hitcontrainingUAF之我见

最新推荐文章于 2024-01-12 17:55:55 发布
最新推荐文章于 2024-01-12 17:55:55 发布
阅读量272 收藏
点赞数
分类专栏: CTF 文章标签: UAF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30204577/article/details/106797148
版权

0x00前言

这个题目做了好几天,因为自己对这个堆利用还不是很明白,就磨了几天,终于在昨天稍微对于这个有了进一步的了解,WP其他各大师傅已经写过了,我主要是写一下我不理解的地方:为什么第三次申请的时候就可以把内容写进去。

0x10 分析步骤

0x11 申请一次

申请一次

这是申请一次后的记录,申请的大小是16,0x08405fb是对应的print_content函数地址,然后接着的四个字节是我们输入内容的地址,就在(1,3)处,延续的是16字节。

这就是说,程序会先申请8个字节,前四个是函数,后四个是我们输入内容的地址。

0x20 申请两次

申请两次

申请两次和申请一次的分析基本一致。

0x30 释放两次

再申请一次

我们可以发现,释放完之后,会在fastbin里形成链,然后我们就想,能否将之前作为前八个字节的内容的地址作为我们可以输入内容的content地址?

0x 40 再申请一次

我们只需要申请的比之前的小,就比如我们申请的是12个字节,那么它就会把这个0x10所在的fastbin里的内容都给分配出来。

我们申请这一次的时候,它会把第二次申请的第一个八字节作为这一次的八字节,并把第一次申请的0x16大小的块分配给它,我们这一次就可以把content的前四个字节输入成magic的地址,然后print的时候相当于是进行了执行这个magic函数

然后就可以getshell了。

话说为什么这样就可以了呢?

这是由于,我们在最后print的是编号为0的堆块,它虽然已经被free掉了,但是没有置为null,那么我们再调用它的时候,就会调用magic函数,可以将再申请一次的图片和申请一次的图片进行对比,可以发现,此时的0x80485fb已经变成了0x8048945(magic地址),而这一段地址在print的时候就会被以为是原来的print_note_content函数,从而执行了magic。

这才是UAF的意义所在......

