[BUUCTF]-PWN:axb_2019_heap解析（格式化字符串漏洞，unlink，off by one）

原创

于 2024-02-20 00:57:52 发布 · 604 阅读

3 ·

CC 4.0 BY-SA版权

文章标签：

#安全 #网络安全

查看保护

查看ida

大致就是alloc创建堆块，free释放堆块，以及fill填充堆块

解释get input函数：

这里解释一下get input函数

这个函数是人工编写的，其中*v4==10那里是把接受到的换行符变为\x00，并且结束输入。

v3++那里，v3是统计输入的个数，并且在v3大于或等于我们申请的堆块大小+1时停止输入。

但还是有一个要注意的点，我在创建堆块的函数那里填充堆块没有办法填充多一个字节，不知道是我的操作问题还是程序就是这样。

完整exp：

from pwn import*
from LibcSearcher import*
context(log_level='debug')
p=process('./heap')
p=remote('node5.buuoj.cn',26755)
key=0x202040
no

最低0.47元/天解锁文章

200万优质内容无限畅学

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

沉淀ing。。。

关注关注

15
点赞
踩
3

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

BUUCTF-PWN刷题记录-18（格式化字符串漏洞）

weixin_44145820的博客

05-08

1999

目录xman_2019_format（字符串位于堆上）hitcontraining_playfmt（字符串位于bss）wustctf2020_babyfmt xman_2019_format（字符串位于堆上）一道格式化字符串题目，但是只有一次输入机会，但是有多次利用机会，每次利用使用‘|’隔开我们先看一下栈的情况经过多次调试，可以发现返回地址最低一个16进制位一定为0xC，我们只需要爆破倒数第二个16进制位就能得到指向返回地址的栈上地址 Exp: from pwn import * #r =

[BUUCTF]-PWN:ciscn_2019_n_3解析

2301_79326813的博客

01-20

936

堆题，先看保护32位，Partial RELRO，没pie关键信息就那么多，看ida大致就是alloc创建堆块，free释放堆块，dump打印堆块内容但是仔细看这三个函数就可以发现在实际运行中，会先创建一个存有free相关函数的地址和打印堆块内容相关函数的地址。看delete函数并结合动态调试，可以知道释放堆块的过程实际上是调用先创造的12字节堆块的rec_str_free。那也就意味着无论那块地址存的是哪里的地址，我们在free堆块时他都会执行，并且题目给了我们system。

参与评论您还未登录，请先登录后发表或查看评论

Buuctf：【axb_2019_heap】(格式化字符串，of by null，unlink)

weixin_51055545的博客

01-18

1339

Buuctf：【axb_2019_heap】(格式化字符串，of by null，unlink) 例行检查 64位，保护机制全开，IDA中分析漏洞分析此处edit()函数中会多写入\x00字节，导致溢出一个\x00字节，存在of by null 漏洞，add()中限制了我们申请堆块的大小，只能申请大于0x80的堆块利用思路 1.利用格式化字符串漏洞泄露出程序基地址和libc基地址 2.利用unlink，通过unlink修改chunk0的内存地址为free_hook地址，再次edit0号堆块，覆写为s

buuctf axb_2019_heap

weixin_45677731的博客

09-23

1711

拖进IDA之后，发现输入函数是存在off-by-one漏洞的，可以进行溢出同时存在全局指针数组，就可以利用这个溢出来构造fake chunk，然后实现unlink 除此之外，这个程序malloc的大小是不能小于0x80的，额。。。其实这个不重要，问题不大，注意下就好了但是，程序的保护全都开启了也就是说，程序的地址是随机的，我们并不知道chunk指针的存放地址如何泄露呢？这时还发现程序开头存在格式化字符串的漏洞打开调试，输入8个a，在printf(&format)这里停一下，然后看下栈

axb_2019_heap

doudoudedi

02-05

992

思路 格式化字符串泄露程序基址和libc基址然后unlink一个指针到bss段将free_hook写入system释放即可拿到shell exp: from pwn import * #p=process('./axb_2019_heap') p=remote('node3.buuoj.cn',29873) elf=ELF('./axb_2019_heap') libc=elf.libc #gdb...

[BUUCTF]PWN——axb_2019_heap(格式化字符串，off-by-one，unlink)

mcmuyanga的博客

01-26

936

axb_2019_heap 附件步骤：例行检查，64位程序，保护全开本地试运行一下，看看大概的情况，经典的堆题的菜单 64位ida载入 main（） banner（）

[BUUCTF]-PWN:ciscn_2019_es_7解析（系统调用execve，srop）

2301_79326813的博客

01-30

562

这道题好像和buu的ciscn_2019_s_3是一模一样的看保护64位，没开canary和pie看ida题目还有能往rax传递0x3B和0xf的函数，这就提示我们可以用系统调用来getshell。

[BUUCTF]-PWN:ciscn_2019_final_3解析(tcache dup)

最新发布

2301_79326813的博客

02-15

535

查看保护RELRO保护为FULL，got表不可修改，只能修改hook表了查看ida这里的大致功能为alloc创建堆块（可填充内容）、free释放堆块（但是不清空指针）值得注意的就是创建堆块大小不可以超过0x78（实际大小会对齐）

