hitcontraining_magicheap 附件 步骤: 例行检查,64位程序,开启了nx和canary 本地试运行一下,经典的堆的菜单 64位ida载入,检索程序里的字符串的时候发现了后门 main() 可以看到,当v5=4=4869,而且magic在bss段,只要覆写magic>0x1305就能够获取到shell create_heap() edit_heap() delete_heap() 利用思路:首先通过 unsorted bin attack 覆盖 magic>0x1305,…

拿到题目例行检查 程序是64位的程序 保护几乎全开,试运行一下程序 十分明显的堆溢出的界面,将程序放入ida中,shift+f12发现了后门程序 进入main主函数进行查看 可以看到当,v3==4869&&magic>0x1305的时候我们可以获得权限 分别进入选择的程序查看,在edit程序中 这是magic的地址 这个read_input这行没有限制v3的大小,所以这里存在堆溢出, 我们建立三个堆,第二个堆释放后在unsortedbin中.我们可以通过修改bk的值为magic的值从…