C++哈希表bucket机制与Pwn题解分析<\/h1>

一、哈希表与bucket基础<\/h2>

1. 哈希表基本概念<\/h3>

哈希表是一种通过哈希函数将键(key)映射到索引位置的数据结构，核心特点：<\/p>

使用哈希函数计算键的存储位置<\/li>
理想情况下实现O(1)时间复杂度的查找、插入和删除<\/li>

需要处理哈希冲突问题<\/li> <\/ul>

2. bucket机制详解<\/h3>

bucket是哈希表中的基本存储单元：<\/p>

每个bucket对应一个哈希值或哈希值范围<\/li>
相同哈希值的元素存储在同一个bucket中<\/li>

通常实现为链表或其他容器(如数组、向量)<\/li> <\/ul>

3. C++中的bucket操作<\/h3>

在std::unordered_map<\/code>和std::unordered_set<\/code>中提供以下关键操作：<\/p>

函数<\/th>	描述<\/th> <\/tr> <\/thead>
`bucket_count()<\/code><\/td>`	返回bucket总数<\/td> <\/tr>
`bucket_size(n)<\/code><\/td>`	返回第n个bucket中的元素数量<\/td> <\/tr>
`bucket(key)<\/code><\/td>`	返回键所在的bucket索引<\/td> <\/tr>
`load_factor()<\/code><\/td>`	返回当前负载因子(平均每个bucket的元素数)<\/td> <\/tr>
`max_load_factor()<\/code><\/td>`	获取\/设置最大负载因子<\/td> <\/tr> <\/tbody> <\/table> 二、题目分析：novel1<\/h2> 1. 程序基本信息<\/h3> 保护机制：Partial RELRO, no canary, no PIE<\/li> 关键漏洞：栈溢出<\/li> 主要函数：part1、part2、RACHE<\/li> <\/ul> 2. 关键函数分析<\/h3> part1函数<\/h4> 功能：向哈希表中插入键值对<\/li> 参数：idx(键), value(值)<\/li> <\/ul> part2函数<\/h4> 功能：处理特定bucket中的元素<\/li> 关键操作：使用std::copy<\/code>将bucket内容复制到栈上<\/li> <\/ul> std::copy<\/code>漏洞点<\/h4> std::<\/span>copy<<\/span>std::<\/span>__detail::<\/span>_Local_iterator<<\/span>...><\/span>, std::<\/span>pair<<\/span>...>><\/span>( <\/span><\/span> begin, \/\/ bucket起始迭代器 <\/span><\/span><\/span><\/span> end, \/\/ bucket结束迭代器 <\/span><\/span><\/span><\/span> v3); \/\/ 目标栈数组 <\/span><\/span><\/span><\/code><\/pre> 将整个bucket内容复制到栈数组v3<\/li> 无边界检查导致栈溢出<\/li> <\/ul> 3. 利用思路<\/h3> bucket控制<\/strong>：通过精心选择idx使多个键落入同一bucket<\/li> 栈溢出<\/strong>：利用std::copy<\/code>将大量数据复制到栈上<\/li> ROP链构造<\/strong>：覆盖返回地址实现控制流劫持<\/li> <\/ol> 4. 利用步骤详解<\/h3> 爆破bucket索引<\/strong>：<\/li> <\/ol> for<\/span> j in<\/span> range(1<\/span>,100<\/span>): <\/span><\/span> # 测试哪些idx会落入同一bucket<\/span> <\/span><\/span> part1(i<\/span>j, 10<\/span>) # 插入多个元素<\/span> <\/span><\/span> part2(j) # 触发bucket复制<\/span> <\/span><\/span><\/code><\/pre> 栈迁移准备<\/strong>：<\/li> <\/ol> 利用author字段输入ROP链<\/li> 使用magic gadget控制rsp<\/li> <\/ul> 泄露libc地址<\/strong>：<\/li> <\/ol> payload =<\/span> p64(pop_rdi_rbp) +<\/span> p64(puts_got) +<\/span> p64(puts) <\/span><\/span><\/code><\/pre> 最终利用<\/strong>：<\/li> <\/ol> 使用ret2syscall而非system（避免rsp下移问题）<\/li> 构造execve("\/bin\/sh",0,0)<\/li> <\/ul> 三、题目分析：anyip<\/h2> 1. 