddr不可行了。但是由于main_retaddr获取时是通过ecx这个栈上的指针来获取的,因此,我们通过unlink修改栈中ecx的值指向堆中(&shell的堆地址+4),这时BK->fd(&shell的堆地址+4+0)肯定可写,由于堆溢出,堆中的数据我们是可以伪造的,因此就可以劫持程序main_retaddr了。

exp

A栈地址是ebp-14h,ecx的栈地址是ebp-0x4。假设泄漏的A栈地址为leakAstack,因此unlink时ecx为leakAstack+0x10。要写ecxaddr,因此fakefd为ecxaddr-0x4。 A的堆地址为leakAheap(上图中是0x804b408),溢出时先在leakAheap+0x8处布置&shell,fakebk修改为leakAheap+0x8+0x4。

image-20181123120010892

exploit:

image-20181123121053918

image-20181123121315002

总结

unlink的题已经做过好几遍了,时隔一年再做的时候还是得想一下。本质是unlink 4byte写,由于main ret时通过栈上的ecx指针来获取main_retaddr,因此堆中布置&shell,unlink写ecx=(&shell的堆地址+4),fakefd=ecx-4,从而修改main_retaddr。

这篇关于【pwnable.kr】unlink - unlink4字节写,劫持ecx到堆中获取main_retaddr的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/864971

相关文章

C# foreach 循环中获取索引的实现方式

《C#foreach循环中获取索引的实现方式》:本文主要介绍C#foreach循环中获取索引的实现方式,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友参考下吧... 目录一、手动维护索引变量二、LINQ Select + 元组解构三、扩展方法封装索引四、使用 for 循环替代

Linux下如何使用C++获取硬件信息

《Linux下如何使用C++获取硬件信息》这篇文章主要为大家详细介绍了如何使用C++实现获取CPU,主板,磁盘,BIOS信息等硬件信息,文中的示例代码讲解详细,感兴趣的小伙伴可以了解下... 目录方法获取CPU信息:读取"/proc/cpuinfo"文件获取磁盘信息:读取"/proc/diskstats"文

Vue3组件中getCurrentInstance()获取App实例,但是返回null的解决方案

《Vue3组件中getCurrentInstance()获取App实例,但是返回null的解决方案》:本文主要介绍Vue3组件中getCurrentInstance()获取App实例,但是返回nu... 目录vue3组件中getCurrentInstajavascriptnce()获取App实例,但是返回n

SpringMVC获取请求参数的方法

《SpringMVC获取请求参数的方法》:本文主要介绍SpringMVC获取请求参数的方法,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下... 目录1、通过ServletAPI获取2、通过控制器方法的形参获取请求参数3、@RequestParam4、@

Python获取C++中返回的char*字段的两种思路

《Python获取C++中返回的char*字段的两种思路》有时候需要获取C++函数中返回来的不定长的char*字符串,本文小编为大家找到了两种解决问题的思路,感兴趣的小伙伴可以跟随小编一起学习一下... 有时候需要获取C++函数中返回来的不定长的char*字符串,目前我找到两种解决问题的思路,具体实现如下:

golang获取当前时间、时间戳和时间字符串及它们之间的相互转换方法

《golang获取当前时间、时间戳和时间字符串及它们之间的相互转换方法》:本文主要介绍golang获取当前时间、时间戳和时间字符串及它们之间的相互转换,本文通过实例代码给大家介绍的非常详细,感兴趣... 目录1、获取当前时间2、获取当前时间戳3、获取当前时间的字符串格式4、它们之间的相互转化上篇文章给大家介

Python获取中国节假日数据记录入JSON文件

《Python获取中国节假日数据记录入JSON文件》项目系统内置的日历应用为了提升用户体验,特别设置了在调休日期显示“休”的UI图标功能,那么问题是这些调休数据从哪里来呢?我尝试一种更为智能的方法:P... 目录节假日数据获取存入jsON文件节假日数据读取封装完整代码项目系统内置的日历应用为了提升用户体验,

微信公众号脚本-获取热搜自动新建草稿并发布文章

《微信公众号脚本-获取热搜自动新建草稿并发布文章》本来想写一个自动化发布微信公众号的小绿书的脚本,但是微信公众号官网没有小绿书的接口,那就写一个获取热搜微信普通文章的脚本吧,:本文主要介绍微信公众... 目录介绍思路前期准备环境要求获取接口token获取热搜获取热搜数据下载热搜图片给图片加上标题文字上传图片

使用Python实现获取网页指定内容

《使用Python实现获取网页指定内容》在当今互联网时代,网页数据抓取是一项非常重要的技能,本文将带你从零开始学习如何使用Python获取网页中的指定内容,希望对大家有所帮助... 目录引言1. 网页抓取的基本概念2. python中的网页抓取库3. 安装必要的库4. 发送HTTP请求并获取网页内容5. 解

C++常见容器获取头元素的方法大全

《C++常见容器获取头元素的方法大全》在C++编程中,容器是存储和管理数据集合的重要工具,不同的容器提供了不同的接口来访问和操作其中的元素,获取容器的头元素(即第一个元素)是常见的操作之一,本文将详细... 目录一、std::vector二、std::list三、std::deque四、std::forwa