【Pwn】2019安洵杯线上赛 Heap

最新推荐文章于 2024-03-05 19:06:59 发布
原创 最新推荐文章于 2024-03-05 19:06:59 发布 · 541 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了2019年安洵杯线上赛中的一道Pwn题目,涉及程序的全保护开启情况。通过分析,发现在bannar函数中存在的格式化字符串漏洞可用于泄露代码段基址和Libc地址。此外,edit函数存在一字节溢出,能修改next chunk的size,由于chunk指针位于bss段,因此考虑利用unlink技术。然而,由于Full Relro的存在,直接劫持malloc_hook不可行,需要在unlink过程中规避特定检查。

一道常规的pwn题,查看程序保护。
在这里插入图片描述
保护全开。分析程序发现bannar函数有格式化字符串漏洞,可以用来泄露代码段基址以及Libcdi地址,edit函数有一字节溢出,可以修改next chunk的size,且chunk指针存储在bss段上想到unlink。由于开了Full Relro所以直接劫持malloc_hook,unlink的时候注意绕过以下check。

if (__builtin_expect (chunksize(P) != prev_size (next_chunk(P)), 0))      \
      malloc_printerr ("corrupted size vs. prev_size");               \
// fd bk
if (__builtin_expect (FD->bk != P || BK->fd != P, 0))                      \
  malloc_printerr (check_action, "corrupted double-linked list", P, AV);  \

