星盟-pwn-babyheap

最新推荐文章于 2024-10-14 18:29:35 发布
最新推荐文章于 2024-10-14 18:29:35 发布
阅读量308 收藏 1
点赞数 1
分类专栏: 星盟强基计划刷题 文章标签: 网络 安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_65147345/article/details/126100230
版权
本文详细分析了一个涉及堆管理的网络安全问题。通过off by one漏洞,利用堆重叠获取libc基地址,然后通过修改global_max_fast实现fastbin攻击,进一步篡改malloc_hook。最终,通过精心设计的realloc操作,利用one_gadget实现特权升级。文章提供了详细的解题思路和exploit实现过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本题的注意点

  • 程序更改了global_max_fast的大小,导致我们释放的chunk无法进入fastbin中,都会进入unsortedbin里面

在这里插入图片描述

程序分析

直接切入正题:

在这里插入图片描述

  • add():允许申请1-111大小的chunk
  • del():没有uaf
  • edit():使用strlen的返回值作为read的参数,off by one漏洞,申请0x?8的大小chunk时填充满该chunk,再次编辑该chunk,strlen就会将下一个chunk的size也也算作一个字节,所以我们可以控制chunk的size位
  • show():正常输出

程序情况列述

  1. chunk会进入unsorted bin,不修改global_max_fast则无法使用fastbin attack
  2. 存在off by one 可以使用堆重叠,能够获取libc基地址

解题思路

  1. 堆重叠获取libc_base地址
  2. 使用unsorted attack更改global_max_fast,使chunk进入fastbin
  3. 使用fastbin attack更改malloc_hook为one_gadget

detailed procedures

  • 注:结合exp来理解

  • 申请4个chunk,利用chunk0修改chunk1的size使其包含chunk1,chunk2

  • 再次申请大小为0x18的chunk,打印出chunk2即得到main_arena_addr+offset(该offset可以gdb调试得知其偏移,前提是本地环境和远端一致否则远端打不通)

  • 后面的一系列操作就是heap重叠,利用一个chunk去改写另外一个chunk的bk(unsorted attack),heap重叠图在下面

  • 修改了global_max_fast,使用fastbin attack伪造chunk修改malloc_hook为realloc_hook

  • 修改realloc_hook为one_gadget原因如下,其要求一个都不满足

在这里插入图片描述

在这里插入图片描述

  • 所以我们这里使用realloc来使得rsp+0x30为null,具体可以参考下面博客链接
  • realloc之前会有以下操作,我们可以利用这些push和sub0x38来使得rsp+0x30为null,执行完这个操作就会call realloc,因为我们把malloc改成了realloc,realloc改成了one_gadget所以,就会call one_gadget,那么我们计算的时候要把call 抬高栈的8算上去

在这里插入图片描述

exp

#!/usr/bin/python3
# -*- coding:utf-8 -*-

from pwn import *

context.arch = 'amd64'
# context.log_level = 'debug'

sh = process('./babyheap')
#sh = remote('nc.eonew.cn', 10502)
libc = ELF('./libc-xm/libc-2.23-babyheap.so')

gdb.attach(sh,'''

b *$rebase(0xbfc)	
b *$rebase(0xcdb)
b *$rebase(0xe50)
b *$rebase(0xdc2)

''')

