sctf_2019_easy_heap

最新推荐文章于 2023-06-17 18:11:58 发布
原创 最新推荐文章于 2023-06-17 18:11:58 发布 · 387 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python

本文介绍了sctf_2019_easy_heap挑战的解决思路,由于保护全开,只能通过修改__malloc_hook或__free_hook。存在off-by-one漏洞,可以利用overlap技术。通过泄露的Mmap地址,将__free_hook或__malloc_hook指向shellcode所在的内存区域,从而获取shell。文章详细分析了main、add、Free和Edit函数,并提出了利用大型bin快速实现目标的策略。

sctf_2019_easy_heap

在这里插入图片描述

保护全开,所以又只能修改__malloc_hook,或者说__free_hook了。

函数分析:

main函数

在这里插入图片描述在这里插入图片描述

add函数

在这里插入图片描述

Free函数

在这里插入图片描述

Edit函数

在这里插入图片描述
在这里插入图片描述

下面的函数中有一个off-by-one的漏洞,所以我们可以很自然的想到overlap

思路

首先,程序在运行的时候泄露了一段Mmap的地址,至于给了一个地址,那一定是有用的东西,这里可以思考,是不是可以直接往里面写一段shellcode,然后把__free_hook或者说__malloc_hook改成前面的Mmap的地址里,就可以getshell。

然后就是add完了之后,会给一个heap的地址,也就是说按照一般思路我们可以少泄露一个地址。

这里既然限制了chunk的数量,那么说要存留一个main_arena附近的值最好就是用large_bin了,又快又好用。用完overlap之后,直接用修改两个小chunk的fd,让他能指向自己想要的地方。

# -*- coding: UTF-8 -*-
from pwn import *
from LibcSearcher import *
context.log_level = 'debug'
local_file  = './sctf_2019_easy_heap'
libc = ELF('/home/yjc/Desktop/Libc/U18/libc-2.27-64.so')
select = 1

if select == 0:
    p = process(local_file)
    #gdb.attach(p)
else:
    p = remote('node4.buuoj.cn',29641)
    #libc = ELF(remote_libc)
elf = ELF(local_file)


