【CTF】【PWN】【UAF】【萌新友好向wp】hitcontraining_uaf

最新推荐文章于 2024-03-08 21:05:14 发布
最新推荐文章于 2024-03-08 21:05:14 发布
阅读量422 收藏 5
点赞数
分类专栏: pwn ctf reverse 文章标签: python pwn unctf 编程语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_50819561/article/details/120643554
版权

因为本人也是个菜鸡,这道题的反编译又很阴间,所以我花了比较长的时间读反编译代码,也是一步一步理解的整个过程,感觉有一些收获,所以就想写一个比较详细的wp,个人觉得是我看到的最详细的wp了。
请♂享♂用♂我♂吧
在这里插入图片描述
这是add函数,add一次会malloc两个chunk。
同时要注意,这里的notelist是一个二维数组。notelist[i]表示的其实是notelist[i][0](八个字节).后面还有一个notelist[i][1]。
我们看notelist[i],他被赋值为print_note_content这个地址的函数。
notelist[i][1]才是真正存放chunk的content的地方。
为什么要把notelist[i]赋值为print_note_content这个地址的函数呢?
下面这个函数是print_note函数
在这里插入图片描述
可以发现,这个函数把notelist[v2]作为函数调用,后面的notelist[v2]则是这个函数的参数。这个函数就是
在这里插入图片描述
打印一个chunk的content。
下面就是delete_note的代码
在这里插入图片描述
可以看到,释放一个note需要两个free,一个free掉notelist[i][0]一个free掉notelist[i][1]。但是这里free之后没有对指针进行置NULL操作,所以存在Use After Free漏洞。
前面的逆向分析有点长,但是我觉得是有必要的。

接下来开始漏洞的分析。
我们之前已经说过了,一个note分为两个字段,notelist[i][0]和notelist[i][1].我们把他们命名为put段和content段。
如果我们把一个note的put段变成magic函数
在这里插入图片描述
那么我们在调用菜单里的print_note函数的时候,是不是相当于调用了system(’/bin/sh’)呢?当时是的。但是因为我们只能对content部分进行操作,无法对put部分进行操作,所以我们要想办法,操作put段

