[BUUCTF]zctf2016_note2

原创 已于 2022-08-13 22:04:56 修改 · 1.2k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

于 2022-08-13 22:04:25 首次发布
本文介绍了一道经典的堆溢出题目,通过伪造空闲chunk并利用unlink攻击指针数组来实现对got表的篡改,最终获得shell。文章详细解释了如何利用整数溢出漏洞,以及如何通过精心构造的数据覆盖原有内容,实现对内存布局的控制。

 一道伪造空闲chunk,利用unlink攻击指针数组的题,算是比较典型。

先checksec,堆题不开PIE,八成是打堆块指针数组,然后劫持指针指向got表附近,通过覆写got表拿到shell。

程序有四个功能。前面输入name和Addr都没啥用。

 审计代码,Add,Del,Show都是很简单的,可以得知申请的堆块地址和申请的空间的大小是由两个数组管理的。Del里面没有UAF漏洞。Add中申请0x80可以得到unsorted bin chunk

在读取字符串的函数中,存在一个整数溢出漏洞。这里在for循环的判断条件中,本意是让i在0~size-1的范围内,即输入size个字符。但是这里size-1为有符号数,i为无符号数,比较时会把size-1变为无符号数。而申请堆块时,malloc(0)会返回一个0x20大小的堆块。而size为0时,size-1为0xff ff ff ff ff ff ff ff,这里几乎可以无限制地溢出

