Pwn_Heap_Stkof

最新推荐文章于 2024-07-20 17:12:48 发布
最新推荐文章于 2024-07-20 17:12:48 发布
阅读量131 收藏
点赞数
分类专栏: Pwn 文章标签: 堆栈 python 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56897090/article/details/119760359
版权
Stkof文章目录Stkof题目描述题目原理Exp题目描述同[[堆]]类型的题目基础的堆题目(创建、释放、修改)特征:带有off by one在写堆数据时题目原理利用unlink的套路,合并伪造size标志位使堆块提前向上合并将堆控制权提到系统数据可控制区域伪造fake_chunk填充got地址使得程序内部libc基地址泄露GetshellOneGadget,修改GOT指向的地址为OneGadget地址劫持Free劫持atoiExpExp使用了3种方法one_g
摘要由CSDN通过智能技术生成

Stkof

文章目录

题目描述

同[[堆]]类型的题目
基础的堆题目(创建、释放、修改)
特征:带有off by one在写堆数据时

题目原理

  1. 利用unlink的套路,合并伪造size标志位使堆块提前向上合并
  2. 将堆控制权提到系统数据可控制区域
  3. 伪造fake_chunk填充got地址使得程序内部libc基地址泄露
  4. Getshell
    1. OneGadget,修改GOT指向的地址为OneGadget地址
    2. 劫持Free
    3. 劫持atoi