def
最低0.47元/天 解锁文章
BUUCTF:sctf_2019_easy_heap
weixin_51055545的博客
01-04 1496
例行检查一下程序: 64位的一道堆题,放到IDA中看下: 首先看到一个菜单:
Buuoj sctf_2019_easy_heap
u014377094的博客
03-12 748
大佬博客传送门:sctf_2019_easy_heap - LynneHuan - 博客园 (cnblogs.com) 知识更新: 1.你需要了解一下off-by-one,unlink,overlapping是啥 传送门在这里:堆中的 Off-By-One - CTF Wiki (ctf-wiki.org) 2.了解一下chunk 空间的共用情况,也就是下一个的 chunk 的 prev_size 域给当前 chunk 当做数据域使用,这 种情况只出现在 malloc 的大小为 8 的奇数倍(32
sctf_2019_easy_heap(off by null,unlink造成doublefree)
m0_51251108的博客
11-18 544
sctf_2019_easy_heap: 保护全开 程序分析: 给我们mmap了一段可读可写可执行的区域,还告诉了我们地址 add里告诉了我们堆地址 其他都挺常规的,delete也释放干净了 漏洞分析: 有个off by null 利用思路: 1.利用漏洞off-by-null造成unlink合并,再申请回来,指针数组里就有两个指针指向同一块地方,我们delete两次就造成了doublefree 2.我们用doublefree往mmap的地方写shellcode 3.再用off-by-null造成unl
sctf_2019_easy_heap off-by-null劫持IO_FILE,理解 0ctf2015 free_note unsortedbin-double_free使用
weixin_46521144的博客
08-14 432
分析以及漏洞点 本身off-by-null没什么可以再说的,但是这道题没有show函数,就必须想到要劫持IO_FILE。但是之前就一直有个问题就是既然unsortedbin中地址无法取出,怎么能写到tcache或者fastbin中?之前许多题目因为正好有类似的漏洞,但感觉不是很普世。这次只有一个off-by-null就实现了这一点,因此看完之后恍然大悟。明白了一般性的劫持IO_FILE泄露libc的方法。 关键点:构造chunk overlapping,之后用一个大的unsortedbin包裹住这个chun
复建1:sctf_2019_easy_heap
qq_51627915的博客
06-17 283
这其实是复建的第二题,因为第一题涉及的知识点太多,就不想写wp了,太费时间。
easyheap
zyh18851473527的博客
04-09 766
首先,检查一下程序的保护机制,发现没开PIE,且got表可写 然后,我们用IDA分析一下,发现没有show功能 出现了很多sub_4008F1()函数我们一个个点开看一下,发现最后一个是创建,为了便于分析我们可以改成add(n) 可以看出创建节点功能里,存在ptr[i]堆内容未初始化的漏洞经过分析,节点的结构体如下 struct Obj{ char *Data; int Size...
easy_heap
JackBoy的博客
12-04 397
easy_heap  题目保护全开,在malloc的时候存在null-by-one漏洞,由于分配的堆块的大小都是0x100(加堆头),所以null-by-one漏洞只会覆盖下个堆块的prev_inuse标志位为0。一般的利用思路是通过伪造prev_size的大小来构造overlap-chunk为所欲为,但是这种思路在这道题目里行不通,因为malloc在读取内容的时候‘\0’会截断而且堆块大小是0...
BUUCTF-PWN roarctf_2019_easyheap(double free, stdout重定向)
weixin_44145820的博客
04-23 928
这里写目录标题题目分析漏洞利用Exp 题目分析 有添加,删除,展示三个主要功能,不过添加有次数限制,同时限制了申请大小,使得我们不能申请出unsorted bin范围内的chunk 删除之后没有置空,可以多次free show功能有条件限制,而且会把stdout关了 添加和后门的次数 后门函数可以进行calloc和free,同样没有置空,但是后门函数的次数限制逻辑有问题,即使为0还会再...
2019SCTF crackme复现
siphre
07-04 722
比赛没做出来,参考SU战队WP复现。 exeinfope查无壳 有反调试 运行程序显示: welcome to 2019 sctf please input your ticket: 需要输入特定的ticket Shift+F12查找字符串,跟踪到主函数sub_402540 sub_402540内部伪代码 开头调用两个可疑函数:sub_402320、sub_402...
[ZJCTF 2019]EasyHeap
、moddemod
07-03 888
下面的地址主要是因为这题没开PIE,地址是不会变化的… 下图是构造的chunk写magic变量 exp from pwn import * context.log_level = 'debug' def pause_debug(): log.info(proc.pidof(p)) pause() def create(size, content): p.sendlineafter('choice :', str(1)) p.sendlineafter('Heap..
buuctf [ZJCTF 2019]EasyHeap
weixin_45677731的博客
08-24 1139
这题只有add,edit,delete三个主体部分,没有show的部分 create_heap函数,chunk的指针保存在bss段的heaparray数组处 edit_heap函数,注意这里输入的数据长度是可以自己设置的,就可以随意溢出了 delete_heap函数 除此之外,还有这样一个l33t函数: 在程序中,你只要满足一定的条件,是可以运行这个函数的,我猜测在[ZJCTF 2019]比赛进行的时候可能这个函数是可以利用的,但现在在buu上面是用不了的,flag文件的目录不对。不过,这个sys
