Pwn_Heap_Stkof

最新推荐文章于 2024-07-02 10:24:12 发布
最新推荐文章于 2024-07-02 10:24:12 发布
阅读量131 收藏
点赞数
分类专栏: Pwn 文章标签: 堆栈 python 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56897090/article/details/119760359
版权
Stkof文章目录Stkof题目描述题目原理Exp题目描述同[[堆]]类型的题目基础的堆题目(创建、释放、修改)特征:带有off by one在写堆数据时题目原理利用unlink的套路,合并伪造size标志位使堆块提前向上合并将堆控制权提到系统数据可控制区域伪造fake_chunk填充got地址使得程序内部libc基地址泄露GetshellOneGadget,修改GOT指向的地址为OneGadget地址劫持Free劫持atoiExpExp使用了3种方法one_g
摘要由CSDN通过智能技术生成

Stkof

文章目录

题目描述

同[[堆]]类型的题目
基础的堆题目(创建、释放、修改)
特征:带有off by one在写堆数据时

题目原理

  1. 利用unlink的套路,合并伪造size标志位使堆块提前向上合并
  2. 将堆控制权提到系统数据可控制区域
  3. 伪造fake_chunk填充got地址使得程序内部libc基地址泄露
  4. Getshell
    1. OneGadget,修改GOT指向的地址为OneGadget地址
    2. 劫持Free
    3. 劫持atoi