Exp

  1. Exp使用了3种方法
    1. one_gadget
    2. 劫持free、写/bin/sh到堆chunk内
    3. 劫持atoi,利用stdin直接将/bin/sh输入
#coding=utf8
from pwn import *
context.log_level = 'debug'
context(arch='amd64', os='linux')
p = process('./stkof')
elf = ELF('./stkof')
libc = elf.libc
sl = lambda s : p.sendline(s)
sd = lambda s : p.send(s)
rc = lambda n : p.recv(n)
ru = lambda s : p.recvuntil(s)
ti = lambda : p.interactive()
def bk(addr):
    gdb.attach(p,"b *"+str(hex(addr)))
def debug(addr,PIE=True):
最低0.47元/天 解锁文章
Ch1lkat
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF-pwn 2014-stkof writeup
Vicl1fe的博客
09-18 352
题目链接:Github 参考链接:传送门 堆的一些基础这里就不再介绍了,网上有很多,也可以加qq群一起讨论:946220807 准备开始正文 读懂题目 拿到题目,开启我们的IDA查看伪代码。运行程序并没有使用帮助,只能自己慢慢琢磨了。 可以看到输入不同的数字对应不同的函数(ida不同函数名可能也不同),共4个函数: fill() :这个函数用来向分配的空间填充数据。 free_chunk()...
HITCON 2014 pwn - stkof 做题笔记
fa1c4的blog
08-30 449
前言 一道unlink + off-by-one, ctfhub 搜 stkof 分析过程 __int64 __fastcall main(int a1, char **a2, char **a3) { int v3; // eax int v5; // [rsp+Ch] [rbp-74h] char nptr[104]; // [rsp+10h] [rbp-70h] BYREF unsigned __int64 v7; // [rsp+78h] [rbp-8h] v7 = __re
stkof
pppp974的博客
09-17 189
from pwn import * p= process("./stkof") libc = ELF("./libc.so.6") elf = ELF("./stkof") def create(size): p.sendline('1') p.sendline(str(size)) p.recvuntil('OK\n') def edit(index,size,content): p...
buuctf pwn hitcon2014_stkof 初识unlink
weixin_45677731的博客
08-02 682
最近开始学堆,看了wiki和一些大佬的文章搞懂了这个有关unlink的题目:hitcon2014_stkof 首先拖进ida,看看几个主要的函数: 函数1,创建对,同时可以看到,堆的地址被存储在了s处,点进去看看 发现是bss段,像这样的指针,就是这类题目的一个特征 函数2,编辑堆内容,长度可以自己设置,有堆溢出漏洞 函数3,free堆 函数4用处不大 先把三个函数写好: def alloc(size): sh.sendline('1') sh.sendline(str(size))
unlink小结 && 2014_hitcon_stkof
Pwnpanda的博客
08-02 1347
暑假学习计划 - 0x02 关于unlink的学习资料以及本例题的wp都很多,本篇主要是做个小总结,内附较为详细的调试图片以便初学者理解 (自从入了堆坑学unlink,到现在差不多一个半月了,真的是死去活来,也怪自己的基础差,现在算是理解一些了,先记下来等以后深入理解后再补充,在此感谢各位师傅的帮助,尤其是kaka师傅) 先放基础学习链接: Linux堆溢出漏洞利用之unlink http...
pwn_debug:旨在帮助快速构建对CTF Pwn游戏的利用
05-14
pwn_debug pwn_debug-基于pwntools的ctf pwns的辅助调试工具 建议您在获得“用法和安装”的完整说明。 这只是一个简单的描述。 入门 安装pwn_debug git clone https://github.com/ray-cp/pwn_debug.git cd pwn_...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
PWM.rar_ARM7 汇编_PWN_pwm arm7
09-22
在ARM7处理器上实现PWM接口,需要理解ARM7架构、汇编语言以及PWN的具体工作原理。 ARM7是ARM公司设计的一系列32位RISC微处理器,以其低功耗、高性能和广泛应用而闻名。在ARM7处理器中,开发者可以使用C语言或汇编...
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出这是一个关于 "AVR系列单片机Mage8PWM脉冲输出程序" 的资源。这意味着主要关注的是 AVR 系列...
writeup hitcon-ctf-2014/stkof
fuchuangbob的专栏
06-12 2169
writeup hitcon-ctf-2014/stkof题目: https://github.com/ctfs/write-ups-2014/tree/master/hitcon-ctf-2014/stkof 漏洞分析可参考: http://acez.re/ctf-writeup-hitcon-ctf-2014-stkof-or-modern-heap-overflow/ 使用pwntoo
2014 HITCON CTF stkof
Bill
03-16 2888
2014 HITCON CTF stkof 1.序言 接着how2heap的教程走,下面是unlink漏洞的利用及相关练习。 有关漏洞的原理,网上已经有很多说明了,在这里我给出一些比较靠谱一点的链接: CTF WiKi 堆溢出之unlink的利用-Yun Unlink Exploit Linux堆溢出漏洞利用之unlink 堆溢出的unlink利用方法 2.程序分析 ...
[BUUCTF]-PWN:hitcon2014_stkof解析(unlink)
2301_79326813的博客
01-28 745
又是一道堆题,先看保护关键信息,64位,没开pie。再看ida大致就是alloc创建堆块,free释放堆块,fill填充堆块内容,以及一个看起来没啥用的函数,当然我也没利用这个函数去解题这里有两种解法。
【CTF】【PWN】【BJDctf】bjd_2020_babyheap
m0_50819561的博客
10-06 158
一道比较简单的堆题。 经典列菜单。 create , edit, delete 。 可以发现edit存在一个堆溢出漏洞,那么利用方法就很明显了。 先创建4个chunk。 再删除chunk2,然后对chunk1进行edit,利用堆溢出将chunk2的fd填充为一个fake_chunk. 再次malloc就会申请回chunk2的位置,由于fd连接了fake_chunk,所以再申请一次会申请会fake_chunk. fake_chunk+0x23的位置是heaparrary。 所以,执行如上代码之后,h
强网杯 签到re 签到pwn 题解
qq_41071646的博客
05-27 2002
强网杯给打自闭了 最后也是没有进到第一页 比较可惜 不过手速快 抢到了 先锋的三血 感觉还不错 不得不说强网的反作弊做的真心不错 re 都能每个人的flag 不一样 真心可以 然后强网的 pwn题竟然还有用队伍 token来搞 真的秀 先说re 即可得出flag Just re 这个题目也算是签到题 首先要修复函数 虽然 上面xmmword_405018 变化...
使用Python的Turtle库绘制动态风车
最新发布
爱写代码的小朋友
07-20 378
python绘制风车
Python如何将字符串连接在一起并使用`join()`方法】
qq_36253366的博客
07-19 438
方法是字符串对象的方法,而不是列表或元组等序列类型的方法。因此,你需要先指定一个用作分隔符的字符串,然后调用这个字符串的。方法将字符串连接在一起,你需要首先确保这些字符串被存储在一个序列类型中(如列表或元组),然后调用这个序列的。方法是一个字符串方法,它用于将序列(如列表、元组等)中的元素以指定的字符连接生成一个新的字符串。列表中的所有字符串元素使用空格作为分隔符连接成一个新的字符串。方法,并将你想要作为分隔符的字符串作为参数传递给。方法,并将包含要连接字符串的序列作为参数传递。
Python 中的内存管理有哪些优缺点】
qq_36253366的博客
07-19 431
Python中的内存管理是一个复杂而高效的系统,它通过自动化和抽象化的方式极大地简化了程序员的内存管理负担,但同时也存在一些潜在的缺点。
N7翻译实战
tjl521314_21的博客
07-17 335
本周完成项目实战用于训练一个简单的序列到序列(seq2seq)模型以实现英语到法语的翻译。数据预处理、模型构建、训练以及可视化损失的过程。本周学习了构建和训练一个简单的seq2seq模型用于英语到法语的翻译,对前面的知识做了一个综合的运用。
xdctf2015_pwn200
09-03
xdctf2015_pwn200是一道CTF比赛中的题目,是一个二进制漏洞利用题目。从代码中可以看出,它利用了一个栈溢出漏洞来实现攻击。在攻击过程中,首先使用write函数的got地址来泄露出libc中write函数的真实地址,然后通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值