接下来是漏洞利用过程:
申请note0(大小为0x40):包括put0和con

最低0.47元/天 解锁文章
永远在深夜里就好了
关注
专栏目录
HITCTF 2018 wp [我真是菜鸟]
Assassin
02-02 5897
WEB PHPreading 源码泄露,存在index.php.bak,,解一下base64知道 $flag=$_GET['asdfgjxzkallgj8852'];if($flag=='H1TctF2018EzCTF'){die($flag);}die('emmmm'); 输入得到flag BabyEval 看一下泄露了一部分源码 <!-- $str=@(str
[CTF]Hitcon2021 W3rmupPHP赛后复现
Sapphire037的博客
12-06 724
前言 周末DNUICTF,UNCTF,HITCON连轴转,太菜了做不出,赛后看到大佬的思路才知道怎么搞 WP 源码: <?php if (!isset($_GET['mail'])) highlight_file(__FILE__) && exit(); $mail = filter_var($_GET['mail'], FILTER_VALIDATE_EMAIL); $addr = filter_var($_S
三个pwn
weixin_52640415的博客
06-28 1829
shortcut :格式化字符串漏洞写溢出 lucky_guy:alloca负值覆盖ret babynote:libc-2.31禁用exec写 ORW free_hook->sigreturnframe-> setcontex+61->orw
CTF pwn普通UAF题目模板
半岛铁盒的博客
06-15 547
from pwn import * context(log_level=‘debug’) elf=ELF(’./) r=remote("","") #r=process(’./’) def create(size,content): r.sendlineafter("Your choice: ",‘1’) r.sendlineafter("Please input size: ",str(size)) r.sendafter("Please input content: ",content) def del
[BUUCTF]PWN——gyctf_2020_document(UAF
mcmuyanga的博客
03-22 774
gyctf_2020_document 例行检查,64位程序,保护全开 漏洞在free chunk的时候 简单看一下其他几个功能函数 add() 像我这样的新手,可以申请几个chunk看一下,方便理清楚堆的内部情况 show(),根据存放在bss段的0x202060堆指针数组来输出对应的chunk里的值 edit() 利用思路 申请一个chunk,释放掉,在show,由于存在uaf,这样就泄露了libc 泄露libc后,由于第一个chunk被释放了,并且edit函数编辑的是chun
HITCON lab4 wp
qq_43409582的博客
09-30 371
0x01 之前在ctf-wiki上做过的re2lib,这道题也差不多。仿照ctf-wiki上的做法,想到需要用到libc.so 的延迟绑定技术,用 got 表泄露,即输出某个函数对应的 got 表项的内容,好了话不多说先看题,首先看保护: 只开了NX. 用IDA查看: main(): 发现有个puts()函数,很容易想到用这个函数打印出它的真实地址,然后计算偏移量得到system函数的真实地址,...
PWN uaf [pwnable.kr]CTF writeup题解系列13
重新启程
01-02 748
目录 0x01题目 0x02解题思路 0x03题解 0x01题目 0x02解题思路 题目都已经介绍了这是一道Use After Free的题目,那我们就不用多想了,先看看题目主要内容 root@mypwn:/ctf/work/pwnable.kr# ssh uaf@pwnable.kr -p2222 uaf@pwnable.kr's password: ____ __...
linux 堆溢出 pwn 指南,新手科普 | CTF PWN堆溢出总结
weixin_36467693的博客
05-16 998
学习汇总序言自从加入RTIS交流群, 在7o8v师傅,gd大佬的帮助下,PWN学习之路进入加速度。下面是八周学习的总结,基本上是按照how2heap路线走的。由于八周内容全写,篇幅太长,这里只讲述每道PWN题所用到的一个知识点。第一节(fastbin_dup_into_stack)知识点利用fastbin之间,单链表的连接的特性, 溢出修改下一个free chunk的地址, 造成任意地址写.例子:...
BUUCTF-UAF漏洞 pwnable_hacknote
weixin_45441024的博客
05-21 542
BUUCTF-UAF漏洞 pwnable_hacknote 好久不学习pwn了,今天学习突然就开窍了,开心,好像离大神又近了一步 就不静态分析了,直接动态分析 首先创建两个大小为0x80的堆快,结构如图所示,可以看到每个堆块包含了两个部分 然后我们释放这两个堆块,可以看到被存放进了fastbin中 之后我们创建一个payload,0x8个大小的, from pwn import * from LibcSearcher import * def add(size, content): print(
ctf-pwn-堆-调试
xy_369的博客
05-20 509
