Pwn_noleak

最新推荐文章于 2021-12-09 22:03:07 发布
最新推荐文章于 2021-12-09 22:03:07 发布
阅读量122 收藏
点赞数
分类专栏: Pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56897090/article/details/119784954
版权

Noleak

文章目录

题目描述

题目来源:MiniL-2020
curd(增删改查)典型堆类题目、带后门函数

root@ubuntu:~/exp# checksec --file='/root/exp/time_management' 
[*] '/root/exp/time_management'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO(got可改)
    Stack:    Canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)(无aslr)

题目原理

简单来说unlink的题目原理

  1. 利用绕过unlink检查机制的固定套路后unlink
  2. 再根据实际情况进行系统堆管理数据进行篡改实现getshell

0x00 前置知识

堆结构
在这里插入图片描述
addr=堆块地址
用户原始修改区域是addr+0x10
addr(0~0x10)
储存了的系统管理数据(上一堆块长度、本堆块长度+上一堆块状态标志、fd、bk)
下一堆块的系统管理区域的size位,储存了上一堆块是否释放状态

ptr定义为全局堆地址管理存放的指针
共定义堆块0、1、2、3、4

整数溢出
调用者:

在这里插入图片描述

被调用函数:
![[Pasted image 20210818162059.png]]

条件:size=0 | i=0
为什么i <= (size-1)能通过呢?
原来是[[整数溢出]],(size-1)该变量的类型原先是无符号整数(unsigned int64)

当size=0,size=size-1=-1(0xffff),汇编对于无符号负数转换:下界溢出
-1转换为无符号数是4294967295
所以i<=(size-1)

free、unlink的glibc代码
glibc的free函数代码
![[Pasted image 20210818171530.png]]

glibc的unlink代码
![[Pasted image 20210818164020.png]]

  • 其实质是往ptr里面写入了ptr-0x18的值

0x01 绕过unlink检测

手动修改堆块0的状态

标志位 解释
0x00 释放Freed
0x01 使用Used

(这边涉及一个整数溢出的漏洞在edit,传入0可任意输入不限制长度的内容入堆,导致堆溢出
详细:[[整数溢出]]
漏洞使用edit,利用堆溢出修改了系统控制区域 0x603030,将size的标志为改为0(Freed)(0xa1=>0xa0)


随后系统将0x603000认定为释放块(下一堆块的系统(SIZE)区域记录了上一堆块的状态)

为下一步unlink做准备
![[Pasted image 20210818164341.png]]

同时将第一个堆块的fd、bk设置为(ptr-0x18)、(ptr-0x10)=>unlink内部会对bk、fd的地址检查
第二个堆块的bk设置为ptr,达到修改堆块0为ptr的效果

0x02 unlink

unlink
手动调用了程序的delete功能,delete(1)=>free=>unlink

内存布局
相当于在堆块2(0x6030d0 )的系统控制(SIZE)的状态标志位为0x00(freed)
随后 0x603000、0x603030堆块被标记为freed

内存对比图(释放前、释放后):

