hwb_2019_mergeheap

最新推荐文章于 2024-10-30 13:16:11 发布
最新推荐文章于 2024-10-30 13:16:11 发布
阅读量299 收藏
点赞数
分类专栏: Pwn Heap CTF 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fayinq/article/details/123669306
版权
本文详细分析了hwb_2019_mergeheap中的函数,包括add、Show、Del和Merge。重点讨论了Merge函数中strcat和strcpy的潜在安全问题,如何利用这些函数的特性进行堆溢出和内存泄漏,以及如何通过这些漏洞修改malloc_hook来实现任意地址写。文章还介绍了构造payload的过程,包括泄露libc地址和绕过tcache_bin的技巧。
摘要由CSDN通过智能技术生成

hwb_2019_mergeheap

又是一道好题,很喜欢,但是也证明了我很菜。

在这里插入图片描述

全开

函数分析:

main():

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-HojXJBm9-1647949112512)(F:\MarkDownS\HEAP\hwb_2019_mergeheap\hwb_2019_mergeheap\image-20220322190334034.png)]

ADD():

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-mXA9RbcZ-1647949112513)(F:\MarkDownS\HEAP\hwb_2019_mergeheap\hwb_2019_mergeheap\image-20220322190406710.png)]

Show():

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-5YZDyMim-1647949112514)(F:\MarkDownS\HEAP\hwb_2019_mergeheap\hwb_2019_mergeheap\image-20220322190426476.png)]

Del():

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-9yVAUu6V-1647949112515)(F:\MarkDownS\HEAP\hwb_2019_mergeheap\hwb_2019_mergeheap\image-20220322190632417.png)]

Merge():

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-8Ek52GwD-1647949112516)(F:\MarkDownS\HEAP\hwb_2019_mergeheap\hwb_2019_mergeheap\image-20220322190700648.png)]

  • 首先看到add函数里面,第一眼看过去没有问题的,如果说超过预输入长度,就直接跳过,但是如果等于输入长度,末尾就不会置0。
  • 然后是Show函数,show函数使用的是puts函数,puts函数就可能用来泄露libc或者是main_arena的地址或者是其他的东西
  • Del函数比较严谨,没有野指针,也没有Double_Free,应该是没有UAF或者说Double_Free之类的漏洞。
  • Merge函数如题目所说。应该就是最重要的一个函数,漏洞点也应该在里面。关键函数就是两个str函数,一个strcpy,一个strcat,两个函数都有一个性质,就是遇到’\x00’才会截断。利用这个性质可以做很多事情。

思路分析:

知道了上面这些函数之后,就可以开始构建思路了。首先,需要泄露一次libc地址,不然没办法做。在2.27之中,还是需要先绕过tcache_bin,然后才能去到unsorted_bin之中。先malloc8个,free 7个进入tcache_bin,然后再free一个使其进入unsorted_bin之中。在这里插入图片描述

这样就能使得0再tcache_bin之中。然后再malloc(0x8)大小的chunk,并且填满,因为在之前的add函数之中,只要len(字符串) == 输入长度,最后一位就不会变成’\x00’。这样就能在puts的时候,把unsorted_bin之中残存的Main_Arena的地址一起泄露出来。

然后就是需要做到修改malloc_hook的地址了,这里就需要利用到add()以及merge()的两个漏洞了。

如果说我们add(0x40,‘a’*0x40)&&add(0x48,‘a’*0x48),然后再merge两个函数,根据两个函数中的性质,也就是strcat只会被’\x00’截断,因此就可能会把下一个chunk的size给一起复制出来,利用这一点,就能做到堆重叠,然后任意地址改。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-yCzFYV59-1647949112518)(F:\MarkDownS\HEAP\hwb_2019_mergeheap\hwb_2019_mergeheap\image-20220322193117411.png)]

在这里插入图片描述

​ 这就是修改成功的结果,然后就能对 __ free_hook进行修改为任意值

最后上exp:

