[CTFHub-技能树]-----House of roman

利用UAF和Doublefree漏洞获取shell的技巧分析
最新推荐文章于 2025-12-02 19:24:37 发布
原创 最新推荐文章于 2025-12-02 19:24:37 发布 · 280 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #网络 #web安全

文章详细描述了一个没有使用libc库的静态编译程序中,如何利用未初始化的指针(UAF)和doublefree漏洞,通过操纵.fini_array表来构造堆溢出,最终实现unlink操作并篡改程序控制流,以获取shell的攻击策略。

检查

这是一道静态编译的题,没有libc库,所以不能用常规的方法来打

在这里插入图片描述

分析:

直接看漏洞点
在这里插入图片描述
这里free之后没有对指针置空,所以存在double free和UAF漏洞。

思路

.fini_array会在程序结束时调用,一般有2个指针,会依次调用,调用完后才会真正退出。
先利用UAF漏洞,把chunk申请到ptr_size处,修改size的大小,构造堆溢出,利用堆溢出,打unlink,把chunk申请到ptr处,最后篡改**.fini_array**的值,拿到shell

利用

先把前面的代码写好

from pwn import *
from LibcSearcher import *

context(log_level='debug',arch='amd64', os='linux')
pwnfile = "./pwn"
#io = remote("challenge-aa33f598e4074e46.sandbox.ctfhub.com",29732)
io = process(pwnfile)
elf = ELF(pwnfile)
libc = ELF("./libc-2.23_64.so")