  // next_size related
              if (__builtin_expect (P->fd_nextsize->bk_nextsize != P, 0)              \
                || __builtin_expect (P->bk_nextsi
最低0.47元/天 解锁文章
题目参源码+项目说明.zip
01-23
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的竞项目学习资料,作为参考学习借鉴。 3、本资源作为“参考资料”如果需要实现其他功能,需要能看懂代码,并且热爱钻研,自行调试。 题目参源码+项目说明.zip
Pwn2019线 fmt32 && fmt64
Nothing
12-01 1160
出题人好像比较喜欢blind pwn,5道pwn题里有3个,由于时间关系来不及看rop64了(我太菜)。 1.fmt32 只给了ip&port,没有附件猜测是blind pwn,根据题目名字,猜想有格式化字符串漏洞,试了一下发现是一个循环(毕竟是复读机),每次都可以利用格式化字符串漏洞,于是首先想法是先将内存dump下来再分析,如果32位程序没开pie保护,程序首地址为0x8048000。...
BUUCTF pwn _2018_neko
热门推荐
stareforever的博客
12-23 2万+
查看保护 PIE和canary都没开 IDA打开,查看程序流程 先输入’y’或’Y’进入play函数 read存在栈溢出漏洞,cancary保护没开,可以直接溢出 溢出距离为0xd0 程序有后门 但这没有效果 那么可以先把puts函数的地址打印出来,求得libc的基地址,然后再求相应的‘/bin/sh’地址,system地址源程序有提供,第二次溢出时就可以获得shell 完整ex ...
D0g2019-pwn heap WP
qq_41252520的博客
12-04 362
保护 分析 程序主要漏洞有两个,分别是在一开始的输入操作中: 存在格式化字符串漏洞,可以泄露内存。这里首先泄露出程序的基地址和libc的内存,为后续利用做准备。 第二个漏洞存在编辑操作中: 程序在创建note的时候做了限制,正常情况下只能申请unsortbin及其以上的chunk。由于一开始我们就可以获得内存,所以直接利用unlink是最快的,然后利用IO_FILE去getshell。 ...
[BUUCTF]PWN——axb_2019_heap(格式化字符串,off-by-one,unlink)
mcmuyanga的博客
01-26 1008
axb_2019_heap 附件 步骤: 例行检查,64位程序,保护全开 本地试运行一下,看看大概的情况,经典的堆题的菜单 64位ida载入 main() banner()
-ukfc-wp
Hama_ecco的博客
06-11 576
访问 shell.php 发现Access denied , 试了好几个网页都不行, 那就写在 "/sEcR@t_n@Bodyknow.php" 里。"ctrl+u" 查看源代码发现两个页面 "/eval" 和 "/login"一个6*10*10的三维迷宫,层穿梭是0124350,只有到达边界才能穿层,所以才有唯一解。利用深度优先搜索和合法判断函数,复杂度很高但是数独很小,肯定可以在限制时间内过掉。为了让自己的努力显得有作用一点,贴一个没写明白的dfs,最后手推了一个小时。传输 POST 传code。
题目源码2024年强网全国网络全挑战 PWN题目baby-heap源码
最新发布
11-07
2024年强网全国网络全挑战是针对网络全爱好者的一次盛会,尤其是PWN题目,这类题目往往要求参者利用软件中的漏洞,获取或提升权限。本次提供的“baby-heap”源码,很可能是一个针对堆内存管理的漏洞利用...
【2020线】AWD的第一道pwn
古月浪子的博客
12-18 2713
题目是一个简易代码执行器 按照以前的此类题型的经验试了一下,通过指针任意读写的方法好像用不了(不知道是不是我菜了-_- 可以看到一个ev函数,我们在sub_21B4函数中找到它的实现 可以发现我们能echo4个字符,如果让拼接的字符串变成echo 0;sh即可拿到shell 写脚本打全场: #!/usr/bin/python3 from pwn import * from LibcSearcher import * import requests def submit_flag(flag):
强网2022 pwn 题解析——yakagame
CoLin的pwn小屋
07-31 3735
强网2022-pwn yakagame write-up
axb_2019_heap
z1r0的博客
01-20 729
axb_2019_heap 查看保护 在get_input这个函数里有一个off-by-one size大小>0x80 字符串格式化溢出 利用字符串格式化溢出,泄漏程序地址和libc,因为有一个off-by-one,这里采用unlink,因为程序会创建全局变量note来放入指针和size,unlink到这里改指针为hook,改hook为one_gadget即可。具体unlink手法见z1r0’s blog from pwn import * context(arch='amd64', os=
Pwn】NCTF2019 easy_heap
Nothing
11-29 641
查看程序保护。 分析程序,漏洞在free之后指针没置0,导致uaf;堆的分配大小做了限制0x50该变量在bss段上,刚好bss段上存放了用户名信息,所以先考虑在bss上伪造堆块,进行一次fastbinattack,分配到bss段,修改限制大小,去掉限制之后就是常规操作了,unsortbin泄露libc,再进行一次fastbinattack,getshell。 from pwn import * ...
[ 2019]Attack
../../../../../../../
09-23 848
将下载好的attack.pcap放入kali里foremost一下,得到一个加密的flag.txt 提示 应该是通过获取用户密码解开压缩包 进入wireshark 导出lsass.dmp这个进程的内存 lsass是Windows系统的一个进程,用于本地全和登陆策略 这里利用mimikatz获取明文密码,保存下来放入mimikatz同目录下(64位) 用x64位右键管理员运行打开 mimikatz(内网渗透工具,可在lsass.exe进程中获取windows的账号明文密码)下载:* https:/
axb_2019_heap详解
像初雪一样自由洒落
04-25 780
关于axb_2019_heap的详解 参考:buuctf axb_2019_heap 程序流程 banner:存在格式化字符串漏洞,可以泄漏栈上的信息 add:根据idx创建size(大于0x80)大小的内容为content的块 块指针和块大小存放在一个全局变量note中 delete:释放的很干净,没有uaf edit:存在off by one get_input(*((_QWORD *)&note + 2 * v1), *((_DWORD *)&note + 4 *.
BUUCTF-Misc-[ 2019]Attack1
苏生要努力
03-05 980
flag为:D0g3{3466b11de8894198af3636c5bd1efce2}寻找密码,打开数据包导出http数据,发现一个lsass.dump文件。拖到kali尝试用foremost是否可以分离。,作为解压密码,解压压缩包得到flag。使用kali中mimkatz命令查看。下载附件打开是一个流量包文件。
pwn】SWPUCTF_2019_p1KkHeap
Nothing
12-10 811
libc-2.27.so下的一道tcache堆题。 例行检查 保护全开。 分析程序,在进入菜单之前,有一个函数跟入查看。 注意到这边用mmap函数在0x66660000映射了一块大小为0x1000的内存空间,权限是rwx。然后用prctl函数做了一个沙箱。我们查看以下禁用了什么调用。 可见execve被禁用,于是system函数和onegadget都不可行。于是就只能自己将shellcode(or...
北邮网线下决 Writeup
FFY's Blog
07-08 681
北邮网 Writeup 有幸参加了北京邮电大学的北邮网线下决 虽然自己很菜,得分很低,但是这次比让我学到了很多,也对网络空间全和 CTF 有了更加深入的了解 最重要的是在这个过程中我认识到了一些兴趣、爱好相同很有趣的人,原来即使是同龄人中,还是有这么多的高手,自己需要学习的东西还很多 因为知识浅薄,CTF 我只完成了最简单的一道,下面是我对这道题不成熟的解法 如果有什么错误之处,欢...
[ 2019]Attack (详细解析)
weixin_66146598的博客
06-05 4666
本文章向大家介绍BUU MISC刷题记录 [ 2019]Attack,主要包括BUU MISC刷题记录 [ 2019]Attack使用实例、应用技巧、基本知识点总结和需要注意事项,具有一定的参考价值,需要的朋友可以参考一下。...
BUUCTF misc 专题(81)[ 2019]吹着贝斯扫二维码
tt_npc的博客
05-20 700
下载附件,看到有很多个文件 并且最显眼的是一个zip文件,打开来发现是加密压缩包,并且还有一段编码注释 查看别的文件 发现是jpg格式的文件,全部解压下来,这里说一个批量修改后缀名的办法。 在解压文件夹中新建一个文本文档,输入ren * *.jpg,保存后修改后缀为bat,然后双击运行就可以了(由于本题需修改的文件都无后缀,因此是*,后面的*.jpg是需要修改成的格式。用ren这个命令进行修改) 修改以后是36张图片,看来拼接起来是个二维码了,每张图片的16进制末尾都有一个数字...
RE PE_Debug
qq_41071646的博客
06-12 254
这个题 有点坑爹 怎么说呢 这个题目重点在于修复把 一开始是exe运行不出来 用 PE查看器查看 发现有个异常 这里原本就是0 这个原始大小代表的是 我们在磁盘的大小 在磁盘中 因为没有载入内存中的拉伸 所以这个东西直接可以计算出来 0x2600-1800=0xE00 然后 发现还是不能正常运行 把题目 拖入ida 把 混淆的指令以及跳转到混淆指令的地方nop掉...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值