协议分析<\/h3> 协议包结构：<\/p> def<\/span> pack<\/span>(func, para1, content): <\/span><\/span> buf =<\/span> p16(func) # 2字节功能号<\/span> <\/span><\/span> buf +=<\/span> b<\/span>"<\/span>\x00<\/span>"<\/span> +<\/span> p8(para1) # 1字节参数 <\/span> <\/span><\/span> buf +=<\/span> b<\/span>"<\/span>\x00<\/span>"<\/span>*<\/span>4<\/span> +<\/span> b<\/span>"<\/span>\x01\x07\x00\x00<\/span>"<\/span> # 固定魔数<\/span> <\/span><\/span> buf +=<\/span> content # 可变内容<\/span> <\/span><\/span><\/code><\/pre>2. 功能函数<\/h3> 0x4444：队列操作<\/li> 0x2222：栈操作（存在POP无检查漏洞）<\/li> 0x3333：字符串处理<\/li> 0x1111：文件读取<\/li> <\/ul> 3. 漏洞利用<\/h3> 栈负向溢出<\/strong>：<\/li> <\/ol> 通过多次POP使stackTop变为负数<\/li> 覆盖队列控制结构(qFront, qEnd)<\/li> <\/ul> 任意写构造<\/strong>：<\/li> <\/ol> 覆盖stack的base指针绕过检查<\/li> 修改log文件名指针指向"flag"<\/li> <\/ul> 字符串构造技巧<\/strong>：通过fuzz发现输入"peuoIfnSm"可得到"SomeIpfun"<\/li> <\/ol> 四、关键知识点总结<\/h2> 1. 哈希表安全要点<\/h3> bucket溢出风险<\/li> 哈希碰撞攻击防范<\/li> 迭代器失效问题<\/li> <\/ul> 2. Pwn题通用技巧<\/h3> 保护机制分析<\/strong>：<\/li> <\/ol> No canary → 栈溢出可能<\/li> No PIE → 地址固定<\/li> Partial RELRO → GOT可写<\/li> <\/ul> 漏洞挖掘方法<\/strong>：<\/li> <\/ol> 关注无边界检查的复制操作<\/li> 注意负数索引处理<\/li> 分析数据结构交互边界<\/li> <\/ul> 利用限制绕过<\/strong>：<\/li> <\/ol> 栈迁移解决空间不足<\/li> ret2syscall替代system<\/li> 数据段复用技巧<\/li> <\/ul> 3. 逆向分析技巧<\/h3> C++符号解析<\/li> STL容器识别<\/li> 迭代器模式分析<\/li> <\/ul> 五、防御建议<\/h2> 编码层面<\/strong>：<\/li> <\/ol> 所有复制操作添加边界检查<\/li> 使用安全容器替代原生STL<\/li> 负数索引特殊处理<\/li> <\/ul> 编译层面<\/strong>：<\/li> <\/ol> 开启所有保护机制(Canary, PIE, FULL RELRO)<\/li> 使用现代C++安全特性<\/li> <\/ul> 架构层面<\/strong>：<\/li> <\/ol> 敏感操作添加权限控制<\/li> 实现输入验证机制<\/li> 关键数据结构隔离保护<\/li> <\/ul>

C++哈希表bucket机制与Pwn题解分析<\/h1>

一、哈希表与bucket基础<\/h2>

二、题目分析：novel1<\/h2>

2. 关键函数分析<\/h3>

三、题目分析：anyip<\/h2>

四、关键知识点总结<\/h2>