Edit函数可以覆盖原本的内容,也可以在后面续写。

最低0.47元/天 解锁文章
2016 ZCTF note2
Morphy_Amo的博客
01-27 2764
堆溢出中unlink的应用
[BUUCTF]PWN——zctf2016_note2(unlink)
mcmuyanga的博客
02-07 1087
zctf2016_note2 附件 步骤 例行检查,64位程序,开启了canary和nx 试运行一下,看看大概的情况,经典的堆题的菜单 64位ida载入,方便看程序,我修改了函数名 New_note() 定义的时候i是unsigned_int64,但是for循环里的i是int64.我们都知道,在c语言中,无符号变量和有符号变量比较时,会将有符号变量转化为无符号变量来比较。所以这里size为0的时候。(unsigned int)(size-1)就就是非常大的整数,存在整数溢出漏洞 show_not
2016 ZCTF note2 题解
coco的博客
12-01 1066
程序分析 先查看程序开启的保护,可以看到没有开启PIE。并且也是一个经典的菜单程序。 new note函数 可以看到,我们一共能申请四个堆块,堆块的指针,数量都存储在bss端上。我们能申请超过0x80的堆块,并在其中写入内容,这里的大小被限制了。但是我们进入my_read函数后就能发现for循环的条件中,size为int类型,而i是unsigned int类型。我们都知道,在c语言中,无符号变...
2016 ZCTF——note2
04-20 438
64位程序,没开PIE  #unlink 程序逻辑 1 void __fastcall main(__int64 a1, char **a2, char **a3) 2 { 3 setvbuf(stdin, 0LL, 2, 0LL); 4 setvbuf(stdout, 0LL, 2, 0LL); 5 setvbuf(stderr, 0LL, 2...
zctf2016_note2
seaaseesa的博客
04-17 883
zctf2016_note2 首先,检查一下程序的保护机制 然后用IDA分析一下,在edit函数里存在一个溢出漏洞,我们只需要让v6-strlen(&dest) == 0,即可绕过’\0’的截断,实现溢出。因此我们只需add(0,’’),即可利用这个chunk来溢出,由于PIE也没开启并且堆指针保存在bss段,因此做unsorted bin unlink比较简单。 需要...
zctf2016_note2-堆利用-unlink
Sa1nZen的博客
06-22 418
zctf2016_note2-堆利用-unlink
BUUCTF zctf_2016_note3
doudoudedi
01-13 540
一道典型的unlink题目整形溢出因为i是无符号长整型如果输入-1就会变得巨大实现堆溢出这里应该可以用unlink泄露libc基址然后用fastbin attack打malloc_hook但是这里有多次写入的edit功能就很好做了 先申请4个chunk 然后unlink一个指针到bss段上 unlink的操作fake chunk的fd和bk必须指回自己也就是一个确定的值具体为 `` fake ch...
2016 ZCTF note2--unlink
fuiifiuiii的博客
02-29 488
其中 i 是 unsigned 类型,lenth 为 int 类型,所以两者在 for 循环相比较的时候,lenth -1 的结果会被视为 unsigned 类型。unlink需要伪造堆块,保证fd->bk == p == bk->fd,同时,要保证下一个块的prev_size与伪造的堆块大小相符。长知识:chunk0伪造的块,中间有chunk1,释放chunk2,也可以与chunk0去合并。从管理的index_of_chunk来看,1被free掉后重新创建占据了3的位置。主要是为了复健,就不多描述了。
zctf_2016_note2
xieyichensss的博客
07-03 216
这是一道unlink的题,非常经典。 unlink是什么,顾名思义,就是把其中一个chunk块给free掉。会将堆块的地址变成存放堆块地址的地址附近。 看图 需要绕过的检查: 1.后一个堆快的prev_size为要为unlink堆块的大小。并且pre_inuse要为0,只有这样,prev_size才有效。 2.需要构造fake_fd,fake_bk。 (这里不考虑large_bin的检测) fd_nextsize和bk_nextsize 思路 1.首先一定要泄露libc基址,这样才能向下进行攻击。那么,如
2016_ZCTF_Pwn note2(unlink)
Pwnpanda的博客
08-05 703
暑假学习计划 - 0x03 2016_ZCTF_note2 详细分析参考:CTF Wiki 肝了一下午 + 一晚上,还是有一部分还不是很理解: ①为什么payload1后面一定要加上p64(64)+p64(0x60),为什么不能删除或者改大小; ②分配的三个堆块,为什么第一个和第三个大小一定是0x80; 路过的各位大佬,如果知道麻烦指点一些,谢谢啦 from pwn import...
[Buuoj]zctf2016_note2
zylxixixi的博客
11-10 400
思路一: 利用house系列的中的house of force,将goodbye_message的地址覆盖为magic的地址,从而输出flag地址 思路二 利用unlink漏洞,泄露libc基址并且将atoi的got表项修改为system的地址,最后输入/bin/sh
【unlink】 zctf2016_note2
huzai9527的博客
04-19 297
【unlink】 zctf2016_note2 1.ida分析 堆溢出,unsigned int用于判断条件,导致的堆溢出 指针数组 2.思路 创建3个chunk,chunk0、chunk1、chunk2,通过chunk1连接chunk0,chunk2。构造unlink 在chunk0,构造fake chunk,free(chunk1)然后再申请修改chunk2的size,add(0,'b'*0x10 + p64(0xa0)+p64(0x90)) 释放chunk2,unlin
zctf2016_note2【write up】
m0_73756460的博客
04-09 152
BUU刷题zctf2016_note2【write up】
unlink 2016 zctf note2
qq_36918532的博客
01-18 228
题目可在buuctf下载 这章还是unlink的复习 拖到IDA里面可以看到,开头让输入名字,地址(其实没卵用) 然后看下面的菜单分别是新增,打印,编辑,释放 在新增功能中size是无符号数,所以当size为0的时候,0-1之后为无穷大的数,也就是能向堆中写入无穷大的数0xffff…,根据glibc规定会分配0X20个字节,但是读取的时候不受限制,会产生堆溢出 并且最多四个堆块 同时我们可以看出ptr是存放content的地址(0x602120),id存放在0x602160,size存放在0x602140
Unlink——2016 ZCTF note2解析
weixin_30256505的博客
12-14 280
简介 Unlink是经典的堆漏洞,刚看到这个漏洞不知道如何实现任意代码执行,所以找了一个CTF题,发现还有一些细节的地方没有讲的很清楚,题目在这里。自己也动手写一遍,体验一下 题目描述 首先,我们先分析一下程序,在checksec中检查文件,发现是64位程序,然后放入IDA中,f5,,得出主程序是这样: void __fastcall main(__int64 a1, c...
zctfnote2
qq_33590156的博客
08-04 186
首先,有符号整数和无符号整数对比时,统一化为无符号整数对比,所以本题中,输入size为0,则循环中变为-1,也就是无符号中最大的数,实现无限写进行溢出。 然后,unlink中,决定大小的只有fakechunk的size和后面的某个chunk的presize,两个chunk中间的chunk都可以通过修改大小来覆盖掉。而且,无所谓合并后这个chunk去哪儿了,都会将list指针修改掉。 最后是打的menu函数中的atoi,本来想打freegot,结果因为chunk不太够无法打。 from pwn import
buuctf GUESS,ZCTF note2学习
weixin_46521144的博客
07-09 358
GUESS 知识点 stack smash\environ泄露栈地址 题解 这道题是一道栈题,好久没见栈题。 可以看到程序会把flag读入内存,之后fork子进程让你猜。这里需要事先了解fork工作方式:把父进程虚拟内存空间完全复制一份(具体来说,私有写时复制)这说明子进程会复制flag,以及栈上所有内容。利用这一点以及题目给我们的三次机会,结合canary smash原理解题。 stack smash之后会输出一串字符串,其地址是environ[0]。基本思路是通过gets()栈溢出,修改environ[
ZCTF - 2016 - Reverse100
风靡义磊的博客
07-21 2083
ZCTF2016的第一道逆向
pwnnofans@aisurukimihe:/mnt/e/CTF/pwn/heap/unlink/2016_zctf_note2/build$ gcc --version gcc (Ubuntu 13.3.0-6ubuntu2~24.04) 13.3.0 Copyright (C) 2023 Free Software Foundation, Inc. This is free software; see the source for copying conditions. There is NO warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.
最新发布
03-21
好的,我现在需要回答用户关于在Ubuntu 24.04上检查GCC版本的问题。首先,我应该回忆一下常用的Linux命令。用户提到的是gcc version,所以直接使用gcc --version应该就能显示版本信息。这是最直接的方法,可能用户只...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值