def add(size, data):
    sh.sendlineafter(
最低0.47元/天 解锁文章
[BUUCTF]-PWN:babyheap_0ctf_2017解析
2301_79326813的博客
01-10 1152
但是这里要解释一点,为什么不能直接释放堆块4,虽然这样堆块4也能进入unsortedbin里,但是要注意free堆块后指向堆块的指针将会被置零,大致意思就是free了之后,index4就不指向那个堆块了,这时候dump(4)就是无效的,虽然那个堆块里面有mainarena+88的地址,但dump(4)不会打印出里面的地址,所以我们要让两个堆块的指针指向同一个堆块,这样在释放掉一个堆块时还能用另一个指针利用该堆块。后面alloc(0x60)与这里的0x7f有关。
-pwn-fog
qq_65147345的博客
07-24 1087
1. 利用null off by one 与unlink泄露libc,改写malloc_hook为one_gadget 2. 获取shell
[BUUCTF]PWN——babyheap_0ctf_2017
has_zaoganmaqule的博客
07-17 651
这题目我是在ctfshow里面看到的,因为ctfshow给的wp真的太抽象了。所以我就搜了搜,找到了原题,但我看别人写的都不是很好。所以后面自己尝试pwn成功了。首先查看保护全开是吧!!!放神的武器ida里面看看main函数一眼,菜单题cadd函数就很正常,调用calloc函数来申请堆块。(calloc函数和malloc函数的区别就是是否进行初始化,虽然calloc初始化看着更安全点,但是性能特别慢,而且在实际环境中好多变量都不需要进行初始化)
[2024领航杯] Pwn方向题解 babyheap
最新发布
susu_xiaosu的博客
10-14 1302
​ 当然这个比赛我没有参加,是江苏省的一个比赛,附件是XiDP师傅在比赛结束之后发给我的,最近事情有点多,当时搁置了一天,昨天下午想起来这个事情,才开始看题目,XiDP师傅说是2.35版本的libc,确实高版本libc的却棘手,我经验太浅了调试半天,最后让我们一起看一下这个题目。 ​
babyheap(uaf ,绕过tcache doublefree检测)
m0_51251108的博客
09-18 1145
浙江省第五届大学生网络与信息安全竞赛预赛pwn
【攻防世界】babyheap
weixin_43960998的博客
04-05 291
off by null (libc2.23) 1.程序逆向 程序在 add 的 read 中存在一个 off by null,同时 add 时无 size 限制,可以直接申请进 unsorted bin 的 chunk,个数足够用。可以 show,free 正常 2.漏洞利用 和 secret of my heart 一样的利用手法,不再赘述。 记录一下调试 og 的过程。我们可以先尝试所有 og ,如果没有打通的情况下,利用 realloc 调节栈帧,这里可以断在最后触发时的 malloc 处,然后 s
-pwn-heap2 (tcache attack,house of orange)
qq_65147345的博客
08-08 1373
通过unsorted-bin泄露出libc_base 通过tcache attack申请到malloc_hook的地址 改写为one_gadget
时代-430246-新三板报告:硬软件技术开发服务商.rar
09-29
标题“时代-430246-新三板报告:硬软件技术开发服务商.rar”表明这是一份关于“时代”公司在新三板上市的报告,重点在于其硬软件技术开发服务业务。从描述和标签中没有获得额外信息,但我们可以根据标题推测...
攻防世界(pwn)babyheap(一些常见的堆利用方法)
PLpa的博客
03-22 2163
前言: 此题攻击链路:null_off_by_one修改堆块信息 => UAF泄露libc基址和其他有用信息 => fastbin attack申请堆块到指定地址 => 利用realloc_hook来调整堆栈 => one_gadget get shell。 64位程序,保护全开。 程序提供增删查操作,没有改操作。由于题目已经给了libc-2.23文件(虽然给错了)说明...
0ctf babyheap
qq_41071646的博客
05-13 514
这个题 一开始 不知道是怎么回事 然后这个程序开了 保护全开 基址随机化 这就要我们自己把libc的基址给泄露出来 泄露的方法我知道的是 把堆 free到 unsortbin的fd和bk指向自身main_arena 然后可以根据 main_arena 的偏移 搞出libc 库 道理都懂 但是怎么做 就不好说了 现在这里就有一道题 典型的菜单题 然后 看一下大概内容 有没...
babyheap_0ctf_2017
m0sway的博客
11-25 706
