sctf_2019_easy_heap

最新推荐文章于 2024-10-28 11:00:05 发布
最新推荐文章于 2024-10-28 11:00:05 发布
阅读量306 收藏
点赞数
分类专栏: CTF Pwn Heap 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fayinq/article/details/124309601
版权
本文介绍了sctf_2019_easy_heap挑战的解决思路,由于保护全开,只能通过修改__malloc_hook或__free_hook。存在off-by-one漏洞,可以利用overlap技术。通过泄露的Mmap地址,将__free_hook或__malloc_hook指向shellcode所在的内存区域,从而获取shell。文章详细分析了main、add、Free和Edit函数,并提出了利用大型bin快速实现目标的策略。
摘要由CSDN通过智能技术生成

sctf_2019_easy_heap

在这里插入图片描述

保护全开,所以又只能修改__malloc_hook,或者说__free_hook了。

函数分析:

main函数

在这里插入图片描述在这里插入图片描述

add函数

在这里插入图片描述

Free函数

在这里插入图片描述

Edit函数

在这里插入图片描述
在这里插入图片描述

下面的函数中有一个off-by-one的漏洞,所以我们可以很自然的想到overlap

思路

首先,程序在运行的时候泄露了一段Mmap的地址,至于给了一个地址,那一定是有用的东西,这里可以思考,是不是可以直接往里面写一段shellcode,然后把__free_hook或者说__malloc_hook改成前面的Mmap的地址里,就可以getshell。

然后就是add完了之后,会给一个heap的地址,也就是说按照一般思路我们可以少泄露一个地址。

这里既然限制了chunk的数量,那么说要存留一个main_arena附近的值最好就是用large_bin了,又快又好用。用完overlap之后,直接用修改两个小chunk的fd,让他能指向自己想要的地方。

# -*- coding: UTF-8 -*-
from pwn import *
from LibcSearcher import *
context.log_level = 'debug'
local_file  = './sctf_2019_easy_heap'
libc = ELF('/home/yjc/Desktop/Libc/U18/libc-2.27-64.so')
select = 1