[BUUCTF]-PWN:babyheap_0ctf_2017解析

2301_79326813的博客

01-10

1181

但是这里要解释一点，为什么不能直接释放堆块4，虽然这样堆块4也能进入unsortedbin里，但是要注意free堆块后指向堆块的指针将会被置零，大致意思就是free了之后，index4就不指向那个堆块了，这时候dump（4）就是无效的，虽然那个堆块里面有mainarena+88的地址，但dump（4）不会打印出里面的地址，所以我们要让两个堆块的指针指向同一个堆块，这样在释放掉一个堆块时还能用另一个指针利用该堆块。后面alloc（0x60）与这里的0x7f有关。

BUUCTF(pwn)jarvisoj_fm --格式化字符串漏洞

半岛铁盒的博客

08-05

501

简单的格式化字符串漏洞题目 32位，开启了canary和nx保护知道以上条件就可以计算偏移了得到偏移为11 from pwn import * r=remote('node3.buuoj.cn',25582) x_addr=0x804A02C payload=p32(x_addr)+"%11$n" r.sendline(payload) r.interactive() payload=p32(x_addr)+"%11$n" 因为要使x的值为4,写入的数据由%11$n前面的参数的长度决定，

BUUCTF|PWN-ciscn_2019_n_8-WP(格式化字符串漏洞)

l2645470582_的博客

01-11

2347

1.检查保护机制（1）保护全开 2.运行看一下 3.我们用32位的IDA打开该文件（1）Ctrl+F12查看关键字符串 （2）查看反编译代码（3）条件满足var[13]!=0 &&var[13] ==17,才能拿到权限（4）var[13]位置在第十四个上 payload构造第一种： payload = b'a'*13*4 + p32(17) #qword/IDA在32位里面是4个字节，在64位是/8个字节 ...

Pwn篇-BUUCTF[第五空间2019 决赛]PWN5-格式化字符串漏洞

weixin_44644249的博客

04-10

342

BUUCTF[第五空间2019 决赛]PWN5 简单的格式化字符串漏洞利用题目程序保护 IDA分析程序逻辑如下： unk_804c044为bss段地址，存储上面生成的4字节随机数。只要随机数和我们输入的passwd相等，则调用system("/bin/sh") 程序中有明显的格式化字符串漏洞，可以任意地址读写。动态调试 GDB调试程序，计算偏移：数得偏移为9，可以使用%9p来打印"aaaa"所在的地址可以使用pwnlib中fmtstr_payload来自动构造payload，使用方法如

buuctf pwn wp（第四波）格式化字符串漏洞系列

月阴荒的博客

04-04

3395

这里是一个总的分类，一个类型的第一道题目会详细介绍，后面的类型相同的会简略介绍（不过这是第一波，都是最简单的，原理可以看我前面的文章，后面难一点的题目我再讲原理。）这一波题都是无脑AAAA的类型，它们的区别主要就是打入多少个填充字符A的区别，（还有接受到什么字符串的区别），反正都是最简单的一类题。另外声明，脚本有些来自于网络上，但是我做了有一会儿了（这篇文章是我把当初做了时的记录素材拿过来做的...

(Buuctf) [第五空间2019 决赛]PWN5 简单格式化字符串漏洞利用

半岛铁盒的博客

03-25

242

这题是个基本格式化字符串漏洞利用; 满足if条件即可得到答案; 使 nptr 与 dword_804C044 相等即可; 可以使我们利用的是第一次的输入输出; addr=0x804C044 payload=p32(addr)+'%10$n' 先得出偏移量: from pwn import * p=remote('node3.buuoj.cn',26937) addr=0x804C044 payload=p32(addr)+'%10$n' p.sendline(payload) p.sendline

axb_2019_heap详解

像初雪一样自由洒落

04-25

733

关于axb_2019_heap的详解参考：buuctf axb_2019_heap 程序流程 banner：存在格式化字符串漏洞，可以泄漏栈上的信息 add：根据idx创建size（大于0x80）大小的内容为content的块块指针和块大小存放在一个全局变量note中 delete：释放的很干净，没有uaf edit：存在off by one get_input(*((_QWORD *)&note + 2 * v1), *((_DWORD *)&note + 4 *.

axb_2019_heap【write up】

m0_73756460的博客

04-08

135

buu刷题 axb_2019_heap【write up】

buuctf hitcon_training,axb_2019_heap，unlink一般利用方法总结

weixin_46521144的博客

07-10

260

两道都是使用了unlink 并且两道题的方法一模一样，和上一篇的ZCTF的一道题也一样使用unlink的题目一般有这样的特征指针位置泄露（这三道题全都是在bss上的指针）存在off-by-one或者off-by-null以及其他溢出修改漏洞第一条用于控制unlink堆块的检验，第二条用于激活unlink，两者缺一不可。利用方法：制造unlink块，修改fd为ptr-0x18,bk为ptr-0x10，构造chunk_head和下一个chunk的prev_size，通过off修改下一个chun