pwn学习——UseAfterFree hacknote

最新推荐文章于 2024-11-19 20:08:39 发布
原创 最新推荐文章于 2024-11-19 20:08:39 发布 · 365 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #pwn #linux

这篇博客介绍了关于pwn技术中的UseAfterFree漏洞利用。通过反编译代码,作者展示了如何利用添加、删除和打印笔记功能来构造特定的内存布局。在删除笔记后不置NULL,导致UseAfterFree情况,然后通过重新分配内存块并覆盖特定指针,最终使得程序调用预设的函数地址,从而获取权限。提供的exploit代码详细说明了整个过程。

pwn学习——UseAfterFree hacknote

1. 反编译看一下源代码

在这里插入图片描述
可以看到大概有四个功能
add
del
print
menu
另外还有后门函数magic
在这里插入图片描述

2.add_note

在这里插入图片描述
可以看到在添加note的时候,每一个note有两个部分
第一个部份是一个put函数
第二个部分存放的是real_content
在这里插入图片描述
一个note节点内部结构是这样的

3.print_note

在这里插入图片描述
调用put函数进行输出

4.del_note

delete_note 会根据给定的索引来释放对应的 note。但是值得注意的是,在 删除的时候,只是单纯进行了 free,而没有设置为 NULL,那么显然,这里是存在 Use After Free 的情况的。
在这里插入图片描述
free之后没有置NULL

5.exp

显然 note 是一个 fastbin chunk(大小为 16 字节)。我们的目的是希望一个 note 的 put 字段为 magic 的函数地址,那么我们必须想办法让某个 note 的 put 指针被覆盖为 magic 地址。由于程序中只有唯一的地方对 put 进行赋值。所以我们必须利用写 real content 的时候来进行覆盖。具体采用的思路如下

