【PWN系列】 Buucf babyheap_0ctf_2017 Writeup

最新推荐文章于 2022-09-06 14:54:30 发布
最新推荐文章于 2022-09-06 14:54:30 发布
阅读量626 收藏
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41918771/article/details/110229798
版权

个人博客地址

http://www.darkerbox.com

欢迎大家学习交流

参考网址:

https://www.cnblogs.com/luoleqi/p/12349714.html

分析

参考网址说的已经不错了,主要问题出现在fill功能,只要chunk存在,即可写任意长度的字符。
在这里插入图片描述
主要还是利用fasbin attack和unsorted的特性(下面会说到)来修改__malloc_hook拿到shell。

这里我来实际走一遍exp的流程,下面的exp我用的是本地的libc。

这里我先把exp放出来,之后会分析exp的每一步操作具体干了什么

Exploit

#coding:utf-8
from pwn import *

p = process("./babyheap_0ctf_2017_glibc2.23") 
context.log_level="debug"

def allocate(size):
	p.recvuntil('Command: ')
	p.sendline(&
了解本专栏 订阅专栏 解锁全文 超级会员免费看
Vicl1fe
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
buucf[BJDCTF2020]Easy MD5 1
hintll的博客
04-13 310
[BJDCTF2020]Easy MD5 看题目叫做easyMD5 打开环境后 只有一个查询框 猜测是sql注入 但是测试了之后发现似乎没有注入点 习惯性的看一下源代码和请求包 在请求头中发现一个hint Hint select * from ‘admin’ where password=md5($pass,true) 这是一个sql的查询语句表示查询admin当passwd用md5函数计算过的值 百度了MD5函数的漏洞,这个漏洞就是,当我们将下面这个十进制传入mysql数据库的时候,那么mysql
BUUCF 一眼就解密
qq_69304031的博客
07-04 97
解密后便能获得flag:ZmxhZ3tUSEVfRkxBR19PRl9USElTX1NUUklOR30= 注意:得到的 flag 请包上 flag{} 提交。看似无从下手 但是你会发现最后是一个=,所以有极大的概率是base64。获得答案 flag{THE_FLAG_OF_THIS_STRING}然后就可以去网上去搜索base64解密。
babyheap_0ctf_2017 详细解析【BUUCTF】
qq_41696518的博客
09-06 2752
好家伙,保护全开,根据文件名,可以判断这是一道堆题目,刷了这么久,终于遇到堆题目了,解析就写的详细点。先看main函数,很简单就是各类个目录函数,一步一步来看把。
BUUCTF 0ctf-babyheap
doudoudedi
12-20 405
这道题分配内存空间是用calloc释放之后会清空分配的内容 edit函数存在堆溢出我们由打赢函数指针数组存在satck地址随机,我们先想到的fastbin attack写onegadget但是要先有libc基址也是先是information leak然后contorl pc我们就可以 先分配4个 add(0x10) #0 add(0x10) #1 add(0x80) #2 add(0x10...
[BUUCTF]PWN——babyheap_0ctf_2017
mcmuyanga的博客
12-23 2592
[BUUCTF]PWN19——babyheap_0ctf_2017 附件 步骤: 例行检查,64位,保护全开 试运行一下程序,看到这个布局菜单,知道了这是一道堆的题目,第一次接触堆的小伙伴可以去看一下这个视频,我也刚接触堆不久,有些地方我也讲不清楚 ida载入,先看一下main函数,做堆题的时候需要将程序给理清楚了,这边的几个选项函数一开始不是如图所示的,我们可以右击给他重新命名一下,为了让我们看的更清楚 add,就是简单的创建一个chunk edit,我们写入数据的长度是我们可以自己控制的,存在堆
D3CTF2022-官方WriteUp1
08-03
"D3CTF2022-官方WriteUp1" 本文将对 D3CTF 2022 官方 WriteUp1 进行总结,主要涉及 MySQL UDF 提权、Java 反序列化、MySQLInject、Web 短链技术等多方面的知识点。 1. MySQL UDF 提权 在 MySQL 中,可以使用 User...
pwn栈溢出10道练习题有writeup
01-04
pwn栈溢出练习题目,每题都有writeup.
writeup:CTF的不同形式的报告库
03-09
Documentacion de retos y maquinas。Retos网站玛奎纳斯·温(Maquinas Pwn
wani-writeup:大阪大学CTF团队Wani Hackase提供的CTF解决方案
04-30
pwn(可拥有) 网路(网路) 转(反向) 用于(取证) 性别(隐写术) 适当添加其他字符(建议使用3个字符,超过此限制) problemName被简化到可以确定的程度 README.md中的写操作 将与问题相关的代码文件上载...
2023 强网杯 Writeup
01-29
