0ctf 2017 babyheap writeup

最新推荐文章于 2024-05-03 16:44:55 发布
最新推荐文章于 2024-05-03 16:44:55 发布
阅读量6.2k 收藏 2
点赞数 7
分类专栏: ctf pwn 文章标签: linux heap
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29343201/article/details/66476135
版权

前言

坑比的我比赛的时候没有做。。第二天有课,赛后看了看,题目其实没啥太多难度,可能也就是细节上需要注意一下吧

题目

题目功能

简单介绍一下题目功能,因为我本机是用的linux,ida在虚拟机里,ida的复制又不是特别方便,所以我就不复制分析的情况了,具体分析自己做一下练习一下也比较好,就把大致的情况说明一下。

首先是主菜单

===== Baby Heap in 2017 =====
1. Allocate
2. Fill
3. Free
4. Dump
5. Exit
Command:

5个选项,alloc:

1. Allocate
2. Fill
3. Free
4. Dump
5. Exit
Command: 1
Size: 5
Allocate Index 0

分配一个空间,大小可以自己指定,实际情况是最大4096字节,并且使用了calloc,所以分配之后的chunk会被先清空
分配之后会给出index,用于其他选项

1. Allocate
2. Fill
3. Free
4. Dump
5. Exit
Command: 2
Index: 0
Size: 5
Content: abcd

fill,给出index和size,可以将content写入分配的空间,注意这里没有检验size大小,所以存在堆溢出

free和dump基本上也类似,就是给出index,会进行free操作或者进行将内容打印出来的操作。

漏洞位置

在fill的地方存在一个堆溢出,可以写任意长度,因为分配使用的calloc,所以在分配的时候会将分配出来的chunk先清空,dump的大小是根据alloc指定的size决定的,跟真正的chunk大小无关。

分析

首先检查保护:

    Arch:     amd64-64-little
    RELRO:    Full RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      PIE enabled

ASLR默认开启就行了。

PIE和Full RELRO保证了不能通过更改GOT表劫持控制流,加之使用了堆,多半都是用__malloc_hook__free_hook这样的东西。

所以问题就在于:

  1. 如何leak出libc地址
  2. 如何劫持控制流

leak libc 地址

其实这个还是挺好想的,已经是很常用的手法了,那就是利用small bin或者large bin在为空的时候fd和bk指向libc的地址,

然后通过这个地址就可以拿到libc基地址了,那么问题就变成了如何拿到fd和bk的地址。

由于堆溢出的存在,这个问题其实挺好解决的,堆溢出可以更改size,那么就可以造成chunk overlap,之后利用dump将包含的chunk打出来就可以拿到fd和bk了。

给出我的一个流程:

