【pwn】 33c32016_babyfengshui

利用堆溢出进行gothijack的分析

最新推荐文章于 2024-01-24 03:30:33 发布

原创

最新推荐文章于 2024-01-24 03:30:33 发布 · 309 阅读

0 ·

CC 4.0 BY-SA版权

本文分析了一个程序中关于堆溢出的漏洞，通过创建和释放note来操纵chunk，当两个chunk不相邻时导致堆溢出，并利用此进行gothijack攻击。

例行检查
在这里插入图片描述分析程序，注意到在输入内容的时候，输入限制是这样的。

    if ( (char *)(v3 + *(_DWORD *)*(&ptr + a1)) >= (char *)*(&ptr + a1) - 4 )
    {
   
   
      puts("my l33t defenses cannot be fooled, cya!");
      exit(1);
    }

意思是上一块的chunk的数据开始加上输入字符串的长度，不能超过下一个chunk的size字段。这个check在两个chunk相邻时是有效的，但是如果两个chunk不相邻时就会有问题，会造成堆溢出。

步骤
1.创建两个note（4个chunk）
2.free掉第一个note，2个chunk会合并。
3.创建大小为第一个note两个chunk之和，这样这个note两个chunk就会被第二个note隔开，于是可以溢出到第二个note。
4.gothijack

from pwn import *

io

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

不干正事的拖延症患者

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

（攻防世界）（pwn）babyfengshui

PLpa的博客

08-03

1383

入门级的堆题，拿来学习还是不错的。做这道题之前，最好还是先对堆的数据结构有一定的了解。拿到题目，下载附件，查看保护。一个32位的程序，开了NX和Canary保护，这都不是重头戏毕竟这题不用栈，栈保护只是锦上添花罢了。把文件拖进IDA查看逻辑：可以看到，典型的菜单题，这很pwn，实现了增删改查四个功能，像极了C语言程序设计的期末结业程序设计题哈哈哈，暴露年龄。进入增加用户功能：可...

攻防世界babyfengshui解题思路

aptx4869_li的博客

02-02

348

解题思路基本信息查询 healer@healer:~/Documents/CTF/PWN/babyfengshui$ readelf -h babyfengshui ELF Header: Magic: 7f 45 4c 46 01 01 01 00 00 00 00 00 00 00 00 00 Class: ELF32 Data: 2's complement, litt

参与评论您还未登录，请先登录后发表或查看评论

babyfengshui [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列23

重新启程

12-26

948

题目地址：babyfengshui 这个题目是高手进阶区的第12题。本题的主要考点是堆溢出，现在ctf主要的考点都已经转移到了堆溢出了，这个题目作为堆溢出的基础题目，还是很容易入门的。先看看题目惯例检查一下保护机制： [*] '/ctf/work/python/babyfengshui/babyfengshui' Arch: i386-32-little RE...

攻防世界PWN之Babyfengshui题解

seaaseesa的博客

11-06

1143

本题，首先，为了方便调试，我们需要解决alarm clock问题程序运行几十秒后就会自动退出，所以，为了方便调试，我们需要先修改一下这个二进制我们用十六进制编辑器把这几个指令nop(0x90)掉即可然后，我们就开始做题了查看创建功能的函数这里创建了两个堆，第一个堆用来存储description，第二个堆用来存储第一个堆的指针以及name字符串其数据...

攻防世界 pwn进阶区----No.012 babyfengshui 解题思路

qq_29185043的博客

10-25

444

攻防世界 pwn进阶区----No.012 babyfengshui 解题思路 1.本题解题思路 1.先期工作 1.运行程序查看基本逻辑创建用户展示用户更新用户删除用户到这里就可以猜测这题有可能堆上的题，重点查看删除堆的指针情况，以及堆溢出的情况。 2.运用checksec查看程序的保护措施没有开启地址随...

