pwnable.kr [Toddler's Bottle] - codemap

最新推荐文章于 2024-04-24 10:09:01 发布
最新推荐文章于 2024-04-24 10:09:01 发布
阅读量1k 收藏
点赞数 1
分类专栏: pwnable 文章标签: pwn ida idc reverse
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_19550513/article/details/72846279
版权

写在最前:

想要成为安全大牛的愿望还是这么遥不可及。
渐渐地,没有什么忧虑的大学生活也好像开始有了一些属于小人物的忐忑。
还是坚信自己很厉害,可是道路前方仍是一篇迷蒙。

感谢帮助过我的前辈,以及让我可以暂时不考虑经济压力的父母。

I have a binary that has a lot information inside heap.
How fast can you reverse-engineer this?
(hint: see the information inside EAX,EBX when 0x403E65 is executed)

download: http://pwnable.kr/bin/codemap.exe

ssh codemap@pwnable.kr -p2222 (pw:guest)

题目大意是逆向分析这个 PE 文件,并在服务主机上提交 2 个有关这个文件的问题的答案。

  1. What is the string inside 2nd biggest chunk? :
  2. What is the string inside 3rd biggest chunk? :

全部答对即可得到 Flag。

在做逆向分析之前,先跑一下程序猜测一下流程。

执行程序后,会给出提示,大意为程序会分配1000个大小随机堆块,每个堆块中保存有一个随机的字符串。其中最大的堆块大小为 99879 byte,其中包含的字符串为 X12nM7yCJcu0x5u。

多次执行程序,提示的最大堆块大小和其中的字符串不变。按照获取Flag的要求,猜测这里的随机的意思应该是指定大小的堆快在空间分配上的随机,固定大小序列的堆块中保存的字符串应是固定的或者遵循某种固定的构造算法。

下面开始分析(无壳无加密无VM)
在提示中让我们去查看 0x403E65 处指令执行后 EAX , EBX 的情况,
根据物理机实际的不同,笔者的提示指令位于0x0E3E65处。
这里写图片描述

可以看到,此处EAX保存着当前次循环分配的堆块大小,EBX保存着堆块的地址。
继续执行,将栈中保存的循环次数传到EAX,自增1后传回栈中保存,同时验证这个值。
这里写图片描述

问题所需的是第二和第三大堆块中保存的字符串内容,由于分配了1000次,不可能由观察得到。这里借助IDA动态调试结合脚本IDC去比较每次堆分配执行后EAX的值来指向目标堆块。
脚本如下:

#include <idc.idc>  

static main(){  

    auto max_eax, max_ebx, second_eax, second_ebx, third_eax, third_ebx;  
    auto eax, ebx;  

    // 依次为前三大堆块分配完成时的eax和ebx值
    max_eax = 0;  
    second_eax = 0;  
    third_eax = 0;  
    max_ebx = 0;  
    second_ebx = 0;  
    third_ebx = 0;  

    AddBpt(0x083E65);      // 在提示位置添加断点,在IDA中该地址为0x83E65
    StartDebugger("","","");  
    auto count;  
    for(count = 0; count < 999; count ++){  
        auto code = GetDebuggerEvent(WFNE_SUSP|WFNE_CONT, -1);  
        eax = GetRegValue("EAX");     // 中断时得到所需的值
        ebx = GetRegValue("EBX");  

        // 判断是否应刷新前三大堆块的值
        if(max_eax < eax){  
            third_eax = second_eax;  
            third_ebx = second_ebx;  
            second_eax = max_eax;  
            second_ebx = max_ebx;  
            max_eax = eax;  
            max_ebx = ebx;  
        }else if(second_eax < eax){  
            third_eax = second_eax;  
            third_ebx = second_ebx;  
            second_eax = eax;  
            second_ebx = ebx;  
        }else if(third_eax < eax){  
            third_eax = eax;  
            third_ebx = ebx;  
        }  
    }  
    // 输出
    Message("max eax: %d, ebx: %x, second eax: %d, ebx: %x, third eax: %d, ebx: %x\n", max_eax, max_ebx, second_eax, second_ebx, third_eax, third_ebx);  
}

