UAF 实例-RHme3 CTF 的一道题

最新推荐文章于 2024-03-08 21:05:14 发布
最新推荐文章于 2024-03-08 21:05:14 发布
阅读量161 收藏
点赞数
分类专栏: 信安之路 文章标签: web安全
原文链接:https://mp.weixin.qq.com/s?__biz=MzI5MDQ2NjExOQ==&mid=2247485900&idx=1&sn=9eef3599fd7b37b92c7c3825cede2cda&chksm=ec1e39e4db69b0f20d56acb2aa8356b62134bb6bb67e61dba862efaed1f532fdedc8f407122f&token=511550348&lang=zh_CN#rd
版权

题目来源:

https://github.com/xerof4ks/heapwn/tree/master/rhme3

初步了解

堆的题目基本都是选择菜单,这里可以添加,删除,选择,编辑,展示球员,还可以显示队伍,功能看着很多啊

首先玩玩一下这个游戏,便于后期逆向一些数据结构

上面就是球员这个结构有什么信息,第一个 free slot 就相当于球员的 id,这个不用我们输入

remove 就删除咯

select 会输出球员的信息

edit 当前的 palyer,基于上面的 select

show palyer,这个显示的是 select 的 player

show team 会将所有球员信息打印出来

经过对 add_player 的逆向,可以推出 palyer 的结构

编写 add_palyer 查看内存结构

查看内存如下,大小为 0x20,

添加两个球员

了解得差不多了,开始吧

查找漏洞

看下 delete,判断 index 不能大于 10,且全局 players 数组不为 0,而且 delete 后将相应的 players 索引置 0,所以不存在 double free,free 的时候首先将 name 释放,再释放整个 palyer

那看看释放后能否重用,看看 show palyer,因为 delete 没将 selected 置 0,导致可以重用,这可以导致信息泄露

再有 edit 可以导致任意地址写漏洞

那怎么占位呢(下面图说的 0x17 不一定,我们 0x16,0x15 等也能占位,差不多大小就行)

就是创建两个 palyer,都 free 掉,再创建一个 palyer 即可占位,用 name 占第二个 palyer 的结构

还有我们下面写 got 的话有两个目标,一个 atoi,一个 strlen,不过 atoi 的话传入的参数只有四字节,只能传个 sh 过去了,strlen 也是可以的,留给大家尝试,就不贴出来了

