BUUCT-PWN 0ctf_2018_heapstorm2(house of storm)

最新推荐文章于 2024-04-09 08:42:33 发布
最新推荐文章于 2024-04-09 08:42:33 发布
阅读量1.5k 收藏 5
点赞数 4
分类专栏: CTF知识学习 BUU-PWN 文章标签: heap 安全 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44145820/article/details/105740530
版权

目录

题目分析

在这里插入图片描述
这题估计是house of storm利用的起源?
因为用这种办法直接就可以做通,后面还有rctf_2019_babyheap也需要用到house of storm,但是那题限制条件多多了
init()里先把fastbin禁用了
在这里插入图片描述
申请了0x13370000这块内存,并且做了初始化
在这里插入图片描述
初始化首先读入长度为0x18的随机数,就记为3个long long随机数吧,分别为r1,r2,r3,然后从0x13370820开始,左边和r1亦或,右边和r2亦或(在后边使用中,左边是分配的存放内容的地址与r1亦或结果,右边是size和r2亦或结果)
在这里插入图片描述
update中限制了读入长度为size-12,并且有一个off-by-null漏洞
在这里插入图片描述

漏洞利用

  1. 首先,我们申请这么几个堆
add(0x18)#0
add(0x508)#1
add(0x18)#2
add(0x18)#3
add(0x508)#4
add(0x18)#5
add(0x18)#6
  1. 编辑chunk1,在chunk2-0x10的地方写入0x500,这样做是为了错位,防止之后申请的时候的chunk2的inuse位置1,然后删除chunk1,把chunk2的inuse变为0(这里chunk2的inuse表示chunk1是否空闲)
  2. 利用off-by-null漏洞编辑chunk0,使得chunk1的size变为0x500
  3. 再次申请,大小分别为0x18,0x4d8,idx分别为1和7,这样刚好分配了0x500的空间,把刚刚修改之后的chunk1的size用完了
  4. 删除idx1,然后删除chunk2,此时会进行chunk1和2的合并,合并之后大小为0x530。这时候再申请一个0x38和0x4e8大小的堆,idx分别为1,2,这就造成了重叠:即idx7的chunk的content指向idx2的chunk-0x10位置处
  5. 按上面4的方法再进行一次重叠,记这一步申请出的0x4d8为idx8,当合并出0x530的chunk后,申请0x48大小的堆,idx为4。此时unsorted bin还剩0x4e0大小的chunk
  6. 此时删除idx2,该chunk进入unsortedbin,然后把它申请回来,这个时候会把上一步剩下的0x4e0chunk弄进largin bin中,这样Idx8就能控制一个free的large bin
  7. 重新把2删除,这样idx7就能控制一个free的unsorted bin,chunk大小为0x4f0
  8. 现在,编辑idx7,把unsorted bin的bk改为0x13370000-0x20(0x133707e0),编辑idx8,把large bin的bk改为0x13370000-0x18,bk_nextsize改为0x13370000-0x20-0x18-5
  9. 这时,申请一个0x48大小的堆,如果我们运气好,就能成功,此时申请出的堆指向0x133707f0,结果如下图:
    我们申请出0x133707e0处伪造出的的chunk
    在这里插入图片描述
    这是large bin
    在这里插入图片描述
    这是unsorted bin
    在这里插入图片描述
    在这里插入图片描述

这一步的原理就比较复杂了,下面我尽量解释清楚:
我们在申请一个0x48大小的堆,需要chunk大小为0x50,首先libc中代码会从fastbin中寻找,之后又在small bin寻找,但是它们都为空,所以就从unsorted bin中寻找是否有合适的chunk,此时由于我们的伪造实际上unsorted bin中有2个chunk,首先被判断的是0x4f0大小的chunk,显然大小不对,而由于unsorted bin还有其他chunk,因此不会切割它,而是要把它放入large bin中
此时large bin中已经有了大小0x4e0的chunk,我们要把0x4f0的chunk放进去,就会执行以下操作

victim->fd_nextsize = fwd;
victim->bk_nextsize = fwd->bk_nextsize;
fwd->bk_nextsize = victim;
victim->bk_nextsize->fd_nextsize = victim;
....
bck = fwd->bk;
....
victim->bk = bck;
victim->fd = fwd;
fwd->bk = victim;
bck->fd = victim;