CTF Writeup 2023 强网杯 Writeup 是一篇关于 Capture The Flag(CTF)的 writeup,内容涵盖了多个挑战题目,涉及到 Python、 Cryptography、Reverse Engineering、Web 等多个领域。下面是对每个挑战题目的详细分析...
绝对详细的babyheap_0ctf_2017题解
xieyichensss的博客
04-24 998
这是我第一次做堆题,其他师傅的wp都看了一个周左右,才把大概所有我不明白的地方搞懂。 直接上其他师傅的exp,然后逐步分析叭。(希望我尽快可以自己做堆) from pwn_debug import * pdbg = pwn_debug(‘babyheap_0ctf_2017’) pdbg.remote(‘node3.buuoj.cn’,26076) p = pdbg.run(‘remote’) def allocate(size): p.recvuntil('Command: ') p.sendline(‘
0ctf 2017 babyheap writeup
jmp esp
03-26 6273
前言坑比的我比赛的时候没有做。。第二天有课,赛后看了看,题目其实没啥太多难度,可能也就是细节上需要注意一下吧题目题目功能简单介绍一下题目功能,因为我本机是用的linux,ida在虚拟机里,ida的复制又不是特别方便,所以我就不复制分析的情况了,具体分析自己做一下练习一下也比较好,就把大致的情况说明一下。首先是主菜单===== Baby Heap in 2017 ===== 1. Allocate 2
【逆向学习记录】堆分配中chunk&bins
卦星的专栏
03-23 3278
1 概述 学习堆的过程中,开始的时候,有个很难理解的东西,那个东西就是malloc,涉及到malloc就会涉及到chunk,实话说chunk这个东西的学习,确实经历了不少时间,总结一下,防止忘记 参考 Linux堆内存管理深入分析-上这篇文章详细将来chunk的进化过程,这里就不在深入查看了,深入浅出,是学习堆溢出基础的佳作 Linux堆内存管理深入分析-下这篇文章详细讲了bin的结构,并且被我大...
[BUUCTF]PWN——0ctf_2017_babyheap
mcmuyanga的博客
01-11 511
0ctf_2017_babyheap 附件 步骤: 例行检查,64位程序,保护全开 本地试运行一下,看看大概的情况,经典的堆题的菜单 main函数 add() edit() delete() show() 利用思路 edit存在堆溢出,可以通过重叠堆来泄露libc 然后利用fastbin attack,修改malloc_hook为one_gadget 利用过程 首先来构造重叠堆 先申请3个chunk, add(0x10)#0 add(0x10)#1 add(0x80)#2 来看一
BUUCTF:[BSidesCF 2019]Mixer
末初的CSDN博客
04-06 686
知识盲区题 不多bb了,涉及加密的看不太懂,直接放参考链接,记录一下 https://github.com/beerpwn/ctf/tree/master/2019/BSidesSF_CTF/web/mixer https://blog.csdn.net/a3320315/article/details/104335989?depth_1-utm_source=distribute.pc_rele...
0ctf babyheap
qq_41071646的博客
05-13 472
这个题 一开始 不知道是怎么回事 然后这个程序开了 保护全开 基址随机化 这就要我们自己把libc的基址给泄露出来 泄露的方法我知道的是 把堆 free到 unsortbin的fd和bk指向自身main_arena 然后可以根据 main_arena 的偏移 搞出libc 库 道理都懂 但是怎么做 就不好说了 现在这里就有一道题 典型的菜单题 然后 看一下大概内容 有没...
BUUCTF-----actf_2019_babyheap (UAF)
半岛铁盒的博客
06-15 6194
这道题和之前做的 hitcontraining_uaf 这道题类似 64位程序,没开PIE 并且这里发现了 bin/sh 字符串
攻防世界(pwn)babyheap(一些常见的堆利用方法)
PLpa的博客
03-22 2007
前言: 此题攻击链路:null_off_by_one修改堆块信息 => UAF泄露libc基址和其他有用信息 => fastbin attack申请堆块到指定地址 => 利用realloc_hook来调整堆栈 => one_gadget get shell。 64位程序,保护全开。 程序提供增删查操作,没有改操作。由于题目已经给了libc-2.23文件(虽然给错了)说明...
0ctf2017-babyheap
weixin_30878361的博客
08-03 309
前言 又是一道令人怀疑人生的 baby 题。 这道题利用思路非常巧妙,通过 堆溢出 和 fastbin 的机制构造了 information leak, 然后通过 fastbin attack 可以读写 malloc_hook , 然后使用 one_gadget 来 getshell. 题目和 idb 文件:https://gitee.com/hac425/blog_data/tree/maste...
青少年ctf擂台挑战赛 2024 #round 1
最新发布
04-16
青少年CTF擂台挑战赛2024第一轮(#round 1)是一项针对青少年的信息安全竞赛,参赛队伍sixone战队在本次比赛中取得了显著的成绩。比赛涵盖多种技术领域,包括Web应用安全(Web1到Web5)、逆向工程(Reverse1)、密码...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Vicl1fe

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值