sctf_2019_easy_heap

最新推荐文章于 2025-07-29 19:45:28 发布
最新推荐文章于 2025-07-29 19:45:28 发布
阅读量357 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: CTF Pwn Heap 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/fayinq/article/details/124309601
本文介绍了sctf_2019_easy_heap挑战的解决思路,由于保护全开,只能通过修改__malloc_hook或__free_hook。存在off-by-one漏洞,可以利用overlap技术。通过泄露的Mmap地址,将__free_hook或__malloc_hook指向shellcode所在的内存区域,从而获取shell。文章详细分析了main、add、Free和Edit函数,并提出了利用大型bin快速实现目标的策略。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

sctf_2019_easy_heap

在这里插入图片描述

保护全开,所以又只能修改__malloc_hook,或者说__free_hook了。

函数分析:

main函数

在这里插入图片描述在这里插入图片描述

add函数

在这里插入图片描述

Free函数

在这里插入图片描述

Edit函数

在这里插入图片描述
在这里插入图片描述

下面的函数中有一个off-by-one的漏洞,所以我们可以很自然的想到overlap

思路

首先,程序在运行的时候泄露了一段Mmap的地址,至于给了一个地址,那一定是有用的东西,这里可以思考,是不是可以直接往里面写一段shellcode,然后把__free_hook或者说__malloc_hook改成前面的Mmap的地址里,就可以getshell。

然后就是add完了之后,会给一个heap的地址,也就是说按照一般思路我们可以少泄露一个地址。

这里既然限制了chunk的数量,那么说要存留一个main_arena附近的值最好就是用large_bin了,又快又好用。用完overlap之后,直接用修改两个小chunk的fd,让他能指向自己想要的地方。

# -*- coding: UTF-8 -*-
from pwn import *
from LibcSearcher import *
context.log_level = 'debug'
local_file  = './sctf_2019_easy_heap'
libc = ELF('/home/yjc/Desktop/Libc/U18/libc-2.27-64.so')
select = 1

if select == 0:
    p = process(local_file)
    #gdb.attach(p)
else:
    p = remote('node4.buuoj.cn',29641)
    #libc = ELF(remote_libc)
elf = ELF(local_file)


