zctf_2016_note3

最新推荐文章于 2024-09-13 18:06:40 发布
原创 最新推荐文章于 2024-09-13 18:06:40 发布 · 227 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #linux

文章介绍了如何利用程序中的前向合并unlink机制进行堆溢出攻击。通过创建0size的note,导致无限字节读入,进而修改chunk结构,伪造chunk以实现unlink。过程中涉及Glibc的内存管理机制,包括freechunk的size修改和pre_size字段的处理。最终通过一系列步骤,包括修改got表,泄露libc基址和执行onegadget,达到控制程序的目的。

前言

记录unlink技巧的前向合并。虽然本题是可以做到无限长度的写入内容,降低了前向合并攻击的难度。本文只是基于作者目前的知识,有不对的地方或者好的思路,欢迎各位师傅进行交流。

题目分析

按照惯例就是查保护,没有完全开启relro保护,估计是可以用hijcak got的。
在这里插入图片描述
ida静态分析一下,很常规的note管理,增删改。

  • 添加note
    在这里插入图片描述
    重点关注一下,在0x4008dd处的读取输入函数,因为a2是unsigned int类型的数据,也是我们传入的note的size,如果我们创建的是0byte大小的note,那么a2 - 1就是四字节能够表示的最大数,也就可以实现无限字节读入了。
    在这里插入图片描述
  • 修改note
    在这里插入图片描述
  • 删除note
    在这里插入图片描述

思路&exp

前向unlink源码

  • 对于前向合并,基本上没有什么检查,但是nextchunk是通过当前被free chunk的size找到的头部,所以需要修改当前被free chunk的size才能够让伪造的chunk 被unlink掉。
    nextchunk = chunk_at_offset(p, size);
    nextsize = chunksize(nextchunk);
    /* consolidate forward */ //前向合并
    if (!nextinuse) {
    unlink(av, nextchunk, bck, fwd);
    size += nextsize;
    }
  • 在glibc-2.27以后,unlink 前向的时候还需要注意伪造pre_size字段。
    #define unlink(AV, P, BK, FD) {
    if (__builtin_expect (chunksize§ != prev_size (next_chunk§), 0))
    malloc_printerr (“corrupted size vs. prev_size”);

exp

可以通过创建0 size大小的note,来实现堆溢出写,从而修改后面chunk的结构。从而创建fake chunk,实现unlink attack。此处使用的是前向的unlink攻击。下面先贴出exp。

from pwncy import *
context(arch = "amd64",log_level = "debug")
p,elf,libc = load("zctf_2016_note3",remote_libc = "/home/tw0/Desktop/tool/buu_libc/x64/libc-2.23.so",ip_port = "node4.buuoj.cn:29605")