循环999而不是1000次是为了避免程序结束,堆空间被释放。
在IDA Script Commend中输入脚本并保存为.idc格式,在Debugger选项中配置好动态调试器。跑Script File即可。
这里写图片描述

最后根据跑出的结果到对应的堆块位置找到字符串。

codemap@ubuntu:~$ nc 0 9021
What is the string inside 2nd biggest chunk? :
roKBkoIZGMUKrMb
Wait for 10 seconds to prevent brute-forcing…
What is the string inside 3rd biggest chunk? :
2ckbnDUabcsMA2s
Wait for 10 seconds to prevent brute-forcing…
Congratz! flag : select_eax_from_trace_order_by_eax_desc_limit_20

Umiade
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Toddler-care-website:使用 Django 的互联网编程实验室迷你项目
08-04
在这个项目中,可能会有一个名为`toddler_care`的应用,包含了模型、视图、模板和静态文件。 3. **数据库模型**:在`models.py`文件中定义数据库模型,如`Nanny`(保姆)、`Product`(产品)和`Order`(订单)。...
Toddler Tap-开源
07-20
【 Toddler Tap 开源项目详解】 “Toddler Tap”是一个专为幼儿设计的开源软件,旨在激发孩子们对键盘和字母的初步认知。这个项目源于一个简单而温馨的观察:当小孩子们看到大人在电脑上敲击键盘时,他们通常会表现...
pwnable.kr [Toddler's Bottle] - random
Re:Umiade.tr
03-13 483
c语言中取随机数函数rand()为伪随机,需要依赖srand()提供的随机数种子seed。如果每次seed都设相同值,rand()所产生的随机数值每次就会一样。没有置随机数种子直接调用rand(),得到的结果也是一样。 题目源码如下:/* ssh random@pwnable.kr -p2222 (pw:guest) */ #include <stdio.h>int main(){ uns
pwnable.kr】Toddler‘s Bottle-[flag]
weixin_45633243的博客
11-20 3898
目录导航下载题目文件二进制分析获取flaggdb调试 下载题目文件 Papa brought me a packed present! let's open it. Download : http://pwnable.kr/bin/flag This is reversing task. all you need is binary 这是反向任务。你所需要的只是二进制。 下载文件 >wegt http://pwnable.kr/bin/flag 二进制分析 查看文件类型 &
探索CodeMap:代码世界的导航者
最新发布
gitblog_00099的博客
04-24 644
探索CodeMap:代码世界的导航者 项目地址:https://gitcode.com/fengyiqicoder/CodeMap 在软件开发的世界里,代码就像是一座座复杂的迷宫。当项目规模扩大,如何快速理解和导航源码成为了一个重要的问题。这就是CodeMap项目应运而生的原因。它是一个强大的源代码可视化工具,旨在帮助开发者更直观地理解、探索和管理他们的代码库。 技术解析 CodeMap基于We...
pwnable.kr之Toddler‘s Bottle 9~16题知识点记录
weixin_42877778的博客
06-30 363
pwnable.kr的8~16题知识点记录
pwnable.kr】Toddler‘s Bottle-[bof]
weixin_45633243的博客
11-19 390
目录导航打开题目审题nc 命令介绍获取服务器文件源代码分析ELF分析构造payload解题步骤 打开题目审题 Nana told me that buffer overflow is one of the most common software vulnerability. Is that true? Download : http://pwnable.kr/bin/bof Download : http://pwnable.kr/bin/bof.c Running at : nc pwnab
pwnable.kr】Toddler‘s Bottle-[passcode]
weixin_45633243的博客
12-06 2717
目录导航进入服务器下载文件反编译分析EXPTIPS 进入服务器 Mommy told me to make a passcode based login system. My initial C code was compiled without any error! Well, there was some compiler warning, but who cares about that? ssh passcode@pwnable.kr -p2222 (pw:guest) 妈妈让我做一个密
pwnable.kr】Toddler‘s Bottle-[collision]
weixin_45633243的博客
11-07 2854
目录导航打开题目审题找到突破口源代码分析解题步骤相关知识 打开题目审题 Daddy told me about cool MD5 hash collision today. I wanna do something like that too! ssh col@pwnable.kr -p2222 (pw:guest) 题目中提到MD5哈希碰撞,可以基本确定方向 输入命令回车,输入密码:guest 即可登录服务器。 找到突破口 照例先 ls -la col@pwnable:~$ ls