s       = lambda data               :io.send(data)
sa      = lambda delim,data         :io.sendafter(delim, data)
sl      = lambda data               :io.sendline(data)
sla     = lambda delim,data         :io.sendlineafter(delim, data)
r       = lambda num=4096           :io.recv(num)
ru      = lambda delims		    :io.recvuntil(delims)
itr     = lambda                    :io.interactive()
uu32    = lambda data               :u32(data.ljust(4,b'\x00'))
uu64    = lambda data               :u64(data.ljust(8,b'\x00'))
leak    = lambda name,addr          :log.success('{} = {:#x}'.format(name, addr)
最低0.47元/天 解锁文章
【LLM】self-instruct 构建指令微调数据集
发现问题,并解决问题,批判性思维
07-18 7842
四部曲:指令生成;分类任务识别;实例生成;过滤和后处理。 为了实证评估SELF-INSTRUCT,在GPT3(Brown等人,2020)上运行该框架,在这个模型上的SELF-INSTRUCT迭代过程产出了大约52K条指令,以及大约82K个实例输入和目标输出对。结果数据提供了多种多样的创造性任务,其中50%以上的任务与种子指令的重合度低于0.3 ROUGE-L(§4.2)。可以利用生成的指令数据微调其他大模型。 二、具体过程 1. 指令生成 175个种子任务(每个对应1个指令+1个实例),从该任务池中随机抽取
house-of-spirit-pwn200
csdn546229768的博客
01-11 2664
前言 : 因为期末考试加上复习的原因,接近一个月没有做pwn题了,放寒假就回来在物理机上面装了个ubuntu(折腾了几天,不过装好了做题环境还是挺好用的),打算这个寒假学习完堆知识.来年好好上课(大三压力大!)有空打打比赛. 例题 : lctf2016_pwn200 house-of-spirit 利用条件: (1)想要控制的目标区域的上方空间与下方空间都是可控的内存区域 (2)存在可将堆变量指针覆盖指向为上方可控空间,从而达到将非可控空间与可控空间进行合并变成fake_chunk(有点像unlink) (
CTFHUB技能树详解(最全、最细、最易懂)
it_wzb的博客
09-29 1万+
最近闲的无聊,玩玩CTF吧,并把自己的解题思路分享给大家。大佬多指教。
【我的 PWN 学习手札】House of Roman
Mr_Fmnwon的博客
11-04 811
一般来说House of Roman会和IO_File结合在一起,并不需要泄露libc,适用于没有回显的场景中。但是笔者还没学到那里,而且本篇也侧重于House of Roman手法本身。所以会泄露libc(为了one_gadget),再结合House of Roman打__malloc_hook。
[CTFHub]-技能树----pwn tcache Attack
saulgoodman的博客
02-02 344
目前只有我一人解出来,估计是其他大佬不屑于做这样简单的题吧!长话短说,做堆类题一定要亲自动手,重要的事情说三遍。
scikit-learn初级
weixin_50559423的博客
12-09 8153
s第一章 scikit-learn初级 官网:https://scikit-learn.org/stable/index.html 1.1 Scikit-Learn简介 Scikit-Learn(简称Sklearn)是Python的第三方模块,它是机器学习领域中知名的Python模块之一,它对常用的机器学习算法进行了封装,包括回归(Regression)、降维(Dimensionality Reduction)、分类(Classification)和聚类(Clustering)四大机器学习算法。Scikit
AI驱动TDSQL-C Serverless 数据库技术实战营-融合智能体与TDSQL-C技术,高效实现二手房数据查询与分析应用
热门推荐
全栈若城,专注知识分享
09-27 22万+
TDSQL-C MySQL版(TDSQL-C for MySQL)——腾讯云自主研发的新一代云原生关系型数据库,完美融合了传统数据库的成熟经验、云计算的灵活便捷以及新硬件技术的强大性能。它全面兼容MySQL,致力于为用户提供极致弹性的伸缩能力、卓越的性能表现、高度可用的服务、坚如磐石的数据可靠性以及全方位的安全保障。TDSQL-C能够轻松实现超百万QPS的高并发处理能力,支持PB级数据量的分布式智能存储,以及Serverless模式的秒级自动伸缩,助力企业快速推进数字化转型,迈向业务发展的新高度。
Ansible-tower使用方法(一):使用本地playbook
icanflying的博客
02-18 4272
通过上一篇博文我们可以在主机上安装ansible-tower,在互联网有关playbook详细使用的文章太少,所以再次整理一下供参考,后续有时间会陆续补充 一、首先我们要添加主机用于执行任务 1、定义一个Organizations组织,类似部门下拥有某些项目,有很多主机组 2、添加清单,类似主机分组 3、添加完主机组就可以来添加主机 (1)、通过界面以yaml语言的方式进行添加 ansible_ssh_port: 22 ansible_ssh_user: root ..
使用 k-means 聚类算法对多维属性数据进行分类
weixin_44708254的博客
03-17 9861
k-means高维聚类: https://www.cnblogs.com/icydengyw/p/13591990.html
若依微服务版(ruoyi-cloud)使用记录
FunnyWhiteCat的博客
07-22 1万+
记录一下使用ruoyi-cloud过程中遇到的问题 开发工具 Intellij Idea Community、Visual Studio Code Idea 建议安装插件:Free Mybatis plugin,这样可以从 mapper 接口直接跳转到对应的 mapper.xml 文件 vscode 建议安装插件:Vetur、vscode-element-helper、ESLint 目录 1.启动 2.代码生成 3.协同开发一个模块 4.新建模块 5.将模块抽取为单独的项目 6.服务接口
House-Price-Model-Deployment
05-04
Flask&Heroku房屋价格模型部署 项目链接(与Heroku一起部署): 目标 在此项目中,我们的目标是根据在Deploy环境中提供的字段中输入的信息来估算房屋的价格。 要求 您需要按原样复制或存储库。...
laravel-companies-house:用于在 Laravel 应用程序中访问 CompaniesHouse API 的 Laravel 包
05-29
这个 Laravel 包为 Companies House REST API 实现了一个 API 客户端。 它可用于查找有关在英国注册的公司的信息。 截至 2016 年 7 月,Companies House 将此 API 描述为“测试版服务”。 有关此免费 API 的更多...
[CTFHub-技能树]--House of Lore
saulgoodman的博客
02-10 275
【代码】[CTFHub-技能树]--House of Lore。
Hitcon CTF 2016 - house of orange 做题笔记
fa1c4的blog
03-31 1641
前言 深入学习pwn的高级堆利用方法, house of orange是绕不开的难关 之前已经接触了house系列题目, 不过由于心理压迫感, 所以迟迟没有开始调试house的漏洞 现在避无可避了, 于是准备集中精力突破掉house of orange 想要打过BOSS得先升级, 但是为了升级必须先打过BOSS (雾~ 分析过程 CTFhub和BUUCTF的题目有差别, 就按BUU来打吧 漏洞利用 总结 参考 ...
CTFHub[技能树]-----House of orange
saulgoodman的博客
02-10 338
House of orange也是我第一次学,边学边做题,来来回回折腾了8小时,代码检查了一遍又一遍,没问题但总是打不成功,最后百度查了一下这个是概率成功,我哭了。白白浪费了这么久时间。
炎魂网络 - 安全开发实习生面经
lingggggaaaa的博客
12-02 276
简单介绍自己,大概2min。
视频直播点播平台EasyDSS构建安全高效的医疗培训直播新体系
音视频流媒体技术
12-02 215
医疗培训的数字化转型不是简单的技术应用,而是医疗教育模式的深刻变革。
软件供应链安全“黑洞”:2025安全合规的制品库如何选择?
weixin_44552837的博客
12-01 350
软件供应链攻击频发,依赖组件不可控、流转管控缺失等问题凸显制品管理风险,制品库亟需安全合规的产品选择。国产制品管理平台可构建全生命周期防御体系,以可信源建设、上传即扫描、全链路追溯及信创适配筑牢防线,是企业研发制品仓库的选型优选。
安全】网站如何防范上传导致后门漏洞
最新发布
我想我是海 冬天的大海 心情随风轻摆
12-02 178
摘要:文章介绍了三种防范文件上传安全风险的方法:1)限制上传文件扩展名,仅允许安全格式;2)验证图片真实性,通过加载图片流检测有效性;3)在Web服务器配置中禁止上传目录执行脚本。这些措施能有效防止恶意文件上传攻击,保障网站安全
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

saulgoodman-q

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值