二进制安全虚拟机Protostar靶场(5)堆的简单介绍以及实战 heap0

前言

这是一个系列文章,之前已经介绍过一些二进制安全的基础知识,这里就不过多重复提及,不熟悉的同学可以去看看我之前写的文章

什么是堆

堆是动态内存分配的区域,程序在运行时用来分配内存。它与栈不同,栈用于静态分配内存,并且具有固定的大小

程序使用如malloc、calloc、realloc等函数在堆上动态分配内存。当内存不再需要时,使用free函数释放。

例如:

复制代码
int main(int argc, char **argv)
{
  struct data *d;
  d = malloc(sizeof(struct data));
}

通过malloc函数分配的堆地址:

接下来就用实战来讲解堆的运作机制

heap 0

复制代码
#include <stdlib.h>
#include <unistd.h>
#include <string.h>
#include <stdio.h>
#include <sys/types.h>

struct data {  #定义了一个名为data的结构体
  char name[64];  #包含一个64字节大小的字符数组name
};

struct fp {  #定义了一个名为fp的结构体
  int (*fp)();  #包含了一个函数指针fp
};

void winner()  #自定义函数winner
{
  printf("level passed\n");  #输出level passed
}

void nowinner()  #自定义函数nowinner
{
  printf("level has not been passed\n");  #输出level has not been passed
}

int main(int argc, char **argv)  #主函数,从命令行获取参数
{
  struct data *d;  #声明了一个指向 struct data 类型结构体的指针 d
  struct fp *f;  #声明了一个指向 struct fp 类型结构体的指针 f

  d = malloc(sizeof(struct data));   #给data结构体分配内存
  f = malloc(sizeof(struct fp));  #给fp结构体分配内存
  f->fp = nowinner;  #fp结构体中的函数指针初始化为指向nowinner函数

  printf("data is at %p, fp is at %p\n", d, f);  #输出data和fp结构体的内存地址

  strcpy(d->name, argv[1]);  #strcpy函数将命令行提供的第一个参数,复制到data结构体的name数组中
  
  f->fp();  #调用函数指针指向的函数nowinner

}

漏洞发生在strcpy函数处,strcpy函数不会检查目标缓冲区的大小,如果我们提供的参数超过64字节,它将导致缓冲区溢出,如果发生了缓冲区溢出,并且覆盖了f->fp的值,那么可以使它指向winner函数,调用winner函数

我们先在第一个malloc函数调用的地方下一个断点,然后执行到断点处,来看看堆是怎么运行的

现在停在了malloc函数处,还没有执行该指令,可以看到程序空间里是没有堆的

输入n执行malloc函数,再次查看程序空间

可以看到,多出了一个heap空间,也就是堆,地址是0x804a000-0x806b000,我们查看这个堆空间里的数据

现在堆里只有两个数据,0x49-1,0x48是第一个mallco函数给我们分配的空间大小,为什么要减一呢,因为在这个堆中保存数据是,为了区分是否是空闲区域,都会在表示大小的值后面加一个1,+1了就说明当前空间已经被存放了数据,那这里为什么后面存放的数据都是0呢,是因为这个程序是从命令行参数里获取值然后保存的,我们运行程序时没有输入参数,所以这里都是0

name函数大小设置的是64字节,为什么程序给我们分配了72字节的空间,其实是这样算的

程序还将前面保留的四个字节空闲空间和本身表示大小的空间算进去了

而最后的0x20fb9,表示整个栈空间的大小,我们在程序执行strcpy函数的地方下一个断点,这个地方是程序将我们输入的值存入堆里的地方

我们重新运行程序,输入A,执行strcpy函数的指令,再在查看栈空间


程序已经将我们输入的8个A的十六进制值放入了堆,并且下面还有第二个mallco函数的空间

而这个0x8048478则是nowinner函数地址

前面说过,strcpy函数不会检查目标缓冲区的大小,如果我们提供的参数超过64字节,它将导致缓冲区溢出,如果发生了缓冲区溢出,并且覆盖了f->fp的值,那么可以使它指向winner函数,调用winner函数,我们输入76个字符就能完整覆盖nowinner函数地址,控制程序跳转的地址

复制代码
python -c "print('A'*72 + 'B'*4)"

重新打开gdb,然后运行

这里程序提示跳转到了0x42424242的地址,也就是我们输入的BBBB,这时我们查看堆空间

我们已经将nowinner函数地址给覆盖了

我们将BBBB改为winner函数地址,就成功破解了程序

我们可以使用echo工具来输入不可见字符

复制代码
./heap0 "`/bin/echo -ne "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA\x64\x84\x04\x08"`"

成功跳转到winner函数

堆是一个很难的部分,为了方便入门,这篇文章只是简单的介绍了一些堆的运作机制,之后的文章再慢慢介绍其他的机制

相关推荐
Chockmans2 小时前
春秋云境CVE-2021-42897(保姆级教学)
计算机网络·安全·web安全·网络安全·安全威胁分析·春秋云境·cve-2021-42897
风控PM说4 小时前
入门第二课:业务催生风险,常见的业务风险有哪些?
安全
独守一片天20 小时前
HarmonyOS 6.1.0 Call Service 来电识别与安全通信怎么设计?
安全·华为·harmonyos
想你依然心痛1 天前
嵌入式C代码规范:MISRA-C 2012核心规则解读——类型安全与未定义行为深度剖析
c语言·安全·代码规范
Elastic 中国社区官方博客1 天前
跟踪资金流向:使用 ES|QL 和跨集群搜索追踪洗钱网络
大数据·人工智能·安全·elasticsearch·搜索引擎·金融·全文检索
IT新视界1 天前
数据要素安全流通服务
安全
微信开发api-视频号协议1 天前
Codex++安全边界探秘:从模型能力到风险防御
前端·安全·微信·企业微信
枝头玉1 天前
新160个CrackMe048-monkeycrackme1、049-THraw-crackme8、050-daxxor逆向分析
安全·逆向·crackme·reserve
维基框架1 天前
Claude Mythos Preview 发布后严重漏洞激增:安全还是营销?
人工智能·安全
技术不好的崎鸣同学1 天前
[MRCTF2020]PYWebsite 思路及解法
安全·web安全