babyheap_0ctf_2017 使用checksec查看: 保护全开,看到PIE的时候就想到需要泄露libc_base_addr了 拉进IDA中看吧: 一个死循环,主要功能Allocate、Fill、Free、Dump,这边我已经修改函数名了,接下来一个一个看 首先是创建堆: 最多创建15个chunk、每个chunk的最大size是4096 *(0x18LL * i + a1) = 1;创建chunk时给了标志1 接着是编辑堆内容: 判断了标志存不存在,若chunk存在,让用户输入size存放
2017 0ctf babyheap
wuyvle的博客
07-26 1122
之前学习了一下lager bins的构建,今天来学习一下堆重叠和堆扩展 先找漏洞点 这里没有对大小进行检查,可以输入任意字节,存在字节溢出 此题的难点在于如何泄露libc,由于add使用calloc的原因,当堆块从bins中拿出来时,会清空堆块 很明显我们要申请大的堆块进入unsorted bins来使main_aren+88写在堆块上,我们可以使上一个堆块扩展到这个堆块上来进行泄露 先贴上exp from pwn import * context.log_level = 'debug' context.u
网鼎杯 babyheap
MozhuCY的博客
09-21 949
网鼎杯第一场 程序功能:新建,编辑,打印,free free处没有置空指针,导致可以uaf malloc每次都是0x20的fastbin,编辑功能可以使用3次 自写了readn函数,没有溢出点 edit可以修改free后堆块的bk,fd 1 2 3 4 5 Arch: amd64-64-little RELRO: Full RELRO S...
buu - babyheap(详细版)
fuiifiuiii的博客
03-13 449
补上这个释放的块,然后把4释放掉,再填入fake_fast_chunk的地址,把calloc_hook的地址覆盖为one_gadet。正在回顾以前学过的堆和学习新的堆,看到了wiki的overlapping这一块,突然发觉这不就跟之前学fastbin attack的时候的babyheap一样嘛。漏洞点:堆溢出+overlapping修改fastbin上的指针,实现双重指针指向一处,也就是达成uaf的效果。free和show部分就是正常的释放,指针置0以及正常的打印,就不多看了。然后把原本的块3的大小恢复。
babyheap_fastbin_attack
playmaker的博客
06-23 289
babyheap-堆溢出之fastbin_attack 首先检查程序保护 保护全开。是一个选单系统 分析程序 void new() { int index; // [rsp+0h] [rbp-10h] signed int size; // [rsp+4h] [rbp-Ch] void *ptr; // [rsp+8h] [rbp-8h] for ( index = 0; i...
攻防世界 进阶 babyheap
yongbaoii的博客
02-21 510
用到的漏洞是off by null 保护绿油油。 菜单,它这说的是2.27heap,但其实给的libc又是2.23的…… create 最多6个chunk,然后 指针存在heap_list哪个数组里面。 read_input 这个里面可以看到,有个明显的off by null。 delete 删的干干净净。 show 平平无奇打印函数。 off by null的利用方式很多,但是总的来讲就是说先泄露libc的地址,然后再制造fastbin_attack。只是中间方法会有很多种,这取决于chunk的申请、释
我又pwn啦——*刷题篇 babyheap_0ctf_2017
m0_64195960的博客
07-28 700
babyheap
0ctf_2017_babyheap详解
像初雪一样自由洒落
04-19 4359
本文主要列出0ctf_2017_babyheap的详细过程 主要参考:https://bbs.pediy.com/thread-223461.htm 程序流程 allocate:申请size大小的块 fill:对idx的块,设置size,并填入content free:释放idx的块 dump:打印idx的块内容 漏洞分析 fill中的size可以重新设置,故可以造成堆溢出。 方法:fastbin attack double free泄露libc 【small/large chunk释放,fd和.
家电销售管理系统配置指南
资源摘要信息:"家电销售管理系统"是一个以项目形式存在的管理系统,主要用途在于家电销售行业中的业务处理和管理。该系统采用C#语言进行开发,利用SQL Server数据库作为数据存储和处理的核心。 首先,该系统是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值