写这篇文章的目的是更好地去理解堆,不要只停留在理论知识阶段注:读这篇文章需要一定基础,不然读起来很费劲或读不懂,要是有ctf-pwn手的基本基础,只是缺乏堆这一块的知识,可以先把这篇文章读完,大致了解哪些地方写了哪些知识点,同时结合一些堆相关的链接去快速掌握堆在计算机内存中的运作方式。
HITCTF2020 -- re1 HelloReverse wp
Air_cat的博客
12-11 435
程序分析 打开,没什么用的input flag: ida 打开,定位到main函数: 作为一道基础re,前面的内容都没什么好说的,输入,长度校验。 但后面的内容就开始诡异了起来。 首先是给v8赋值的那个变量嗷,不对劲啊不对劲: 想来应该是在入口点进行初始化了,一看果然是。 打开看看 完事一半嗷 在比赛的时候想的是先不管他,看看底下的程序 一个逻辑我好像看懂了,但其实没看懂的变换。 简单的来说是输入串异或来以获去,然后还要和上面那个很迷幻的玩意进行一个比较。这个很迷幻的玩意进行了左移操作,但这个左移菜菜
[PWN] hitcon_ctf_2019_one_punch Tcache stashing unlink attack
LDX的博客
10-25 157
Tcache attack : Tcache stashing unlink attack Largebin attack
绿城杯uaf_pwn 分析
人饭子的博客
12-31 332
绿城杯uaf_pwn 分析 10月11日~10月15日 一、信息收集 RELRO:在Linux系统安全领域数据可以写的存储区就会是攻击的目标,尤其是存储函数指针的区域。 所以在安全防护的角度来说尽量减少可写的存储区域对安全会有极大的好处.GCC, GNU linker以及Glibc-dynamic linker一起配合实现了一种叫做relro的技术: read only relocation。...
UAF (Use After Free)漏洞分析及利用
热门推荐
4ct10n
06-23 3万+
因为大作业的需求要调试一个浏览器的UAF漏洞,首先必须对UAF漏洞有个整体的了解,本篇文章主要讲解UAF造成的原因以及利用方法,这里结合2016年HCTF fheap
CTF的基础知识
weixin_65852501的博客
04-22 602
目录 1、简介 2、竞赛 2.1、理论知识 2.2、Jeopardy-解题 2.3、AwD-攻防模式 2.4、RHG-自动化[ AI自动化] 2.5、RW-真实世界 2.6、KoH-抢占山头 2.7、Mix[混合] 2.8、FLAG 3、比赛形式 3.1、简介 3.2、线上 3.3、线下 4、题目 4.1、简介 4.2、Web 4.3、Pwn 4.4、Reverse 4.5、Crypto 4.6、Misc 1、简介 CTF(C apture T he F l
[CTF]PWN--堆--UAF漏洞
最新发布
2301_79880752的博客
03-08 1281
UAF即Use After Free简单的说,Use After Free 就是其字面所表达的意思,当一个内存块被释放之后再次被使用。但是其实这里有以下几种情况。。而我们一般所指的漏洞主要是后两种。此外,
pwn学习-ctfwiki-UAF
WocW的博客
05-23 2293
源码: #include <stdio.h> #include <stdlib.h> #include <unistd.h> struct note { void (*printnote)(); char *content; }; struct note *notelist[5]; int count = 0; void print_note_co...
uaf-逻辑题-BUUCTF hacknote
csdn546229768的博客
11-28 353
首先拿到题目是个菜单题,在ida中进行手动识别重命名函数如图: 首先按照程序流程配合程序一起分析add函数如图: 通过上面分析可知,ptr_array是一个全局数组长度为5,然后进入if判断这个“*(&ptr_array + i)”也就是ptr_array[i]那么这就对每个数组里面的内容进行判空,那就是说这个数组里面的数据是否被add过。 然后就是给数组里面每个分配了一个大小为8byte的chunk实际分配是0x10,然后这句“**(&ptr_array + i) = m_puts”实
CTF练习 TU-ctf-2016 pwn woO-50
jmp esp
12-07 1163
题目简介大致是可以选择好几个动物,然后可以删除动物题目分析有了上一道题的经验,上来先afl[0x004007f0]> afl 0x004006d8 3 26 sym._init 0x00400710 2 16 -> 32 sym.imp.free 0x00400720 2 16 -> 48 sym.imp.puts 0x00400730 2
ctf pwn 计算器
10-05
引用是一段代码,它使用了Pythonpwn库来进行CTF中的pwn攻击。pwn攻击是指通过分析程序本身的漏洞,编写利用脚本来获取主机权限。这种攻击需要对程序进行深入分析,了解操作系统的特性和相关漏洞。因此,CTF pwn攻击是一个相对较难的领域。 对于你提到的"计算器",如果你是指CTF中的pwn题目中的一个计算器程序,那么你需要先进行程序的分析,找到可能存在的漏洞点。一旦找到漏洞点,你可以通过构造特定输入来利用漏洞,从而获取权限。 在学习CTF pwn攻击时,首先要有扎实的基础知识,包括C语言、汇编语言、Python编程、操作系统原理和Linux操作等方面的知识。这些基础知识将为你提供分析和理解程序的能力。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值