def
最低0.47元/天 解锁文章

200万优质内容无限畅学
BUUCTF-PWN roarctf_2019_easyheap(double free, stdout重定向)
weixin_44145820的博客
04-23 900
这里写目录标题题目分析漏洞利用Exp 题目分析 有添加,删除,展示三个主要功能,不过添加有次数限制,同时限制了申请大小,使得我们不能申请出unsorted bin范围内的chunk 删除之后没有置空,可以多次free show功能有条件限制,而且会把stdout关了 添加和后门的次数 后门函数可以进行calloc和free,同样没有置空,但是后门函数的次数限制逻辑有问题,即使为0还会再...
BUUCTF-PWN刷题记录-14
weixin_44145820的博客
04-29 900
目录sctf_2019_easy_heap(块重叠,double free) sctf_2019_easy_heap(块重叠,double free) 这题原题目好像是在Ubuntu16下的,但是BUU上面是Ubuntu18,所以应该更简单一点 总的来说,这题应该是ciscn_2019_final_3的加强版吧,当然也有更简单的地方 首先,给了我们一块rwx的空间 add函数会给你conten...
BUUCTF:sctf_2019_easy_heap
weixin_51055545的博客
01-04 1452
例行检查一下程序: 64位的一道堆题,放到IDA中看下: 首先看到一个菜单:
Buuoj sctf_2019_easy_heap
u014377094的博客
03-12 714
大佬博客传送门:sctf_2019_easy_heap - LynneHuan - 博客园 (cnblogs.com) 知识更新: 1.你需要了解一下off-by-one,unlink,overlapping是啥 传送门在这里:堆中的 Off-By-One - CTF Wiki (ctf-wiki.org) 2.了解一下chunk 空间的共用情况,也就是下一个的 chunk 的 prev_size 域给当前 chunk 当做数据域使用,这 种情况只出现在 malloc 的大小为 8 的奇数倍(32
sctf_2019_easy_heap(off by null,unlink造成doublefree)
m0_51251108的博客
11-18 520
sctf_2019_easy_heap: 保护全开 程序分析: 给我们mmap了一段可读可写可执行的区域,还告诉了我们地址 add里告诉了我们堆地址 其他都挺常规的,delete也释放干净了 漏洞分析: 有个off by null 利用思路: 1.利用漏洞off-by-null造成unlink合并,再申请回来,指针数组里就有两个指针指向同一块地方,我们delete两次就造成了doublefree 2.我们用doublefree往mmap的地方写shellcode 3.再用off-by-null造成unl
绕过disable_function总结
unexpectedthing的博客
03-27 5054
前言 有些时候,phpinfo()有disable_functions 蚁剑终端命令不起作用,就可能是df的问题 黑名单绕过 就是一些运维人员php命令执行的函数没禁用完 exec,passthru,shell_exec,eval,system,popen,proc_open(),pcntl_exec 前几种都比较简单 popen 打开进程文件指针 <?php $command=$_POST['cmd']; $handle = popen($command,"r"); while(!feof($
BUUCTF pwn 四月刷题
coco的博客
04-07 933
BUUCTF四月刷题 [OGeek2019]bookmanager 这道题程序看似比较复杂,实际上好好分析程序的结构和逻辑之后,还是一个堆溢出,在updata函数中更新text时候可以更新0xFF长度的内容,造成溢出。这类题比较重要的是一定要弄清楚程序中的各种结构再下手。 libc泄漏的手段还是通过small bin free进unsorted bin之后打印出main_arena附近的地址;ge...
2021-08-30 BUUCTF刷题记录PWN
m0_56897090的博客
08-30 655
2021-08-30 BUUCTF刷题记录 刷题数量:13 题目分类:栈溢出、堆、pwn基础 文章目录2021-08-30 BUUCTF刷题记录[Black Watch 入群题]PWN0x00 题目描述0x01 分析思路0x02 EXPez_pz_hackover_20160x00 题目描述0x01 题目分析0x02 思路0x03 EXPjarvisoj_tell_me_something0x00 题目描述0x01 题目分析0x02 EXPJarvisoj_level30x00 题目描述0x01 题目思路0
sctf_2019_easy_heap off-by-null劫持IO_FILE,理解 0ctf2015 free_note unsortedbin-double_free使用
weixin_46521144的博客
08-14 404
分析以及漏洞点 本身off-by-null没什么可以再说的,但是这道题没有show函数,就必须想到要劫持IO_FILE。但是之前就一直有个问题就是既然unsortedbin中地址无法取出,怎么能写到tcache或者fastbin中?之前许多题目因为正好有类似的漏洞,但感觉不是很普世。这次只有一个off-by-null就实现了这一点,因此看完之后恍然大悟。明白了一般性的劫持IO_FILE泄露libc的方法。 关键点:构造chunk overlapping,之后用一个大的unsortedbin包裹住这个chun
复建1:sctf_2019_easy_heap
qq_51627915的博客
06-17 251
这其实是复建的第二题,因为第一题涉及的知识点太多,就不想写wp了,太费时间。
buuctf [ZJCTF 2019]EasyHeap
weixin_45677731的博客
08-24 1081
这题只有add,edit,delete三个主体部分,没有show的部分 create_heap函数,chunk的指针保存在bss段的heaparray数组处 edit_heap函数,注意这里输入的数据长度是可以自己设置的,就可以随意溢出了 delete_heap函数 除此之外,还有这样一个l33t函数: 在程序中,你只要满足一定的条件,是可以运行这个函数的,我猜测在[ZJCTF 2019]比赛进行的时候可能这个函数是可以利用的,但现在在buu上面是用不了的,flag文件的目录不对。不过,这个sys
【Pwn】NCTF2019 easy_heap
Nothing
11-29 630
查看程序保护。 分析程序,漏洞在free之后指针没置0,导致uaf;堆的分配大小做了限制0x50该变量在bss段上,刚好bss段上存放了用户名信息,所以先考虑在bss上伪造堆块,进行一次fastbinattack,分配到bss段,修改限制大小,去掉限制之后就是常规操作了,unsortbin泄露libc,再进行一次fastbinattack,getshell。 from pwn import * ...
buuctf_roarctf_2019_easyheap离谱的一题
qq_43766802的博客
09-29 734
首先例行公事,用checksec检查一下函数的保护措施,发现除了pie保护全开,但此题不需要泄漏程序加载地址,是个好事 查看一下函数逻辑,程序一开始我们可以向内存区域的某一块输入数据,接下来就是heap的经典菜单栏,add函数允许我们创建任意大小的buf,但只有一个指针,free时没有删除指针,可以double free,当我们输入666时程序允许我们添加和free一个大小固定的chunk给ptr,这个ptr其实没什么用,主要用来给自定义大小的buf double free做道具用,show函数只有当
buuoj Pwn writeup 146-150
yongbaoii的博客
05-28 282
146 SWPUCTF_2019_login 147 qctf2018_stack2 148 lctf2016_pwn200 149 sctf_2019_easy_heap 150 ciscn_2019_s_1
SCTF-2019 Misc wp
热门推荐
Nius
06-23 4万+
SCTF-2019 MISC 签到题 题目中说’cat \flag ’ in data:image/jpeg;base64,/9j/4QBkRXhpZgAATU0AKgAAAAgABYdpAAQAAAABAAAASgESAAQAAAABAAAAAAEBAAMAAAABAa4AAAEyAAIAAAABAAAAAAEAAAMAAAABAa4AAAAAAAAAAZIIAAQAAAABAAAAAAAA...
力扣30 天 Pandas 挑战(3)---数据操作
最新发布
qq_66660756的博客
07-29 1009
本文介绍了6道力扣Pandas简单题的解题思路:1) 177.第N高的薪水 - 通过去重排序获取第N高工资;2) 176.第二高薪水 - 类似177题的简化版;3) 184.部门最高薪员工 - 使用分组和合并查询部门最高薪;4) 178.分数排名 - 使用dense_rank()实现连续排名;5) 196.删除重复邮箱 - 通过排序和去重保留最小id记录;6) 1795.产品价格重构 - 使用melt()将宽表转为长表。这些题目涵盖了Pandas数据处理的基本操作,适合初学者练习数据清洗、转换和分析。
Redis 键值对操作详解:Python 实现指南
AI浩
07-29 971
场景推荐操作替代方案添加小数据SETHSET(对象)添加大数据HSET/MSET分批次添加添加临时数据SETEX删除小数据DELETEUNLINK删除大数据UNLINK无批量操作管道 + MSET/UNLINK单独命令添加操作使用set()添加单个键值对使用mset()批量添加多个键值对使用setex()添加带过期时间的键值对删除操作优先使用unlink()进行删除(尤其大型数据)仅在需要立即释放内存时使用delete()批量删除时结合管道提高效率。
pwn2_sctf_2016
02-16
### 关于 SCTF 2016 中 pwn2 题目的解析 在 SCTF (Security Capture The Flag) 2016 的比赛中,`pwn2` 是一道涉及栈溢出漏洞利用的题目[^1]。此题允许参赛者通过特定输入来覆盖返回地址并控制程序执行流程。 #### ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值