babyheap_0ctf_2017

最新推荐文章于 2024-07-17 09:26:09 发布
原创 最新推荐文章于 2024-07-17 09:26:09 发布 · 800 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn #网络安全 #安全

本文详细介绍了如何在一场名为babyheap_0ctf_2017的CTF比赛中,通过分析程序保护机制、堆管理函数,发现并利用一个堆溢出漏洞来泄露libc基地址。利用unsortedbin特性构造fake_chunk,最终通过修改malloc_hook并找到one_gadget实现远程getshell。

babyheap_0ctf_2017

使用checksec查看:
在这里插入图片描述
保护全开,看到PIE的时候就想到需要泄露libc_base_addr

拉进IDA中看吧:
在这里插入图片描述
一个死循环,主要功能AllocateFillFreeDump,这边我已经修改函数名了,接下来一个一个看

首先是创建堆:
在这里插入图片描述
最多创建15个chunk、每个chunk的最大size是4096

*(0x18LL * i + a1) = 1;创建chunk时给了标志1

接着是编辑堆内容:
在这里插入图片描述
判断了标志存不存在,若chunk存在,让用户输入size存放到v3变量中。

漏洞点就出在这,v3的大小并没有进行判断,导致可以堆溢出,进行下个堆的修改。

接着的Free()函数和Dump()函数都是中规中矩的。这里就不贴图了。

首先根据每个函数写出对应得操作函数:

def allocate(size):
    r.recvuntil('Command: ')
    r.sendline('1')
    r.sendline(str(size))

def fill(idx,payload):
    r.recvuntil('Command: ')
    r.sendline('2') 
    r.sendline(str(idx))
    r.sendline(str(len(payload)))
    r.send(payload) 
    
def free(idx):
    r.recvuntil('Command: ')
    r.sendline('3')
    r.sendline
最低0.47元/天 解锁文章
【FastBinAttack实战】babyheap_0ctf_2017
Tokameine的博客
08-09 602
分析利用: 无壳,IDA打开后可以看出题目是基本的增删与展示(函数名为方便阅读而修改) __int64 __fastcall main(__int64 a1, char **a2, char **a3) { char *v4; // [rsp+8h] [rbp-8h] v4 = initMmapList(); while ( 1 ) { Menu(); switch ( getInput() ) { case 1LL: ...
[BUUCTF]-PWN:babyheap_0ctf_2017解析
2301_79326813的博客
01-10 1270
但是这里要解释一点,为什么不能直接释放堆块4,虽然这样堆块4也能进入unsortedbin里,但是要注意free堆块后指向堆块的指针将会被置零,大致意思就是free了之后,index4就不指向那个堆块了,这时候dump(4)就是无效的,虽然那个堆块里面有mainarena+88的地址,但dump(4)不会打印出里面的地址,所以我们要让两个堆块的指针指向同一个堆块,这样在释放掉一个堆块时还能用另一个指针利用该堆块。后面alloc(0x60)与这里的0x7f有关。
0ctf_2017_babyheap
u014377094的博客
03-10 620
本人double free+fastbin攻击第一道题,看了两天,好在理解下来不难。 参考传送门[分享]0ctf2017 - babyheap-Pwn-看雪论坛-安全社区|安全招聘|bbs.pediy.com 惯例checksec一下 打开ida 1创建chunk,按1,2依次创建,2往里写,3free掉指定数字chunk,4print出指定chunk内容 不建议跟ida里一些函数死磕,硬读会恶心到,理解就ok。 这里先放exp,读一遍exp咱们再来解释 from pwn import
[BUUCTF] babyheap_0ctf_2017
红叶的博客
03-28 1324
有点回想起当初第一次拿到flag时的感觉,继续加油。 本题考察知识点:**Fastbin Attack** 与 **Unsorted Bin Attack。** 通过使用Fastbin Attack与堆溢出漏洞,我们可以绕过Free后指针置零,从而达到在置零指针后获取堆块fd指针。 通过Unsorted Bin Attack,我们可以泄露Libc地址。 然后我们再使用Fastbin Attack替换__malloc_hook 本文写给自己,也写给跟我一样全网寻找详细解答的师傅们。
【堆溢出】babyheap_0ctf_2017
huzai9527的博客
03-14 367
堆溢出 创建3个chunk 修改chunk1 head 将fake chunk 尾部造假的chunk head 释放chunk1 即fake chunk 再申请和fake chunk一样大小的chunk 还原chunk2 的头部 申请chunk3, 防止释放chunk2 后,合并到top chunk free chunk2 泄露main_area的地址 ​ 这里泄露的是main_arena+88 的地址 ​ 这里得到mian_arena的实际地址 ​
[BUUCTF]PWN——babyheap_0ctf_2017
最新发布
has_zaoganmaqule的博客
07-17 737
这题目我是在ctfshow里面看到的,因为ctfshow给的wp真的太抽象了。所以我就搜了搜,找到了原题,但我看别人写的都不是很好。所以后面自己尝试pwn成功了。首先查看保护全开是吧!!!放神的武器ida里面看看main函数一眼,菜单题cadd函数就很正常,调用calloc函数来申请堆块。(calloc函数和malloc函数的区别就是是否进行初始化,虽然calloc初始化看着更安全点,但是性能特别慢,而且在实际环境中好多变量都不需要进行初始化)
【BUUCTF - PWNbabyheap_0ctf_2017
古月浪子的博客
04-05 2740
checksec一下,堆题果然是保护全开 IDA打开看看,首先mmap一块随机区域,用于存放我们申请的块的属性,然后输出菜单,有allocate、fill、free、dump功能 可以注意到,在创建堆的时候,将堆的地址和大小存放在了mmap的区域中,并且使用的是calloc,会将申请的内存区域清零 漏洞点在fill函数中,没有限制输入内容的长度,从而可以堆溢出 删除堆后会将指针置零 输出...
0ctf Babyheap 2017
Bill
03-11 6742
0ctf 2017 BabyHeap 1. 题目分析 Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled 如果RELRO: Partial RELRO, 有可能是格式化字符串。 结论...
BUUCTF(pwn) babyheap_0ctf_2017
半岛铁盒的博客
07-30 345
入门堆题 main菜单 add edit edit,我们写入数据的长度是我们可以自己控制的,我们可以利用这点溢出到另一个堆块上 free,普通的释放chunk的过程 show 利用过程:堆溢出,可以通过重叠堆来泄露libc 分为两步: 第一次先泄露 libc 地址, 第二次利用fastbin attack,修改malloc_hook为one_gadget from pwn import * context.log_level = 'debug' p=remote("node4.buuoj.c
2017 0ctf babyheap
Grxer的博客
03-21 257
刚开始的init_my会利用/dev/urandom随机函数用mmap随机映射一块内存给我们存放指针,没有了确定地址,我们就不好去构成unlink攻击allocate()根据我们输入的size构成如下一个结构体,把指针放在mmap的堆上fill()也会根据我们的size进行读写,任意堆溢出,这就好办了freechunk()挺好的,该置零的都置零。
babyheap_0_ctf_2017
m0_48127441的博客
04-01 331
漏洞就是劫持程序控制流 先对程序进行分析 alloc(Length) //struct a_malloc{int use_or_not; int Length;void*base;int un_use} ; struct a_malloc malloc_array[16]; fill(任意长度) free(指定块) dump(输出对应chunk的Length)//可以填充任意长度的数据,即可以修改 chunk头 目标 -->劫持程序控制流 --> 把__malloc_hoo...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值