Exp

  1. Exp使用了3种方法
    1. one_gadget
    2. 劫持free、写/bin/sh到堆chunk内
    3. 劫持atoi,利用stdin直接将/bin/sh输入
#coding=utf8
from pwn import *
context.log_level = 'debug'
context(arch='amd64', os='linux')
p = process('./stkof')
elf = ELF('./stkof')
libc = elf.libc
sl = lambda s : p.sendline(s)
sd = lambda s : p.send(s)
rc = lambda n : p.recv(n)
ru = lambda s : p.recvuntil(s)
ti = lambda : p.interactive()
def bk(addr):
    gdb.attach(p,"b *"+str(hex(addr)))
def debug(addr,PIE=True):
最低0.47元/天 解锁文章
Ch1lkat
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF-pwn 2014-stkof writeup
Vicl1fe的博客
09-18 350
题目链接:Github 参考链接:传送门 堆的一些基础这里就不再介绍了,网上有很多,也可以加qq群一起讨论:946220807 准备开始正文 读懂题目 拿到题目,开启我们的IDA查看伪代码。运行程序并没有使用帮助,只能自己慢慢琢磨了。 可以看到输入不同的数字对应不同的函数(ida不同函数名可能也不同),共4个函数: fill() :这个函数用来向分配的空间填充数据。 free_chunk()...
HITCON 2014 pwn - stkof 做题笔记
fa1c4的blog
08-30 441
前言 一道unlink + off-by-one, ctfhub 搜 stkof 分析过程 __int64 __fastcall main(int a1, char **a2, char **a3) { int v3; // eax int v5; // [rsp+Ch] [rbp-74h] char nptr[104]; // [rsp+10h] [rbp-70h] BYREF unsigned __int64 v7; // [rsp+78h] [rbp-8h] v7 = __re
stkof
pppp974的博客
09-17 189
from pwn import * p= process("./stkof") libc = ELF("./libc.so.6") elf = ELF("./stkof") def create(size): p.sendline('1') p.sendline(str(size)) p.recvuntil('OK\n') def edit(index,size,content): p...
buuctf pwn hitcon2014_stkof 初识unlink
weixin_45677731的博客
08-02 677
最近开始学堆,看了wiki和一些大佬的文章搞懂了这个有关unlink的题目:hitcon2014_stkof 首先拖进ida,看看几个主要的函数: 函数1,创建对,同时可以看到,堆的地址被存储在了s处,点进去看看 发现是bss段,像这样的指针,就是这类题目的一个特征 函数2,编辑堆内容,长度可以自己设置,有堆溢出漏洞 函数3,free堆 函数4用处不大 先把三个函数写好: def alloc(size): sh.sendline('1') sh.sendline(str(size))
unlink小结 && 2014_hitcon_stkof
Pwnpanda的博客
08-02 1342
暑假学习计划 - 0x02 关于unlink的学习资料以及本例题的wp都很多,本篇主要是做个小总结,内附较为详细的调试图片以便初学者理解 (自从入了堆坑学unlink,到现在差不多一个半月了,真的是死去活来,也怪自己的基础差,现在算是理解一些了,先记下来等以后深入理解后再补充,在此感谢各位师傅的帮助,尤其是kaka师傅) 先放基础学习链接: Linux堆溢出漏洞利用之unlink http...
pwn_debug:旨在帮助快速构建对CTF Pwn游戏的利用
05-14
pwn_debug pwn_debug-基于pwntools的ctf pwns的辅助调试工具 建议您在获得“用法和安装”的完整说明。 这只是一个简单的描述。 入门 安装pwn_debug git clone https://github.com/ray-cp/pwn_debug.git cd pwn_...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
PWM.rar_ARM7 汇编_PWN_pwm arm7
09-22
在ARM7处理器上实现PWM接口,需要理解ARM7架构、汇编语言以及PWN的具体工作原理。 ARM7是ARM公司设计的一系列32位RISC微处理器,以其低功耗、高性能和广泛应用而闻名。在ARM7处理器中,开发者可以使用C语言或汇编...
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出这是一个关于 "AVR系列单片机Mage8PWM脉冲输出程序" 的资源。这意味着主要关注的是 AVR 系列...
writeup hitcon-ctf-2014/stkof
fuchuangbob的专栏
06-12 2165
writeup hitcon-ctf-2014/stkof题目: https://github.com/ctfs/write-ups-2014/tree/master/hitcon-ctf-2014/stkof 漏洞分析可参考: http://acez.re/ctf-writeup-hitcon-ctf-2014-stkof-or-modern-heap-overflow/ 使用pwntoo
2014 HITCON CTF stkof
Bill
03-16 2872
2014 HITCON CTF stkof 1.序言 接着how2heap的教程走,下面是unlink漏洞的利用及相关练习。 有关漏洞的原理,网上已经有很多说明了,在这里我给出一些比较靠谱一点的链接: CTF WiKi 堆溢出之unlink的利用-Yun Unlink Exploit Linux堆溢出漏洞利用之unlink 堆溢出的unlink利用方法 2.程序分析 ...
[BUUCTF]-PWN:hitcon2014_stkof解析(unlink)
2301_79326813的博客
01-28 739
又是一道堆题,先看保护关键信息,64位,没开pie。再看ida大致就是alloc创建堆块,free释放堆块,fill填充堆块内容,以及一个看起来没啥用的函数,当然我也没利用这个函数去解题这里有两种解法。
【CTF】【PWN】【BJDctf】bjd_2020_babyheap
m0_50819561的博客
10-06 157
一道比较简单的堆题。 经典列菜单。 create , edit, delete 。 可以发现edit存在一个堆溢出漏洞,那么利用方法就很明显了。 先创建4个chunk。 再删除chunk2,然后对chunk1进行edit,利用堆溢出将chunk2的fd填充为一个fake_chunk. 再次malloc就会申请回chunk2的位置,由于fd连接了fake_chunk,所以再申请一次会申请会fake_chunk. fake_chunk+0x23的位置是heaparrary。 所以,执行如上代码之后,h
强网杯 签到re 签到pwn 题解
qq_41071646的博客
05-27 1993
强网杯给打自闭了 最后也是没有进到第一页 比较可惜 不过手速快 抢到了 先锋的三血 感觉还不错 不得不说强网的反作弊做的真心不错 re 都能每个人的flag 不一样 真心可以 然后强网的 pwn题竟然还有用队伍 token来搞 真的秀 先说re 即可得出flag Just re 这个题目也算是签到题 首先要修复函数 虽然 上面xmmword_405018 变化...
Ansys Zemax|场曲跟畸变图的前世今生
最新发布
ueotek的博客
07-02 268
这里的y和z坐标和方向余弦是(Hx, Hy, Px, Py)=(X, X, 0 ,0)和(Hx, Hy, Px, Py)=(X, X, 0 ,0.001),在光线追迹像面的前一个平面的 z坐标和方向余弦。OpticStudio通过在X和Y方向(弧矢和子午方向)的傍轴光线追踪确定近轴图像平面的Z坐标,并测量该近轴焦平面与系统图像平面的Z坐标之间的距离。使用附件中的样本文件,近轴像面的全局Z坐标与视场0处的像面位置之差与场曲和畸变图中的的Tan Shift相同。近轴像面的定义是以下两个光线交点的全局Z坐标。
力扣第214题“最短回文串”
10年数据\经营分析经验,现任大厂数据分析负责人
06-28 1172
本文详细解读了力扣第214题“最短回文串”,通过使用 KMP 算法的方法高效地解决了这一问题,并提供了详细的解释和模拟面试问答。希望读者通过本文的学习,能够在力扣刷题的过程中更加得心应手。
使用Python实现深度学习模型:序列建模与生成模型的博客教程
Echo_Wish的博客
07-02 429
本文介绍了使用Python实现深度学习模型的序列建模和生成模型的步骤。我们详细说明了每个步骤,并提供了相应的代码示例。通过学习本文,您将能够使用Python构建和训练序列建模和生成模型,并生成新的序列数据。希望本文对您有所帮助!如果您有任何问题或建议,请随时提出。
PyTorch读写模型(state_dict、torch.save、torch.load)
酒酿小圆子呀~
06-30 217
在PyTorch中,state_dict 是一个简单的python的字典对象,将每一层与它的对应参数建立映射关系。(如model的每一层的weights及bias等)注意:只有具有可学习参数的层(卷积层、线性层等)才有state_dict中的条目。优化器(optim)也有一个state_dict,其中包含关于优化器状态以及所使用的超参数的信息。
xdctf2015_pwn200
09-03
xdctf2015_pwn200是一道CTF比赛中的题目,是一个二进制漏洞利用题目。从代码中可以看出,它利用了一个栈溢出漏洞来实现攻击。在攻击过程中,首先使用write函数的got地址来泄露出libc中write函数的真实地址,然后通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值