BUUCTF-PWN-hitcontraining_uaf

最新推荐文章于 2024-04-03 15:52:32 发布
原创 最新推荐文章于 2024-04-03 15:52:32 发布 · 847 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #运维 #服务器

文章详细分析了一个32位的堆栈溢出题目,只开启了一项保护,描述了如何通过IDA分析找到bin/sh字符串,并利用0x8048945地址实现shellcode执行。程序中存在使用free后未置NULL的问题,导致了Use-After-Free漏洞。通过编写EXP来释放堆块并重新利用,最终触发shell。

1.checksec

32位的堆题,只开了一个保护,应该很简单,不会很难 

2.IDA

还给了bin/sh字符串,直接返回到0x8048945利用就行

add()函数

int add_note()
{
  int result; // eax
  int v1; // esi
  char buf[8]; // [esp+0h] [ebp-18h] BYREF
  size_t size; // [esp+8h] [ebp-10h]
  int i; // [esp+Ch] [ebp-Ch]

  result = count;
  if ( count > 5 )
    return puts("Full");
  for ( i = 0; i <= 4; ++i )
  {
    result = *((_DWORD *)&notelist + i);
    if ( !result )
    {
      *((_DWORD *)&notelist + i) = malloc(8u);
      if ( !*((_DWORD *)&notelist + i) )
      {
        puts("Alloca Error");
        exit(-1);
      }
      **((_DWORD **)&notelist + i) = print_note_content;
      printf("Note si
最低0.47元/天 解锁文章
buuctf hitcontraining_uaf
cainiao78777的博客
04-12 388
会把指针堆块1重新分配给我们,context堆块会把指针堆块0分配给我们(因为我们申请一个堆块实际上是申请两个堆块(一个指针堆块,一个context堆块))程序是先申请一个指针堆块,这个指针堆块的大小为8字节,前四字节存储的是puts函数的指针,后四字节存储的是要申请的堆块内容指针就是相当于这样。3.打印堆块内容,这段代码会把指针堆块的第一个指针来执行函数,如果把第一个指针修改为后门函数指针,就能getshell。2.释放堆块,这个操作,在释放堆块之后,并未把指针置零,所以存在uaf漏洞。
BUUCTF-pwn-hitcontraining_uaf(UAF)
半岛铁盒的博客
06-05 426
这道题可以用来当做堆的入门题来做 开了NX 这是堆的菜单;
CTF下加载CTFtraining题库以管理员身份导入 [HCTF 2018]WarmUp,之后以参赛者身份完成解题全过程
caoyongsheng的博客
04-03 2151
------------------导入CTFtraining题库--------------------------------------------------------------做题------------------------------/../../../../ffffllllaaaagggg。-------------------搭建CTFd------------------------------github地址:https://github.com/CTFd/CTFd。
CTF--Training-WWW-Robots
qq_40730029的博客
04-20 610
CTF之攻防世界高手进阶题 Training-WWW-Robotsb 题目: 进入场景之后显示如下,由题可知考察的是robots协议 在地址栏加上/robots.txt网页跳转,我们可以看到网页中显示/f10.php不允许显示 同样在地址栏将php网页加上,flag就出现了 ...
CTF training WriteUp
a370793934的专栏
11-26 1万+
三周练习和三周考试的writeup 第一周练习 跨站脚本攻击 (XSS) 随便输下面语句 <SCRIPT>alert('XSS')</SCRIPT> <IMG SRC="#" ONERROR="alert('XSS')"/> <INPUT TYPE="BUTTON" ONCLICK="alert('XSS')"/> <IFRAME...
基于CTFTraining在CTFd部署Web题目
Welcome To Myon'Blog !
07-08 3665
基于CTFTraining在CTFd部署Web题目 docker的使用,靶场搭建
BUUCTF--hitcontraining_heapcreator1
qq_30528603的博客
01-05 618
此时往chunk3这个用户堆写数据,将会写入free_got表里,这样我们可以将伪造的system的地址写入free_got表,一旦调用free,将会去执行system。2.接着修改chunk0的内容填入bin/sh作为后续system的参数,利用off-by-one并修改下一个索引chunk的大小为0x81(覆盖的是chunk1的索引堆)。这句其实可以这样解读read(0,对应索引堆里的那个堆地址,Size),现在他将变成这样read(0,&free_got,Size)。以此来达到我们的目的。
[BUUCTF]PWN——hitcontraining_uaf
mcmuyanga的博客
09-07 2260
[BUUCTF]——hitcontraining_uaf 附件 步骤: 例行检查,32位,开启了nx保护 试运行一下程序,非常常见的创建堆块的菜单 32位ida载入分析,shift+f12查看程序里的字符串,发现了/bin/sh,ctrl+x,跟进找到了后面函数,shell_addr=0x8048945 堆的main函数很简单,逻辑很简单,也没什么好说的,直接看菜单的各个选项 add ...
BUUCTF-pwn刷题记录(22-7-30更新)
Morphy_Amo的博客
03-04 4516
BUUCTF刷题记录
CTF Training-WWW-Robots
热门推荐
艺博东的博客
09-25 1万+
