pwnable.tw——hacknote

最新推荐文章于 2023-09-22 09:54:04 发布
最新推荐文章于 2023-09-22 09:54:04 发布
阅读量822 收藏
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35713009/article/details/87900729
版权
本文介绍了在pwnable.tw的hacknote挑战中,通过理解glibc内存管理和利用未初始化的指针(Use-After-Free, UAF)来控制流程。首先分析了note结构体和chunk分配,然后详细阐述了利用过程:添加和释放note,覆盖函数指针,绕过ASLR寻找system函数地址,最后利用system执行shell命令。" 128457768,12708184,ReactJS中的Model层实践,"['前端开发', 'React.js', '数据分层', 'DVA框架']
摘要由CSDN通过智能技术生成

很少做pwn,之前也只懂点rop,现在跟着练练pwn的堆利用吧,pwnable.tw上的一题hacknote,比较纯粹的uaf题目,还好不久前看了点glibc内存管理的东西,可以派上用场了。

逆向很轻松,那为什么不直接给源码呢。。。根据add_note函数很容易了解note的结构体特征

unsigned int add_node()
{
  note *v0; // ebx
  signed int i; // [esp+Ch] [ebp-1Ch]
  int size; // [esp+10h] [ebp-18h]
  char buf; // [esp+14h] [ebp-14h]
  unsigned int v5; // [esp+1Ch] [ebp-Ch]

