BUUCTF-PWN rctf_2019_babyheap(house of storm,堆SROP)

最新推荐文章于 2023-02-15 15:24:02 发布
最新推荐文章于 2023-02-15 15:24:02 发布
阅读量1.5k 收藏 5
点赞数
分类专栏: BUU-PWN CTF知识学习 文章标签: PWN 沙箱 orw
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44145820/article/details/105709145
版权

目录

题目分析

在这里插入图片描述
程序还有沙箱保护,把execve禁用了,只能orw了
在这里插入图片描述
在init中还把fastbin关了
在这里插入图片描述
在edit中有一个off-by-null溢出,以前这种情况都是用unlink进行攻击,不过这题我们没有地址所以无法使用
在这里插入图片描述

漏洞利用

这题一开始先利用house of storm漏洞分配到__free_hook附近的内存
关于house of storm的利用方法请见这篇文章:
BUUCT-PWN 0ctf_2018_heapstorm2(house of storm)

因为本题禁用了execve,所以我们就不考虑写入system的地址了,本题采用的是mprotect+shellcode注入的做法,思路来源是星盟的WP(RCTF2019 pwn writeup 集合

首先,我们把setcontent+53的地址写入__free_hook,并在其之后0x10字节内存中写上两遍__free_hook+0x18的地址,最后把如下shellcode1写入:

xor rdi,rdi
mov rsi,%d
mov edx,0x1000

mov eax,0
syscall

jmp rsi

setcontext的主要代码如下:

<setcontext>:	push   rdi
<setcontext+1>:	lea    rsi,[rdi+0x128]
<setcontext+8>:	xor    edx,edx
<setcontext+10>:	mov    edi,0x2
<setcontext+15>:	mov    r10d,0x8
<setcontext+21>:	mov    eax,0xe
<setcontext+26>:	syscall 
<setcontext+28>:	pop    rdi
<setcontext+29>:	cmp    rax,0xfffffffffffff001
<setcontext+35>:	jae    0x7ffff7a54bc0 <setcontext+128>
<setcontext+37>:	mov    rcx,QWORD PTR [rdi+0xe0]
<setcontext+44>:	fldenv [rcx]
<setcontext+46>:	ldmxcsr DWORD PTR [rdi+0x1c0]
<setcontext+53>:	mov    rsp,QWORD PTR [rdi+0xa0]
<setcontext+60>:	mov    rbx,QWORD PTR [rdi+0x80]
<setcontext+67>:	mov    rbp,QWORD PTR [rdi+0x78]
<setcontext+71>:	mov    r12,QWORD PTR [rdi+0x48]
<setcontext+75>:	mov    r13,QWORD PTR [rdi+0x50]
最低0.47元/天 解锁文章
L.o.W
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
buuctf刷题记录(一)
qq_43571856的博客
08-03 357
vn_pwn_warmup 开了nx和pie 这里给了puts的地址,可以得到libc的基地址 只有这里有个溢出点能溢出0x10个字节 原本的想法是直接用one_gadget来获得shell 但是一直都打不通,由于开了pie也没法本地调试 后来看了大佬的题解,才知道这个题禁用了execve。现在也不知道从哪里看出来的。 对于这种禁用execve或者没法使用system直接getshell的题。 我们可以使用orw。 可以把paylaod写到这里 然后在跳到这里执行 但是这个题没法用题目文件里的r
house of storm+SROP+orw
tbsqigongzi的博客
08-10 432
house of storm + srop + orw
SROP
热门推荐
钞sir的博客
12-20 1万+
简介 SROP的全称是Sigreturn Oriented Programming,这是ROP攻击方法中的一种,其中sigreturn是一个系统调用,在类unix系统发生signal的时候会被间接地调用;在传统的ROP攻击中我们需要寻找大量的gadgets来对寄存器进行赋值已达到我们的需求,而SROP可以减少我们寻找gadgets的难度… 前置知识 signal 机制 我们都知道在Linux中,系...
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 384
buuctf-pwn 001-016题wp
babyheap_0ctf_2017 详细解析【BUUCTF
qq_41696518的博客
09-06 2745
好家伙,保护全开,根据文件名,可以判断这是一道题目,刷了这么久,终于遇到题目了,解析就写的详细点。先看main函数,很简单就是各类个目录函数,一步一步来看把。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
2021-鹏城实验室-pwn-babyheap.zip
09-28
2021年鹏城实验室的pwn题,考查了libc-2.31.so下off-by-null的漏洞利用,值得学习一波。
ciscn-2019-pwn
11-29
1. baby_pwn2. bms3. daily4. Double5 your_pwn
[SCTF2019]babyre 题解
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
02-15 5932
buuctf-[SCTF2019]babyre 题解
2017/2018-0ctf-babyheap-writeup
【xiaoxiaorenwu's blog】
04-07 756
因为最近2019届0ctf-tctf开始了,想去水一水,特别把2018的babyheap和2017的babyheap了一下汲取一下经验,感觉两题类型相似,大致思路相同,2018比2017的利用条件更加苛刻一些。所以把两个题目放在一起来写,有助于加深对fastbin_attack的理解,和提高知识运用的灵活性。 首先提供两道题目的二进制文件:2017_0ctf_babyheap 2018...
0ctf babyheap
qq_41071646的博客
05-13 472
这个题 一开始 不知道是怎么回事 然后这个程序开了 保护全开 基址随机化 这就要我们自己把libc的基址给泄露出来 泄露的方法我知道的是 把 free到 unsortbin的fd和bk指向自身main_arena 然后可以根据 main_arena 的偏移 搞出libc 库 道理都懂 但是怎么 就不好说了 现在这里就有一道题 典型的菜单题 然后 看一下大概内容 有没...
BUUCTF 强网杯2019 Copperstudy
walker_feng的博客
09-30 1455
强网杯2019 Copperstudy ![强网杯2019](https://img-blog.csdnimg.cn/20200930195613457.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dhbGtlcl9mZW5n,size_16,color_FFFFFF,t_70#pic_center)   之前很爽,之后更爽 前提说
攻防世界PWNBabyheap(null off by one)题解
seaaseesa的博客
11-20 2044
Babyheap(null off by one) 本题用到的知识 malloc_hook、realloc_hook、fastbin attack、unsorted bin合并 首先,检查一下程序的保护机制,保护全开 然后用IDA分析,发现在创建并读入数据时,有一个null off by one漏洞 我们所能利用的也就是这个漏洞 第一步仍然是想办法泄露一些关键地址 由于可以溢...
[RCTF2015]EasySQL
feng的博客
12-12 839
知识点 二次注入 报错注入 WP 一道距离现在有点久的SQL注入题目,不过起来还是学习到了很多东西。 进入环境稍微分析一下,可以发现存在注册,登录,查看用户信息,更改密码和查看文章这些功能。从题目就可以知道,这是一道SQL注入题目,要么就是注入出用户名和密码然后登录得到flag,要么就是flag在数据库里。但是怎么找注入点是一个难事。 我试了很久还是没能找到,最后看了WP。还是自己SQL注入学的太菜了,我接触过的二次注入要么是给源码,然后审源码审出二次注入,要么就是类似那种用户名回显的二次注入,这种改
RCTF-2015-notsequence WP
qq_41252520的博客
09-05 1422
前言 这道题目有多解,但是只有一组解是flag。再次提醒自己,搞逆向的数学一定要学好,至少大学之前的数学还能有印象! 分析 程序无花无壳,直接IDA反编译。 结构很清晰,分别来看这两个 check 函数。 通过测试可以得知这些 下标 的含义,如果我们用符号来作为输出,就会很清晰了: 然后这个函数检测的就是行 i 的数字之和 v3 = 2i。其实数学好的话,仅看这个函数就立马想到是 杨辉...
BUUCTF-PWN刷题记录-14
weixin_44145820的博客
04-29 596
目录sctf_2019_easy_heap(块重叠,double free) sctf_2019_easy_heap(块重叠,double free) 这题原题目好像是在Ubuntu16下的,但是BUU上面是Ubuntu18,所以应该更简单一点 总的来说,这题应该是ciscn_2019_final_3的加强版吧,当然也有更简单的地方 首先,给了我们一块rwx的空间 add函数会给你conten...
BUUCTF:[RCTF2019]draw
末初的CSDN博客
04-07 2175
cs pu lt 90 fd 500 rt 90 pd fd 100 rt 90 repeat 18[fd 5 rt 10] lt 135 fd 50 lt 135 pu bk 100 pd setcolor pick [ red orange yellow green blue violet ] repeat 18[fd 5 rt 10] rt 90 fd 60 rt 90 bk 30 rt 9...
buuctf [HarekazeCTF2019]baby_rop2
最新发布
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取shell权限。解题的过程中,通过找到rsi寄存器的地址,将其设置为read函数的地址,然后再通过调用printf函数,将read函数的地址泄漏出来,从而计算libc基址。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值