LCTF 2018 easy_heap
yms0211的博客
09-18 296
LCTF 2018 easy_heap
BUU刷题 easy_heap
清霂的博客
05-13 302
目录easyheapmagicheapciscn_2019_n_3 easyheap #!/usr/bin/env python2 # coding=utf-8 from pwn import * arch = "amd64" filename = "easyheap" context(os="linux", arch=arch, log_level="debug") content = 1 offset = 0 # elf elf = ELF(filename) fake_heap_addr=0x6
【Pwn】NCTF2019 easy_heap
Nothing
11-29 644
查看程序保护。 分析程序,漏洞在free之后指针没置0,导致uaf;堆的分配大小做了限制0x50该变量在bss段上,刚好bss段上存放了用户名信息,所以先考虑在bss上伪造堆块,进行一次fastbinattack,分配到bss段,修改限制大小,去掉限制之后就是常规操作了,unsortbin泄露libc,再进行一次fastbinattack,getshell。 from pwn import * ...
LCTF2018 PWN easy_heap学习(以及tcache基础认识)
a2590035252的博客
09-24 697
适合于广大像我一样的pwn爱好者
(补题)LCTF2018 PWN easy_heap超详细讲解
hollk’s blog
02-08 2959
这道题是wiki上tcache attack 的Challenge 1,题目需要自己找一下。尝试上传到优快云上,但总是提示已有,不知道是什么情况。这道题总的来说比较复杂,涉及到的知识点有:tcache分配、unsorted bin分配、堆块合并分割、tcache检查、hook。吐槽一点,堆块的id为什么非得从0开始啊!啊!啊!啊!总的来说收获满满,对tcache这类的题目理解更加深刻了(*^▽^*)
BUUCTF-PWN刷题记录-14
weixin_44145820的博客
04-29 940
目录sctf_2019_easy_heap(块重叠,double free) sctf_2019_easy_heap(块重叠,double free) 这题原题目好像是在Ubuntu16下的,但是BUU上面是Ubuntu18,所以应该更简单一点 总的来说,这题应该是ciscn_2019_final_3的加强版吧,当然也有更简单的地方 首先,给了我们一块rwx的空间 add函数会给你conten...
pwn2_sctf_2016
最新发布
02-16
### 关于 SCTF 2016 中 pwn2 题目的解析 在 SCTF (Security Capture The Flag) 2016 的比赛中,`pwn2` 是一道涉及栈溢出漏洞利用的题目[^1]。此题允许参赛者通过特定输入来覆盖返回地址并控制程序执行流程。 #### 漏洞环境描述 该挑战提供了一个存在缓冲区溢出缺陷的应用程序实例。应用程序接收用户输入作为处理对象,在缺乏适当边界检查的情况下将其复制到固定大小的内存区域中。这种设计使得攻击者能够精心构造恶意数据包以破坏堆栈结构,并最终实现任意代码执行的目的。 #### 解决方案概述 为了成功完成这一任务,参与者通常采取以下策略: - **确定偏移量**:首先需要找到合适的字节填充数量以便精确地覆盖目标位置而不影响其他重要部分的数据完整性。 - **泄露 SSP 地址**:由于开启了 Stack Smashing Protector(SSP),即栈保护机制,因此还需要想办法获取其实际值用于后续操作中的调整校验计算。 - **定位 libc 基础地址**:如果远程服务器上使用的 glibc 版本未知,则可能需借助某些方法推测或直接读取相关指针从而得知确切基址。 - **构建有效载荷**:最后一步就是组合上述信息形成完整的 exploit chain ,比如采用 ret2libc 技巧调用 system 函数启动 shell 或者跳转至已知 gadgets 实现相同效果。 ```python from pwn import * context(log_level="debug") flag_addr = 0x600DC0 for attempt in range(1, 101): try: conn = remote('example.com', port_number) padding = b'a' * offset_to_return_address # 计算得出的确切偏移量 payload = ( padding + pack(flag_addr, 64) + ... # 可能还包括其他的 ROP chains 组件 ) conn.recvuntil(prompt_string) conn.sendline(payload) response = conn.recvall(timeout=timeout_seconds).decode() print(f"[Attempt {attempt}] Received: ", response.strip()) if success_pattern in response.lower(): break except Exception as e: log.error(e) finally: conn.close() if not 'success pattern found': raise ValueError("Failed after multiple attempts.") ``` 这段 Python 脚本展示了如何自动化尝试连接服务端发送特制请求的过程。注意这里 `offset_to_return_address`, `prompt_string`, 和 `port_number` 等变量都需要根据实际情况设定具体的数值;而 `pack()` 方法用来创建适合架构位宽的机器码表示形式。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值