其中victim为要进行插入的0x4f0大小chunk,fwd为large bin中0x4e0大小的chunk
我们重点关注以下几个操作

victim->bk_nextsize = fwd->bk_nextsize;
victim->bk_nextsize->fd_nextsize = victim;

fwd->bk_nextsize为0x133707c3,他的fd_nextsize就为0x133707e3,libc会向其中写入victim的地址

把该chunk放入large bin之后,libc会接着检查unsorted bin中下一个chunk(即我们伪造的0x133707e0),此时由于错位,该chunk的size正好是0x50,然后就被分配给我们了
在这里插入图片描述
但为什么说要运气好才能成功,因为还要满足这个条件,is_mmapped为倒数第二个bit,所以我们需要victim开头是0x56才能满足

assert (!mem || chunk_is_mmapped (mem2chunk (mem)) ||
         av == arena_for_chunk (mem2chunk (mem)));
  1. 现在我们都已经申请出0x13370800这块地方,接下来就可以写入我们需要的地址进行泄露或者编辑了
payload = p64(0)*4 + p64(0) + p64(
最低0.47元/天 解锁文章
L.o.W
关注
  • 4
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
BUUCTF [第二章 web进阶]XSS闯关
m0_49025459的博客
04-12 1927
题目 第一关 这一关没有过滤直接修改url就行 ?username=<script>alert('xss')</script> 第二关 这一题样式没什么变化直接上源码 <html lang="zh"><head> <meta charset="UTF-8"> <title>XSS配套测试平台</title> <meta http-equiv="Content-Type"
[BUUCT]REVERSE------findit
BangSen1的博客
01-29 184
findit apk文件,用apkide打开,找到findit文件 在里面没有找到flag的线索,纵观下来,只有这两串16进制比较奇怪。 转换一下,是flag的提示,那下一串应该就是flag了 得到了一串字符,提交之扣显示不正确,那应该被加密了,像这种变化 不会太大的应该是凯撒加密。 第11解密得到了flag flag{c164675262033b4c49bdf7f9cda28a75} ...
pwn challenge】0ctf_2018_heapstorm2
weixin_43960998的博客
03-02 406
程序 很早以前就想把这题做了,但是感觉特别麻烦就一直拖着了,今日参考了一位师傅然后解决。 程序先是禁用了 fastbin,让你和 mmap 了一段内存,并往该内存中读取了一串随机数,然后进行一个简单的赋值,接着通过一个 for 循环将接下来用到的存放 ptr 和 size 的地方进行了异或操作: 最终是如下效果: 然后是添加堆块功能: 利用 calloc 分配,会清空原堆块的内容,这就需要 overlap 的时候对其中的 chunk header 等进行恢复。 update 功能中存在 off b
rctf_2019_babyheap0ctf_2018_heapstorm2学习(house of storm
weixin_46521144的博客
09-10 1401
0ctf_2018_heapstorm2 这道题算是house of storm的起源。 house of storm的原理其实就是:结合利用largebin attack和劫持unsortedbin后一个chunk的bk,实现把堆地址写入到任意地址,再结合unsortedbin的bk指针分配时只检查size而不检查chunk完整性(这里有点疑惑,unlink检查应该很严格,可能是绕过了而不是没有检查)分配到这个地址上(add(0x48))实现的结果和unlink差不多。 具体利用条件: glibc2.3
0ctf2018_heapstorm2 wp
weixin_44008345的博客
04-08 177
0ctf_2018_heapstorm2,large bin attack题
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
CTFd-master_roseosy_ctf_
09-30
2. **Roseosy CTF 版本特点**: - 可能包含了 Roseosy 对 CTFd 的个性化定制,如额外的挑战类型、界面优化或特定功能增强。 - "周长拓展"可能指的是 Roseosy 对 CTFd 的扩展,增加了比赛的复杂性和挑战性,或者...
CVE-2021-27246_Pwn2Own2020
03-03
Pwn2Own 2020东京版-TPlink漏洞利用 这是在Pwn2Own 2020 Tokyo期间用于开发TPlink Archer路由器的文件。 该漏洞的编号为CVE-2021-27246。 您可以在synacktiv网站上查看博客文章以了解详细信息。
0ctf-2018 heapstorm2详解
极目楚天舒的博客
05-20 2139
0x01 预备知识堆相关的数据结构通过malloc得到的我们称之为chunk,每一个chunk都有一个chunk头用于管理称之为malloc_chunk,定义如下:/* This struct declaration is misleading (but accurate and necessary). It declares a "view" into memory allowing a...
