标签：magic 0x1305 程序 bk hitcontraining gdb v3 magicheap

拿到题目例行检查

 

 程序是64位的程序

 

 

 

 保护几乎全开，试运行一下程序

 

 

 

 十分明显的堆溢出的界面，将程序放入ida中，shift+f12发现了后门程序

 

 

 进入main主函数进行查看

 

 可以看到当，v3==4869&&magic>0x1305的时候我们可以获得权限

分别进入选择的程序查看，在edit程序中

 

 

这是magic的地址

 

 

 

 

 这个read_input这行没有限制v3的大小，所以这里存在堆溢出，

 

 我们建立三个堆，第二个堆释放后在unsortedbin中。我们可以通过修改bk的值为magic的值从而使magic>0x1305

 

 

 

此时堆的情况

 

 

 可以看到0x2090成功覆盖了bk的指针

 

 然后在申请一个0x80大小的chunk

系统会将free掉的chunk1的指针取出来

 

 此时magic的条件完成，

完整exp如下

 

 

 def  launch_gdb()是调用gdb调试程序，方便做题

 

 

 成功拿到shell

结束！！！！！！

标签：magic,0x1305,程序,bk,hitcontraining,gdb,v3,magicheap
来源： https://www.cnblogs.com/zhuangzhouQAQ/p/15216110.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。