babyfengshui [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列23

最新推荐文章于 2025-05-26 08:52:21 发布
原创 最新推荐文章于 2025-05-26 08:52:21 发布 · 1k 阅读 · 2
标签
#攻防世界 #xctf #ctf #pwn
本文深入解析了一个CTF竞赛中的堆溢出题目,详细介绍了如何利用堆溢出漏洞进行攻击,包括创建和操纵用户对象,绕过防御机制,以及最终获取shell的过程。

题目地址:babyfengshui

这个题目是高手进阶区的第12题。本题的主要考点是堆溢出,现在ctf主要的考点都已经转移到了堆溢出了,这个题目作为堆溢出的基础题目,还是很容易入门的。

先看看题目

惯例检查一下保护机制:

[*] '/ctf/work/python/babyfengshui/babyfengshui'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

开启了Canary和NX。

下面我把已经改造好的c语言代码贴出来(注释的语句,我已经在注释语句下面用容易理解的方式重写了):

首先我给程序增加了一个struct定义:

struct User
{
  char* szDescription;
  char szName[124]; //0x80-4=128-4=124
};

这个题目的操作对象就是内存中的User数组。

1、main函数

void __cdecl __noreturn main()
{
  char cReturn; // [esp+3h] [ebp-15h]
  int nChoice; // [esp+4h] [ebp-14h]
  int n; // [esp+8h] [ebp-10h]
  unsigned int v3; // [esp+Ch] [ebp-Ch]

  v3 = __readgsdword(0x14u);
  setvbuf(stdin, 0, 2, 0);
  setvbuf(stdout, 0, 2, 0);
  alarm(0x14u);
  while ( 1 )
  {
    puts("0: Add a user");
    puts("1: Delete a user");
    puts("2: Display a user");
    puts("3: Update a user description");
    puts("4: Exit");
    printf("Action: ");
    if ( __isoc99_scanf("%d", &nChoice) == -1 )
      break;
    if ( !nChoice )
    {
      printf("size of description: ");
      __isoc99_scanf("%u%c", &n, &cReturn);
      add_user(n);
    }
    if ( nChoice == 1 )
    {
      printf("index: ");
      __isoc99_scanf("%d", &n);
      delete_user(n);
    }
    if ( nChoice == 2 )
    {
      printf("index: ");
      __isoc99_scanf("%d", &n);
      display_user(n);
    }
    if ( nChoice == 3 )
    {
      printf("index: ");
      __isoc99_scanf("%d", &n);
      update_user_description(n);
    }
    if ( nChoice == 4 )
    {
      puts("Bye");
      exit(0);
    }
    if ( (unsigned __int8)g_nIndexNextUser > 0x31u )
    {
      puts("maximum capacity exceeded, bye");
      exit(0);
    }
  }
  exit(1);
}

主要是接收菜单选择,然后分配给相应的子函数执行。

2、add_user函数

User *__cdecl add_user(size_t nSizeOfDescription)
{
  void *pszUserDescription; // ST24_4
  User *pObjUser; // ST28_4

