pwnable.kr [Toddler's Bottle] - codemap

写在最前:

想要成为安全大牛的愿望还是这么遥不可及。
渐渐地,没有什么忧虑的大学生活也好像开始有了一些属于小人物的忐忑。
还是坚信自己很厉害,可是道路前方仍是一片迷蒙。

感谢帮助过我的前辈,以及让我可以暂时不考虑经济压力的父母。


I have a binary that has a lot information inside heap.
How fast can you reverse-engineer this?
(hint: see the information inside EAX,EBX when 0x403E65 is executed)

download: http://pwnable.kr/bin/codemap.exe

ssh codemap@pwnable.kr -p2222 (pw:guest)

题目大意是逆向分析这个 PE 文件,并在服务主机上提交 2 个有关这个文件的问题的答案。

  1. What is the string inside 2nd biggest chunk? :
  2. What is the string inside 3rd biggest chunk? :

全部答对即可得到 Flag。

在做逆向分析之前,先跑一下程序猜测一下流程。

执行程序后,会给出提示,大意为程序会分配1000个大小随机堆块,每个堆块中保存有一个随机的字符串。其中最大的堆块大小为 99879 byte,其中包含的字符串为 X12nM7yCJcu0x5u。

多次执行程序,提示的最大堆块大小和其中的字符串不变。按照获取Flag的要求,猜测这里的随机的意思应该是指定大小的堆快在空间分配上的随机,固定大小序列的堆块中保存的字符串应是固定的或者遵循某种固定的构造算法。

下面开始分析(无壳无加密无VM)
在提示中让我们去查看 0x403E65 处指令执行后 EAX , EBX 的情况,
根据物理机实际的不同,笔者的提示指令位于0x0E3E65处。


可以看到,此处EAX保存着当前次循环分配的堆块大小,EBX保存着堆块的地址。
继续执行,将栈中保存的循环次数传到EAX,自增1后传回栈中保存,同时验证这个值。


问题所需的是第二和第三大堆块中保存的字符串内容,由于分配了1000次,不可能由观察得到。这里借助IDA动态调试结合脚本IDC去比较每次堆分配执行后EAX的值来指向目标堆块。
脚本如下:

#include <idc.idc>  
  
static main(){  
  
    auto max_eax, max_ebx, second_eax, second_ebx, third_eax, third_ebx;  
    auto eax, ebx;  
  
    // 依次为前三大堆块分配完成时的eax和ebx值
    max_eax = 0;  
    second_eax = 0;  
    third_eax = 0;  
    max_ebx = 0;  
    second_ebx = 0;  
    third_ebx = 0;  
  
    AddBpt(0x083E65);      // 在提示位置添加断点,在IDA中该地址为0x83E65
    StartDebugger("","","");  
    auto count;  
    for(count = 0; count < 999; count ++){  
        auto code = GetDebuggerEvent(WFNE_SUSP|WFNE_CONT, -1);  
        eax = GetRegValue("EAX");     // 中断时得到所需的值
        ebx = GetRegValue("EBX");  
      
        // 判断是否应刷新前三大堆块的值
        if(max_eax < eax){  
            third_eax = second_eax;  
            third_ebx = second_ebx;  
            second_eax = max_eax;  
            second_ebx = max_ebx;  
            max_eax = eax;  
            max_ebx = ebx;  
        }else if(second_eax < eax){  
            third_eax = second_eax;  
            third_ebx = second_ebx;  
            second_eax = eax;  
            second_ebx = ebx;  
        }else if(third_eax < eax){  
            third_eax = eax;  
            third_ebx = ebx;  
        }  
    }  
    // 输出
    Message("max eax: %d, ebx: %x, second eax: %d, ebx: %x, third eax: %d, ebx: %x\n", max_eax, max_ebx, second_eax, second_ebx, third_eax, third_ebx);  
}  

循环999而不是1000次是为了避免程序结束,堆空间被释放。
在IDA Script Commend中输入脚本并保存为.idc格式,在Debugger选项中配置好动态调试器。跑Script File即可。


最后根据跑出的结果到对应的堆块位置找到字符串。

codemap@ubuntu:~$ nc 0 9021
What is the string inside 2nd biggest chunk? :
roKBkoIZGMUKrMb
Wait for 10 seconds to prevent brute-forcing...
What is the string inside 3rd biggest chunk? :
2ckbnDUabcsMA2s
Wait for 10 seconds to prevent brute-forcing...
Congratz! flag : select_eax_from_trace_order_by_eax_desc_limit_20

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 213,558评论 6 492
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,002评论 3 387
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 159,036评论 0 349
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,024评论 1 285
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,144评论 6 385
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,255评论 1 292
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,295评论 3 412
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,068评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,478评论 1 305
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,789评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,965评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,649评论 4 336
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,267评论 3 318
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,982评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,223评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,800评论 2 365
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,847评论 2 351

推荐阅读更多精彩内容

  • 一、温故而知新 1. 内存不够怎么办 内存简单分配策略的问题地址空间不隔离内存使用效率低程序运行的地址不确定 关于...
    SeanCST阅读 7,790评论 0 27
  • 史上最全的iOS面试题及答案 迷途的羔羊--专为路痴量身打造的品牌。史上最精准的定位。想迷路都难!闪电更新中......
    南虞阅读 1,501评论 0 8
  • 本文首发于我的博客 Bomb Lab 实验代码见GitHub 简介 BombLab是CS:APP中对应第三章内容:...
    viseator阅读 14,259评论 0 14
  • 虽然这本书读的不是太懂,但还是学到了一些东西。我们遇到事情应该多问几个为什么,不要轻易相信,防止掉入“陷阱”中...
    太阳_5d4f阅读 240评论 0 0
  • 来了义乌本来是想当旅游,好好感受一下它的魅力的,没想到却被困在厂里做苦工……终于等来了周日,(可以提早下班的一天)...
    直子的直阅读 224评论 0 0