pwnable.kr 简单题目详细笔记汇总
H4ppyD0g的博客
09-12 859
pwnable.kr fd pwnable.kr collision pwnable.kr bof pwnable.kr flag pwnable.kr passcode pwnable.kr random pwnable.kr input pwnable.kr leg pwnable.kr mistake pwnable.kr shellshock pwnable.kr coin1 pwnable.kr lotto pwnable.kr cmd1 pwnable.kr cmd2 pwnable.kr u
pwnable.kr】Toddler‘s Bottle-[random]
weixin_45633243的博客
12-07 3356
目录导航Target & DownloadAnalysis & IDADebug & writeupTIPS Target & Download Daddy, teach me how to use random value in programming! ssh random@pwnable.kr -p2222 (pw:guest) scp 下载文件 scp -P 2222 -p random@pwnable.kr:/home/random/* ./ An
pwnable.kr】Toddler‘s Bottle-[fd]
weixin_45633243的博客
11-06 2568
打开题目审题 Mommy! what is a file descriptor in Linux? * try to play the wargame your self but if you are ABSOLUTE beginner, follow this tutorial link: https://youtu.be/971eZhMHQQw ssh fd@pwnable.kr -p2222 (pw:guest) Linux中的文件描述符是什么。如果你是完全的初学者,可以去youtube链
A Toddler Game-开源
05-26
至于“Toddler-windows”这个文件,很可能是游戏的Windows版本安装包或者执行文件。这意味着开发者已经为Windows用户提供了一个方便的执行版本,无需在Windows环境中自行编译源代码,简化了用户的使用流程。 总的来...
Kids Key - Alphabet Training for Toddler-开源
04-28
"Kids Key - Alphabet Training for Toddler" 是一款专为1至4岁孩子设计的开源软件,旨在通过字母和色彩的互动游戏,帮助孩子们轻松学习ABC和颜色识别,同时也为他们初步接触数字概念提供了趣味性的平台。...
babykarte:OpenStreetMap项目显示了婴幼儿父母(0-3岁)的相关POI和信息
05-01
欢迎来到Babykarte的资料库 在本地运行Babykarte 为了运行此分支的本地副本,请执行以下步骤: 在本地克隆此分支 cd进入新的存储库 ... 很简单,不是吗? 就这样! 只需在浏览器中打开即可获得乐趣:)要使Babykarte...
pwnable.kr [Rookiss] - [simple login]
Re:Umiade.tr
03-23 1345
Can you get authentication from this server? Download : http://pwnable.kr/bin/login Running at : nc pwnable.kr 9003 Rookiss 初体验就从相对熟悉的逆向这一块开始好了。下载好文件后发现是 elf 64 ,在虚拟机上简单跑一跑,要求输入一个 Authenticat
pwnable.kr [Toddler's Bottle] - input
Re:Umiade.tr
03-13 1209
这题流程相对较长,考查Linux编程的基本功(笔者做到这题不禁感叹自己基本功还是欠了不少火候)。 在一开始,尝试写Python脚本去完成验证,但stage 2关于stdio的验证却苦无思路。 这里感谢werew在他的writeup中提供的解决思路,这才豁然开朗。 参考链接:https://werewblog.wordpress.com/2016/01/11/pwnable-kr-input/关
pwnable.kr [Toddler's Bottle] - coin1
Re:Umiade.tr
03-17 958
Mommy, I wanna play a game! (if your network response time is too slow, try nc 0 9007 inside pwnable.kr server) Running at : nc pwnable.kr 9007 游戏规则如下: --------------------------------------
字符串["Baby","Toddler","Kids","Matching-Outfits","Maternity-Nursing","Licensed-Characters","Home-Baby-Gear","Shoes-Accessories"]转为java数组
12-07
以下是将字符串["Baby","Toddler","Kids","Matching-Outfits","Maternity-Nursing","Licensed-Characters","Home-Baby-Gear","Shoes-Accessories"]转换为Java数组的代码示例: ```java String[] strArr = {"Baby",...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值