pwn2_sctf_2016的32位和64位、[ZJCTF 2019]EasyHeap 的收获

已于 2022-05-28 23:47:40 修改
阅读量194 收藏
点赞数
分类专栏: 二进制pwn学习 文章标签: pwn
于 2022-05-28 00:31:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Probeginner/article/details/125013099
版权
  1. [ZJCTF 2019]EasyHeap

堆菜鸡题后简 结,见谅

查看保护机制

Arch: amd64-64-little
RELRO: Partial RELRO
Stack: Canary found
NX: NX enabled
PIE: No PIE (0x400000)

本题的思路就是
控制heaparray附近的区域,覆盖heaparray[0]处为free_got的地址,使之被作为chunk看待,edit覆盖free_got地址为system_plt地址,而后利用delete中的free以
**(&heaparray + idx)**为参数,将参数内容写位"/bin/sh\x00",再次调用delete即可。

这里的堆指针是被放在heaparray数组中的,而IDA中查看可知,这个数组被放在.bss段,
而且还有system函数,那么不用泄露libc基地之了。分析IDA中的汇编代码知道:delete函数调用的free函数将
(&heaparray + idx)
作为参数意思是如果这个是"/bin/sh\x00"的话正好。
很明确了,我们可以先申请一个fastbin将其释放,而后利用其上一个的edit功能覆写其fd指向相对heaparray[0]低地址处的空间,为了成功绕过检查必须使大小相同。

关键体验是:利用fastbin攻击,虽然无法double free,但是这里先释放一个fastbin而后利用物理相邻低地址处的chunk,对其进行覆盖溢出,修改其fd,fd指向的地方被当作chunk,这个chunk大小要和被释放的chunk一致,两次申请得到fd指向chunk的地址,就是控制权。这里要修改free_got地址倒是比较方便,可以将其放入heaparray[0]处,使free_got地址被当作chunk,而后直接edit覆盖。

  1. pwn2_sctf_2016的32位
payload='a'*(0x2c+4)+p32(printf_plt)+p32(main)+p32(printf_got)

对这句的理解:为什么p32(main)能够成功?
payload被覆盖至栈中后,等于是给栈进行了状态化,也就是此时是一个就绪态,覆盖过程可以看作执行函数前该函数的参数传递的过程,传递完成后,只等执行。后续程序执行只会利用栈,辅助指令执行,而不是取修改栈,所以如此。