-----已搬运-------BUUCT:[BSidesCF 2020]Hurdles HTTP 的各种参数学习,,,curl命令学习。。但是我用的是burp,,,%2500
Zero_Adam的博客
04-26 257
目录:0000、前置知识点:一、自己做 + 学习 WP:二、学到的:三、学习WP: 参考自:https://blog.csdn.net/weixin_44037296/article/details/112298411 0000、前置知识点: 一、自己做 + 学习 WP: 然后路径 !结尾, 直接加上就行了。 这里看了一眼WP。。这个&=&=&是要进行url编码的,因为get获取参数会从这个开始嘛, 是另一个参数。 需要%00和一个换行符, 这个%00我知道,是chr(0
BUUCT[极客大挑战 2019]Havefun
最新发布
2203_75578846的博客
04-09 154
1.首先先观察题目和这网页,并没有什么奇特之处,那就查看源码,F12或者ctrl+ u,cat=dog就行,可以看到直接出flag。这段代码的作用是根据 URL 中的参数。这段代码首先从 URL 中获取参数。的值输出不同的内容。的值,并将其赋值给变量。
BUUCTF-PWN rctf_2019_babyheaphouse of storm,堆SROP)
weixin_44145820的博客
06-05 1518
目录题目分析漏洞利用Exp 题目分析 程序还有沙箱保护,把execve禁用了,只能orw了 漏洞利用 Exp
BUUCT-WEB-easy_tornado
迷风小白
07-02 7536
easy_tornado tornado是python中的一个web应用框架。 拿到题目发现有三个文件 flag.txt /flag.txt flag in /fllllllllllllag 发现flag在/fllllllllllllag文件里 welcome.txt /welcome.txt render render是python中的一个渲染函数,渲染变量到模板中,即可以通过传递不同的参数形...
0ctf2018_heapstorm2_reproduce
Gtooler的博客
02-23 329
0ctf2018_heapstorm2_reproduce 概述 打了好久,学到很多 保护全开,libc-2.24 漏洞点在 off-by-one,打法是利用 off-by-one 缩小 chunk 进行 unlink 然后就可以实现类似 uaf 的 overlap,是 unlink 的一部分,又是还能用的这种 overlap 有了 overlap 就能实现 house of storm,也就是同时伪造 large_bin 的 bk_nextsize 和 bk 与 unsorted_bin 的 bk,实现
BUUCT-WEB-Fakebook
迷风小白
07-08 4083
Fakebook 扫描目录发现存在robots.txt和flag.php,访问发现源码泄露/user.php.bak user.php.bak <?php class UserInfo { public $name = ""; public $age = 0; public $blog = ""; public function __construct(...
0ctf_2018_heapstorm2 && rctf_2019_babyheap
qq_73149934的博客
06-14 162
分配合适的chunk,unsortedbin 剩余的一个chunk(0x4e1)是我们需要的largebin chunk,此时处于释放状态。这看似没有问题,但是注意,strcpy函数会在末尾加上null,相当于13个字节,发生了off by null。2.23-0ubuntu11house of storm,poison null byte,堆风水,堆orw。分配合适的chunk,chunk2是unsorted chunk(0x4f1),此时处于分配状态。同时,mallopt函数禁用了fastbin。
buuct—[第一章 web入门]afr_1
weixin_52620919的博客
10-18 1029
以上是题目 找大佬文章拜读一下 说是利用php伪协议的 不太理解 原理 PHP向用户提供的指定待打开文件的方式,是一个文件流 PHP的Filter机制,可对目前的协议进行一定的处理,比如将当前文件流的内容进行Base64编码。 使用方法php://filter/read=convert.base64-encode/resource=xxx 利用Filter机制,构造形如以上的攻击数据可以读取文件,拿到各种文件的源码 构造解题payload php://filter 读取源代码并进行base64编码输出,.
mqtt-pwn安装
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-pwn所在的目录。 3. 启动mqtt-pwn容器:使用命令`sudo docker-compose up --build --detach`启动mqtt-pwn容器。 另外,您还需要安装以下软件: 1. 安装pwntools:使用命令`python3 -m pip install --upgrade pwntools`来安装并更新pwntools。 2. 安装mosquitto程序和mosquitto-clients客户端程序:使用命令`sudo apt install mosquitto`和`sudo apt install mosquitto-clients`来安装mosquitto程序和mosquitto-clients客户端程序。 请注意,以上步骤假设您已经在Linux环境下进行操作。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值