  • 申请 note0,real content size 为 16(大小与 note 大小所在的 bin 不一样即可)
  • 申请 note1,real content size 为 16(大小与 note 大小所在的 bin 不一样即可)
  • 释放 note0
  • 释放
最低0.47元/天 解锁文章
(攻防世界)(pwnhacknote
PLpa的博客
07-31 3635
use after free 堆!堆!堆! 终于对堆的结构有了一定的了解,开始做堆的题目,恰巧攻防世界xctf中有这么一题可以练练手,还是挺不错的。。。 对于use after free呢,这里有ctf-wiki的学习资料:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/use_after_free-zh/ 写的非常详细,很实用...
攻防世界-PWN进阶区-hacknote(pwnable.tw)
weixin_44145820的博客
03-04 758
攻防世界中这道题是pwnable.tw上面的原题,虽然在攻防世界上难度为7星,不过实际上这题不算难,只需要利用UAF就可以完成。 题目分析 题目链接:https://pan.baidu.com/s/1T-mIVLkxvyZ_7VvlBuInZQ 提取码:azyd checksec: 保护机制比前几题弱了很多 main: hacknote实现了三个功能: 1.添加(上限为5) 在新建no...
UAF (Use After Free)漏洞分析及利用
热门推荐
4ct10n
06-23 3万+
因为大作业的需求要调试一个浏览器的UAF漏洞,首先必须对UAF漏洞有个整体的了解,本篇文章主要讲解UAF造成的原因以及利用方法,这里结合2016年HCTF fheap
use after free HITCON-training (lab 10 hacknote)
九层台
08-06 938
liu@liu-F117-F:~/1t/u18/文档/堆溢出学习/use after free$ checksec hacknote [*] '/home/liu/1t/u18/\xe6\x96\x87\xe6\xa1\xa3/\xe5\xa0\x86\xe6\xba\xa2\xe5\x87\xba\xe5\xad\xa6\xe4\xb9\xa0/use after free/hacknote' ...
pwn 堆入门之use after free
清霂的博客
04-11 242
目录hacknote hacknote #!/usr/bin/env python2 from pwn import * arch = "i386" filename = "hacknote" context(os="linux", arch=arch, log_level="debug") content = 0 offset = 0 # elf elf = ELF(filename) # libc def add(i,size,content): io.sendline('1')
[BUUCTF]PWN——pwnable_hacknote
mcmuyanga的博客
01-13 1683
pwnable_hacknote 附件 步骤: 例行检查,32位程序,开启了nx和canary保护 本地试运行看一下大概的情况,熟悉的堆的菜单 32位ida载入 add() gdb看一下堆块的布局更方便理解 delete() show() 利用思路:使用uaf泄露libc,计算system,执行system(‘/bin/sh’)获取shell 泄露libc print_note的打印功能可以帮助泄露地址。 先add chunk0,add chunk1,大小都为0x80。 add(0x
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
pwn学习资料整理——ROP技术(pwn_rop2)
08-30
pwn学习资料整理——ROP技术(pwn_rop2)
pwn入门——4.栈&栈帧
weixin_62626298的博客
07-29 903
栈是一种典型的后进先出 (Last in First Out) 的数据结构,其操作主要有压栈 (push) 与出栈 (pop) 两种操作,如下图所示。两种操作都操作栈顶,当然,它也有栈底。
[pwn]堆:Use After Free
Breeze的博客
09-06 8738
Use After Free:time_formatter writeup UAF漏洞就是Use After Free,再释放后继续使用,Use After Free会引发各种奇怪的现象,根据场景的不同并没有一种统一的利用方式。下面看题目:time_formatter 日常惯例,先查看安全策略: 开启了canary、NX、ASLR,然后查看一下程序逻辑: 很常见的堆菜单,下面查看一下各种功能:...
hacknote.zip
12-30
本题目是攻防世界一道6分的堆漏洞题目,在ctf wiki上面有比较详细的解析和漏洞利用,几乎一模一样,但区别是这道题没有后门函数,所以漏洞利用的方式发生了变化,推荐大家动手分析。
pwn学习-UAF-hacknote
Sa1nZen的博客
06-16 600
pwn学习-UAF-hacknote
pwnuse_after_free
Maxmalloc的博客
12-08 623
题目链接 先贴出源代码 add_note notelist[i] = malloc(8u); ... *(_DWORD *)notelist[i] = print_note_content; printf("Note size :"); read(0, &buf, 8u); size = atoi(&am...
CTF-PWN-堆-【use after free-2】
llovewuzhengzi的博客
12-20 1105
再看实际的buf的有多少,如果大于15就用malloc分配实际长度的堆,其指针为dest,然后将buf的内容复制进去,同时更新ptr里的内容,前八个字节为dest的值然后初始地址过24个字节开始被赋值函数的地址,此时对应的函数free两次,先free存储内容的指针,再free原ptr指针。如果小于15,就直接将buf的内容赋值到ptr的开始部分,然后初始地址过24个字节开始被赋值函数的地址,此时对应的函数free一次。同样,AH是ax的高8位,而AL是ax的低8位,这就是说ah为33h,al为44h。
pwn hacknote学习(UAF漏洞利用)
fanghuapyk的博客
12-01 3604
hacknote: uaf漏洞通常就是内存块被释放后,其对应的指针没有被置为NULL,然后在下一次使用前,有相应的代码对这块内存进行了修改,当程序再次使用相同的内存空间的时候,我们就能覆盖原来的地址,从而返回我们想要执行的函数的地址。 我们通常称释放后没有被置为NULL 指针为dangling pointer。 这里贴出源码: #include <stdio.h> #include &...
[XCTF-pwn] 28_hacknote
weixin_52640415的博客
03-09 351
UAF漏洞,有函数指针,覆盖函数指针。 有add,show,free三个函数,有管理块8字节存puts用函数和数据块指针,free未清理指针有UAF,show直接调用管理块函数指针 unsigned int m1add() { int v0; // ebx int i; // [esp+Ch] [ebp-1Ch] int size; // [esp+10h] [ebp-18h] char buf[8]; // [esp+14h] [ebp-14h] BYREF unsigned i
PWN -UAF(Use After Free)漏洞解析
最新发布
m0_57836225的博客
11-19 1992
PWN 技术的持续学习旅程中,第 19 节聚焦于 UAF(Use After Free)这一关键概念。UAF 漏洞在安全领域,尤其是堆内存相关的攻防中占据重要地位。
hacknote
m0_48127441的博客
04-23 210
0x0804A050 指针数组 32位 1.alloc malloc(0x8) == >chunk(0x10) struct note {函数地址,内容指针} malloc(size) 2.del free(note.内容指针) free(note) 3.print s[idx](s[idx]) 4.exit free(fas...
[BUUCTF]-PWN:pwnable_hacknote解析
2301_79326813的博客
01-29 523
先看保护32位,没开pie,got表可修改看ida总的来说就是alloc创建堆块,free释放堆块,show打印堆块内容但alloc处的函数比较特别,他会先申请一个0x8大小的堆来存放与puts相关的指针。
pwn hacknote
05-21
HackNote 是一道非常经典的 pwn 题目,其难度较为适中,适合初学者进行练习。其主要思路是通过堆溢出来实现 getshell。具体来说,HackNote 程序是一个笔记本程序,能够添加、查看和删除笔记,其中笔记的信息都是存储...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

==Microsoft==

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值