  pszUserDescription = malloc(nSizeOfDescription);
  memset(pszUserDescription, 0, nSizeOfDescription);
  pObjUser = malloc(0x80u);
  memset(pObjUser, 0, 0x80u);
  *pObjUser = pszUserDescription;
  g_arrUser[(unsigned __int8)g_nIndexNextUser] = pObjUser;
  printf("name: ");
  // fgets_string_before_return((char *)g_arrUser[(unsigned __int8)g_nIndexNextUser] + 4, 124);
  fgets_string_before_return(g_arrUser[(unsigned
最低0.47元/天 解锁文章
CTF】【PWN】胎教向babyfengshui_33c3_2016题解
m0_50819561的博客
10-12 452
跳过checksec,我们直接分析程序。 我这里把这些函数命名为add,delete,display,edit。 先看add。 就是创建两个chunk,一个的地址存放在s里,一个的地址存放在v2里。 然后把s存在v2指向的地址里,用一个名为ptr的数组存放v2。 可以看出来,我们创建了两个chunk。按顺序命名为chunk1和chunk2.我们把这两个chunk看作是一个user的两部分。显然,chunk1存放了user的内容,chunk2存放了user的内容的地址和user的名字。 其中name
pwn】 33c32016_babyfengshui
Nothing
12-13 339
例行检查 分析程序,注意到在输入内容的时候,输入限制是这样的。 if ( (char *)(v3 + *(_DWORD *)*(&ptr + a1)) >= (char *)*(&ptr + a1) - 4 ) { puts("my l33t defenses cannot be fooled, cya!"); exit(1); ...
[BUUCTF]-PWN:babyfengshui_33c3_2016解析
2301_79326813的博客
01-24 923
又是一道堆题,先看保护关键信息是32位,没开pie直接看ida大致是alloc创建堆块,free释放堆块,show查看堆块内容,fill填充堆块内容其他的都没啥关键的要讲,但alloc那里非常需要解析一下解释如上图再具体一点就是 我们输入的字节大小+堆块地址>=相邻0x80堆块的地址时会被强制退出必须要 我们输入的字节大小+堆块地址
攻防世界PWNBabyfengshui题解
seaaseesa的博客
11-06 1194
本题,首先,为了方便调试,我们需要解决alarm clock问题 程序运行几十秒后就会自动退出,所以,为了方便调试,我们需要先修改一下这个二进制 我们用十六进制编辑器把这几个指令nop(0x90)掉即可 然后,我们就开始做题了 查看创建功能的函数 这里创建了两个堆,第一个堆用来存储description,第二个堆用来存储第一个堆的指针以及name字符串 其数据...
攻防世界 pwn进阶----No.012 babyfengshui 解题思路
qq_29185043的博客
10-25 470
攻防世界 pwn进阶----No.012 babyfengshui 解题思路 1.本题解题思路 1.先期工作 1.运行程序查看基本逻辑 创建用户 展示用户 更新用户 删除用户 到这里就可以猜测这题有可能堆上的题,重点查看删除堆的指针情况,以及堆溢出的情况。 2.运用checksec查看程序的保护措施 没有开启地址随...
攻防世界-PWN-shaxian-堆溢出与FastbinAttack
aptx4869_li的博客
07-15 519
攻防世界中shaxian题目的解题思路
[pwn]堆:堆风水与堆排布-babyfengshui
热门推荐
Breeze的博客
12-31 1万+
[pwn]堆:堆风水与堆排布-babyfengshui 所谓堆风水也叫作堆排布,其实说严格了并不是一种漏洞的利用方法,而是一种灵活布置堆块来控制堆布局的方法,在一些一些其他漏洞的利用中起到效果。通过一道经典的题目,由清华蓝莲花战队出的babyfengshui来看一下: babyfengshui 查看安全策略 没开PIE,但值得一提的是这是一个32位的程序,32位的堆是4字节对齐的。 查看程序逻辑 ...
babyfengshui-堆溢出
playmaker的博客
07-31 307
babyfengshui-堆溢出 题目是一个32位的选单式程序,大致功能和保护如下 逐一分析各个功能,首先是Add_user部分 printf("size of description: "); __isoc99_scanf("%u%c", &v2, &v0); sub_8048816(v2); _DWORD *__cdecl sub_80...
babyfengshui 堆溢出的入门题
qq_41071646的博客
02-11 1844