exp

myh0st@信安之路
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
UAF原理及相关一道CTF
qq_36963214的博客
07-27 2666
前言 通过学习UAF原理及其在CTF中的应用,通过理论是实践相结合,可以更好地掌握UAF漏洞。 UAF漏洞原理 #include<stdio.h> #include<stdlib.h> int main() { char *p1, *p2; p1 = p2 = NULL; p1 = (char *)malloc(10); if (p1 == NULL) { printf("fail to malloc p1"); exit(1); } memcpy(p1, "
pwn学习-ctfwiki-UAF
WocW的博客
05-23 2230
源码: #include <stdio.h> #include <stdlib.h> #include <unistd.h> struct note { void (*printnote)(); char *content; }; struct note *notelist[5]; int count = 0; void print_note_co...
[CTF]PWN--堆--UAF漏洞
2301_79880752的博客
03-08 1057
UAF即Use After Free简单的说,Use After Free 就是其字面所表达的意思,当一个内存块被释放之后再次被使用。但是其实这里有以下几种情况。。而我们一般所指的漏洞主要是后两种。此外,
uaf-逻辑-BUUCTF hacknote
csdn546229768的博客
11-28 329
首先拿到目是个菜单,在ida中进行手动识别重命名函数如图: 首先按照程序流程配合程序一起分析add函数如图: 通过上面分析可知,ptr_array是一个全局数组长度为5,然后进入if判断这个“*(&ptr_array + i)”也就是ptr_array[i]那么这就对每个数组里面的内容进行判空,那就是说这个数组里面的数据是否被add过。 然后就是给数组里面每个分配了一个大小为8byte的chunk实际分配是0x10,然后这句“**(&ptr_array + i) = m_puts”实
程序员为什么还要刷-rhme3-writeups:RHME3挑战的文章
07-07
程序员常刷介绍 在过去的四个月中,cloakware-ctf 的成员一直在兼职参加 rhme3 挑战赛 ()。 这些挑战非常困难,但也非常有趣。 最终,Cloakware 队获得第 3 名,是排名最高的加拿大队; 完成 16/19 挑战! 团队在近一年前就开始进入RHME3并参加比赛; 当有人建议我们在 8 月的第一周提交一个团队参加预选赛时。 这是一段忙碌的时光,团队成员无法在预选赛上付出足够的努力,尽管团队成员将家庭假期的时间花在挑战上,但我们未能在 8 月 28 日的截止日期前获得名额。 不过,有几个第二次参赛机会:我们提交给 Liveoverflow 视频博客,该博客正在赠送 RHME3 板以供参赛(不高兴),我们还向 r2con 竞赛提交了一个radare2 解决方案,该竞赛也在进行赠品。 任何可以提交说明如何使用radare2 解决“antir2”挑战的文章的人都会得到一个板。 该团队制定了一个解决方案并提交了它——这现在列在“爱迪德团队撰写的文章(乔纳森·贝弗利、科林·德温特、本·加德纳)”下);然而,我们后来听说这个 r2con 预选赛只对会议的与会者 - 即使公告没
uaf42.zip_uaf42_uaf42 design_uaf42-data
09-23
中的“uaf42.zip_uaf42_uaf42 design_uaf42-data”表明这是一份关于“uaf42”设计的压缩文件,重点在于“uaf42”的设计及其相关数据。描述中提到的是使用“uaf42”设计的有源滤波器,并记录了高通滤波器的设计...
COSEL科索 UAF500S-3模块电源产品说明书.pdf
10-10
COSEL科索 UAF500S-3模块电源产品说明书pdf,COSEL科索 UAF500S-3模块电源产品说明书
KW-UAF42-模块用户手册-简易_V1.1.pdf
最新发布
03-22
KW-UAF42-模块用户手册-简易_V1.1
uaf-for-incose
12-11
UAF is the next generation of the Unified Profile for DoDAF and MoDAF (UPDM) At one time referred to as UPDM 3 Longer Answer: An enterprise architecture framework Applicable for domains similar to ...
eID_fido-uaf-core
05-14
"eID_fido-uaf-core" 暗示了这是一个与电子身份证(eID)相关的项目,它利用了FIDO UAF(Universal Authentication Framework)核心技术。FIDO UAF是一种安全的身份验证标准,旨在提供强认证,以保护用户免受...
CTF pwn普通UAF目模板
半岛铁盒的博客
06-15 485
from pwn import * context(log_level=‘debug’) elf=ELF(’./) r=remote("","") #r=process(’./’) def create(size,content): r.sendlineafter("Your choice: ",‘1’) r.sendlineafter("Please input size: ",str(size)) r.sendafter("Please input content: ",content) def del
pwnable.kr-uaf WP
Casuall的博客
06-22 507
UAF(Use After Free)释放后重用,其实是一种指针未置空造成的漏洞。 首先介绍一下迷途指针的概念 在计算机编程领域中,迷途指针,或称悬空指针、野指针,指的是不指向任何合法的对象的指针。 当所指向的对象被释放或者收回,但是对该指针没有作任何的修改,以至于该指针仍旧指向已经回收的内存地址,此情况下该指针便称迷途指针。若操作系统将这部分已经释放的内存重新分配给另外一个进程,而原来的程序重...
UAF (Use After Free)漏洞分析及利用
热门推荐
4ct10n
06-23 2万+
因为大作业的需求要调试一个浏览器的UAF漏洞,首先必须对UAF漏洞有个整体的了解,本篇文章主要讲解UAF造成的原因以及利用方法,这里结合2016年HCTF fheap
Use After Free Tutorial
sdulibh的专栏
08-09 3177
Halvar Flake 在”Third Generation Exploitation”中,按照攻击的难度把漏洞利用技术分为了3个层次: (1) 第一类是基础的栈溢出利用。攻击者可以利用返回地址等轻松劫持进程,植入shellcode,例如,对strcpy,strcat等函数进行攻击。 (2) 第二类是高级的栈溢出漏洞。这时,栈中有许多限制因素。 (3) 第三类攻击则是堆溢出利用及格式化串漏
备战CTF
weixin_40707492的博客
07-21 6349
备战CTF初期,没有什么经验,部分操作过程有借鉴大佬
CTF二进制快速入门笔记01
kelxLZ的博客
11-30 1445
常见的二进制程序漏洞 栈溢出,堆溢出,UAF,这个UAF比较经常被问到 上述漏洞怎么利用 一、栈溢出 1.1 基础栈结构 进入函数时: CALLXXX PUSH retadddr(call的下一条指令,目的:知道怎么回来) JMP XXX 进入到XXX PUSH RBP(保存栈基址,好恢复) MOV RBP,RSP(栈底抬上去) SUB RSP,XXh(抬高栈顶给局部函数预留空间) 退出函数时: leave mov rsp,rbp(把rsp弄回来) pop rbp(把rb..
堆利用 UAF漏洞
m0_64195960的博客
05-16 678
buuctf上的easy_uaf漏洞
PlaidCTF CTF 2015 pwn160
Vccxx的博客
04-14 806
PlaidCTF CTF 2015 pwn160格式化字符串漏洞之前指针没有理解好,所以理解这的攻击花了不少功夫,记录一下思路:程序中的sprintf第三个参数format由我们控制,存在明显的格式化字符串漏洞。这个程序给了一个全局buf,大小为1024字节,可以植入shellcode,主要的难点是如何将某个函数的返回地址(脚本中写的是make_response返回地址)改成buf中的地址。这里用
两个UAF
40KO的博客
06-04 603
HITCON-training-lab 10 hacknote 本为最简单的UAF利用 add note0,note1后chunk使用情况 0x80b4000 FASTBIN { //note0 prev_size = 0, size = 17, fd = 0x804865b <print_note_content>, //put bk...
FIDO-UAF协议详解:构建强大的用户认证框架
"FIDO-UAF协议是FIDO联盟提出的一种强认证框架,旨在让在线服务和网站能够利用用户计算设备的内置安全特性进行强大的用户身份验证,减少创建和记忆多个在线凭证的问。此协议标准由FIDO联盟成员如RSA、Google、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值