题目场景: http://220.249.52.133:31059 (温馨提示:每次进入URL的端口号都不一样) 1、点击链接进入以下界面 2、翻译 看到上面的信息,会想到君子协议 robots.txt; 3、URL为http://220.249.52.133:31059/robots.txt(在最后直接加上“/robots.txt”)—>回车 4、这是URL为http://220.249.52.133:31059/fl0g.php—>回车 5、OK cyberpeace{c598a5
CTFTraining.zip
05-31
该资源包含了CTFTraining中大量的CTF题目,需要Docker即可加载,快速构建CTF个人靶场,开始愉快的CTF受虐吧。。。。
ctf-training:这包含在 CTF 培训会议中使用的课程计划、练习、工具、脚本、链接等
07-23
CSA 每周 CTF 培训 这个 GitHub 存储库用于存储我们每周 CTF 培训会议的先前和当前课程。 每个文件夹都包含该周课程的文件、脚本、链接等。 我们提供了此资源,以便新成员可以查看旧课程,并且可以在实际培训时间后查看课程。 会议于每周三晚上 7:00 - 晚上 8:00 MST 举行,目前通过 Zoom 举行。 2021 年秋季开始后,我们将尝试亲自举行。 Zoom 通话的链接如下。 如果您有想要学习的技能或想要分享的资源,请在 Slack 工作区中告诉我们,我们会添加它! 初学者 CTF 新手? 不确定如何开始? 我们为初学者提供了一份详细说明如何入门的文档,然后您可以完成每周的课程! 只需转到即可开始! 每月 CTF 比赛 这些每周培训会议的目的是为我们将参加的每月 CTF(夺旗)比赛做准备。下面提供了一个指向 Google 表格的链接,用于注册这些每月比赛。 团队通常
CTFTraining+CTFd环境搭建centos7
zji
03-20 974
CTFTraining环境搭建 大部分是看教程来的,入了很多坑,总结可行的方法。 文章目录CTFTraining环境搭建一、环境准备二、使用教程 一、环境准备 1.安装系统:centos7 2.环境:装python3 参考:https://www.jianshu.com/p/e191f9dc1186 3.需要装:Docker 参考:https://www.jianshu.com/p/791740ca7d7a 4.安装:docker-compose (这个需要安装python3 pip)
BUUCTF hitcontraining_uaf
BengDouLove的博客
04-09 1047
这是我第一次自己做出来的堆题,,????动 没什么特别,,看一看代码 还是一个堆块管理系统,不过这次他管理的时候有些不一样 1.add 不一样就在这里,,如果要创建一个用户数据,,先malloc一个八字节的指针堆块(我这么叫。。里面放着指针),,这八字节,前四个字节是一个pirnt_note_content函数,,这个函数的作用是以他后面相邻四个字节的数据为指针,打印这个指针里面的内容;;;申请...
[BUUCTF]PWN——starctf_2019_babyshell(有限制的shellcode)
mcmuyanga的博客
03-23 1261
starctf_2019_babyshell 例行检查,64位程序,开启了nx main函数,往buf里写入shellcode,然后程序会执行shellcod sub_400786(),这个函数会对我们输入的shellcode进行检查 检查的时候*i即可退出,可以使用\x00来绕过。 ...
[BUUCTF]PWN——mrctf2020_shellcode
mcmuyanga的博客
01-08 1838
mrctf2020_shellcode 附件 步骤: 例行检查,64位程序,开启了relro和pie,没有nx,肯定是用shellcode最方便了 本地试运行一下,看看大概的情况 64位ida载入,根据运行时看到的字符串,迅速定位到关键程序,但是没法f5成伪代码,直接看汇编 栈大小是0x410,读入了0x400,无法造成溢出覆盖返回地址 不过好像这边分析了用处也不大,直接利用pwntools生成shellcode发送即可 shellcode=asm(shellcraft.sh()) exp fr
buuctf pwn解题2
2301_80477504的博客
02-05 1454
原理顾名思义,ret to syscall,就是调用系统函数以达到getshell的目的在计算中,系统调用是一种编程方式,计算机程序从该程序中向执行其的操作系统内核请求服务。这可能包括与硬件相关的服务(例如,访问硬盘驱动器),创建和执行新进程以及与诸如进程调度之类的集成内核服务进行通信。系统调用提供了进程与操作系统之间的基本接口。至于系统调用在其中充当什么角色,稍后再看,现在我们要做的是:让程序调用execve(“/bin/sh”,NULL,NULL)函数即可拿到shell。
buuctf wustctf2020_getshell_2 ret2shellcode
weixin_45441024的博客
12-01 784
BUUCTF wustctf2020_getshell_2 check一下,32位的程序且没有开任何保护 用ida打开,vuln很明显这是一个漏洞函数,f5查看一下伪代码,可以看到buf距离栈底0x18个字节 这是shell函数的伪代码,我们可以看到虽然这个并不是我们想要的shell(不是/bin/sh),但是程序里面有sh的字符串可以供我们利用,那我们现在就查找一下"sh"所在的位置 $ ROPgadget --binary '/home/pwn/Desktop/wustctf2020_getshe
[BUUCTF-pwn]——mrctf2020_shellcode_revenge(可见字符shellcode)(内涵peak小知识)
Y_peak的博客
03-29 1515
[BUUCTF-pwn]——mrctf2020_shellcode_revenge(可见字符shellcode) 检查了下保护发现NX 没有开,肯定要自己写shellcode呀。 不过这道题,刷新了我的认知。众所周知,手写的shellcode里面肯定有很多不可见字符。第一次碰到可见的shellcode。 看下IDA, 不能反汇编不过问题不大,没事. 个人建议,看汇编的时候,建议看流程图,更加直观 将shellcode写入,那个buf 不过下面肯定大于0呀.rbp + var_8是我们输入字符串的长度.发生转
buuctf-pwn入门
最新发布
01-26
### BUUCTF PWN 类题目入门教程 #### 学习资源推荐 对于希望进入PWN挑战领域的新手来说,选择合适的教材和平台至关重要。王爽老师的《汇编语言》提供了基础理论支持,有助于理解底层操作原理[^1]。此外,《IDA Pro...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值