  v5 = __readgsdword(0x14u);
  if ( dword_804A04C <= 5 )
  {
    for ( i = 0; i <= 4; ++i )
    {
      if ( !note_list[i] )
      {
        note_list[i] = (note *)malloc(8u);
        if ( !note_list[i] )
        {
          puts("Alloca Error");
          exit(-1);
        }
        note_list[i]->put_content = (int)note_puts;
        printf("Note size :");
        read(0, &buf, 8u);
        size &#
最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwnable.tw hacknote
weixin_46521144的博客
07-14 118
hacknote 主要考察:uaf,fastbin数据结构 分析程序流程可知,在add部分,创建的数据结构如下所示 用图片直观表示,就是 所有被分配的chunk数据结构都是puts块+数据块,并且puts块大小固定。注意到每次free的时候两个快都会被free,并且存在uaf,考虑在free两个块之后,一次malloc 0x8大小的内容,再执行show,那么malloc(0x8)时候调用的puts函数即可被劫持,因为0x10大小的块全被放在了一个fastbin中,我们add一个0x8的块,会从fastbi
pwnable.tw——hacknote分析
Eagle_hwei的博客
02-24 396
hacknote的题目分析 2020-02-2421:22:47 by hawkJW 题目附件、ida文件及wp链接   这是一道比较经典的题目,所以稍微记录一下   1.  程序流程总览 首先,还是老规矩,看一下保护情况   可以看出来,PIE没有开启,可以修改got表,其余基本上都开启了,保护程度一般吧。下面我们来看一下程序的具体流程吧。 没什么好说的,还是比较经典的...
pwnable.tw wp - hacknote
fa1c4的blog
09-21 220
前言 pwnable.tw上的hacknote, 与攻防世界的hacknote类似的题目 分析过程 add函数, 还算合理 unsigned int add() { int v0; // ebx int i; // [esp+Ch] [ebp-1Ch] int size; // [esp+10h] [ebp-18h] char buf[8]; // [esp+14h] [ebp-14h] BYREF unsigned int v5; // [esp+1Ch] [ebp-Ch] v
pwnable.twhacknote
qq_35429581的博客
10-13 2907
uaf漏洞产生的主要原因是释放了一个堆块后,并没有将该指针置为NULL,这样导致该指针处于悬空的状态(有的地方翻译为迷途指针),同样被释放的内存如果被恶意构造数据,就有可能会被利用。 再怎么表述起始还不如真的拿一道题自己调自己看内存看堆状态来的好理解。这也是我觉得ctf-pwn的意义所在,可以把一些漏洞抽象出来以题的形式,作为学习这方面的一个抓手。 此篇尽量做的细致基础,但仍然假设读者已经初步
pwnable.tw】start
最新发布
qq_61670993的博客
09-22 83
对栈布局的分析
pwnable.tw---start
杀生丸?不,其实我要的是桔梗
04-30 1537
Pwnable.tw—start 最近比赛玩了好几天的pwn,发现老是差点火候,开始正式刷刷Pwnable.tw看看。 题目分析: checksec : 第一次遇到什么防护都不开的程序,兴奋。 IDA: 题目只有start和exit。 检测栈有点问题,不能够F5,强行看汇编。。。 .text:08048060 public _start ....
pwnable.tw - start
不急不躁
07-08 4140
首先安装 pwntools,在执行pip install --upgrade pwntools时出错 cannot import name main 要修改 /usr/bin/pip from pip import main 为 from pip import __main__ sys.exit(__main__._main()) 再次执行即可 安装 peda git cl...
Pwnable.tw orw [Writeup]
柷敔的博客
02-18 547
题源 https://pwnable.tw/challenge/#2 题解 先看一下安全保护情况 再IDA一下源码 其中seccomp是一个开启内核system call保护的函数。通过这一函数可以划定程序准许用户态调用的系统函数,相当于划定白名单,即题目所言【仅开启了open、write、read】。 简单分析函数可知,该程序直接执行了用户输入的shellcode。结合题目意思,可以使用open函数打开flag文件,然后read读出文件内容,最后write输出到控制台。 使用的python程序如下:
pwnable.tw - orw
不急不躁
07-09 3021
简单概览 与 start 不同,该程序使用动态链接 提示仅允许有限的系统调用 open read write 函数 程序运行 哪怕是输入一个字母,程序仍然会出现段错误 检查安全措施 可见栈上开了 CANARY 程序 在 IDA 中反编译可见: 函数 orw_seccomp 反编译: 程序从终端读入内容,存放在 shellcode,然后执行该命令 ...
Assassins.Creed.III.TW.THETA.RIP.torrent
07-20
Assassins.Creed.III.TW.THETA.RIP.torrent3DMGAME.Assassins.Creed.III.TW.THETA.RIP.torrent3DMGAME.Assassins.Creed.III.TW.THETA.RIP.torrent3DMGAME.Assassins.Creed.III.TW.THETA.RIP.torrent3DMGAME....
MP4播放器_mp4播放器_player_mp4_mp4ba.tw_
10-03
【标题】"MP4播放器_mp4播放器_player_mp4_mp4ba.tw_" 指的是一个专注于播放MP4格式视频文件的播放器。在数字媒体领域,MP4是一种广泛使用的视频编码格式,它能够有效地压缩视频数据,同时保持较高的画质。MP4播放器...
rate.bot.com.tw:台湾银行黄金价格抓取程式
06-11
台湾银行黄金价格抓取程式 序 此程式以语言撰写,以日期为参数抓取台湾银行。... GET http://rate.bot.com.tw/Pages/UIP005/UIP00511.aspx?whom=GB0030001000&afterOrNot=0&curcd=TWD&date=20000101 只需变换date参数。
TW6.1.5.8-Enterprise-Linux
08-31
TW6.1.5.8_Enterprise_Linux TongHttpServer(THS)是一款功能强大、稳定高效、高性价比、易于使用、便于维护的负载均衡软件产品。THS 不仅可以满足用户对负载均衡服务的需求,提升系统可靠性、高效性、可扩展性及...
28365365.tw_11个单页源码.rar
10-07
标题中的"28365365.tw_11个单页源码.rar"表明这是一个包含11个单页网站源代码的压缩文件,主要用于28365365.tw这个域名的相关网页设计。单页源码是指只有一屏或者滚动浏览到底的网页设计,这种设计通常用于简洁明了...
DDCTF2019-Writeup
40KO的博客
04-19 4847
目录 WindowsReverse1 WindowsReverse2 confused obfuscating macros 黑盒破解2 北京地铁 MulTzor [PWN] strike Wireshark 联盟决策大会 滴~ Web签到题 Upload-IMG 大吉大利,今晚吃鸡~ Breaking LEM WindowsReverse1 比较基础的一...
angr-example(解CTF题目)
40KO的博客
05-03 2850
0x0废话 emmm,总之就是官方给的examples啦。持续更新... 链接:https://docs.angr.io/examples 0x1defcamp_r100 angr在CTF中最常见的使用方式就是利用符号执行来探索路径。来看主函数 可以看到本题中只需要达到0x400844这个地址,我们的输入就是正确的flag,即我们打印到达0x400844这个地址的state的标准...
强网杯-JustRe
40KO的博客
05-28 1717
Windows32位程序,无壳,编译器版本还算高。 主函数除了CFG有点诡异外,流程十分简单。 进入第一个check函数,可以看到大量SSE指令,前面一些基本的判断很不好看,直接调试看结果 .text:00401682 060 movd xmm0, eax .text:00401686 060 pshufd xmm5,...
2019西湖论剑re
40KO的博客
04-08 945
easyCpp 本来想静态看出来,看不了。。。IDA调试插件崩了,无奈得使用gdb。首先随便输⼊16个数字 gdb-peda$ r Starting program: /mnt/c/CTF/reverse/xihu/easyCpp_o 100 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 然后下断看以下函数做了什么 最下方begin的返回...
TW2835芯片实现OSD功能详解
"TW2835实现OSD的详细指南" INTERSIL系列中的TW2835是一款视频解码芯片,它具有集成的OSD(On-Screen Display)功能,能够实现在视频画面上叠加文本、图形和其他信息。本文档主要介绍了如何利用TW2835芯片来创建和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值