BUUCTF hitcontraining_magicheap[堆]

最新推荐文章于 2023-06-17 16:48:04 发布
VIP文章 最新推荐文章于 2023-06-17 16:48:04 发布
阅读量368 收藏 3
点赞数 1
分类专栏: PWN 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45441024/article/details/111867481
版权

BUUCTF hitcontraining_magicheap[堆](Unsorted bin attack)

我们先来学习一下什么是Unsorted binattack
用ctfwiki里面的例子来进行解释:

Unsorted Bin Attack,顾名思义,该攻击与 Glibc 堆管理中的的 Unsorted Bin 的机制紧密相关。
Unsorted Bin Attack 被利用的前提是控制 Unsorted Bin Chunk 的 bk 指针。
Unsorted Bin Attack 可以达到的效果是实现修改任意地址值为一个较大的数值。
释放一个不属于 fast bin 的 chunk,并且该 chunk 不和 top chunk 紧邻时,该 chunk 会被首先放到 unsorted bin 中。
在这里插入图片描述
初始状态时unsorted bin 的 fd 和 bk 均指向 unsorted bin 本身。
执行 free 由于释放的 chunk 大小不属于 fast bin 范围内,所以会首先放入到 unsorted bin 中。
修改 p[1]经过修改之后,原来在 unsorted bin 中的 p 的 bk 指针就会指向 target addr-16 处伪造的 chunk,即 Target Value 处于伪造 chunk 的 fd 处。
所以核心在于通过修改使堆块的fd指针指向利用的地址-16

然后我们回到这道题,首先例行检查
在这里插入图片描述

在这里插入图片描述
我们看到,当我们控制 v5 为 4869,同时控制 magic 大于 4869,就可以执行133t函数了
在这里插入图片描述
在IDA里面我们已经找到了后门函数了,所以接下来直接写脚本溢出就可以啦
EXP:

from pwn import *
magic = 0x6020A0
最低0.47元/天 解锁文章
三哥sange
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
get_started_3dsctf_2016|get_started_3dsctf_2016
12-11
网络安全逆向PWN题目,简单的栈溢出,虽然有后门函数,但同时又给了一定的限制条件,可以使用更复杂的ROP解法。该样本题解:https://blog.csdn.net/A951860555/article/details/111030289
BUUCTFhitcontraining_magicheap
weixin_51055545的博客
02-13 1641
BUUCTFhitcontraining_magicheap】刷题 例行检查: 程序为64位,除了pie,其他保护机制都开了。放到IDA中分析 漏洞分析: 首先看到一个菜单, 发现程序是没有输出功能的,这里我们想到了去打stdout结构体来leak出地址, 这里是有一个后门的,我设置了满足的条件发现没出flag,应该比赛的环境下flag路径是对的,但buuctf路径是不对的,所以我们就去get shell拿flag。 漏洞点在edit()函数中, creat_heap()函数获取我们的大小后,在ed
[BUUCTF]PWN——hitcontraining_magicheap
mcmuyanga的博客
01-07 1052
hitcontraining_magicheap 附件 步骤: 例行检查,64位程序,开启了nx和canary 本地试运行一下,经典的的菜单 64位ida载入,检索程序里的字符串的时候发现了后门 main() 可以看到,当v5=4=4869,而且magic在bss段,只要覆写magic>0x1305就能够获取到shell create_heap() edit_heap() delete_heap() 利用思路:首先通过 unsorted bin attack 覆盖 magic>
hitcontraining_magicheap buuctf
m0_57754423的博客
02-12 1215
这题的漏洞点在编辑heap: 可以自定义编辑chunk内容的大小,存在溢出漏洞,这道题目打法也有很多。 我自己的思路是: 利用unlink实现任意地址写的效果,修改puts函数got表为l33t,然后getshell。 exp: from pwn import * p = remote("node4.buuoj.cn",25162) #p = process("./magicheap") e = ELF("./magicheap") sh_addr = 0x400c50 bss_addr
buuctf pwn(wustctf2020_closed)(hitcontraining_magicheap)(axb_2019_fmt32)
cainiao78777的博客
04-29 215
程序有alarm闹钟函数,并且有明显的格式化字符串漏洞,而且能无限利用格式化字符串漏洞,本来想用我之前的那种解法直接解决的,但是遇到了些问题(下面说),而且这个题目got表可写,所以还是老老实实打got表吧。2.编辑块,根据bss段里的指针,来找到相应的块,然后输入大小,再填充内容,并未检测原本输入块内容的大小,那么此处存在溢出。再通过读入,覆盖dest的指针为free的got表地址,然后strcpy将free的got表地址的地址覆盖为shllcode的地址。
ctf-pwn-—unsorted bin attack
xy_369的博客
05-23 189
上面只需要知道unsorted bin实现了将栈上的一个变量值变为了main_arena结构体中的一个地址,这句话仅出于个人理解,从参考链接2里得到的理解。1、个人翻译过后的代码(翻译自参考链接2)3、删除部分打印函数的代码。
BUUCTF逆向前八题
最新发布
01-24
内容为BUUCTF里reserve的前八题自己的一些解题思路
BasicASM.s(BUUCTF
06-04
分析过程文件
BUUCTF】MISC zip
01-20
import zipfile import string import binascii def CrackCrc(crc): for i in dic: for j in dic: for p in dic: for q in dic: s = i + j + p + q if crc == (binascii.crc32(s.encode())): ...
BUUCTF-Web-Mark loves cat变量函数覆盖
02-16
变量覆盖漏洞 自定义的参数值替换原有变量值的情况称为变量覆盖漏洞 经常导致变量覆盖漏洞场景有:$使用不当,extract()函数使用不当,parse_str()函数使用不当,import_request_variables()使用不当,开启了全局...
hitcontraining_magicheap-unlink
个人笔记
06-17 157
heaparray全局指针=0x6020C0;
hitcontraining magicheap
pondzhang的专栏
06-16 352
from pwn import * magic = 0x00000000006020A0 #p = process('./magicheap') p = remote("node3.buuoj.cn",26020) def CreateHeap(size,content): p.sendlineafter('Your choice :','1') p.sendlineafter('Size of Heap : ',str(size)) p.sendlineafter('Content of heap:
hitcontraining_magicheap
m0sway的博客
12-21 307
hitcontraining_magicheap 使用checksec查看: 一道题,关闭了PIE,可以考虑覆盖got表来获取system getshell 拉进IDA中查看: 标准的菜单,main()函数就不贴截图了,menu()函数也没有营养,图也不贴了, 先来看看create_heap(): heaparray[i]:存放 chunk 的地址。 read_input(heaparray[i], size):向 chunk 写入 size 大小的内容。 heaparray是存放在bss段上的
HITCON Training lab14——magic heap
04-19 409
64位程序,没开PIE  #Unsorted Bin Attack 先回顾一下 Unsorted Bin 的基本来源以及基本使用情况。 基本来源 当一个较大的 chunk 被分割成两半后,如果剩下的部分大于 MINSIZE,就会被放到 unsorted bin 中。 释放一个不属于 fast bin 的 chunk,并且该 chunk 不和 top chunk 紧邻时,...
MagicHeap-WP
qq_41252520的博客
08-05 243
保护 分析 主要漏洞在编辑函数中,对输入大小没有检验,导致溢出 unsigned __int64 edit_heap() { __int64 v0; // ST08_8 int v2; // [rsp+4h] [rbp-1Ch] char buf; // [rsp+10h] [rbp-10h] unsigned __int64 v4; // [rsp...
HITCON Training lab14 magic heap
weixin_50287973的博客
11-06 235
咕了有段时间了,再咕一阵子吧(错乱 这是个典型的unsorted bin attack edit函数可以自己输入更大的size,并修改块 控制choice为4869,magic>4869即可get flag 思路: 1.free chunk ->unsorted bin 2.利用edit函数构造块内容,修改链入unsorted bin的freechunk的bk指针为&magic-16 3.malloc chunk -> 触发unsorted bin attack EX
buuctf hitcontraining_heapcreator HITCON Trainging lab13
weixin_45677731的博客
08-10 976
这一题在wiki上面是有的,在Chunk Extend and Overlapping里面,个人觉得这一题对于我这种刚开始学习的人来说,是比较容易理解的一题 拖进IDA create_heap函数: 值得注意的是,他这里是会有两次malloc的,也就是说,你申请了一次,他就会创建两个chunk,第一个chunk是0x20大小的,可以看作是记录的作用,里面存放着第二个chunk的size和指针,同时,第一个chunk的地址指针保存在bss段中,heaparray数组这里: 这样表述起来可能不太清晰,我申
buuctf magicheap
qq_42728977的博客
04-22 207
主要是unsorted bin 在拖链的时候的一些细节 参考
buuctf luky_guy
09-28
Luky库是一组抽象复杂操作的Java类,它提供了各种功能,包括网络...根据提供的引用内容,无法直接了解到buuctf luky_guy的具体信息。如果您能提供更多关于buuctf luky_guy的背景信息,我可以尝试为您提供更准确的答案。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值