if select == 0:
    p = process(local_file)
    #gdb.attach(p)
else:
    p = remote('node4.buuoj.cn',29641)
    #libc = ELF(remote_libc)
elf = ELF(
最低0.47元/天 解锁文章
fayinq
关注
专栏目录
BUUCTF-PWN roarctf_2019_easyheap(double free, stdout重定向)
weixin_44145820的博客
04-23 821
这里写目录标题题目分析漏洞利用Exp 题目分析 有添加,删除,展示三个主要功能,不过添加有次数限制,同时限制了申请大小,使得我们不能申请出unsorted bin范围内的chunk 删除之后没有置空,可以多次free show功能有条件限制,而且会把stdout关了 添加和后门的次数 后门函数可以进行calloc和free,同样没有置空,但是后门函数的次数限制逻辑有问题,即使为0还会再...
BUUCTF:sctf_2019_easy_heap
weixin_51055545的博客
01-04 1384
例行检查一下程序: 64位的一道堆题,放到IDA中看下: 首先看到一个菜单:
Buuoj sctf_2019_easy_heap
u014377094的博客
03-12 669
大佬博客传送门:sctf_2019_easy_heap - LynneHuan - 博客园 (cnblogs.com) 知识更新: 1.你需要了解一下off-by-one,unlink,overlapping是啥 传送门在这里:堆中的 Off-By-One - CTF Wiki (ctf-wiki.org) 2.了解一下chunk 空间的共用情况,也就是下一个的 chunk 的 prev_size 域给当前 chunk 当做数据域使用,这 种情况只出现在 malloc 的大小为 8 的奇数倍(32
sctf_2019_easy_heap(off by null,unlink造成doublefree)
m0_51251108的博客
11-18 485
sctf_2019_easy_heap: 保护全开 程序分析: 给我们mmap了一段可读可写可执行的区域,还告诉了我们地址 add里告诉了我们堆地址 其他都挺常规的,delete也释放干净了 漏洞分析: 有个off by null 利用思路: 1.利用漏洞off-by-null造成unlink合并,再申请回来,指针数组里就有两个指针指向同一块地方,我们delete两次就造成了doublefree 2.我们用doublefree往mmap的地方写shellcode 3.再用off-by-null造成unl
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 1017
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
BUUCTF-PWN刷题记录-14
weixin_44145820的博客
04-29 821
目录sctf_2019_easy_heap(块重叠,double free) sctf_2019_easy_heap(块重叠,double free) 这题原题目好像是在Ubuntu16下的,但是BUU上面是Ubuntu18,所以应该更简单一点 总的来说,这题应该是ciscn_2019_final_3的加强版吧,当然也有更简单的地方 首先,给了我们一块rwx的空间 add函数会给你conten...
SCTF_2019_crypto_warmup
weixin_40597510的博客
06-26 395
初看本题,是个AES——CBC加密,key,iv都是随机生成的,研究了半天AES——CBC碰撞过程,没解出来。感觉跟之前的AES加密过程不太一样,之前的题,一般会给一个key或者iv,这次不一样。 过两天看了别人的writeup,发现的确不是正常解AES,然后通过xor绕过去的。 题目一开始提供了message=‘see you at three o\'clock tomorrow' 的AES...
日行一pwn:pwn1_sctf_2016
m0_57221101的博客
05-13 619
用俩图床,有的有水印,有的没水印,折磨 距离上一次日行一pwn已经快一个月了,干脆改成月行一pwn吧(汗。这段时间去恶补了王爽老师的汇编语言。 结果一回来就做了这么一道题,函数封装的严严实实,打眼一看全是C++。想入门pwn这么难吗。 正片 BUUCTF在线评测 使用BUUCTF靶场,首先标准步骤下载--放到kali里面查--拖到windows用ida反汇编 发现只有一个NX保护 NX保护就是CPU不会执行放在内存段中的代码,也就是我们之前在BOF中学习的像内存中写入Shell的方法
sctf_2019_easy_heap off-by-null劫持IO_FILE,理解 0ctf2015 free_note unsortedbin-double_free使用
weixin_46521144的博客
08-14 363
分析以及漏洞点 本身off-by-null没什么可以再说的,但是这道题没有show函数,就必须想到要劫持IO_FILE。但是之前就一直有个问题就是既然unsortedbin中地址无法取出,怎么能写到tcache或者fastbin中?之前许多题目因为正好有类似的漏洞,但感觉不是很普世。这次只有一个off-by-null就实现了这一点,因此看完之后恍然大悟。明白了一般性的劫持IO_FILE泄露libc的方法。 关键点:构造chunk overlapping,之后用一个大的unsortedbin包裹住这个chun
复建1:sctf_2019_easy_heap
qq_51627915的博客
06-17 186
这其实是复建的第二题,因为第一题涉及的知识点太多,就不想写wp了,太费时间。
buuctf [ZJCTF 2019]EasyHeap
weixin_45677731的博客
08-24 977
这题只有add,edit,delete三个主体部分,没有show的部分 create_heap函数,chunk的指针保存在bss段的heaparray数组处 edit_heap函数,注意这里输入的数据长度是可以自己设置的,就可以随意溢出了 delete_heap函数 除此之外,还有这样一个l33t函数: 在程序中,你只要满足一定的条件,是可以运行这个函数的,我猜测在[ZJCTF 2019]比赛进行的时候可能这个函数是可以利用的,但现在在buu上面是用不了的,flag文件的目录不对。不过,这个sys
【Pwn】NCTF2019 easy_heap
Nothing
11-29 591
查看程序保护。 分析程序,漏洞在free之后指针没置0,导致uaf;堆的分配大小做了限制0x50该变量在bss段上,刚好bss段上存放了用户名信息,所以先考虑在bss上伪造堆块,进行一次fastbinattack,分配到bss段,修改限制大小,去掉限制之后就是常规操作了,unsortbin泄露libc,再进行一次fastbinattack,getshell。 from pwn import * ...
buuctf_roarctf_2019_easyheap离谱的一题
qq_43766802的博客
09-29 679
首先例行公事,用checksec检查一下函数的保护措施,发现除了pie保护全开,但此题不需要泄漏程序加载地址,是个好事 查看一下函数逻辑,程序一开始我们可以向内存区域的某一块输入数据,接下来就是heap的经典菜单栏,add函数允许我们创建任意大小的buf,但只有一个指针,free时没有删除指针,可以double free,当我们输入666时程序允许我们添加和free一个大小固定的chunk给ptr,这个ptr其实没什么用,主要用来给自定义大小的buf double free做道具用,show函数只有当
buuoj Pwn writeup 146-150
yongbaoii的博客
05-28 249
146 SWPUCTF_2019_login 147 qctf2018_stack2 148 lctf2016_pwn200 149 sctf_2019_easy_heap 150 ciscn_2019_s_1
SCTF-2019 Misc wp
热门推荐
Nius
06-23 3万+
SCTF-2019 MISC 签到题 题目中说’cat \flag ’ in data:image/jpeg;base64,/9j/4QBkRXhpZgAATU0AKgAAAAgABYdpAAQAAAABAAAASgESAAQAAAABAAAAAAEBAAMAAAABAa4AAAEyAAIAAAABAAAAAAEAAAMAAAABAa4AAAAAAAAAAZIIAAQAAAABAAAAAAAA...
Pyhon—openpyxl修改某个表头的样式&其余单元格加边框线
weixin_42636075的博客
10-27 848
Pyhon—openpyxl修改某个表头的样式&其余单元格加边框线
python】极简教程14-文件
最新发布
每日出拳老爷子的博客
10-28 242
可以使用相对路径或绝对路径来访问文件。模式可以将内容写入文件,如果文件不存在会自动创建。捕获文件读取或写入时可能出现的异常。循环逐行读取文件,或者使用。模块可以帮助处理文件路径。函数打开文件,并通过。
./pwn1_sctf_2016: error while loading shared libraries: libstdc++.so.6: cannot open shared object file: No such file or directory
09-02
这个错误通常发生在缺少 libstdc++.so.6 库文件时。解决这个问题的方法是安装 libstdc++ 库。你可以尝试使用以下命令来安装它: 对于 Ubuntu 或 Debian 系统: ``` sudo apt-get install libstdc++6 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值