# -*- coding: UTF-8 -*-
from pwn import *
from LibcSearcher import *
context.log_level = 'debug'
local_file  = './mergeheap'
libc = ELF('/home/Desktop/Libc/U18/libc-2
最低0.47元/天 解锁文章
fayinq
关注
专栏目录
BUUCTF-PWN刷题记录-12
weixin_44145820的博客
04-23 784
ciscn_2019_sw_1 一道思路比较独特的格式化字符串漏洞题目 main函数中只有一次利用漏洞的机会 有system的got表项 一个可行思路是把printf的GOT改为system@plt,然后输入/bin/sh,但是考虑到只有一次机会就比较困难 所以我们需要一个能让main多次执行的办法 这时我们只要把main的地址填入finit_array就能无限循环main函数了 简单介绍一...
Fastjson介绍
热门推荐
wutongyu344的专栏
03-05 3万+
简介 Fastjson是一个Java语言编写的高性能功能完善的JSON库。 高性能 fastjson采用独创的算法,将parse的速度提升到极致,超过所有json库,包括曾经号称最快的jackson。并且还超越了google的二进制协议protocol buf。 支持标准 Fastjson完全支持http://json.org的标准,也是官方网站收录的参考实现之一
BUUCTF pwn 四月刷题
coco的博客
04-07 881
BUUCTF四月刷题 [OGeek2019]bookmanager 这道题程序看似比较复杂,实际上好好分析程序的结构和逻辑之后,还是一个堆溢出,在updata函数中更新text时候可以更新0xFF长度的内容,造成溢出。这类题比较重要的是一定要弄清楚程序中的各种结构再下手。 libc泄漏的手段还是通过small bin free进unsorted bin之后打印出main_arena附近的地址;ge...
buuoj Pwn writeup 186-190
yongbaoii的博客
06-11 441
186 hwb_2019_mergeheap 187 nsctf_online_2019_pwn1 188 roarctf_2019_easyheap 189 0ctf2015_freenote 190 [中关村2019]one_string
BUUCTF pwn hwb2018_gettingstart
stareforever的博客
02-01 703
查看程序保护 IDA打开查看程序流 读入buf的内容会覆盖v7和v8的值,那么控制v7=0x7FFFFFFFFFFFFFFF和v8=0.1,即可获得shell 这里v8的二进制值可以直接在程序里找到 或者在网站http://www.binaryconvert.com/convert_double.html 输入0.1也可获得 完整ex from pwn import * context(log_level='debug') #io=process("./task_gettingStart_kt
BUUCTF【hwb2018_gettingstart】
weixin_51055545的博客
04-30 1073
想找一道高分题来做一做,想着会很难,但分析了IDA,才发现如此简单. 检查保护: 基本上全开了, IDA分析: 主函数中,足这个条件就会直接get shell,直接覆盖即可, exp: from pwn import * elf = ELF('./task_gettingStart_ktQeERc') io = remote('node4.buuoj.cn',27594) #io = process('./task_gettingStart_ktQeERc') libc = elf.libc cont
HWB-DVR数字视频录像机设计
12-09
摘 要:本文介绍了HWB-DVR数字视频录像机的整体设计思想,描述了其软硬件的构成,对其中嵌入式CPU和编/解码IC的工作原理做了详细说明。关键词:数字录像机(DVR);MPEG-2;MPEG-4;PS;TS 概述HWB-DVR数字视频录像...
matlab代码续行-MI-HWB:MI-HWB
05-26
matlab代码续行MI-HWB.16课程 Hardwarovábezpečnost CTU /ČVUTFIT 整个过程涉及硬件安全性,计数器测量及其含义。 我们最大的挑战是使用差分功率分析来打破Java卡中实现的AES。 任务1 我们有一个示波器来测量小型...
C#编写17种Hello_World程序
10-01
HelloWorldBase hwb = new HelloWorld(); hwb.writeHelloWorld(); } } ``` 这里定义了一个抽象基类`HelloWorldBase`,它包含一个抽象方法`writeHelloWorld`。`HelloWorld`类继承自`HelloWorldBase`,并实现了...
ciscn_2019_c_5
doudoudedi
02-09 559
思路 格式化字符串leak然后打free_hook exp: from pwn import * #p=process('./ciscn_2019_c_5') p=remote('node3.buuoj.cn',27000) elf=ELF('./ciscn_2019_c_5') libc=elf.libc def add(size,story): p.sendlineafter(':'...
Pyhon—openpyxl修改某个表头的样式&其余单元格加边框线
weixin_42636075的博客
10-27 849
Pyhon—openpyxl修改某个表头的样式&其余单元格加边框线
python】极简教程14-文件
每日出拳老爷子的博客
10-28 243
可以使用相对路径或绝对路径来访问文件。模式可以将内容写入文件,如果文件不存在会自动创建。捕获文件读取或写入时可能出现的异常。循环逐行读取文件,或者使用。模块可以帮助处理文件路径。函数打开文件,并通过。
Python中高效去除列表中的重复元素
windowshht的博客
10-28 190
去除列表中的重复元素是Python编程中一个非常常见的任务。根据需求的不同,我们可以选择不同的方法来实现这一功能。无论是使用集合、字典,还是手动实现,都可以达到去重的效果。在实际开发中,我们应该根据具体情况选择最合适的方法,以提高代码的可读性和性能。希望通过本文的介绍,能够帮助你更好地理解如何在Python中处理列表中的重复元素。如果你有其他的去重方法或技巧,欢迎在评论区分享!
Java基础04
m0_74977981的博客
10-28 782
【注:】移位运算符的右移操作要完成模32的运算(除非左操作数是long类型,在这种情况下,需要对右操作数模64),例如:1
196.245.124.255.236.194.0.0.0.0.0.0.0.0.9 用python截取最后一个点后面的数据
最新发布
qq_44534541的博客
10-30 125
这个方法从字符串的右边开始分割,并且可以指定分割的最大次数。在Python中,如果你想要截取字符串中最后一个点(,因为它是最后一个点后面的数据。这段代码会处理没有点的情况()和点的后面不是数字的情况()后面的数据,你可以使用。
植物病害图像分割系统:智能化检测
prchen818的博客
10-30 940
数据集信息展示在现代农业生产中,植物病害的早期识别与处理至关重要。为了提升植物病害的自动检测与分割能力,本研究选用了名为“new_plant_diseases”的数据集,旨在训练和改进YOLOv8-seg模型,以实现高效、准确的植物病害图像分割。
安装python时Install launcher for all users灰色无法选中解决方法
夏末蝉未鸣的博客
10-30 194
解决办法:可能是上一次卸载python没卸载干净,在控制面板中卸载,把Python Launcher卸载。卸载完后,就可以正常安装了。
python如何读取Excel文件!
kaichekaihanma的博客
10-26 314
Python提供了多种库来读取Excel文件,其中最常用的是pandas和openpyxl。以下是使用这两种库读取Excel文件的案例(😄)。
css hwb使用例子
05-19
CSS Hwb是一种定义颜色的CSS模块,它使用色调(hue)、白度(whiteness)和黑度(blackness)来表示颜色。这种颜色表示方式与RGB和HSL等其他颜色表示方式不同,它允许用户更直观地定义颜色。 下面是CSS Hwb使用的一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值