本文 参考资料 https://github.com/firmianay/CTF-All-In-One 感谢 作者的 无私奉献 若是侵权 请联系 本人 本人会修改或删除 这道题 其实我也是看这篇文章才撸会的 怎么说呢 这个题 本来 我也是有点迷糊的 补了一些 堆溢出的资料 就懂了许多 这里我是结合资料 来写的 本人也是一个菜虾 要是哪里不对 还请指教 ...
攻防世界babyfengshui解题思路
aptx4869_li的博客
02-02 372
解题思路 基本信息查询 healer@healer:~/Documents/CTF/PWN/babyfengshui$ readelf -h babyfengshui ELF Header: Magic: 7f 45 4c 46 01 01 01 00 00 00 00 00 00 00 00 00 Class: ELF32 Data: 2's complement, litt
【buu】babyfengshui_33c3_2016(详细题解
qq_62068476的博客
03-15 626
buu日常一题
babyfengshui 堆溢出简单利用
qq_42728977的博客
04-04 318
题目:babyfengshui 难度:** 漏洞利用:堆溢出 环境:ubuntu16.04 pwntools LibcSearcher 参考链接:传送1 利用思路: 这道题之前做过。最近刷题老刷栈溢出,感觉很没意思,就找了堆的题练练手,不然没什么进步。 菜单题。 一个个选项分析,发现再update里面有问题 这句话就是说,length+&description不能超过结构体struct...
babyfengshui(xctf)
weixin_43868725的博客
08-21 275
0x0 程序保护和流程 保护: 流程: main() add_user() 连续分配了两个堆块,并将第一次分配的堆块的指针存入第二次分配的堆块的fd字段,bk字段开始存放name,之后调用了update_user() 输入完length之后要经过判断,需要第一次分配的堆块的数据段的地址加上输入的长度的值必须小于第二次分配的堆块的数据段的地址减4的值才能输入text。 delete_user() 根据索引分别释放两个堆块,再将指向第二次分配堆块的指针清零。 display_user() 根据索引输
攻防世界)(pwnbabyfengshui
PLpa的博客
08-03 1408
入门级的堆题,拿来学习还是不错的。 做这道题之前,最好还是先对堆的数据结构有一定的了解。 拿到题目,下载附件,查看保护。 一个32位的程序,开了NX和Canary保护,这都不是重头戏毕竟这题不用栈,栈保护只是锦上添花罢了。 把文件拖进IDA查看逻辑: 可以看到,典型的菜单题,这很pwn,实现了增删改查四个功能,像极了C语言程序设计的期末结业程序设计题哈哈哈,暴露年龄。 进入增加用户功能: 可...
pwn学习总结(五) —— 堆溢出经典题型整理
lzyddf的博客
12-29 3394
pwn学习总结(九) —— 经典题目整理三(持续更新)fastbin + 栈溢出fastbin + 函数构造 fastbin + 栈溢出 题目:fastbin 环境:ubuntu 16.04 下载地址:https://pan.baidu.com/s/1R6-BVR91Io_ZVPDDpBcCkA 提取码:r7e5 查看程序防护: 使用ida进行反编译: 已知条件: 可以得到mai...
[CTF]BUUCTF-PWN-ciscn_2019_en_2
weixin_53394081的博客
04-11 506
CTF】BUUCTF-ciscn_2019_en_2 pwn
NSSCTF [SUCTF 2018 招新赛]unlink
最新发布
2401_88087539的博客
05-26 709
pwn新手小白,写完题后整理的一点点思路,有借鉴其他wp,有任何问题各位师傅可以提出,接收批评指正
[NISACTF 2022]UAF
红叶的博客
03-10 797
跟hacknote一样的做法,但是有所不同。
攻防世界 进阶 babyheap
yongbaoii的博客
02-21 582
用到的漏洞是off by null 保护绿油油。 菜单,它这说的是2.27heap,但其实给的libc又是2.23的…… create 最多6个chunk,然后 指针存在heap_list哪个数组里面。 read_input 这个里面可以看到,有个明显的off by null。 delete 删的干干净净。 show 平平无奇打印函数。 off by null的利用方式很多,但是总的来讲就是说先泄露libc的地址,然后再制造fastbin_attack。只是中间方法会有很多种,这取决于chunk的申请、释
攻防世界 pwn babyheap writeup
liucc09的博客
01-19 798
分析 这题题目中显示是Wellcome To the 2.27 Heap World,而且只能申请7个chunk,理论上应该是一道libc2.27 tcache的题,但因为在交互过程中触发了fastbin的double free错误,所以攻防世界上应该是把这题部署在了libc2.23的环境中,但无所谓,下面libc2.27和libc2.23的解法都会给出。 libc2.27解法 首先我们要泄漏libc的地址,tcache肯定是无法泄漏libc的,因此我们考虑使用unsorted bin来泄漏,这题有off
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值