[BUUCTF]-PWN:babyfengshui_33c3_2016解析

2301_79326813的博客

01-24

851

又是一道堆题，先看保护关键信息是32位，没开pie直接看ida大致是alloc创建堆块，free释放堆块，show查看堆块内容，fill填充堆块内容其他的都没啥关键的要讲，但alloc那里非常需要解析一下解释如上图再具体一点就是我们输入的字节大小+堆块地址>=相邻0x80堆块的地址时会被强制退出必须要我们输入的字节大小+堆块地址

【CTF】【PWN】胎教向babyfengshui_33c3_2016题解

m0_50819561的博客

10-12

395

跳过checksec，我们直接分析程序。我这里把这些函数命名为add，delete，display，edit。先看add。就是创建两个chunk，一个的地址存放在s里，一个的地址存放在v2里。然后把s存在v2指向的地址里，用一个名为ptr的数组存放v2。可以看出来，我们创建了两个chunk。按顺序命名为chunk1和chunk2.我们把这两个chunk看作是一个user的两部分。显然，chunk1存放了user的内容，chunk2存放了user的内容的地址和user的名字。其中name

BUUCTF pwn babyfengshui_33c3_2016(简单堆)

菜的只能随便写写博客

02-17

2177

0x01 文件分析 0x02 运行程序提供了几个简单的功能，增删改查都有。运行的时候程序有定时机制，可以用IDA的patch功能修改二进制指令，消除定时。 0x03 静态分析主函数： void __cdecl __noreturn main() { char v0; // [esp+3h] [ebp-15h] int v1; // [esp+4h] [ebp-14h] ...

[BUUCTF]PWN——babyfengshui_33c3_2016

mcmuyanga的博客

01-02

788

babyfengshui_33c3_2016 附件步骤：例行检查，32位程序，开启了cannary和nx 本地运行一下看看大概的情况，熟悉的堆的菜单布局 32位ida载入，看main函数 add update delete display 上面看到了update在判断长度的时候存在问题，它的长度判断根据是：以chunk0来说，以chunk0的地址加上chunk0的长度是否等于chunk0name的地址来判断的，但是，有一个问题就是，chunk0和chunk0(name)其实不一定是相邻的

babyfengshui(xctf)

weixin_43868725的博客

08-21

260

0x0 程序保护和流程保护：流程： main() add_user() 连续分配了两个堆块，并将第一次分配的堆块的指针存入第二次分配的堆块的fd字段，bk字段开始存放name，之后调用了update_user() 输入完length之后要经过判断，需要第一次分配的堆块的数据段的地址加上输入的长度的值必须小于第二次分配的堆块的数据段的地址减4的值才能输入text。 delete_user() 根据索引分别释放两个堆块，再将指向第二次分配堆块的指针清零。 display_user() 根据索引输

babyfengshui__BUUCTF

09-29

658

其实这个题用了两天，第一天拿上题的时候比较浮躁，也没什么分析的效果，把题做出来了，写个文章大家分析交流我看网上大家都说这个题适合入门堆得看，其实我感觉要是没接触过堆得话，理解起来还是比较困难的，我会将自己做题的思路记录下来，让大家少踩点坑做题思路 1.查看安全机制/文件信息 2.分析IDA,梳理思路很重要 3.分析构造漏洞利用（其实自己都是一步步来的，毕竟还是个小白呢） 4.编写EXP文件安...

babyfengshui-堆溢出

playmaker的博客

07-31

284

babyfengshui-堆溢出题目是一个32位的选单式程序，大致功能和保护如下逐一分析各个功能，首先是Add_user部分 printf("size of description: "); __isoc99_scanf("%u%c", &v2, &v0); sub_8048816(v2); _DWORD *__cdecl sub_80...

[pwn]堆：堆风水与堆排布-babyfengshui

热门推荐

Breeze的博客

12-31

1万+

[pwn]堆：堆风水与堆排布-babyfengshui 所谓堆风水也叫作堆排布，其实说严格了并不是一种漏洞的利用方法，而是一种灵活布置堆块来控制堆布局的方法，在一些一些其他漏洞的利用中起到效果。通过一道经典的题目，由清华蓝莲花战队出的babyfengshui来看一下： babyfengshui 查看安全策略没开PIE，但值得一提的是这是一个32位的程序，32位的堆是4字节对齐的。查看程序逻辑 ...

pwn 堆溢出之泄露基址

qq_41071646的博客

04-25

3394

先声明一下本文的参考链接 https://blog.youkuaiyun.com/weixin_34050005/article/details/86881709?tdsourcetag=s_pctim_aiomsg 这篇博客写的非常好受教了本来其实我是看的另一道题但是那道题感觉并不是很适合我这种萌新然后我就看到了这道题就由于这个篇文章写的很清楚而且代码直接就可以拿到f...

