(攻防世界)(pwn)babyfengshui

最新推荐文章于 2025-07-26 23:31:27 发布
原创 最新推荐文章于 2025-07-26 23:31:27 发布 · 1.3k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#堆溢出

入门级的堆题,拿来学习还是不错的。

做这道题之前,最好还是先对堆的数据结构有一定的了解。
拿到题目,下载附件,查看保护。
在这里插入图片描述
一个32位的程序,开了NX和Canary保护,这都不是重头戏毕竟这题不用栈,栈保护只是锦上添花罢了。
把文件拖进IDA查看逻辑:
在这里插入图片描述

可以看到,典型的菜单题,这很pwn,实现了增删改查四个功能,像极了C语言程序设计的期末结业程序设计题哈哈哈,暴露年龄。
进入增加用户功能:
在这里插入图片描述

可以看到,程序先malloc一个块用于保存数据,再malloc一个块作为结构体,用于保存name和description,name为124,也就是0x7c,注意他们都是指针哦。
在这里插入图片描述
这里有个保护就是v3+*ptr[a1]<=*ptr[a1]-4才行
意思就是你写入的数据不能把后面的结构体给覆盖了,但是这却没有考虑堆申请的规则。

题目思路:

我们首先申请两个堆,然后释放掉一个,在申请一个大的,根据堆的数据结构申请规则,就会产生绕过保护的现象,如下图:

最低0.47元/天 解锁文章

新学期VIP享超值加赠
PLpa、
关注
pwn】 33c32016_babyfengshui
Nothing
12-13 305
例行检查 分析程序,注意到在输入内容的时候,输入限制是这样的。 if ( (char *)(v3 + *(_DWORD *)*(&ptr + a1)) >= (char *)*(&ptr + a1) - 4 ) { puts("my l33t defenses cannot be fooled, cya!"); exit(1); ...
PWN篇:攻防世界PWN-100
weixin_44644249的博客
02-04 591
攻防世界进阶PWN-100 做这道题的时候远程环境可能有点问题,链接上收不到字符,在本地跑exp是可以拿到shell的。之前以为写错了,买了wp试也不行,重开环境还是不行,先记录一下,以后能连上了再提交flag。 查看保护 IDA分析 主函数 sub_40068e sub_40063d 思路分析 sub_40063d接收两个参数(IDA解析这里有点问题,可以查看汇编代码分析),a2=200,a1=&v1[64] 当 i 小于200,read输入到v1,这个就是溢出点,当 i >=
攻防世界PWNBabyfengshui题解
seaaseesa的博客
11-06 1129
本题,首先,为了方便调试,我们需要解决alarm clock问题 程序运行几十秒后就会自动退出,所以,为了方便调试,我们需要先修改一下这个二进制 我们用十六进制编辑器把这几个指令nop(0x90)掉即可 然后,我们就开始做题了 查看创建功能的函数 这里创建了两个堆,第一个堆用来存储description,第二个堆用来存储第一个堆的指针以及name字符串 其数据...
AWD的攻击和防御手段
最新发布
2403_90011488的博客
07-26 1073
AWD(Attack With Defence)是 CTF 线下赛中最接近真实攻防场景、观赏性和对抗性最强的赛制之一。
攻防世界 pwn进阶区----No.012 babyfengshui 解题思路
qq_29185043的博客
10-25 424
攻防世界 pwn进阶区----No.012 babyfengshui 解题思路 1.本题解题思路 1.先期工作 1.运行程序查看基本逻辑 创建用户 展示用户 更新用户 删除用户 到这里就可以猜测这题有可能堆上的题,重点查看删除堆的指针情况,以及堆溢出的情况。 2.运用checksec查看程序的保护措施 没有开启地址随...
攻防世界babyfengshui解题思路
aptx4869_li的博客
02-02 334
解题思路 基本信息查询 healer@healer:~/Documents/CTF/PWN/babyfengshui$ readelf -h babyfengshui ELF Header: Magic: 7f 45 4c 46 01 01 01 00 00 00 00 00 00 00 00 00 Class: ELF32 Data: 2's complement, litt
babyfengshui [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列23
重新启程
12-26 929
题目地址:babyfengshui 这个题目是高手进阶区的第12题。本题的主要考点是堆溢出,现在ctf主要的考点都已经转移到了堆溢出了,这个题目作为堆溢出的基础题目,还是很容易入门的。 先看看题目 惯例检查一下保护机制: [*] '/ctf/work/python/babyfengshui/babyfengshui' Arch: i386-32-little RE...
攻防世界pwn题:forgot.doc
07-13
攻击防御世界pwn题:forgot.doc 本文档是关于攻击防御世界pwn题的Forgot.doc,涉及到有限状态自动机、正则表达式、电子邮件地址验证、Lua、IDA静态分析、canary和PIE保护机制、scanf函数溢出漏洞、栈溢出攻击、...
攻防世界pwn题:Recho.doc
07-13
攻防世界pwn题:Recho.doc 知识点总结 本文总结了攻防世界pwn题:Recho.doc的知识点,涵盖了二进制文件分析、栈溢出、ROP技术、libc泄露、系统调用等多个方面。 1. 二进制文件分析 攻防世界pwn题:Recho.doc是一...
攻防世界pwn-level0详细步骤
m0_74047686的博客
02-28 1601
学习pwn开始,慢慢来不要急
攻防世界 pwn babyheap writeup
liucc09的博客
01-19 711
分析 这题题目中显示是Wellcome To the 2.27 Heap World,而且只能申请7个chunk,理论上应该是一道libc2.27 tcache的题,但因为在交互过程中触发了fastbin的double free错误,所以攻防世界上应该是把这题部署在了libc2.23的环境中,但无所谓,下面libc2.27和libc2.23的解法都会给出。 libc2.27解法 首先我们要泄漏libc的地址,tcache肯定是无法泄漏libc的,因此我们考虑使用unsorted bin来泄漏,这题有off
babyfengshui__BUUCTF
Jc
09-29 639
其实这个题用了两天,第一天拿上题的时候比较浮躁,也没什么分析的效果,把题做出来了,写个文章大家分析交流 我看网上大家都说这个题适合入门堆得看,其实我感觉要是没接触过堆得话,理解起来还是比较困难的,我会将自己做题的思路记录下来,让大家少踩点坑 做题思路 1.查看安全机制/文件信息 2.分析IDA,梳理思路很重要 3.分析构造漏洞利用(其实自己都是一步步来的,毕竟还是个小白呢) 4.编写EXP文件 安...
babyfengshui(xctf)
weixin_43868725的博客
08-21 249
0x0 程序保护和流程 保护: 流程: main() add_user() 连续分配了两个堆块,并将第一次分配的堆块的指针存入第二次分配的堆块的fd字段,bk字段开始存放name,之后调用了update_user() 输入完length之后要经过判断,需要第一次分配的堆块的数据段的地址加上输入的长度的值必须小于第二次分配的堆块的数据段的地址减4的值才能输入text。 delete_user() 根据索引分别释放两个堆块,再将指向第二次分配堆块的指针清零。 display_user() 根据索引输
babyfengshui_33c3_2016[堆溢出]
、moddemod
06-26 393
未来的你 = 你的热情 + 你的努力 + 那么微不足道的天赋 其实做pwn题我感觉都是只可意会,但并非不可言传,只是说了感觉和说废话一样,没有什么实质性的作用,最最重要的是要自己多去操作调试,pwn多了也就那样吧!但是最核心的永远是你coding的能力!虽然在干着逆向的事,但是coding的能力决定了你的高度! ----小白感悟 这道题问题出现在更新的时候边界的判断方法有问题,结合的堆的机制,就可以形成堆溢出! 添加一个用户会申请两个chunk,后一个chunk的内容为.
[XCTF-pwn] 27_babyfengshui
weixin_52640415的博客
03-09 401
输入长度判断错误。可写溢出。 数据结构: 管理块0x80: char *data_ptr; name[0x7c] 先写数据块再写管理块 unsigned int __cdecl read_text(unsigned __int8 a1) { char v2; // [esp+17h] [ebp-11h] BYREF int v3; // [esp+18h] [ebp-10h] BYREF unsigned int v4; // [esp+1Ch] [e...
【buu】babyfengshui_33c3_2016(详细题解)
qq_62068476的博客
03-15 529
buu日常一题
babyfengshui_33c3_2016题解
coco的博客
12-09 966
这道题还是比较基础的堆题,泄漏libc和get shell都比较基础。需要注意的是以下几点: 输入长度限制的绕过方法值得学习一下。 泄漏libc时将free got表中写入puts.plt是不可行的,因为这道题的输入结束时候会带上\x00,这样就会破坏free got表的下一项fgets got,导致程序运行失败。 我最后本机上运行成功,但是远程打不通,后来经过发现是因为libc的版本不一样,导...
babyfengshui_33c3_2016
m0sway的博客
12-28 1491
babyfengshui_33c3_2016 使用checksec查看: 开启了Canary和栈不可执行,看题目像是一道heap题目。 放进IDA中查看: void __cdecl __noreturn main() { char v0; // [esp+3h] [ebp-15h] int v1; // [esp+4h] [ebp-14h] size_t v2; // [esp+8h] [ebp-10h] unsigned int v3; // [esp+Ch] [ebp-Ch] v
攻防世界pwn pwn-100
01-18
### 关于攻防世界PWN-100题目的解答 #### 解决方案概述 对于攻防世界PWN-100题目,通常涉及的是基础的缓冲区溢出攻击。这类题目旨在测试参赛者对Linux防护机制的理解程度以及绕过这些保护措施的能力。常见的技术...
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值