最低0.47元/天 解锁文章
Ch1lkat
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn题堆利用的一些姿势 -- IO_FILE
lifanxin的博客
05-11 5142
IO_FILE概述IO_FILE结构介绍利用IO_FILE进行leakFSOP总结 概述   这是pwn题堆利用系列的第三篇文章,本篇文章主要讲解一下IO_FILE结构在pwn题中的利用。一般来说,想到使用IO_FILE结构,是因为pwn题中没有可以用来leak的函数。 IO_FILE结构介绍   FILE 在 Linux 系统的标准 IO 库中是用于描述文件的结构,称为文件流。 FILE 结构在程序执行 fopen 等函数时会进行创建,并分配在堆中,然后以链表的形式串联起来,但系统一开始创建的三个文件st
攻防世界PWN之Noleak(一题学了好多知识)题解
seaaseesa的博客
11-13 3715
Noleak 本题需要用到的知识有:malloc_hook、unsorted bin unlink、fastbin attack、partial write bypass PIE 首先,介绍一下malloc_hook,这是C语言提供的一个用来包装malloc的,类似还有free_hook,具体可以查阅相关资料学习 Malloc hook 我们看如下代码 #include&...
攻防世界(pwn)Noleak
PLpa的博客
03-03 1491
前言: 看了大佬们的writeup,发现这题解法真的非常多,我这里用的是unsortedbin的地址写漏洞,详情可以看ctfwiki了解漏洞原因。 没开NX,有可以执行的堆栈,但是开启了Full RELRO,不能修改got表地址了。 打开IDA: 发现是一个菜单题,可以创建,删除,更新堆快信息,没有输出信息的选项,果然Noleak。 我们这里可以一个一个功能去看,看看漏洞存在哪里: 经过观察...
PWN学习整理栈溢出到堆利用(含举例)
九层台
02-20 2327
文章将整理从入门栈溢出到堆house系列的梳理。 0x01栈知识 call 将当前的IP或者CS和IP压入栈中。 转移 汇编:call xxx push IP jmp xxx ret 将程序的返回地址弹出到ip寄存器中 程序继续执行 汇编: pop IP 有call就要有传参,32位系统用栈来传参参数是倒着传进去也就是最后的参数先push 64位系统用寄存器来传参前三个参数是...
Xman 选拔赛 NoLeak writeup
charlie_heng的专栏
08-09 787
很久没发博客了,就随便写一下吧 想出一道House of Roman的题,然后去找了下类似的题目,记起来选拔赛的时候好像有一道NoLeak,那时候队里面的师傅做了,我就懒得做了,现在回顾了下,发现根本不用house of Roman就能get shell,直接partial write就可以写malloc hook,然后将shell code 写到bss段,跳到bss段get shell 下面...
pwn_debug:旨在帮助快速构建对CTF Pwn游戏的利用
05-14
pwn_debug pwn_debug-基于pwntools的ctf pwns的辅助调试工具 建议您在获得“用法和安装”的完整说明。 这只是一个简单的描述。 入门 安装pwn_debug git clone https://github.com/ray-cp/pwn_debug.git cd pwn_...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出这是一个关于 "AVR系列单片机Mage8PWM脉冲输出程序" 的资源。这意味着主要关注的是 AVR 系列...
pwn_journey
03-15
pwn_journey 我一直对二进制开发很着迷。 想象一下,能够控制程序的功能,并使其执行应有的功能吗? 对我而言,这是真正的骇客。 所以我想学习它。 该存储库是我进行铺砌的旅程和经验。 您为什么不建立博客呢? 使用...
攻防世界-PWN进阶区-Noleak(XCTF 4th-QCTF-2018)
weixin_44145820的博客
03-01 852
本题主要考察对堆的利用,需要有一定的背景知识,本文也参考了几篇大佬的Writeup,让本文尽可能详细。 题目分析 checksec: 本题的RELRO是完全开启的,意味着我们不能通过修改GOT表来进行攻击 以下是源代码: main函数 delete函数: 这里可以看到free之后没有把指针置空,可能有UAF或者Dubble Free edit函数: 在本函数中,没有检测大小就直接写入,明显...
CTF-PWN Noleak (unsortedbin attack+fastbin attack+malloc_hook)
SuperGate的博客
11-25 901
漏洞简述 [*] '/home/supergate/Desktop/Pwn/timu' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX disabled PIE: No PIE (0x400000) RWX: Ha...
PWN学习】如何获取libc基址
Morphy_Amo的博客
12-09 7935
在解pwn题的时候,如果程序中没有可以获得shell的函数,通常会通过got表中调用函数来获取libc基址,然后通过libc获取要用的system函数和binsh字符。
PWN-无libc泄露
zszcr的博客
03-22 3678
pwn题的无libc泄露用到的pwntools的DynELF模块实现条件是:有指向libc空间的 能泄露libc空间信息的函数 (write和puts函数)能重复触发漏洞DynELF模块的基本框架:p=process('./xxx')def leak(address):    payload='xxx'+address+'xxx'  #address就是你要泄露的地址 ,payload是你控制程序...
磁力链磁力链磁力链.txt
最新发布
07-22
磁力链
“人力资源+大数据+薪酬报告+涨薪调薪”
07-22
人力资源+大数据+薪酬报告+涨薪调薪,在学习、工作生活中,越来越多的事务都会使用到报告,通常情况下,报告的内容含量大、篇幅较长。那么什么样的薪酬报告才是有效的呢?以下是小编精心整理的调薪申请报告,欢迎大家分享。相信老板看到这样的报告,一定会考虑涨薪的哦。
安装graphviz和pygraphviz
07-22
pygraphviz 是一个Python库,它是Graphviz图形可视化软件的Python接口。Graphviz是一个开源的图形可视化软件,广泛用于创建和编辑有向图和无向图。pygraphviz使得Python开发者能够轻松地创建和操作图形,以及执行图形的布局和可视化。 一、pygraphviz的主要功能 创建和编辑图形:pygraphviz允许开发者通过Python代码来创建图形,包括添加节点、边等元素,并且可以编辑这些元素的属性,如颜色、形状、标签等。 图形布局:pygraphviz支持多种图形布局算法,如dot、neato、circo等,开发者可以根据需要选择合适的算法来优化图形的布局。 图形可视化:pygraphviz可以将创建和编辑好的图形保存为图片文件,支持多种图片格式,如PNG、JPEG等,方便开发者进行展示和分享。
BrainF**k Devlopment Toolkit
07-22
BrainF**k Devlopment Toolkit(BFDTK),可用于开发BrainF**k程序。
xdctf2015_pwn200
09-03
xdctf2015_pwn200是一道CTF比赛中的题目,是一个二进制漏洞利用题目。从代码中可以看出,它利用了一个栈溢出漏洞来实现攻击。在攻击过程中,首先使用write函数的got地址来泄露出libc中write函数的真实地址,然后通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值