def cmd(choice):
	sla("option--->>\n",str(choice))
def create_note(size,content):
	cmd(1)
	sla("Input the length of the note content:(less than 1024)\n",str
最低0.47元/天 解锁文章
BUUCTF zctf_2016_note3
doudoudedi
01-13 540
一道典型的unlink题目整形溢出因为i是无符号长整型如果输入-1就会变得巨大实现堆溢出这里应该可以用unlink泄露libc基址然后用fastbin attack打malloc_hook但是这里有多次写入的edit功能就很好做了 先申请4个chunk 然后unlink一个指针到bss段上 unlink的操作fake chunk的fd和bk必须指回自己也就是一个确定的值具体为 `` fake ch...
Tcache Stashing Unlink Attack 原理详解
qq_41252520的博客
08-06 2220
calloc\textcolor{cornflowerblue}{calloc}calloc函数是直接调用_int_malloc\textcolor{cornflowerblue}{\_int\_malloc}_int_malloc函数分配内存的,并且会清空内存 所以calloc\textcolor{cornflowerblue}{calloc}calloc可以越过 tcache取空闲内存。而malloc\textcolor{cornflowerblue}{malloc}malloc函数先是判断是否启用了
PWN之堆利用-unlink攻击
susuate的博客
07-18 1958
环境配置 笔者使用ubuntu14.04.6_desktop_i386 国内镜像网站如下: http://mirrors.aliyun.com/ubuntu-releases/14.04/ glibc版本2.20 unlink攻击
zctf_2016_note3【buuctf刷题 unlink
m0_73756460的博客
06-23 179
zctf_2016_note3【buuctf刷题 unlink
zctf_2016_note3(整数溢出,unlink
m0_51251108的博客
11-06 279
zctf_2016_note3: 好像没show? 逆向分析: 主界面: add函数: show函数: show假的 edit函数: 我们跟进这个函数, size-1跟一个无符号int作比较,如果size为0的话,就能造成任意大小堆溢出 delete函数: 指针释放干净了 思路: 我们申请size为0的chunk堆溢出,伪造chunk,触发unlink,改写free的got表为atoi 在填入/bin/sh exp: from pwn import * #from LibcSearcher i
zctf_2016_note3 详解
One_p_Two_w的博客
11-04 816
zctf_2016_note3 详解 题目可以在buu上找到,ibc版本为2.23 和wiki做的不一样,wiki那个我还没看懂,改天再研究研究orz 查看保护机制 题目分析 是个菜单题,提供了新建note、打印note、编辑note、删除note四个功能 添加note ​ 最多添加七个note,每个note大小在0-0x400之间,申请到的堆空间地址会放在ptr指针处 漏洞在edit功能模块 ​ 当a2 = 0时,由于i为unsigned_int,-1相当于无穷大,会造成无限制读入,令我们可以覆盖后面
ZCTF2017 dragon
axiejundong的博客
06-11 783
ZCTF2017 dragon一开始一直看源码找不到漏洞在哪。看了himyth学长的exp后用gdb调试才发现漏洞所在,后悔自己当初没有fuzz,有些漏洞看源码可能很难找出来,但是fuzz的话往往就能找到问题所在。首先写好4个封装函数,方便调试def add_note(name_size, name, content): p.sendlineafter(">> ", "1") p.s
ZCTF - 2016 - Reverse100
风靡义磊的博客
07-21 2084
ZCTF2016的第一道逆向
zctf-2017-pwn-sandbox
weixin_30907935的博客
03-12 570
才接触二进制不久,第一次写博客,萌新一只,zctf被表哥们虐得体无完肤,只能坐等writeup,最近参考flappypig的writeup研究sandbox这道题目,用了三天,记录一下。 ps:基础太渣,可能有理解错误的地方,大佬莫笑,麻烦大佬在评论中指出。。。 接下来进入正题 这道题有两个二进制文件:sandbox和vul。用sandbox运行vul程序,其中vul程序存在栈溢出...
android ctf 分析,Android逆向笔记 - ZCTF2016题解
weixin_39590635的博客
05-27 599
这是2016zctf的一道Android题目,样本和本文用到的部分工具在文章末尾可以下载0x01 第一部分 静态分析安装运行apk,需要输入用户名和密码,用户名为zctf,用jeb工具反编译文件结构如下:图1如图 assets目录中有三个文件,bottom、flag.bin、key.db,还有一个JNIclass库。图2程序开始,先检查密码的长度(至少4位),然后调用auth方法验证用户名密码是...
2017_ZCTF_Reverse_QEtend
ACdream
03-15 909
ZCTF reverse QEtend
【我的 PWN 学习手札】Unlink Attack
Mr_Fmnwon的博客
09-13 1744
在除了fastbin、tcachebin的其他空闲堆块的管理bin中,如shortbin、largebin、unsortedbin,内部组织都是双向链表。如下图(示意图来自好好说话之unlink-优快云博客当需要将second_chunk脱链时,使用unlink对second_chunk操作。不难看出,实际上是这样一个过程:我的上一个的下一个=我的下一个,我的下一个的上一个=我的上一个这样“我”就可以取出,因为链上已经没有指针指向“我”,即所谓的脱链。
unlink(1)
F_Day_的博客
11-29 422
unlink是对双向堆链表进行操作的(largebin和smallbin),它对发生在堆合并之后 unlink 测试代码如下: #include <stdio.h> #include <stdlib.h> int main() { void *a = malloc(0x10); void *chunk1 = malloc(0x80); void *b = malloc(0x10); void *chunk2 = malloc(0x80); void *chunk3 = .
Tcache Stashing Unlink Attack(House of Lore Attack
tbsqigongzi的博客
08-11 730
Tcache Stashing Unlink Attack
unlink attack_二进制安全之堆溢出(系列)—— unlink
weixin_39834281的博客
10-27 264
本文是二进制安全之堆溢出系列的第五章节,主要介绍unlink。源程序#include <stdio.h> #include <malloc.h> #include <unistd.h> #include <string.h> long long list[30]={0}; int main() { char *p = malloc(0x80)...
ZCTF Android1-200题解
hyrathon的博客
08-16 1265
首先对APK的Java层代码进行分析.入口的逻辑在Login.attemptLogin函数中该函数调用Auth.auth对用户名密码进行校验. 此处校验有一个读取数据库的函数databaseopt,其逻辑就在下边定义,但是其实不用看,key.db文件就在程序目录中,用随便一个数据库查看器可以看到唯一的键值 所以,auth函数参数0=context,1=yonghuming+mima,2=
ZCTF-2017 比赛总结
weixin_30610755的博客
02-28 284
这次ZCTF办的还是相当不错的,至少对于Pwn来说是能够让人学习到一些东西。 第一天做的不是很顺利,一直卡在一道题上不动。第二天队友很给力,自己的思路也开阔起来了。 关于赛题的优点 我觉得这次的Pwn300-class是一道比较有意思的题,整数溢出并不难找。比赛过程中可以很快的发现这个漏洞,但是接下来的利用比较头疼,我一直到比赛结束都未能想到是通过setjmp这个函数进行利用的。 这是我第一次见到...
pwnnofans@aisurukimihe:/mnt/e/CTF/pwn/heap/unlink/2016_zctf_note2/build$ gcc --version gcc (Ubuntu 13.3.0-6ubuntu2~24.04) 13.3.0 Copyright (C) 2023 Free Software Foundation, Inc. This is free software; see the source for copying conditions. There is NO warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.
最新发布
03-21
好的,我现在需要回答用户关于在Ubuntu 24.04上检查GCC版本的问题。首先,我应该回忆一下常用的Linux命令。用户提到的是gcc version,所以直接使用gcc --version应该就能显示版本信息。这是最直接的方法,可能用户只...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值