babyfengshui 堆溢出的入门题

qq_41071646的博客

02-11

1802

本文参考资料 https://github.com/firmianay/CTF-All-In-One 感谢作者的无私奉献若是侵权请联系本人本人会修改或删除这道题其实我也是看这篇文章才撸会的怎么说呢这个题本来我也是有点迷糊的补了一些堆溢出的资料就懂了许多这里我是结合资料来写的本人也是一个菜虾要是哪里不对还请指教 ...

（攻防世界）（pwn）（RCTF2017）Recho

PLpa的博客

09-07

2395

0x00.前言又是一题栈溢出题，但是又有一点点不同。。。 0x01.程序逻辑程序保护：程序只开了NX保护，堆栈不可执行。进入IDA 程序让你先输入你将要输入的字符串长度，然后继续让你输入字符串。最后，程序会输出你输入的字符串。看起来，这很像一般的栈溢出，甚至我们可以通过程序的输出把一些敏感的地址给输出出来。更加让人欣喜的是，这个程序好像给了什么不得了的东西。 0x02.奇怪的东西...

pwn100 [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列16

重新启程

12-23

1432

题目地址：pwn100 本题已经是高手进阶区的第五题了，难度也在不断加大。需要补充的知识点也越来越多了。废话不说，看看题目没什么建议和描述，那就先下载附件，看看保护机制 root@mypwn:/ctf/work/python/pwn-100# checksec d0b5f9b486bb480c9035839ec896252e [*] '/ctf/work/python/pwn-10...

两道加载dll函数的题目 XCTF 3rd-ZCTF-2017 easy-reverse-200 湖湘杯 HighwayHash64

qq_41071646的博客

06-14

1362

哇我真的好菜啊最近心态爆炸了然后我这种密码学不好的人我本来想自己用C语言实现但是考试临近就没有办法了因为密码学不好的我导致我现在关于密码学的题就会有点不自信所以想等暑假实习回来就把网络编程然后因为某个ctf里面的 xtea 还有crc16 我没有看出来我想练一下xtea的题目然后，，，，就遇到了这个题先看一下 ida 里面的 xtea...

ISCC2018 Reverse & Pwn writeup

aoque9909的博客

05-29

755

Reference:L1B0 Re RSA256 春秋欢乐赛原题。。flag都不变的给了三个加密文件和公钥证书public.key，可以使用openssl进行处理 $openssl rsa -pubin -text -modulus -in ./public.key Public-Key: (256 bit) Modulus: 00:d9:9e:...