分配0x60,chunk 0

+---------+
| chunk0  |
| 0x60    |
+---------+

分配0x40,chunk 1

+---------+-----------+-----
最低0.47元/天 解锁文章
Anciety
关注
  • 7
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 10
    评论
专栏目录
【BUUCTF】roarctf_2019_realloc_magic---从一道题认识realloc函数+stdout泄露libc地址实战
Assassin
09-18 1885
realloc好题
攻防世界PWN之Babyheap(null off by one)题解
seaaseesa的博客
11-20 2046
Babyheap(null off by one) 本题用到的知识 malloc_hook、realloc_hook、fastbin attack、unsorted bin合并 首先,检查一下程序的保护机制,保护全开 然后用IDA分析,发现在创建并读入数据时,有一个null off by one漏洞 我们所能利用的也就是这个漏洞 第一步仍然是想办法泄露一些关键地址 由于可以溢...
0ctf2017-babyheap
weixin_30878361的博客
08-03 308
前言 又是一道令人怀疑人生的 baby 题。 这道题利用思路非常巧妙,通过 堆溢出 和 fastbin 的机制构造了 information leak, 然后通过 fastbin attack 可以读写 malloc_hook , 然后使用 one_gadget 来 getshell. 题目和 idb 文件:https://gitee.com/hac425/blog_data/tree/maste...
[蓝桥杯2024]-PWN:ezheap解析(堆glibc2.31,glibc2.31下的double free)
最新发布
2301_79326813的博客
05-03 604
查看保护查看ida大致就是只能创建0x60大小的堆块,并且uaf只能利用一次。
0ctf_2017_babyheap详解
像初雪一样自由洒落
04-19 3745
本文主要列出0ctf_2017_babyheap的详细过程 主要参考:https://bbs.pediy.com/thread-223461.htm 程序流程 allocate:申请size大小的块 fill:对idx的块,设置size,并填入content free:释放idx的块 dump:打印idx的块内容 漏洞分析 fill中的size可以重新设置,故可以造成堆溢出。 方法:fastbin attack double free泄露libc 【small/large chunk释放,fd和.
babyheap_0ctf_2017 详细解析【BUUCTF】
qq_41696518的博客
09-06 2748
好家伙,保护全开,根据文件名,可以判断这是一道堆题目,刷了这么久,终于遇到堆题目了,解析就写的详细点。先看main函数,很简单就是各类个目录函数,一步一步来看把。
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
ctf_writeup:来自 Balsn 的 CTF 文章
08-03
Balsn CTF 报道Balsn 是来自台湾的 CTF 团队,成立于 2016 年。我们积极参与 CTF 比赛,并发表有关挑战的文章。 在我们的 GitHub 存储库中,这些文章采用 markdown + kaTeX 格式。 有关更多信息,请参阅。目录 ...
HITCON CTF 2017
11-08
HITCON CTF 2017 所有题目整理...............................................................................................................................................................................
D3CTF2022-官方WriteUp1
08-03
"D3CTF2022-官方WriteUp1" 本文将对 D3CTF 2022 官方 WriteUp1 进行总结,主要涉及 MySQL UDF 提权、Java 反序列化、MySQLInject、Web 短链技术等多方面的知识点。 1. MySQL UDF 提权 在 MySQL 中,可以使用 User...
blizzardctf2017:暴雪CTF 2017
05-18
暴雪CTF 2017:Sombra真随机数生成器(STRNG) Sombra真实随机数生成器(STRNG)是我为Blizzard CTF 2017开发的基于QEMU的挑战。挑战是实现从基于QEMU的VM逃脱VM并捕获位于主机上/ root / flag的标志。安装挑战中...
攻防世界 pwn babyheap writeup
liucc09的博客
01-19 495
分析 这题题目中显示是Wellcome To the 2.27 Heap World,而且只能申请7个chunk,理论上应该是一道libc2.27 tcache的题,但因为在交互过程中触发了fastbin的double free错误,所以攻防世界上应该是把这题部署在了libc2.23的环境中,但无所谓,下面libc2.27和libc2.23的解法都会给出。 libc2.27解法 首先我们要泄漏libc的地址,tcache肯定是无法泄漏libc的,因此我们考虑使用unsorted bin来泄漏,这题有off
0ctf babyheap
qq_41071646的博客
05-13 472
这个题 一开始 不知道是怎么回事 然后这个程序开了 保护全开 基址随机化 这就要我们自己把libc的基址给泄露出来 泄露的方法我知道的是 把堆 free到 unsortbin的fd和bk指向自身main_arena 然后可以根据 main_arena 的偏移 搞出libc 库 道理都懂 但是怎么做 就不好说了 现在这里就有一道题 典型的菜单题 然后 看一下大概内容 有没...
0ctf Babyheap 2017
Bill
03-11 6362
0ctf 2017 BabyHeap 1. 题目分析 Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled 如果RELRO: Partial RELRO, 有可能是格式化字符串。 结论...
0CTF-2017-web-writeup
dengzhasong7076的博客
03-20 217
xss搞的很爽... complicated xss 题目描述:The flag is in http://admin.government.vip:8000 两个xss点。 1、http://government.vip/ 存储型xss,未做过滤,管理员会触发此xss 202.120.7.205 - - [20/Mar/2017:14:26:18 +0800] "GET /aaakkk...
2016 0CTF rsa
ACdream
05-18 1922
知识点:多素数,中国剩余定理,模三次剩余题目给了一个flag.enc,还有一个public.pem安装openssl可以读取到n和e,因为n不大,可以在yafu或者factordb.com上分解得到n = p * q * r根据flag.enc,可以得到密文m根据中国剩余定理,我们要求得m在p,q,r下的余数,不妨设为pmod,qmod,rmod然后根据模三次剩余,即:proot ^ 3 ≡ pm...
线下培训基地--Web安全就业班CTF比赛(二)
mensan的博客
01-17 881
线下培训基地–Web安全就业班CTF比赛(二) 日志审计 访问目标网站,被告知无法访问,这是内部网站 由于这道题的提示为seelog,查看日志,于是我们访问以下目标网址的/log目录,发现了两个日志文件,access.log和error.log,这里我们想要进入目标网站,所以我们审查access.log这一日志文件 进入http://106.75.86.18:3333/log/acce
buuctf realloc _IO_2_1_stdout_泄露libc地址 32位格式化字符串 UAF diff SSH SCP jmp-rsp orw seccomp_tools
carol2358的博客
08-01 717
文章目录roarctf_2019_realloc_magic roarctf_2019_realloc_magic 贴几个链接: https://blog.csdn.net/weixin_44145820/article/details/105585889 https://blog.csdn.net/seaaseesa/article/details/105590591 https://blog.csdn.net/weixin_42151611/article/details/99228675 exp:
0ctf
zhang14916的博客
03-28 886
1.babyrsa: 打开源文件阅读我们发现这里的RSA中的n是多项式,但这里的RSA依旧和n为数字的RSA是相似的,在http://www.diva-portal.se/smash/get/diva2:823505/FULLTEXT01.pdf中有介绍如何求解这种RSA。如同n为数字的RSA,我们需要讲多项式n分解为p,q,根据RSA的p和q求解phi(n),继续计算获取d,这是我们就可以解...
ctf从0到1电子书
12-14
《CTF从0到1》是一本针对CTF(Capture The Flag)竞赛的电子书,旨在帮助初学者快速入门和提高他们的技能。该书包括了CTF竞赛的基础知识、技巧和策略,并提供了详细的实例和实战练习,帮助读者从零开始逐步建立起自己的CTF技能。 该电子书首先介绍了CTF竞赛的概念和历史,并解释了CTF竞赛的基本流程和常见的攻击手法。接着,它深入解析了网络安全、逆向工程、加密和编程等相关的技术知识,帮助读者建立起坚实的基础。然后,书中提供了大量的实例和练习,让读者可以通过实践快速掌握所学的知识和技能。 通过该电子书的学习,读者可以逐步从CTF的入门级别进阶到中级和高级水平,掌握一系列解决问题的方法和技巧。并且,书中还强调了团队协作和解决问题的思维方式,帮助读者培养了解决实际问题的能力。 总的来说,《CTF从0到1》是一本非常实用的电子书,不仅可以帮助初学者快速入门CTF竞赛,还能帮助中级和高级选手提高他们的技能和水平。它准确把握了读者的需求,并通过丰富的实例和练习帮助他们从零开始建立起自己的CTF技能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值