0x20 payload

TedLau.
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
西门子EBR与BATCH通讯方法,mes与batch交互
西门子mes与自控之家
11-19 2077
最新更新请访问:mesebr.com 链接 1 前期准备 1.1 网络检查 两台服务器防火墙全部关闭; 两台服务器之间可以相互ping同,若batch服务器连接oracle数据库的连接名称写的机器名,则batch服务器ping机器名也要可以ping通; 1.2 服务检查 EBR服务器中UAF(http://localhost/sit-ui/runtime/ebr.ebr/#/home/ServiceConsole/ServiceManager)里ebr如下服务需要打开,如下图: BAT
[BUUCTF]PWN——hitcontraining_uaf
mcmuyanga的博客
09-07 1650
[BUUCTF]——hitcontraining_uaf 附件 步骤: 例行检查,32位,开启了nx保护 试运行一下程序,非常常见的创建块的菜单 32位ida载入分析,shift+f12查看程序里的字符串,发现了/bin/sh,ctrl+x,跟进找到了后面函数,shell_addr=0x8048945 的main函数很简单,逻辑很简单,也没什么好说的,直接看菜单的各个选项 add ...
hitcontraining_uaf
m0_62326489的博客
07-11 258
题目的一点自己理解
[BUUCTF]PWN——hitcontraining_unlink
mcmuyanga的博客
01-25 1000
hitcontraining_unlink 附件 步骤: 例行检查,64位程序,开启了canary和nx 本地试运行一下看看大概的情况,经典题的菜单 64位ida打开,发现了读出flag的函数?根据buu上的习性,不懂这个路径对不对 main() show() add() edit() delete() 由于存在溢出和这个读出flag的函数,我们可以修改fd和bk的值,尝试使用fastbin attack。 #coding:utf-8 from pwn import * conte
buuctf hitcontraining_uaf
cainiao78777的博客
04-12 236
会把指针块1重新分配给我们,context块会把指针块0分配给我们(因为我们申请一个块实际上是申请两个块(一个指针块,一个context块))程序是先申请一个指针块,这个指针块的大小为8字节,前四字节存储的是puts函数的指针,后四字节存储的是要申请的块内容指针就是相当于这样。3.打印块内容,这段代码会把指针块的第一个指针来执行函数,如果把第一个指针修改为后门函数指针,就能getshell。2.释放块,这个操作,在释放块之后,并未把指针置零,所以存在uaf漏洞。
buu|hitcontraining_uaf 1
m0_64236521的博客
07-09 156
hitcontraining_uaf 1 这里一次会申请两个,其中第一个放着print_note_content 前4个字节位是print_note_content函数地址,这个块儿存在了notelist中 在执行print_notet时,会调用notelist里存储print_note_content函数地址的块儿,及我们只需将notelist里块儿存的print_note_content函数地址改成后门函数地址即可 申请两个块儿 释放掉 0x10里有两个,都是之前存...
【pwn】hitcontraining_uaf --利用之uaf
最新发布
question55的博客
01-12 437
a。
BUUCTF-pwn-hitcontraining_uaf(UAF)
半岛铁盒的博客
06-05 311
这道题可以用来当做的入门题来做 开了NX 这是的菜单;
hitcontraining_magicheap-unlink
个人笔记
06-17 183
heaparray全局指针=0x6020C0;
hitcontraining_unlink
z1r0的博客
01-13 380
hitcontraining_unlink 查看保护 在change功能里没有检查size大小。一开始直接打hook来着,结果最后add时出问题。。。。。 from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 27530) else: r = process
hitcontraining_uaf【write up】
m0_73756460的博客
01-25 113
buu刷题hitcontraining_uaf【write up】
[BUUCTF-pwn]——hitcontraining_uaf
Y_peak的博客
03-10 323
[BUUCTF-pwn]——hitcontraining_uaf 题目地址:https://buuoj.cn/challenges#hitcontraining_uaf 题目给了提示,一个利用UAF漏洞的题目 还是先checksec一下 在IDA中,三个比较关键的函数 我们可以发现add会申请两次内存,第一次申请8个字节,前四个字节指向print_note_content这个函数, 后四个字节指向我们写入的字符串(count会加1) delete则会将刚才申请的两块空间给删除(count不会减一
use after free HITCON-training (lab 10 hacknote)
九层台
08-06 848
liu@liu-F117-F:~/1t/u18/文档/溢出学习/use after free$ checksec hacknote [*] '/home/liu/1t/u18/\xe6\x96\x87\xe6\xa1\xa3/\xe5\xa0\x86\xe6\xba\xa2\xe5\x87\xba\xe5\xad\xa6\xe4\xb9\xa0/use after free/hacknote' ...
BUUCTF hitcontraining_uaf
BengDouLove的博客
04-09 926
这是我第一次自己做出来的题,,????动 没什么特别,,看一看代码 还是一个块管理系统,不过这次他管理的时候有些不一样 1.add 不一样就在这里,,如果要创建一个用户数据,,先malloc一个八字节的指针块(我这么叫。。里面放着指针),,这八字节,前四个字节是一个pirnt_note_content函数,,这个函数的作用是以他后面相邻四个字节的数据为指针,打印这个指针里面的内容;;;申请...
hitcontraining_bamboobox
像初雪一样自由洒落
04-24 703
hitcontraining_bamboobox这道题有两种解题方式: house of force 参考:house of force unlink house of force(详解) 知识点 只要top chunk size够大,就能随意申请chunk 所以,如果有溢出能控制top chunk size,就可以修改其为-1(0xffffffff最大值),然后malloc(负数)可以向上申请,malloc(正数) 题目流程 程序一开始申请0x10的块,存放hello_message和.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值