  1. pwn2_sctf_2016的64

寄存器传参数中printf函数的调用,构造两个参数:一个字符串,一个地址,关键是字符串:含有**%s**可以让read_got地址处的数值以字符的形式被输出。

Hvf0x
关注
专栏目录
[ZJCTF 2019]EasyHeap
qq_39869547的博客
01-31 909
常规堆溢出题,存在后门。但是buuctf没有复现环境。所有就用system_plt了。 # -*- coding: utf-8 -*- from PwnContext.core import * binary = './easyheap' debug_libc = './libc-2.23.so' elf = ELF(binary) libc = ELF(debug_libc) local = 1...
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 1024
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
BUUCTF Pwn pwn2_sctf_2016
MrTreebook的博客
03-13 353
BUUCTF Pwn pwn2_sctf_20161.checksec2.IDA32vuln函数漏洞利用3.exp 1.checksec 没有canary,方便溢出 没有PIE,构造ROP会方便很多 2.IDA32 vuln函数 int vuln() { char nptr[32]; // [esp+1Ch] [ebp-2Ch] BYREF int v2; // [esp+3Ch] [ebp-Ch] printf("How many bytes do you want me to rea
【CTF】pwn2_sctf_2016
凉水的博客
07-16 957
pwn2_sctf_2016
日行一pwnpwn1_sctf_2016
m0_57221101的博客
05-13 627
用俩图床,有的有水印,有的没水印,折磨 距离上一次日行一pwn已经快一个月了,干脆改成月行一pwn吧(汗。这段时间去恶补了王爽老师的汇编语言。 结果一回来就做了这么一道题,函数封装的严严实实,打眼一看全是C++。想入门pwn这么难吗。 正片 BUUCTF在线评测 使用BUUCTF靶场,首先标准步骤下载--放到kali里面查--拖到windows用ida反汇编 发现只有一个NX保护 NX保护就是CPU不会执行放在内存段中的代码,也就是我们之前在BOF中学习的像内存中写入Shell的方法
BUUCTF pwn pwn2_sctf_2016
菜的只能随便写写博客
02-18 2540
0x01 分析   0x02 运行  程序读入一个长度,然后按照长度读入后面输入的data并回显。   0x03 IDA  数据长度被限制为32,无法溢出,接着查看get_n函数。  接受a2个长度的字符串并放到vuln函数的缓冲区内部,但是a2传入的值类型是unsigned int,而前面判断长度的类型是int,可以规避长度限制。   0x04 思路  输入负数长度,绕过长度检查,执行r...
[BUUCTF]-PWN:[ZJCTF 2019]EasyHeap解析
最新发布
2301_79326813的博客
01-12 721
这是buu上的一道堆题,话不多说直接看保护和ida这里有一个要注意的点,那就是它是partial RELRO,Full RELRO开启说明got表不可写,而这里没有,这是我们解题的一个前提。然后看ida。这里不过多解释,主要还是创建堆块,释放堆块,edit堆块,但是没有打印堆块内容的函数。还有一个要注意的点,那就是他有system函数,并且参数似乎可以利用。虽然在我解题的过程中这个函数压根得不到flag,但我还是想从这一角度讲解一下解题思路,所以我分两个角度来讲。
pwn——ciscn_2019_n_1#pwn1_sctf_2016#jarvisoj_level0
LSYZWF的博客
10-26 624
文章目录ciscn_2019_n_1题目解答 ciscn_2019_n_1 题目 题目链接:https://buuoj.cn/challenges#ciscn_2019_n_1 解答 1、打开IDA进行分析 发现函数gets和系统命令cat 此函数的大致意思是输入v1的值,然后判断v2,故存在栈溢出使得v2的内存中的值为11.28125 2、判断偏移地址 v2的内存地址距离v1首地址的偏移量是30h-04h=2ch 3、gdb调试一波 没有堆栈溢出保护 4、编写脚本 11.28125的十六进制可以在I
heap2-[ZJCTF 2019]EasyHeap
qq_51687381的博客
07-27 215
做题先check找攻击手段,Partial RELRP ->修改got表 菜单题,直接找准delete看看有没有UAF。 UAF未果。 但是在Edit_heap中存在漏洞。 这里看起来是以为可以修改heap的size,其实这个size是用来对你的输入进行限制的。(栈溢出就在这里把size写的很大,方便我们写入) 而且这个程序写的也有点问题。 它会让你修改chunk的信息域 所以 wp from pwn import * sh = remote("node4....
[ZJCTF 2019]EasyHeap-house of spirit
huzai9527的博客
03-15 251
[ZJCTF 2019]EasyHeap-house of spirit 先给出exp,exp中我标明了每一个步骤 每个步骤执行完后,内存中的地址空间我也贴出来了 exp from pwn import * p = remote('node3.buuoj.cn',29012) #p = process('./easyheap') context.log_level = 'debug' def creat(size,content): p.sendlineafter('Your choice :',st
BUUCTF pwn——[ZJCTF 2019]EasyHeap
CNS-Enterprise BCC-1701-J
05-30 305
BUUCTF 做题练习
buuctf [ZJCTF 2019]EasyHeap
weixin_45677731的博客
08-24 995
这题只有add,edit,delete三个主体部分,没有show的部分 create_heap函数,chunk的指针保存在bss段的heaparray数组处 edit_heap函数,注意这里输入的数据长度是可以自己设置的,就可以随意溢出了 delete_heap函数 除此之外,还有这样一个l33t函数: 在程序中,你只要满足一定的条件,是可以运行这个函数的,我猜测在[ZJCTF 2019]比赛进行的时候可能这个函数是可以利用的,但现在在buu上面是用不了的,flag文件的目录不对。不过,这个sys
[BUUCTF-pwn]——[ZJCTF 2019]EasyHeap
Y_peak的博客
11-16 979
[BUUCTF-pwn]——[ZJCTF 2019]EasyHeap 思路 我们第一个想法肯定是执行l33t这个函数,事实证明被摆了一道。没有结果, 但是我们有system函数我们可以将其放入我们可以操控的函数,比如printf、puts、gets、free等函数的got表,通过传入/bin/sh来解决。利用uaf就可以达到其目的。 exploit from pwn import * context(os='linux',arch='amd64',log_level='debug') p = remot
萌新详解[ZJCTF 2019]EasyHeap,带你走进pwn世界
qq_36495104的博客
05-21 2036
安全保护 IDA查看 main int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { int v3; // eax char buf; // [rsp+0h] [rbp-10h] unsigned __int64 v5; // [rsp+8h] [rbp-8h] v5 = __readfsqword(0x28u); setvbuf(stdout, 0LL, 2, 0LL); se
BUUCTF [ZJCTF 2019]EasyHeap
BengDouLove的博客
04-08 2836
Partial RELRO 那说明got表可写,可以通过改写got表为想要的函数,堆通常的利用方法 还是老样子,一个堆块管理系统,main函数太长了不放了,就是根据你的输入选择操作 值得一提的是有个这个 这个函数能dedaoflag吗??一会再说,反正system是有了,不用泄露libc了 1.create 可以看到,堆块最多有十个,,还是用了一张表维护着堆块的指针,,这样就让人想把这个...
[ZJCTF 2019]EasyHeap-patchlibc-调试
个人笔记
04-25 599
后面只用关注伪造的fd地址0x6020C8即可,也即是heaparray_addr - 0x18。heaparray_addr = malloc(chunk0)这里获得的就是&chunk[0];1、伪造chunk[2]=[全局地址-3];chunk[3] = [全局地址-2]通过修改chunk[3]的值 ->控制 &chunk[0] ->4、给任意地址填入内容,chunk[0] = [任意内容]3、填入控制任意地址,chunk[3] = [任意地址]chunk[3] ->实现[任意地址]写。
pwn2_sctf_2016
z1r0的博客
12-06 741
pwn2_sctf_2016 查看保护 这里的int给转换成了无符号的,输入-1的时候,值会变得很大,整型溢出。ret2libc即可 from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 25828) else: r = process(file_name)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值