pwn_deploy_chroot后会有镜像吗

最新发布

10-02

<think>首先，用户的问题是基于之前的对话和系统指令。用户问：“我想了解pwn_deploy_chroot操作后是否会产生镜像”，并提供了参考引用。这些引用是关于Docker和pwn环境搭建的。关键点： - 用户的问题：pwn_deploy_chroot操作后是否会产生镜像？ - 参考引用： - [^1]: 提到查看生成的镜像，使用`sudo docker images`，显示了一个镜像。 - [^2]: 解释Docker run命令的参数。 - [^3]: 讨论pwn环境搭建，包括使用catflag程序。我需要回想pwn_deploy_chroot是什么。我知道pwn_deploy_chroot是一个工具或脚本用于部署pwn挑战在CTF（Capture The Flag）环境中，通常涉及到Docker和chroot jail来隔离环境。根据引用[^1]，它提到“部署到CTFd平台”并显示了`docker images`的输出，表明在部署过程中生成了镜像。引用[^3]讨论pwn环境搭建，提到在/bin目录使用自定义程序。所以，pwn_deploy_chroot操作很可能涉及到创建一个Docker镜像，因为部署pwn题目通常使用Docker容器来封装环境。用户的上一次问题和我的回答：回顾对话历史。用户的上一个问题似乎是关于pwn部署（从引用中推断），但在这个查询中，用户直接问了这个特定问题。系统指令： - 所有行内数学表达式用$...$。 - 独立公式用$$...$$并单独成段。 - LaTeX语法正确。 - 使用中文回答。 - 生成相关问题。 - 回答中引用的段落末尾自然地添加引用标识。最后，需要生成相关问题。回答结构： 1. 直接回答用户的问题。 2. 解释原因，基于引用和常识。 3. 自然地融入引用。 4. 结构清晰。 5. 结束时生成相关问题。步骤： - 确认问题：pwn_deploy_chroot操作后是否会产生镜像？ - 答案：是的，根据引用[^1]，部署过程中会生成Docker镜像。 - 引用[^1]显示`sudo docker images`的输出，证明有镜像创建。 - 引用[^2]和[^3]提供了背景，但直接相关的是[^1]。 - 在回答中，要用中文。回答大纲： 1. 开头直接回答：是的，pwn_deploy_chroot操作后会产生镜像。 2. 解释：操作可能包括构建Docker镜像来实现环境隔离。引用[^1]显示了查看生成的镜像的命令。 3. 引用：在解释时自然地添加引用。 4. 生成相关问题：在回答末尾添加。相关问题： - 类似示例中的快速排序问题。 - 例如： - 1. 如何创建pwn_deploy_chroot使用的镜像？ - 2. 优化pwn_deploy_chroot的部署过程？ - 3. pwn_deploy_chroot在CTF环境中的应用？确保回答真实可靠：基于提供的引用，我应该依赖它们。引用[^1]提到镜像，所以是正确的。最终回答： - 语言：中文。 - 格式：行内数学表达式用$...$（如果有），但这个主题可能不需要数学，除非有变量。 - 可能需要提到Docker命令，如`docker build`，但引用中没有明确说pwn_deploy_chroot使用Docker，但从上下文推断，是的。 - 引用[^1]说“部署到CTFd平台”，并显示了镜像，所以pwn_deploy_chroot可能是一个脚本或命令触发Docker镜像构建。 pwn_deploy_chroot：我回想，在CTF社区，pwn_deploy_chroot可能是用于部署pwn题目的工具，涉及创建chroot环境，但常与Docker结合。引用[^3]提到“pwn线上环境搭建”和“利用自己编写的静态编译的catflag程序”，这可能与chroot相关。但引用[^1]直接提到镜像，所以它很可能产生镜像。 </think>### pwn_deploy_chroot操作后是否会产生镜像是的，基于pwn_deploy_chroot的操作流程，它在部署过程中通常会生成Docker镜像。具体来说，pwn_deploy_chroot是一个常用于CTF（Capture The Flag）环境的工具或脚本，用于部署pwn挑战题目。其核心机制涉及创建隔离的执行环境，通常通过Docker容器来实现安全性和可重现性。在操作完成后，系统会构建并保留一个Docker镜像，用于后续启动容器实例[^1]。例如，在引用[^1]中提到，部署到CTFd平台后，可以通过 `$ sudo docker images` 命令查看生成的镜像。这包括镜像的REPOSITORY、TAG、IMAGE ID、创建时间和大小等信息，如： ``` REPOSITORY TAG IMAGE ID CREATED SIZE mm1 latest 5a10fb53596b 30 seconds ago 378MB ``` 这表明pwn_deploy_chroot操作（或相关部署脚本）在运行时触发了Docker镜像的构建过程。镜像的生成是为了封装题目环境，包括二进制文件、依赖库和自定义脚本（如引用[^3]中提到的 `/bin/sh` 替换为静态编译的catflag程序），确保挑战的隔离性和一致性[^1][^3]。在底层，pwn_deploy_chroot可能结合了chroot jail和Docker技术：chroot用于文件系统隔离，而Docker提供更完整的容器化方案。部署时，它会调用类似 `docker build` 的命令来创建镜像，然后使用 `docker run` 启动容器（如引用[^2]所述，参数如 `-p` 用于端口映射或 `-v` 用于存储卷挂载）。如果镜像已存在，操作可能直接复用；否则会重新构建[^2]。总结： - **会产生镜像**：操作后，Docker镜像会被创建并存储在本地仓库中，便于管理和部署。 - **原因**：镜像确保了题目环境的可移植性和安全性，减少外部干扰，符合CTF部署的最佳实践。如果您在部署过程中未看到镜像生成，建议检查脚本日志或Docker守护进程状态，确保build步骤未被跳过。